3
Zugriff auf David-eMail-Webbox über das WAN
Mit diesem Thread möchte ich besprechen, ob es ein Sicherheitsrisiko darstellt, die Webbox unseres David-eMail-Servers per WAN direkt verfügbar zu machen.
Hallo zusammen,
wir setzen David Zehn als eMail-Server auf unserem Domänen-Controler ein, bislang ohne die geringsten Probleme.
Nun möchten wir die Webbox-Funktion für unsere IPhones verwenden - vergleichbar mit dem Outlook Web Access.
Die nutzerfreundlichste Möglichkeit wäre das Forwarden des entsprechenden Webbox-Ports (80 .. oder ein anderer - ist änderbar) von der Firewall auf den Domänen-Controler. User öffnet seine Webbox über https://oeffentlicheIP ...
Verbindung ist zwar verschlüsselt, doch ich sehe diese Variante trotzdem als Sicherheitsrisiko für unseren Server bzw. unser Netzwerk an, da wir ja hier einen "offenen" Port nach außen hin haben.
Meine Idee (etwas nutzerunfreundlicher): aufbau einer PPTP-Verbindung von den IPhones aus und dann Aufrufen der Webbox mit http://192.168....
Wie schätzt ihr die Situation ein? Wie würdet ihr das realisieren?
Gruß,
Canni
wir setzen David Zehn als eMail-Server auf unserem Domänen-Controler ein, bislang ohne die geringsten Probleme.
Nun möchten wir die Webbox-Funktion für unsere IPhones verwenden - vergleichbar mit dem Outlook Web Access.
Die nutzerfreundlichste Möglichkeit wäre das Forwarden des entsprechenden Webbox-Ports (80 .. oder ein anderer - ist änderbar) von der Firewall auf den Domänen-Controler. User öffnet seine Webbox über https://oeffentlicheIP ...
Verbindung ist zwar verschlüsselt, doch ich sehe diese Variante trotzdem als Sicherheitsrisiko für unseren Server bzw. unser Netzwerk an, da wir ja hier einen "offenen" Port nach außen hin haben.
Meine Idee (etwas nutzerunfreundlicher): aufbau einer PPTP-Verbindung von den IPhones aus und dann Aufrufen der Webbox mit http://192.168....
Wie schätzt ihr die Situation ein? Wie würdet ihr das realisieren?
Gruß,
Canni
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 115278
Url: https://administrator.de/contentid/115278
Printed on: April 20, 2024 at 01:04 o'clock
3 Comments
Latest comment
Moin,
ok, erstmal würde ich David wegkicken... aber das aufgrund von anderen Problemen ... (just m2c)
Aber um das Problem zu lösen: Ich würde einfach den Port 80 in der Firewall auf den David-Server weiterleiten. Denn ein besonderes Sicherheitsrisiko kann ich da nicht sehen (sofern man den David-Webservice als sicher betrachten kann - hier habe ich aktuell keine Info drüber). Ein Angreifer kann ja nicht jetzt plötzlich über Port 80 auf dem Server einen anderen Port ansprechen... Du kannst ja auch gucken das du z.B. auf der Firewall einen anderen Port (7134 z.B.) nimmst und diesen dann an den Server auf 80 weiterleitest...
Bei uns ist allerdings der Zugriff aufs Mailsystem generell nur nach VPN-Anmeldung möglich. Denn zum einen vertraue ich den Webserver (bei uns IIS mit Exchange) nunmal generell nicht besonders - und zum anderen spare ich mir so die ganzen Script-Kiddy-Attacken die den Server nur unnötig beschäftigen... Ausserdem weiss ich wie gut die Passwörter teilweise gewählt werden -> da ist mir eine vorherige VPN-Anmeldung mit einem PW was ich generiert habe doch lieber
ok, erstmal würde ich David wegkicken... aber das aufgrund von anderen Problemen ... (just m2c)
Aber um das Problem zu lösen: Ich würde einfach den Port 80 in der Firewall auf den David-Server weiterleiten. Denn ein besonderes Sicherheitsrisiko kann ich da nicht sehen (sofern man den David-Webservice als sicher betrachten kann - hier habe ich aktuell keine Info drüber). Ein Angreifer kann ja nicht jetzt plötzlich über Port 80 auf dem Server einen anderen Port ansprechen... Du kannst ja auch gucken das du z.B. auf der Firewall einen anderen Port (7134 z.B.) nimmst und diesen dann an den Server auf 80 weiterleitest...
Bei uns ist allerdings der Zugriff aufs Mailsystem generell nur nach VPN-Anmeldung möglich. Denn zum einen vertraue ich den Webserver (bei uns IIS mit Exchange) nunmal generell nicht besonders - und zum anderen spare ich mir so die ganzen Script-Kiddy-Attacken die den Server nur unnötig beschäftigen... Ausserdem weiss ich wie gut die Passwörter teilweise gewählt werden -> da ist mir eine vorherige VPN-Anmeldung mit einem PW was ich generiert habe doch lieber
Die PPTP Variante ist natürlich sicherer, da der Tunnel auf der Firewall endet und nicht auf dem Server. Clients werden somit behandelt als ob sie lokal im Netzwerk arbeiten, was ja der tiefere Sinn eines VPNs ist !
Folglich ist auch der Server nicht direkt exponiert im Internet wie in Variante 1, wie du es ja selber richtig siehst.
Möglichkeit 1 ist einfach umzusetzen und bewirkt einen einfachen Zugang für die Clients ist aber bedingt sicher.
Möglichkeit 2 ist erheblich sicherer hat aber den Nachteil des etwas höheren Mehraufwands für die Clients.
Letztlich musst du selber das abwägen welche Lösung besser in das Security Profil eures Unternehmens passt, das kann dir logischerweise kein Forum beantworten !!!
Folglich ist auch der Server nicht direkt exponiert im Internet wie in Variante 1, wie du es ja selber richtig siehst.
Möglichkeit 1 ist einfach umzusetzen und bewirkt einen einfachen Zugang für die Clients ist aber bedingt sicher.
Möglichkeit 2 ist erheblich sicherer hat aber den Nachteil des etwas höheren Mehraufwands für die Clients.
Letztlich musst du selber das abwägen welche Lösung besser in das Security Profil eures Unternehmens passt, das kann dir logischerweise kein Forum beantworten !!!
Vielen Dank für die Anregungen. Ich tendiere auch zur VPN-Lösung. Ich meine, dass viele hier zu leichtsinnig sind. Wozu benötige ich VPN bei anderen Anwendungen, wenn ich hier Ports öffne?
Wer hat noch andere Sichtweisen oder Tipps?
Wer hat noch andere Sichtweisen oder Tipps?
