Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheitsbedenken Outlook Anywhere

Frage Microsoft Exchange Server

Mitglied: netco1

netco1 (Level 1) - Jetzt verbinden

02.12.2014 um 15:12 Uhr, 2848 Aufrufe, 5 Kommentare, 1 Danke

Hallo zusammen,


ich muss mich als Halbwissender (vielleicht ist es auch noch weniger) mit der IT unserer "Firma" auseinandersetzen, die nach dem letzen Update des Exchangeservers (ich glaube auf 2013) den Zugriff von außerhalb der Domäne stark eingeschränkt haben. Möglich sind zur Zeit nur Active-Sync-Zugriffe, das Webinterface und ein Outlookzugriff über VPN. Da das vorher natürlich ohne VPN ging, habe ich nachgefragt und als Antwort erhalten, dass Microsoft den Support für "Microsoft ForeFront Protection for Exchange" eingestellt habe und deshalb ein Zugriff mit Outlook nur noch über VPN möglich sei.
Nach eigenen Recherchen (so bin ich auch auf diese Forum gestoßen) meine ich heraus gelesen zu haben, dass Microsoft eine Zugriff ohne VPN-Verbindung über Outlook-Anywhere vorsieht. Als ich dies zur Sprache brachte, wurde mir gesagt, Outlook Anywhere würden wegen Sicherheitsbedenken nicht aktiviert, da die Firewall (ISA-Server) nicht Applifikation-Fähig sei (wenn ich das richtig verstanden habe, also den Inhalt der Datenpakete nicht untersuchen kann) und man so eine verwundbare Stelle hätte, über die man von Außen ins interne Netz eindringen könnte.
Nach weiterer Suche im Netz meine ich herausgefunden zu haben, dass man für Outlook Anywhere Port 443 forwarden muss, somit also die Firewall "durchtunnelt". Das würde die Sicherheitsbedenken erklären. Ich meine jetzt aber zusätzlich herausgefunden zu haben, dass man diesen Port auch für OWA freigeben muss. Der WEBaccess ist aber erlaubt bzw. sogar als Mittel der Wahl vorgesehen.

Nun endlich zur Frage: Sind die Sicherhaitsbedenken der IT übertrieben bzw. sogar schizophren, weil Port 443 "offen" ist? Warum ist denn Active-Sync besser?

Vielen Dank schon mal im Voraus

Netco1
Mitglied: emeriks
02.12.2014, aktualisiert um 15:30 Uhr
Hi,
na ja, der Unterschied ist hier, einfach gesagt, dass beim OWA die Verbindung nicht durchgereicht wird. Der ISA fungiert hier als Reverse Proxy. D.h. er nimmt die Anfrage vom externen Client an und baut dann eine neue SSL-Verbindung vom ISA zum Exchange, holt die gewünschten Daten ab, und sendet sie dem Client über dessen externen Verbindung. Der ISA hat also nicht das Problem, dass er nicht in den "Tunnel" reinschauen könnte, weil er hier ja eine Insel zwischem dem externen und internen ist. (Tunnel ist hier nicht ganz korrekt, aber egal)

Beim Anywhere bin ich jetzt nicht ganz sicher. Ich dachte aber bisher, dass das auch nicht direkt durchgeht sondern auch hier vom ISA eine neue SSL-Verbindung nach intern aufgebaut werden muss. Wenn das so sein sollte, dann wäre Anywhere diesbezüglich mit OWA gleichzusetzen. Wenn nein, dann wären die Bedenken nicht ganz unbegründet. Muss ich selbst erstmal nachschauen.

E.

Edit:
Siehe hier:
http://www.msxfaq.de/clients/oaproxy.htm
und hier
http://www.msxfaq.de/clients/oasicherheit.htm

Ich verstehe das so, dass auch beim Anywhere kein direkter Zugriff von Extern auf den Exchange stattfindet.

E.
Bitte warten ..
Mitglied: wiesi200
02.12.2014 um 15:35 Uhr
Hallo,

ja MS hat Forefront soweit eingestellt.
Den ISA Server aber schon sehr viel länger.

Dafür gibt's aber das als Nachfolger:
http://technet.microsoft.com/de-de/library/dn584113.aspx

Oder nen Squid auf Linux Basis.

Ich finde jetzt die Sicherheitsbedenken nicht übertrieben und die Herangehensweise inkonsequent und es fehlt an Wissen um Probleme besser zu lösen damit der Originalzustand wieder hergestellt werden kann.
Bitte warten ..
Mitglied: DerWoWusste
02.12.2014 um 17:06 Uhr
Hi.

Schau Dir doch mal http://www.msxfaq.de/clients/oasicherheit.htm an und beachte auch den Hinweis ganz zu Anfang.

Das eigentliche Problem ist meist das Endgerät auf dem die Daten angesehen werden und nicht der Übertragungsweg. Beispiel: Deine IT erlaubt Dir, von Deinem privaten Laptop aus per VPN auf Outlook OWA zuzugreifen. Dazu spielen Sie Dir brav eine VPN-Software auf den Rechner und los geht's. Leider braucht man für OWA-Zugriff aber das Domänenkennwort und der Keylogger, welcher auf Deinem Rechner schlummert (installiert beim privaten Surfen), zeichnet mit Freude dieses Kennwort auf.
Was dann damit passiert, ist nicht mehr in eurer Gewalt. Mit Pech findet sich wirklich jemand, der damit etwas anfangen kann. Zudem könnte der auch alle anderen Daten, die mit dem Laptop angesehen werden, einsehen/screenshotten/kopieren und wegfunken.
Bitte warten ..
Mitglied: netco1
03.12.2014 um 15:32 Uhr
Zunächst einmal vielen Dank für die schnelle und kompetente Hilfe. Ich bin zwar nicht sicher, ob ich alles richtig verstanden habe, nehme aber folgendes mit:
Ohne eine passende Firewall ist der Zugriff von außerhalb wohl tatsächlich eine Gefahrenquelle und bleibt es wohl auch mit einer solchen, da man keine "Kontrolle" über die eingesetzten Rechner hat (Passwortschutz, Gruppenrichtlinien etc.).
Was mir nicht so richtig klar geworden ist: Worin liegt sicherheitstechnisch der Unterscheid zwischen einem Zugriff per Active sync und Outlook Anywhere? Wenn der Tipp meiner IT ist, ich solle es doch einfach mit einem MAC probieren, da dort Active Sync unterstützt wird, hängt da ja auch ein System am Exchangeserver, dass man nicht so leicht kontrollieren kann.

Nochmals vielen Dank

Netco1
Bitte warten ..
Mitglied: wiesi200
03.12.2014 um 19:23 Uhr
Zitat von netco1:

Was mir nicht so richtig klar geworden ist: Worin liegt sicherheitstechnisch der Unterscheid zwischen einem Zugriff per Active
sync und Outlook Anywhere? Wenn der Tipp meiner IT ist, ich solle es doch einfach mit einem MAC probieren, da dort Active Sync
unterstützt wird, hängt da ja auch ein System am Exchangeserver, dass man nicht so leicht kontrollieren kann.

Nochmals vielen Dank

Also das ist doch mal ein Toller Tip von der IT, kauf dir doch einfach eine MAC
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Outlook Anywhere richtig einrichten
Frage von 117799Exchange Server2 Kommentare

Hallo unbekannte Freunde, ich bin schon länger auf der suche nach einer gescheiten Outlook Anywhere Einrichtungsanleitung. Aber ich habe ...

Exchange Server
Outlook Anywhere ohne gekauftes Zertifikat
Frage von DKowalkeExchange Server7 Kommentare

Hallo zusammen, ist es möglich Outlook Anywhere im Exchange 2016 zu konfigurieren und auf einem Client außerhalb der Domäne ...

Exchange Server
Unterstützung bei der Einrichtung von Outlook Anywhere
Frage von OWL1968Exchange Server1 Kommentar

Wer kann mir über TeamViewer bei der Einrichtung von Outlook Anywhere auf einem SBS 2008 mit Exchange 2007 und ...

Exchange Server
AUTODISCOVER EXCHANGE für OUTlook Anywhere
Frage von poonerExchange Server3 Kommentare

Hallo, ich habe ein Problem und komme nicht weiter. Ausgangssituation: SBS 2011 mit Exchange. Für den Server wurde beim ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser7 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...