Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheitsbedenken Outlook Anywhere

Frage Microsoft Exchange Server

Mitglied: netco1

netco1 (Level 1) - Jetzt verbinden

02.12.2014 um 15:12 Uhr, 2290 Aufrufe, 5 Kommentare, 1 Danke

Hallo zusammen,


ich muss mich als Halbwissender (vielleicht ist es auch noch weniger) mit der IT unserer "Firma" auseinandersetzen, die nach dem letzen Update des Exchangeservers (ich glaube auf 2013) den Zugriff von außerhalb der Domäne stark eingeschränkt haben. Möglich sind zur Zeit nur Active-Sync-Zugriffe, das Webinterface und ein Outlookzugriff über VPN. Da das vorher natürlich ohne VPN ging, habe ich nachgefragt und als Antwort erhalten, dass Microsoft den Support für "Microsoft ForeFront Protection for Exchange" eingestellt habe und deshalb ein Zugriff mit Outlook nur noch über VPN möglich sei.
Nach eigenen Recherchen (so bin ich auch auf diese Forum gestoßen) meine ich heraus gelesen zu haben, dass Microsoft eine Zugriff ohne VPN-Verbindung über Outlook-Anywhere vorsieht. Als ich dies zur Sprache brachte, wurde mir gesagt, Outlook Anywhere würden wegen Sicherheitsbedenken nicht aktiviert, da die Firewall (ISA-Server) nicht Applifikation-Fähig sei (wenn ich das richtig verstanden habe, also den Inhalt der Datenpakete nicht untersuchen kann) und man so eine verwundbare Stelle hätte, über die man von Außen ins interne Netz eindringen könnte.
Nach weiterer Suche im Netz meine ich herausgefunden zu haben, dass man für Outlook Anywhere Port 443 forwarden muss, somit also die Firewall "durchtunnelt". Das würde die Sicherheitsbedenken erklären. Ich meine jetzt aber zusätzlich herausgefunden zu haben, dass man diesen Port auch für OWA freigeben muss. Der WEBaccess ist aber erlaubt bzw. sogar als Mittel der Wahl vorgesehen.

Nun endlich zur Frage: Sind die Sicherhaitsbedenken der IT übertrieben bzw. sogar schizophren, weil Port 443 "offen" ist? Warum ist denn Active-Sync besser?

Vielen Dank schon mal im Voraus

Netco1
Mitglied: emeriks
02.12.2014, aktualisiert um 15:30 Uhr
Hi,
na ja, der Unterschied ist hier, einfach gesagt, dass beim OWA die Verbindung nicht durchgereicht wird. Der ISA fungiert hier als Reverse Proxy. D.h. er nimmt die Anfrage vom externen Client an und baut dann eine neue SSL-Verbindung vom ISA zum Exchange, holt die gewünschten Daten ab, und sendet sie dem Client über dessen externen Verbindung. Der ISA hat also nicht das Problem, dass er nicht in den "Tunnel" reinschauen könnte, weil er hier ja eine Insel zwischem dem externen und internen ist. (Tunnel ist hier nicht ganz korrekt, aber egal)

Beim Anywhere bin ich jetzt nicht ganz sicher. Ich dachte aber bisher, dass das auch nicht direkt durchgeht sondern auch hier vom ISA eine neue SSL-Verbindung nach intern aufgebaut werden muss. Wenn das so sein sollte, dann wäre Anywhere diesbezüglich mit OWA gleichzusetzen. Wenn nein, dann wären die Bedenken nicht ganz unbegründet. Muss ich selbst erstmal nachschauen.

E.

Edit:
Siehe hier:
http://www.msxfaq.de/clients/oaproxy.htm
und hier
http://www.msxfaq.de/clients/oasicherheit.htm

Ich verstehe das so, dass auch beim Anywhere kein direkter Zugriff von Extern auf den Exchange stattfindet.

E.
Bitte warten ..
Mitglied: wiesi200
02.12.2014 um 15:35 Uhr
Hallo,

ja MS hat Forefront soweit eingestellt.
Den ISA Server aber schon sehr viel länger.

Dafür gibt's aber das als Nachfolger:
http://technet.microsoft.com/de-de/library/dn584113.aspx

Oder nen Squid auf Linux Basis.

Ich finde jetzt die Sicherheitsbedenken nicht übertrieben und die Herangehensweise inkonsequent und es fehlt an Wissen um Probleme besser zu lösen damit der Originalzustand wieder hergestellt werden kann.
Bitte warten ..
Mitglied: DerWoWusste
02.12.2014 um 17:06 Uhr
Hi.

Schau Dir doch mal http://www.msxfaq.de/clients/oasicherheit.htm an und beachte auch den Hinweis ganz zu Anfang.

Das eigentliche Problem ist meist das Endgerät auf dem die Daten angesehen werden und nicht der Übertragungsweg. Beispiel: Deine IT erlaubt Dir, von Deinem privaten Laptop aus per VPN auf Outlook OWA zuzugreifen. Dazu spielen Sie Dir brav eine VPN-Software auf den Rechner und los geht's. Leider braucht man für OWA-Zugriff aber das Domänenkennwort und der Keylogger, welcher auf Deinem Rechner schlummert (installiert beim privaten Surfen), zeichnet mit Freude dieses Kennwort auf.
Was dann damit passiert, ist nicht mehr in eurer Gewalt. Mit Pech findet sich wirklich jemand, der damit etwas anfangen kann. Zudem könnte der auch alle anderen Daten, die mit dem Laptop angesehen werden, einsehen/screenshotten/kopieren und wegfunken.
Bitte warten ..
Mitglied: netco1
03.12.2014 um 15:32 Uhr
Zunächst einmal vielen Dank für die schnelle und kompetente Hilfe. Ich bin zwar nicht sicher, ob ich alles richtig verstanden habe, nehme aber folgendes mit:
Ohne eine passende Firewall ist der Zugriff von außerhalb wohl tatsächlich eine Gefahrenquelle und bleibt es wohl auch mit einer solchen, da man keine "Kontrolle" über die eingesetzten Rechner hat (Passwortschutz, Gruppenrichtlinien etc.).
Was mir nicht so richtig klar geworden ist: Worin liegt sicherheitstechnisch der Unterscheid zwischen einem Zugriff per Active sync und Outlook Anywhere? Wenn der Tipp meiner IT ist, ich solle es doch einfach mit einem MAC probieren, da dort Active Sync unterstützt wird, hängt da ja auch ein System am Exchangeserver, dass man nicht so leicht kontrollieren kann.

Nochmals vielen Dank

Netco1
Bitte warten ..
Mitglied: wiesi200
03.12.2014 um 19:23 Uhr
Zitat von netco1:

Was mir nicht so richtig klar geworden ist: Worin liegt sicherheitstechnisch der Unterscheid zwischen einem Zugriff per Active
sync und Outlook Anywhere? Wenn der Tipp meiner IT ist, ich solle es doch einfach mit einem MAC probieren, da dort Active Sync
unterstützt wird, hängt da ja auch ein System am Exchangeserver, dass man nicht so leicht kontrollieren kann.

Nochmals vielen Dank

Also das ist doch mal ein Toller Tip von der IT, kauf dir doch einfach eine MAC
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
AUTODISCOVER EXCHANGE für OUTlook Anywhere (3)

Frage von pooner zum Thema Exchange Server ...

Exchange Server
Outlook Anywhere läuft auf 2 Rechner nicht (4)

Frage von Leo-le zum Thema Exchange Server ...

Exchange Server
gelöst Oulook 2016 Probleme mit Outlook Anywhere (Autodiscover) (5)

Frage von bandiandi zum Thema Exchange Server ...

Exchange Server
Exchange Server und Outlook Anywhere über DYNDNS (8)

Frage von Guyver zum Thema Exchange Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...