locked
Outlook Anywhere, TMG und IPSEC RRS feed

  • Frage

  • Hallo Zusammen,

    ein Kunde würde gerne seinen bestehenden Outlook Anywhere Zugang über den TMG 2010 mit einem IPSEC Tunnel und Maschinenzertifikat absichern, um nur noch Firmengeräten den Zugang zu ermöglichen (Details siehe unten).

    Hat jemand einen solchen Aufbau schon im produktiven Betrieb?

    Gibt es hier positive oder negative Erfahrungen?

     

    Eine Alternative wäre noch "Direct Access" zu verwenden, dies ist aber eher eine mittelfristige Lösung, da Stand heute keine
    "Enterprise/Premium" Client Lizenzen und noch der TMG vorhanden sind. Hier die detaillierte Beschreibung des Szenarios:

    Bestehende Architektur:

    • Exchange 2010 Server,  Microsoft TMG Server, Hardware Loadbalancer, Windows 7 Professional
           Clients mit Outlook 2010.
    • OWA, Outlook Anywhere und  Active Sync ist per TMG im Internet veröffentlicht. Zugriff erfolgt aktuell per HTTPS und Benutzername/Passwort.

    Anforderungen

    Um zu verhindern, dass NICHT-Firmenrechner auf Outlook Anywhere zugreifen, soll der Zugang mit einem Maschinenzertifikat abgesichert werden. Ziel ist es, die bestehende "User Experience" nicht zu beeinträchtigen (keine
    Smartcards, keine zusätzlichen Passwörter, ...).

    Ziel ist also, dass die Benutzer ohne separaten VPN Client (o.ä.) direkt Outlook starten können und "Online" sind. (Laptop aufklappen, Outlook starten --> geht!)

     

    Die bestehenden Zugänge zu Outlook Web Access und weiteren Anwendungen (z.B. Sharepoint, div. Web Anwendungen) soll dabei nicht beeinträchtigt werden. Bzgl. ActiveSync besteht die Möglichkeit, dies zukünftig auch auf eine zusätzliche Authentisierung mit Maschinenzertifikaten umzustellen. Vorerst soll aber auch ActiveSync wie gehabt nur mit Benutzername/Passwort funktionieren.

     

    Mögliche Architektur: IPSEC Tunnel für Outlook
    Anywhere

    • scheint die Anforderungen zu erfüllen
    • lässt sich vermutlich mit der  heutigen Infrastruktur umsetzen
    • Absicherung des Outlook Anywhere Zugangs mit IPSEC mit Maschinenzertifikat für Firmenclients
    • Zweiter Zugangsweg (wie bestehend) für OWA, ActiveSync und Sharepoint (auch für Fremdrechner) bleibt bestehen.

    Basis für diese Idee ist das Microsoft Whitepaper "Using IPSEC to Secure Access to Exchange" (http://www.microsoft.com/en-us/download/details.aspx?id=23708)

     

    Vielen Dank schonmal.

     

    Viele Grüße,

    Florian Probst

    Senior Security Consultant

    Secaron AG


    Freitag, 16. August 2013 07:20

Antworten

  • Hi,

    technisch ist das machbar und habe ich auch schon 2x realisiert, aber der Aufwand ist doch recht betraechtlich.
    Ganzheitlich betrachtet sollte man bei dieser Implementierung dann aber auch Outlook Web Access mit einbeziehen und per IPSEC absichern um zu verhindern das man von "ueberall" ran kommt und den Exchange Active Sync Zugriff mit Client Zertifikaten absichern.
    Forefront UAG ist keine Alternative? Da koenntest Du mit Endpoint Policies die Clients einschraenken


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3276?GPP=MarcGrote

    • Als Antwort markiert Flo4567 Montag, 19. August 2013 14:35
    Freitag, 16. August 2013 10:27
  • Hi, wenn man Erfahrung mit IPSEC hat, 2-4 Std. Mehraufwand, ohne Erfahrung viele Std. mehr, aber wie will man das qualifizieren? In einem PoC klappt vieles einfacher und leichter als in einer echten, gewachsenen Umgebung.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3276?GPP=MarcGrote

    • Als Antwort markiert Flo4567 Donnerstag, 22. August 2013 05:57
    Montag, 19. August 2013 19:01

Alle Antworten

  • Hi,

    technisch ist das machbar und habe ich auch schon 2x realisiert, aber der Aufwand ist doch recht betraechtlich.
    Ganzheitlich betrachtet sollte man bei dieser Implementierung dann aber auch Outlook Web Access mit einbeziehen und per IPSEC absichern um zu verhindern das man von "ueberall" ran kommt und den Exchange Active Sync Zugriff mit Client Zertifikaten absichern.
    Forefront UAG ist keine Alternative? Da koenntest Du mit Endpoint Policies die Clients einschraenken


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3276?GPP=MarcGrote

    • Als Antwort markiert Flo4567 Montag, 19. August 2013 14:35
    Freitag, 16. August 2013 10:27
  • Montag, 19. August 2013 06:55
  • Hallo Marc,

    vielen Dank für den Erfahrungsbericht.

    Forefront UAG ist definitiv eine Alternative, vor allem, da TMG ja abgekündigt ist. Das ist aber eher mittelfristig ein Thema, genauso wie die Absicherung von OWA und ActiveSync. Das Thema Outlook Anywhere mit IPSEC dagegen dringlich. :)

    Wir bauen gerade einen PoC auf, um das zu testen.

    Eine Frage: Lässt sich der "beträchtliche Aufwand" quantifizieren / konkretisieren? Was ist so aufwendig?

    Viele Grüße

    Florian


    • Bearbeitet Flo4567 Montag, 19. August 2013 14:36
    Montag, 19. August 2013 14:35
  • Hi, wenn man Erfahrung mit IPSEC hat, 2-4 Std. Mehraufwand, ohne Erfahrung viele Std. mehr, aber wie will man das qualifizieren? In einem PoC klappt vieles einfacher und leichter als in einer echten, gewachsenen Umgebung.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3276?GPP=MarcGrote

    • Als Antwort markiert Flo4567 Donnerstag, 22. August 2013 05:57
    Montag, 19. August 2013 19:01
  • Hallo Marc,

    vielen Dank, hat mir sehr geholfen!

    Viele Grüße

    Florian

    Donnerstag, 22. August 2013 06:02