none
Veröffentlichung von OWA, Activesync und Outlook-Anywhere ohne TMG -sicher?

    Frage

  • Hallo!

    Mich beschäftigt eine grundlegegende Frage:

    Wie sicher ist es überhaupt die Öffnung von Port 443 eines Exchange Server für OWA, ActiveSync und Anywhere über eine Firewall mit NAT/Port Filter ans Internet?

    Microsoft bietet genau für diesen Zweck ja TMG an.

    Aber wie sicher ist es, wenn man es ohne TMG macht? Gibt es zu diesem Thema Infos von Microsoft oder Erfahrungen?

    Für Euren Input, Erfahrungn und Anregungen wäre ich sehr dankbar.

    Danke

    Axel

     

    Sonntag, 17. Juli 2011 17:50

Antworten

  • Moin,

    willst Du eine theoretische oder eine praktische Beleuchtung?

    Theoretisch handelt es sich bei einem Exchange-Server um ein sehr priviligiertes Domänen-Mitglied. Würde der kompromitiert, hätte ein Angriffer vollen Lesezugriff auf alle Domänen-Daten.

    Aus Sicherheitstechnischen Erwägungen sollte daher niemals ein Domänen-Mitglied und schon gar kein Exchange-Server ungesichert von außen erreichbar sein. Schlimmer wäre eigentlich nur noch ein DC selbst.

    Praktisch gibt es aber keine bekannten Angriffe, die über HTTPS einen Exchange angegriffen haben. Es gibt zwar einige Angriff auf den IIS selbst, die aber bei einer normalen Exchange-Installation keine weiteren Auswirkungen oder Kenntniss über Exchange mit sich brachten.

    Sicherheit in der IT hat eine noch oben offene Paranoiditätsgrenze - jeder muss für sich selbst ausmachen, wie weit er mitgehen will - und kann. Denn am Ende ist das natürlich auch eine Kostenfrage.

    Aber bei der Erwägung eines TMG solltest Du noch drei Dinge im Kopf haben:
     - der ist nicht nur Portfilter, sondern auch Content Filter auf Application Layer. Er schaut also in den HTTP-Strom hinein und filter Angriffe auch auf dieser Ebene.
     - er ist in der Konfig anwendiger dafür aber im Design out-of-the-Box auch sicherer, als ein Exchange. Es ist also nicht so leicht, Angriff durch Konfigfehler zu ermöglichen.
     - wird ein Proxy angegriffen (und geht z.B. mit eine, dDOS down), hat das keine Auswirkungen auf die dahinterliegenden Server. Er dient damit als "Puffer"

    Alles in allem würde ich, sobald das Geld für einen Windows, TMG und kleinen Server da ist, immer ein TMG davor setzen. Die paar Euro wären sonst am falschen Ende gespart.

    Falls allerdings schon eine andere Firewall-Infrastruktur vorhanden ist, würde ich das durchleuchten und auch für Exchange mitnutzen.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 18. Juli 2011 06:05