macleod
Goto Top

Domainhoster , SSL , Reverse Proxy in der Firma

Hallo zusammen,

ich experimentiere gerade in der Theorie die Verbesserung der Sicherheit einer Firma durch. Ich wurde gebeten mir hier Gedanken zu machen.

Beim Domainhoster wurde bislang für den lokalen Exchange eine feste Weiterleitung eingerichtet auf die feste IP in der Firma. Ein DNS A record. Dort steht ein Lancom 1781 mit festem Portforwarding für HTTP, SMTP, Pop, Activesync etc. auf den lokalen Exchange. Funktioniert soweit aber ist natürlich eine hochbrisante Sache die es schleunigst abzusichern gilt. Ist noch nicht per SSL erzwungen. Wenn man sich da am Exchange den Traffic anschaut, steht halb China vor der Tür und klingelt Sturm am Exchange face-smile

Meine Überlegung dazu geht in diese Richtung: Beim Kunden eine vernünftige Firewall mit Reverse Proxy und dann die Weiterleitung auf den Exchange. Eventuell kommt später noch ein Helpdesksystem mit dazu und eine lokale Groupware welche auch gerne den Port 80 sehen möchten. Mit Reverse Proxy sauber lösbar über Subdomains denke ich. Beim Domainhoster existiert ein Wildcard Zertifikat, womit man beliebig viele Subdomains absichern kann und per 301 auch das SSL erzwingen kann. Momantan habe ich die aktuelle Kerio Control Firewall als Appliance lokal am testen, und das gefällt mir eigentlich ganz gut mit den Optionen Geo-IP Blocking, Paketfilter, Antivirus und all dem Gedöns.
Jetzt die Frage: Wenn ich über die Subdomain mail.firma.de beim Provider nun eine Proxy Weiterleitung mit erzwungenem SSL auf den Reverse Proxy mache, benötigt der Reverse Proxy ebenfalls ein eigenes SSL Zertifikat? Denn so schnuckelig die Kerio Firewall auch ist, so hat sie doch leider keine Option für ein certbot um mit letsencrypt zu arbeiten. Könnte man sicher einfrickeln, aber beim nächsten update wäre das wieder zerhagelt. Oder ist das mit dem SSL Wildcard Zertifikat vom Provider schon abgedeckt?
Bevor ich deren Mailserver zum Testen lahmlege wollte ich gerne hier ein paar Meinungen hören. Bitte seid gnädig mit meiner armen Seele.

Vielen Dank,
Conner

Content-ID: 488912

Url: https://administrator.de/forum/domainhoster-ssl-reverse-proxy-in-der-firma-488912.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

NordicMike
Lösung NordicMike 26.08.2019 um 19:57:38 Uhr
Goto Top
Ich habe mich mit der Exchange Sicherheit auch die letzten Wochen beschäftigt.

Die alte Schule sagt: Auf jeden Fall hardening betreiben.

Jedoch stieß ich auf Berichte, in der der neue IIS so hoch gelobt wurde, dass er alleine als Schutz ausreicht. Angeblich läuft auch das O365 direkt so ohne weiterer Schutzmaßnahme.

Ich bin mir auch noch nicht schlüssig. Fifty:Fifty

Nur zum Thema Wildcard Zertifikat: Wenn Du eines ausstellst und veröffentlichst, kann es sich jeder herunter ziehen und seine Server / Ziele als Deine ausgeben. Also lieber nicht. Der Reverse Proxy benötigt auf jeden Fall ein öffentlich akzeptiertes Zertifikat, nur der Exchange dahinter nicht mehr. Der Client sieht nur den Proxy. Nur der Proxy muss mit dem dem Exchange kommunizieren und vertrauen und das tut er ja, wenn du ihn so einrichtest.
Vision2015
Vision2015 26.08.2019 um 20:27:02 Uhr
Goto Top
Moin...
Ich wurde gebeten mir hier Gedanken zu machen.
Praktikum?
Portforwarding für HTTP, SMTP, Pop, Activesync etc. auf den lokalen Exchange. Funktioniert soweit aber ist natürlich eine hochbrisante Sache die es schleunigst abzusichern gilt.
oha... was genau ist daran "hochbrisant" und wiso http? 443 für Activesync und gerödel würde reichen, und natürlich port 25!
also schreib mal, was genau brisant ist... ich bin mir nicht sicher, ob du das grund Problem verstanden hast, oder nur gehört hast!

nun gut..... der Proxy nützt nicht viel, schalte erst mal das EAC ab, und richte den rest ordentlich ein.... denn mit Proxy wird dein EAC nur "Sicherer missbraucht" face-smile
bevor du anfängst mit einem proxy / firewall zu spielen, mach erst einmal den Exchange selber sicher (Hardening)... da bist du gefühlt 2 stunden beschäftigt
(normaler admin 30-45 min)
Wichtig, datensicherung vorher anlegen... face-smile

Frank

Frank
MacLeod
MacLeod 26.08.2019 um 21:01:23 Uhr
Goto Top
Nein, kein Praktikum.
Bin da schon gewerblich unterwegs aber im Gegensatz zu anderen hier stehe ich zu meinen Schwächen.
Experimentieren ist nicht, ohne konkreten Auftrag und Zielsetzung. Die Grundkonfig ist ja nicht von mir sondern vom bisherigen Admin. Sobald ich das anlange muss das Hand und Fuss haben.
Am Reverse Proxy komme ich nicht vorbei, weil eben Kundenwunsch auf diverse Subdomains lokal in der Firma in Zukunft. Kerio Control war die Idee weil recht schmal und günstig. Exhange hardening ist obligatorisch und war ja auch nicht primäre Fragestellung. Habe selbst einen Exchange 2016 der entsprechend dicht ist. Hinter einer sonicwall ist auch entsprechend ruhig.
Aber egal. Frage wurde eigentlich schon in der ersten Antwort gelöst. Ging ja primär um sichere SSL Kette.
Insofern vielen Dank.
NordicMike
NordicMike 26.08.2019 um 21:17:07 Uhr
Goto Top
Darf ich nebenbei fragen was Du als Kosten für Kerio Control ermittelt hast? Ich selbst habe es mit Sophos UTM verglichen und kam mit Sophos günstiger weg. Abgesehen davon, dass es auch LetsEncrypt Zertifikate automatisch beantragt und verlängert.
MacLeod
MacLeod 26.08.2019 um 21:56:48 Uhr
Goto Top
Hallo,
habe persönlich kein allzu großes Vertrauen zu Sophos wegen Sophos als Antivirenlösung in den letzten Jahren und als Plugin bei Applikationen wie Kerio Connect oder Control früher. Hat einige male den Emotet durchgelassen bei einem Kunden und wurde erst durch das lokale Symantec erkannt. Haarscharfe Kiste. Mittlerweile ist Bitdefender bei Control und Connect dabei und das weckt etwas mehr Vertrauen.
Als Händler bei GFI bekommt man eine akzeptable Marge und mit den neuen GFI Unlimited Modell überlegen einige von Exchange auf Connect und Control zu wechseln. Connect taugt mir gut gerade in gemischten Umgebungen wo nicht jeder in der Domäne hängt aber trotzdem mailen muss. Und ist ein echter Schnapp gegenüber Exchange.
Aber solange Letsencrypt bei Control fehlt ist das definitiv ein ganz dicker Minuspunkt. In der Entwicklung scheinen die etwas resistent zu sein, denn die Nachfrage danach gibt es schon seit Jahren.
NordicMike
NordicMike 26.08.2019 um 22:07:05 Uhr
Goto Top
Danke Dir für die Meinung. Gar nicht so einfach das ultimative Werkzeug zu finden, obwohl auch Sophos damit wirbt gegen Emoted sicher zu sein. Am Schluss reden sich doch alle raus, dass Emoted mutiert ist.
it-fraggle
it-fraggle 26.08.2019 um 22:08:02 Uhr
Goto Top
Wenn der Nutzer- und Gerätekreis feststeht und sich nicht stetig ändert, könnte man auch am Reverse Proxy mit Client-Zertifikaten arbeiten. Ohne Zertifikat gibt es ganz einfach kein OWA zu sehen.