Domainhoster , SSL , Reverse Proxy in der Firma
Hallo zusammen,
ich experimentiere gerade in der Theorie die Verbesserung der Sicherheit einer Firma durch. Ich wurde gebeten mir hier Gedanken zu machen.
Beim Domainhoster wurde bislang für den lokalen Exchange eine feste Weiterleitung eingerichtet auf die feste IP in der Firma. Ein DNS A record. Dort steht ein Lancom 1781 mit festem Portforwarding für HTTP, SMTP, Pop, Activesync etc. auf den lokalen Exchange. Funktioniert soweit aber ist natürlich eine hochbrisante Sache die es schleunigst abzusichern gilt. Ist noch nicht per SSL erzwungen. Wenn man sich da am Exchange den Traffic anschaut, steht halb China vor der Tür und klingelt Sturm am Exchange
Meine Überlegung dazu geht in diese Richtung: Beim Kunden eine vernünftige Firewall mit Reverse Proxy und dann die Weiterleitung auf den Exchange. Eventuell kommt später noch ein Helpdesksystem mit dazu und eine lokale Groupware welche auch gerne den Port 80 sehen möchten. Mit Reverse Proxy sauber lösbar über Subdomains denke ich. Beim Domainhoster existiert ein Wildcard Zertifikat, womit man beliebig viele Subdomains absichern kann und per 301 auch das SSL erzwingen kann. Momantan habe ich die aktuelle Kerio Control Firewall als Appliance lokal am testen, und das gefällt mir eigentlich ganz gut mit den Optionen Geo-IP Blocking, Paketfilter, Antivirus und all dem Gedöns.
Jetzt die Frage: Wenn ich über die Subdomain mail.firma.de beim Provider nun eine Proxy Weiterleitung mit erzwungenem SSL auf den Reverse Proxy mache, benötigt der Reverse Proxy ebenfalls ein eigenes SSL Zertifikat? Denn so schnuckelig die Kerio Firewall auch ist, so hat sie doch leider keine Option für ein certbot um mit letsencrypt zu arbeiten. Könnte man sicher einfrickeln, aber beim nächsten update wäre das wieder zerhagelt. Oder ist das mit dem SSL Wildcard Zertifikat vom Provider schon abgedeckt?
Bevor ich deren Mailserver zum Testen lahmlege wollte ich gerne hier ein paar Meinungen hören. Bitte seid gnädig mit meiner armen Seele.
Vielen Dank,
Conner
ich experimentiere gerade in der Theorie die Verbesserung der Sicherheit einer Firma durch. Ich wurde gebeten mir hier Gedanken zu machen.
Beim Domainhoster wurde bislang für den lokalen Exchange eine feste Weiterleitung eingerichtet auf die feste IP in der Firma. Ein DNS A record. Dort steht ein Lancom 1781 mit festem Portforwarding für HTTP, SMTP, Pop, Activesync etc. auf den lokalen Exchange. Funktioniert soweit aber ist natürlich eine hochbrisante Sache die es schleunigst abzusichern gilt. Ist noch nicht per SSL erzwungen. Wenn man sich da am Exchange den Traffic anschaut, steht halb China vor der Tür und klingelt Sturm am Exchange
Meine Überlegung dazu geht in diese Richtung: Beim Kunden eine vernünftige Firewall mit Reverse Proxy und dann die Weiterleitung auf den Exchange. Eventuell kommt später noch ein Helpdesksystem mit dazu und eine lokale Groupware welche auch gerne den Port 80 sehen möchten. Mit Reverse Proxy sauber lösbar über Subdomains denke ich. Beim Domainhoster existiert ein Wildcard Zertifikat, womit man beliebig viele Subdomains absichern kann und per 301 auch das SSL erzwingen kann. Momantan habe ich die aktuelle Kerio Control Firewall als Appliance lokal am testen, und das gefällt mir eigentlich ganz gut mit den Optionen Geo-IP Blocking, Paketfilter, Antivirus und all dem Gedöns.
Jetzt die Frage: Wenn ich über die Subdomain mail.firma.de beim Provider nun eine Proxy Weiterleitung mit erzwungenem SSL auf den Reverse Proxy mache, benötigt der Reverse Proxy ebenfalls ein eigenes SSL Zertifikat? Denn so schnuckelig die Kerio Firewall auch ist, so hat sie doch leider keine Option für ein certbot um mit letsencrypt zu arbeiten. Könnte man sicher einfrickeln, aber beim nächsten update wäre das wieder zerhagelt. Oder ist das mit dem SSL Wildcard Zertifikat vom Provider schon abgedeckt?
Bevor ich deren Mailserver zum Testen lahmlege wollte ich gerne hier ein paar Meinungen hören. Bitte seid gnädig mit meiner armen Seele.
Vielen Dank,
Conner
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 488912
Url: https://administrator.de/forum/domainhoster-ssl-reverse-proxy-in-der-firma-488912.html
Ausgedruckt am: 22.12.2024 um 04:12 Uhr
7 Kommentare
Neuester Kommentar
Ich habe mich mit der Exchange Sicherheit auch die letzten Wochen beschäftigt.
Die alte Schule sagt: Auf jeden Fall hardening betreiben.
Jedoch stieß ich auf Berichte, in der der neue IIS so hoch gelobt wurde, dass er alleine als Schutz ausreicht. Angeblich läuft auch das O365 direkt so ohne weiterer Schutzmaßnahme.
Ich bin mir auch noch nicht schlüssig. Fifty:Fifty
Nur zum Thema Wildcard Zertifikat: Wenn Du eines ausstellst und veröffentlichst, kann es sich jeder herunter ziehen und seine Server / Ziele als Deine ausgeben. Also lieber nicht. Der Reverse Proxy benötigt auf jeden Fall ein öffentlich akzeptiertes Zertifikat, nur der Exchange dahinter nicht mehr. Der Client sieht nur den Proxy. Nur der Proxy muss mit dem dem Exchange kommunizieren und vertrauen und das tut er ja, wenn du ihn so einrichtest.
Die alte Schule sagt: Auf jeden Fall hardening betreiben.
Jedoch stieß ich auf Berichte, in der der neue IIS so hoch gelobt wurde, dass er alleine als Schutz ausreicht. Angeblich läuft auch das O365 direkt so ohne weiterer Schutzmaßnahme.
Ich bin mir auch noch nicht schlüssig. Fifty:Fifty
Nur zum Thema Wildcard Zertifikat: Wenn Du eines ausstellst und veröffentlichst, kann es sich jeder herunter ziehen und seine Server / Ziele als Deine ausgeben. Also lieber nicht. Der Reverse Proxy benötigt auf jeden Fall ein öffentlich akzeptiertes Zertifikat, nur der Exchange dahinter nicht mehr. Der Client sieht nur den Proxy. Nur der Proxy muss mit dem dem Exchange kommunizieren und vertrauen und das tut er ja, wenn du ihn so einrichtest.
Moin...
also schreib mal, was genau brisant ist... ich bin mir nicht sicher, ob du das grund Problem verstanden hast, oder nur gehört hast!
nun gut..... der Proxy nützt nicht viel, schalte erst mal das EAC ab, und richte den rest ordentlich ein.... denn mit Proxy wird dein EAC nur "Sicherer missbraucht"
bevor du anfängst mit einem proxy / firewall zu spielen, mach erst einmal den Exchange selber sicher (Hardening)... da bist du gefühlt 2 stunden beschäftigt
(normaler admin 30-45 min)
Wichtig, datensicherung vorher anlegen...
Frank
Frank
Ich wurde gebeten mir hier Gedanken zu machen.
Praktikum?Portforwarding für HTTP, SMTP, Pop, Activesync etc. auf den lokalen Exchange. Funktioniert soweit aber ist natürlich eine hochbrisante Sache die es schleunigst abzusichern gilt.
oha... was genau ist daran "hochbrisant" und wiso http? 443 für Activesync und gerödel würde reichen, und natürlich port 25!also schreib mal, was genau brisant ist... ich bin mir nicht sicher, ob du das grund Problem verstanden hast, oder nur gehört hast!
nun gut..... der Proxy nützt nicht viel, schalte erst mal das EAC ab, und richte den rest ordentlich ein.... denn mit Proxy wird dein EAC nur "Sicherer missbraucht"
bevor du anfängst mit einem proxy / firewall zu spielen, mach erst einmal den Exchange selber sicher (Hardening)... da bist du gefühlt 2 stunden beschäftigt
(normaler admin 30-45 min)
Wichtig, datensicherung vorher anlegen...
Frank
Frank