cypresshigh
Goto Top

Exchange 2007 und BES NICHT in DMZ

Moin Moin,


in einem von mir erfundenem Projekt soll ein Exchange 2007 Server und ein BlackBerry Enterprise-Server Express in ein neues Netzwerk intigriert werden.

Dieses Netzwerk wird duch eine Hybrid-Firewall abgesichert.

Die beiden Server sollen nun nicht in der DMZ stehen sondern direkt in das Intranet integriert werden.

Wie ist dies umsetzbar, bzw. müssen Ports freigegeben werden, die zu akuten Sicherheitslücken führen können (Webmail/OWA soll nicht aktiviert werden)?


Vielen Dank für eure Hilfe.


Cypresshigh

Content-ID: 141231

Url: https://administrator.de/forum/exchange-2007-und-bes-nicht-in-dmz-141231.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

laster
laster 22.04.2010 um 11:26:26 Uhr
Goto Top
Hallo,

für das Zustellen der Mails per SMTP muss der Port 35 vom WAN zum Exchange geöffnet werden.
Für den BES muss der Port 3101 von erp.de.blackbarry.net zum BES geöffnet werden.

vG
LS
45877
45877 22.04.2010 um 12:05:54 Uhr
Goto Top
Zitat von @laster:
Hallo,

für das Zustellen der Mails per SMTP muss der Port 35 vom WAN zum Exchange geöffnet werden.
Für den BES muss der Port 3101 von erp.de.blackbarry.net zum BES geöffnet werden.

vG
LS

du meinst port 25
Cypresshigh
Cypresshigh 22.04.2010 um 14:35:24 Uhr
Goto Top
Super Danke,

wird SMTP für das Empfangen und Versenden von Emails benutzt oder nur für das Zustellen?


Dankeschööön,


Cypresshigh
NorbertFe
NorbertFe 22.04.2010 um 14:46:42 Uhr
Goto Top
3101 muß aber nicht eingehend geöffnet werden sondern ausgehend, auch wenn das in der BES Doku immer falsch steht. ;)
NorbertFe
NorbertFe 22.04.2010 um 14:47:36 Uhr
Goto Top
Was bezeichnest du denn als Zustellen? ;) Dein Exchangeserver bekommt mails von extern per SMTP zugestellt und wird ausgehende Mails natürlich per SMTP an andere SMTP Server zustellen.

Bye
Norbert
Cypresshigh
Cypresshigh 22.04.2010 um 15:13:03 Uhr
Goto Top
Gut die Frage hat sich erledigt :D ... hatte da was im Kopf von wegen Empfangen nutzt er SMTP und für das ins Internet verschicken POP3, oder so - aber das sind wieder nur Hirngespinste ;D


Zum BES nochmal ... sind die Ports nicht normalerweise ausgehend (Lan->Internet) immer geöffnet


Schönen Tag noch,


Cypresshigh
NorbertFe
NorbertFe 22.04.2010 um 15:16:19 Uhr
Goto Top
Zitat von @Cypresshigh:
Zum BES nochmal ... sind die Ports nicht normalerweise ausgehend (Lan->Internet) immer geöffnet

Ähm, also in den von mir administrierten Netzwerken nicht. ;) Wozu auch?

Bye
Norbert
Cypresshigh
Cypresshigh 22.04.2010 um 15:37:19 Uhr
Goto Top
:D :D

wurd mir so in der Berufsschule beigebracht, dass alle Ports von Innen nach Außen frei sind und nur die von Außen nach Innen gesperrt sind -> wobei deine Methode mit Sicherheit die beste ist :D
NorbertFe
NorbertFe 22.04.2010 um 15:42:18 Uhr
Goto Top
Zumindest besser/sicherer. ;)

Bye
Norbert
Cypresshigh
Cypresshigh 24.04.2010 um 15:30:50 Uhr
Goto Top
Zitat von @NorbertFe:
Zumindest besser/sicherer. ;)

Bye
Norbert


Da hast du recht ;)

... hättet ihr vielleicht noch ein-zwei Gründe warum man einen Exchange /BES-E - Server nicht in einem kleineren Unternehmen in einer DMZ platzieren sollte?


Gruß und einen schönen sonnigen Tag,


Cypresshigh
Cypresshigh
Cypresshigh 24.04.2010 um 17:22:50 Uhr
Goto Top
Ich habe nämlich einfach verplant bei der Planung des Projekts eine DMZ mit einzubeziehen, nun gibt es ja meiner Meinung nach zwei Optionen:


1.

Exchange und BES werden im lokalen Netz eingegliedert, Ports werden auf Firewall für Exchange freigegeben.
-> Potenzielles Sicherheitsrisiko für das lokale Netz


2.

SMTP-Relay und BlackBerry-Router (den Sinn von dem hab ich noch nicht so ganz verstanden) werden in die DMZ eingegliedert.
-> kaum ein Sicherheitsrisiko, da alles über das SMTP-Relay läuft.

Jedoch habe ich keine Ahnung, wie man das SMTP-Relay und dann den Exchange konfigurieren muss. Vielleicht kann mir da ja einer weiter helfen oder eine andere Lösung vorschlagen.


P.S. Wofür wird eigentlich der Port 31010 ausgehend benutzt? Ich dachte immer die Kommunikation zwischen erp.de.blackbarry.net und dem BES geht über verschlüsselte Emails?


Gruß,


Cypresshigh
NorbertFe
NorbertFe 25.04.2010 um 11:46:07 Uhr
Goto Top
Zitat von @Cypresshigh:
Ich habe nämlich einfach verplant bei der Planung des Projekts eine DMZ mit einzubeziehen, nun gibt es ja meiner Meinung nach
zwei Optionen:
1.

Exchange und BES werden im lokalen Netz eingegliedert, Ports werden auf Firewall für Exchange freigegeben.
-> Potenzielles Sicherheitsrisiko für das lokale Netz

Um das einschätzen zu können, müßte man erstmal eure Sicherheitsanforderungen kennen. Nur weil man eine DMZ konfiguriert ist man noch lange nicht automatisch sicher. Und einen Exchangeserver in die DMZ zu stellen ist sowieso keine gute Idee (mal von Exchange Edge abgesehen).

2.

SMTP-Relay und BlackBerry-Router (den Sinn von dem hab ich noch nicht so ganz verstanden) werden in die DMZ eingegliedert.
-> kaum ein Sicherheitsrisiko, da alles über das SMTP-Relay läuft.

Zum Blackberry Router kann ich dir nicht viel sagen, da aber die Kommunikation von BES immer intern initiiert wird, sehe ich das eher unkritisch. SMTP Relay/Edge Server ist natürlich eine Variante.

Jedoch habe ich keine Ahnung, wie man das SMTP-Relay und dann den Exchange konfigurieren muss.

Soviel zum Thema DMZ und SIcherheit. ;) Man sollte sich mit der Materie schon auskennen. ;)

Vielleicht kann mir da ja einer weiter helfen oder eine andere Lösung vorschlagen.

Edge oder anderes SMTP Relay ist eher davon abhängig, wieviel du bezahlen willst/kannst und ob dir der Edge Vorteile bringt.

P.S. Wofür wird eigentlich der Port 31010 ausgehend benutzt?

AFAIK werden über den die Mails über RIM zum Handy gepusht. TCP 3101 ;)

Ich dachte immer die Kommunikation zwischen erp.de.blackbarry.net und dem BES geht über verschlüsselte Emails?

Da dachtest du falsch. Die schicken keine verschlüsselten Emails dahin. ;)

Bye
Norbert
Cypresshigh
Cypresshigh 25.04.2010 um 14:57:15 Uhr
Goto Top
Gut soweit schonmal eine Danke das du bei dem guten Wetter antwortest :D


Das Projekt ist ja ein fiktives Projekt, was nur für die Abschlussdokumentation meiner Ausbildung "erfunden" wurde und auch testweise aufgebaut wurde.
Von daher müsste ich nur die Funktionsweise vom SMTP-Relay / EDGE-Server verstehen und nur kurz erläutern wie die Konfiguration funktioniert.


Wie genau funktioniert das denn mit dem EDGE-Server, funktioniert der quasi wie ein SMTP-Relay, bzw. ist der ein vollständiger Ersatz dafür?

Und wie funktioniert dann die Vermitlung zwischen SMTP-Relay/EDGE-Server zum Exchange? Müssen da dann nicht auch Ports vom Intranet freigegeben werden? Oder wie kann ich mir das vorstellen??


Gruß und einen schönen sonnigen 24°C Tag noch,


Cypresshigh
NorbertFe
NorbertFe 25.04.2010 um 18:37:15 Uhr
Goto Top
Zitat von @Cypresshigh:
Das Projekt ist ja ein fiktives Projekt, was nur für die Abschlussdokumentation meiner Ausbildung "erfunden" wurde
und auch testweise aufgebaut wurde.
Von daher müsste ich nur die Funktionsweise vom SMTP-Relay / EDGE-Server verstehen und nur kurz erläutern wie die
Konfiguration funktioniert.

Das kannst du im Technet nachlesen.

Wie genau funktioniert das denn mit dem EDGE-Server, funktioniert der quasi wie ein SMTP-Relay, bzw. ist der ein
vollständiger Ersatz dafür?

Und wie funktioniert dann die Vermitlung zwischen SMTP-Relay/EDGE-Server zum Exchange? Müssen da dann nicht auch Ports vom
Intranet freigegeben werden? Oder wie kann ich mir das vorstellen??

Auch das steht im Technet. ;) Da das ja eine Prüfungsarbeit ist, solltest du dir das schon selbst aneignen.

Bye
Norbert
Cypresshigh
Cypresshigh 28.04.2010 um 15:03:00 Uhr
Goto Top
Du hast ja recht ;)


aber kannst du mir vielleicht noch einmal weiterhelfen, diesmal hat meine Kollege ein Problem.


Macht es mehr Sinn ein Modem/Router vor der Firewall zu stellen, oder sollte man eher ein Modem-Firewall-Router Konzept benutzen?


Gruß,

Finn