Exchange 2007 und BES NICHT in DMZ
Moin Moin,
in einem von mir erfundenem Projekt soll ein Exchange 2007 Server und ein BlackBerry Enterprise-Server Express in ein neues Netzwerk intigriert werden.
Dieses Netzwerk wird duch eine Hybrid-Firewall abgesichert.
Die beiden Server sollen nun nicht in der DMZ stehen sondern direkt in das Intranet integriert werden.
Wie ist dies umsetzbar, bzw. müssen Ports freigegeben werden, die zu akuten Sicherheitslücken führen können (Webmail/OWA soll nicht aktiviert werden)?
Vielen Dank für eure Hilfe.
Cypresshigh
in einem von mir erfundenem Projekt soll ein Exchange 2007 Server und ein BlackBerry Enterprise-Server Express in ein neues Netzwerk intigriert werden.
Dieses Netzwerk wird duch eine Hybrid-Firewall abgesichert.
Die beiden Server sollen nun nicht in der DMZ stehen sondern direkt in das Intranet integriert werden.
Wie ist dies umsetzbar, bzw. müssen Ports freigegeben werden, die zu akuten Sicherheitslücken führen können (Webmail/OWA soll nicht aktiviert werden)?
Vielen Dank für eure Hilfe.
Cypresshigh
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 141231
Url: https://administrator.de/forum/exchange-2007-und-bes-nicht-in-dmz-141231.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
15 Kommentare
Neuester Kommentar
Zitat von @laster:
Hallo,
für das Zustellen der Mails per SMTP muss der Port 35 vom WAN zum Exchange geöffnet werden.
Für den BES muss der Port 3101 von erp.de.blackbarry.net zum BES geöffnet werden.
vG
LS
Hallo,
für das Zustellen der Mails per SMTP muss der Port 35 vom WAN zum Exchange geöffnet werden.
Für den BES muss der Port 3101 von erp.de.blackbarry.net zum BES geöffnet werden.
vG
LS
du meinst port 25
Zitat von @Cypresshigh:
Zum BES nochmal ... sind die Ports nicht normalerweise ausgehend (Lan->Internet) immer geöffnet
Zum BES nochmal ... sind die Ports nicht normalerweise ausgehend (Lan->Internet) immer geöffnet
Ähm, also in den von mir administrierten Netzwerken nicht. ;) Wozu auch?
Bye
Norbert
Zitat von @Cypresshigh:
Ich habe nämlich einfach verplant bei der Planung des Projekts eine DMZ mit einzubeziehen, nun gibt es ja meiner Meinung nach
zwei Optionen:
1.
Exchange und BES werden im lokalen Netz eingegliedert, Ports werden auf Firewall für Exchange freigegeben.
-> Potenzielles Sicherheitsrisiko für das lokale Netz
Ich habe nämlich einfach verplant bei der Planung des Projekts eine DMZ mit einzubeziehen, nun gibt es ja meiner Meinung nach
zwei Optionen:
1.
Exchange und BES werden im lokalen Netz eingegliedert, Ports werden auf Firewall für Exchange freigegeben.
-> Potenzielles Sicherheitsrisiko für das lokale Netz
Um das einschätzen zu können, müßte man erstmal eure Sicherheitsanforderungen kennen. Nur weil man eine DMZ konfiguriert ist man noch lange nicht automatisch sicher. Und einen Exchangeserver in die DMZ zu stellen ist sowieso keine gute Idee (mal von Exchange Edge abgesehen).
2.
SMTP-Relay und BlackBerry-Router (den Sinn von dem hab ich noch nicht so ganz verstanden) werden in die DMZ eingegliedert.
-> kaum ein Sicherheitsrisiko, da alles über das SMTP-Relay läuft.
SMTP-Relay und BlackBerry-Router (den Sinn von dem hab ich noch nicht so ganz verstanden) werden in die DMZ eingegliedert.
-> kaum ein Sicherheitsrisiko, da alles über das SMTP-Relay läuft.
Zum Blackberry Router kann ich dir nicht viel sagen, da aber die Kommunikation von BES immer intern initiiert wird, sehe ich das eher unkritisch. SMTP Relay/Edge Server ist natürlich eine Variante.
Jedoch habe ich keine Ahnung, wie man das SMTP-Relay und dann den Exchange konfigurieren muss.
Soviel zum Thema DMZ und SIcherheit. ;) Man sollte sich mit der Materie schon auskennen. ;)
Vielleicht kann mir da ja einer weiter helfen oder eine andere Lösung vorschlagen.
Edge oder anderes SMTP Relay ist eher davon abhängig, wieviel du bezahlen willst/kannst und ob dir der Edge Vorteile bringt.
P.S. Wofür wird eigentlich der Port 31010 ausgehend benutzt?
AFAIK werden über den die Mails über RIM zum Handy gepusht. TCP 3101 ;)
Ich dachte immer die Kommunikation zwischen erp.de.blackbarry.net und dem BES geht über verschlüsselte Emails?
Da dachtest du falsch. Die schicken keine verschlüsselten Emails dahin. ;)
Bye
Norbert
Zitat von @Cypresshigh:
Das Projekt ist ja ein fiktives Projekt, was nur für die Abschlussdokumentation meiner Ausbildung "erfunden" wurde
und auch testweise aufgebaut wurde.
Von daher müsste ich nur die Funktionsweise vom SMTP-Relay / EDGE-Server verstehen und nur kurz erläutern wie die
Konfiguration funktioniert.
Das Projekt ist ja ein fiktives Projekt, was nur für die Abschlussdokumentation meiner Ausbildung "erfunden" wurde
und auch testweise aufgebaut wurde.
Von daher müsste ich nur die Funktionsweise vom SMTP-Relay / EDGE-Server verstehen und nur kurz erläutern wie die
Konfiguration funktioniert.
Das kannst du im Technet nachlesen.
Wie genau funktioniert das denn mit dem EDGE-Server, funktioniert der quasi wie ein SMTP-Relay, bzw. ist der ein
vollständiger Ersatz dafür?
Und wie funktioniert dann die Vermitlung zwischen SMTP-Relay/EDGE-Server zum Exchange? Müssen da dann nicht auch Ports vom
Intranet freigegeben werden? Oder wie kann ich mir das vorstellen??
vollständiger Ersatz dafür?
Und wie funktioniert dann die Vermitlung zwischen SMTP-Relay/EDGE-Server zum Exchange? Müssen da dann nicht auch Ports vom
Intranet freigegeben werden? Oder wie kann ich mir das vorstellen??
Auch das steht im Technet. ;) Da das ja eine Prüfungsarbeit ist, solltest du dir das schon selbst aneignen.
Bye
Norbert