Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2013 Activ-Sync und Outlook-Anywhere absichern bei KMU

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

22.02.2016 um 01:33 Uhr, 2361 Aufrufe, 13 Kommentare, 1 Danke

Hallo,

gibt es eigentlich einen Weg um Active-Sync, OMA und OWA für KMUs bezahlbar abzusichern.

Eigentlich ist es nicht mein Problem.
Ich sage dem Kunden was er machen soll und wenn er das Geld dafür nicht ausgeben möchte, pech.
Dieser Kunde hat einen 2012R2 mit AD, DNS, DHCP, Exchange 2013, File-Server, etc.
Also schon außerhalb des erlaubten, aber es ist halt KMU, kleine Kunden, wenig Budget.

Ich frage mich aber ob es nicht doch einfache Möglichkeiten gibt.

Im Eventlog sieht man halt viele Zugriffsversuche.
Immer nur ein Benutzername zur Zeit und keinen Benutzername mit mehreren Kennwörtern.

Einen Bruteforce-Schutz wie Fail2Ban gibt es ja hier nicht.
Kann man "einfach" einen Reverse-Proxy mit fail2ban davor schalten?
3 falsche Zugriffe und IP für 24h sperren?

Ich habe irgendwie auch keine kommerziellen Produkte gefunden die sowas bereitstellen.

Stefan
Mitglied: Philipp711
22.02.2016, aktualisiert um 08:02 Uhr
Hallo,

"wenig Budget" ist immer so eine Sache - IT-Sicherheit kostet halt ein wenig bis ziemlich viel (je nachdem was man haben will). Vielleicht solltest du noch ein wenig Überzeugungsarbeit bei deinem Kunden leisten. Ein "Einbruch" in die Systeme mit Downtime kann auch teuer werden!

Ich würde durchaus einen Reverse-Proxy mit verschiedenen Prüfungs- und Sicherheitsmechanismen dazwischen schalten.

Zu dem Bruteforce-Schutz: Du kannst das auch über die Active-Directory mit einer Passwortpolicy erledigen. Unter "Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontosperrungsrichtlinien" kannst du deinen Bruteforce-Schutz ganz gut definieren.
Bitte warten ..
Mitglied: StefanKittel
22.02.2016 um 08:52 Uhr
Hallo,

ja, deshalb meinte ich ja "ist eigentlich nicht mein Problem".
Aber man kann ja mal nach Lösungen suchen.

ForeFront gibt es nicht mehr und VPN ist auch nicht so praktikabel.

Kann man mit einem ReverseProxy denn einen Brute-Force-Schutz realisieren.
EIn Captcha bringt ja bei ActiveSync nix.

Die Richtilinen greifen ja nicht, da jeder Benutzername nur ein mal probiert wird.
Man müßte Fehl-Versuche pro IP-Adresse ermitteln und dann die IP sperren.

Kann ein RP einen Fehlerhafte Anmeldung ermitteln durch einen 403 oder so?

Stefan
Bitte warten ..
Mitglied: Philipp711
22.02.2016, aktualisiert um 09:28 Uhr
Squid als Reverse-Proxy sollte auch die Verwendung von Fail2Ban unterstützen.
Ich sehe eher ein Problem bei der Auswertung der Zugriffe. Prinzipiell kann ja nur der Exchange wirklich sagen, ob die Authentifizierung fehlgeschlagen ist.
Der Squid/Fail2Ban bekommt das theoretisch nicht mit (oder sehe ich das falsch?!).
Du müsstest eine Authentifizerung am Reverse-Proxy konfigurieren. Allerdings erschwert das die Verwendung von Active-Sync und auch Outlook-Anywhere.

Welche Benutzernamen werden denn abgefragt? Tatsächlich existierende Benutzernamen oder eher deutsche "Standardnamen".
Laut den Logs wird pro Benutzername nur ein Passwort probiert? Dann sollte die Chance auf Erfolg bei ausreichend komplexen Passwörtern für den Angreifer nicht sonderlich hoch sein - das was der da macht ist ja kein wirkliches Brute-Force. Wenn es immer die gleiche IP bzw. eine aus dem gleichen Subnetz ist könntest du doch auch über eine dauerhafte Sperrung dieses IP-Bereichs nachdenken....
Bitte warten ..
Mitglied: StefanKittel
22.02.2016, aktualisiert um 09:27 Uhr
Hallo,

hast Du da einen Link zu einer Anleitung.

Ich finde es schon wieder komisch. Alle reden davon, aber google findet nur eine handvoll Anleitungen und die meisten unvollständig mit dem Vermek "Kannst ja mal fertig machen". Das sollte doch ideal standard sein?
Dafür könnte man ja sogar einen fertiges System verteilen.

lokale IP, Domäne, URL vom Exchange, Zertifikat und fertig
fail2band und RP kann ja alles ideal standard sein.
Naja...

Es sind elnigsche Namen in alphabetischer Reihenfolge.
gonualez, goodman, gray, green, gregory, ...etc
ca. 200-300 pro Tag

Stefan
Bitte warten ..
Mitglied: Philipp711
22.02.2016, aktualisiert um 09:46 Uhr
Nein eine genaue Anleitung dazu habe ich leider ebenfalls nicht zur Hand.

Wir hier nutzen dafür eine Sophos-UTM. Im Prinzip sind das die genannten Softwareprodukte. Sophos hat sich den Squid/Apache/Snort/etc. geschnappt, bisschen modifiziert und eine einheitlich Verwaltungsoberfläche drüber gebaut - funktionieret eigentlich ziemlich gut!

Deine gesuchte Funktion unterstütz der Reverse-Proxy allerdings ebenfalls nicht - Vor allem ist die Aussicht auf Erfolg für den Angreifer ziemlich gering. Ich würde auf interne Passwortrichtlinien setzen die ausreichend komplexe Passwörter voraussetzen und danach die IPs analysieren. Wenn das IP's aus dem russichen/chinesichen/"was weiß ich noch alles" -Raum sind dann kannst du die ja getrost komplett sperren.

Desweitern sind es ja anscheinen Namen/Passwort Zuordnungen die überhaupt nicht auf die internen Strukturen passen. Wenn man solche Dienste ins Internet stellt lässt sich sowas auch relativ schwer vermeiden.
Bitte warten ..
Mitglied: StefanKittel
22.02.2016 um 09:55 Uhr
Hallo,

Sorgen mache ich mir nicht direkt.
Aber ich erhalte vom Monitoring für 2-3 Kunden jeden Tag eine Warnung.
Mal sind es 20 mal sind es 500 Versuche.
'
Die IPs kommen von überall her. China, Indien, Frankreich, Dänemark, USA, Deutschland, etc.
Man sieht das besser bei unseren Webservern. Da nutzen die Angreifen große IP-Proxy.
Teilweise hunderte IPs bei Brute-Force-Angriffe auf Wordpress.

Ein Fail2Ban wäre schön.

Viele Grüße

Stefan
Bitte warten ..
Mitglied: FA-jka
22.02.2016 um 23:00 Uhr
Naja, aber wie gesagt: Wie soll der Proxy den fail denn mitbekommen?

Ich persönlich habe einen Apache als reversen Proxy davor, das klappt sogar mit dem Zertifikat vom Exchange, dem Autodiscover usw.

Ich weiß nicht, ob fail2ban wirklich erforderlich ist. Letztendlich kommt man per bruteforce ja immer nur in eine Mailbox - und das mit verhältnismäßig hohem Aufwand.
Bitte warten ..
Mitglied: Philipp711
23.02.2016 um 22:24 Uhr
für mich macht das beschriebene angriffsszenario keinen Sinn bzw. hat keine Aussicht auf Erfolg. Ein Passwort pro Benutzername und danach ein kompletter Wechsel der Daten ist doch Quatsch. So viel "Glück" kann man ja fast nicht haben, dass da mal ein Name-Passwort-Paar passt.
Bitte warten ..
Mitglied: StefanKittel
23.02.2016 um 22:40 Uhr
Weiß Jemand wieviele Versuche man pro Benutzernamen hat?
Für Active-Sync, OWA bei Exchange 2013?

Und wenn wir dabei sind, für RDP bei 2012R2?

Alles unter Standardeinstellungen?
Bitte warten ..
Mitglied: Philipp711
24.02.2016 um 07:27 Uhr
Im Default müsste es keine Beschränkung geben

Es wird alles zentral über die Gruppenrichtlinie definiert. Prinzipiell sind dadurch alle Dienste betroffen an dem sich ein Benutzer mit AD-Informationen anmelden kann. Dazu zählt auch RDP bei einem Terminalserver. Wir haben beispielsweise verschiedene Self-Service-Portale oder eine Owncloud-Instanz die auf die Benutzerdaten der AD zurückgreift - da funktioniert das logischerweise auch...
Bitte warten ..
Mitglied: StefanKittel
24.02.2016 um 07:31 Uhr
Zitat von Philipp711:
Im Default müsste es keine Beschränkung geben
Heist also, dass man unendlich viele Versuche für ein einzelnes Postfach hat.
Und bei Active-Sync wird es vermutlich auch kein Delay geben.
Also kann man hunderte Kennwörter pro Sekunde überprüfen.

Ich gehe mal davon aus, dass mindestens 50% der Exchange-Server so im Internet erreichbar laufen.
Das ist doch nicht gut...

Stefan
Bitte warten ..
Mitglied: Philipp711
24.02.2016 um 08:09 Uhr
Zitat von StefanKittel:

Zitat von Philipp711:
Im Default müsste es keine Beschränkung geben
Heist also, dass man unendlich viele Versuche für ein einzelnes Postfach hat.
Und bei Active-Sync wird es vermutlich auch kein Delay geben.
Also kann man hunderte Kennwörter pro Sekunde überprüfen.

Jop, grundsätzlich ist das so.

Ich gehe mal davon aus, dass mindestens 50% der Exchange-Server so im Internet erreichbar laufen.
Das ist doch nicht gut...

Da hast du auch recht. Aber eigentlich sollte der Betreiber eines Exchange-Servers die Konfiguration an die Gegebenheiten der Umgebung anpassen.
Bitte warten ..
Mitglied: FA-jka
24.02.2016 um 10:06 Uhr
Zitat von StefanKittel:

Heist also, dass man unendlich viele Versuche für ein einzelnes Postfach hat.

Mein Kennwort hat 15 Zeichen. Zusätzlich fehlt Dir auch noch der Benutzername und die Domänenangabe (der Server lässt nur Anmeldungen a 'la DOMAENE\benutzername zu).

Viel Erfolg.

Ich gehe mal davon aus, dass mindestens 50% der Exchange-Server so im Internet erreichbar laufen.

Ich gehe davon aus, dass mindestens 85% der Exchange-Server so im Internet erreichbar laufen
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail
Outlook 2013 Kalender sync
Frage von TGoyf45Outlook & Mail1 Kommentar

Hallo zusammen, es soll ermöglicht werden einen Outlook Kalender welcher von einem externen Standort gepflegt wird, für eine Gruppe ...

Exchange Server

Activ Sync Mapi Imap Mobilgeräte Exchange

gelöst Frage von opc123Exchange Server5 Kommentare

Hallo, wie finde ich raus welchen Dienst Mobilgeräte verwenden? Ich soll dies Verbieten für alle mobilen Geräte und neu ...

Outlook & Mail

Outlook 2013 Home + Office sync!?

Frage von tujayhhOutlook & Mail2 Kommentare

Guten Tag zusammen, ich habe sowohl im Office als auch zuhause jeweils einen Rechner auf denen Outlook 2013 läuft. ...

Microsoft Office

Outlook Clients sync

Frage von Ghost108Microsoft Office2 Kommentare

Hallo zusammen, habe zwei Clients welche mit Outlook 2016 auf das selbe IMAP Konto zugreifen. Somit ist der Mail-Sync ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 2 TagenWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 3 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 3 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 5 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Server-Hardware
Hetzner Dedicated-Server für Terminalserver - RDSH 5 Benutzer gesucht
gelöst Frage von ra-user10Server-Hardware37 Kommentare

Hallo liebe IT-Fachleute! Ich möchte für unseren kleinen Betrieb einen Terminalserver aufsetzen und dafür das Angebot von Hetzner nutzen. ...

Switche und Hubs
PoE in erster und zweiter Instanz
Frage von moinmoin2016Switche und Hubs27 Kommentare

Moin. Ich habe versucht zum folgenden Sachverhalt ein Beitrag zu suchen, konnte aber nichts passendes finden. Folgender Sachverhalt: Ein ...

E-Business
Brainstorming: Zeiterfassungs- oder gesamtes Abrechnungssystem
Frage von certifiedit.netE-Business17 Kommentare

Guten Abend, alles neu macht der, naja, schon lange nicht mehr, Mai Zum Ende des Jahres, besser zum Beginn ...

Entwicklung
Powershell-Skript und Organisationseinheiten auskludieren
gelöst Frage von informatikkfmEntwicklung13 Kommentare

Hallo, ich habe ein Powershell-Skript, ähnlich wie das folgende. Ich möchte dabei, dass alle Benutzer unterhalb der OUs in ...