itzwich
Goto Top

Exchange ECP Zugriff sperren

Guten Morgen,

ich möchte auf meinem Exchange Server gerne die ECP von außen sperren. Spricht das nur der Localhost das Webinterface der ECP erreichen kann.
Ich habe bereits versucht die ECP über den IIS Manager zu sperren außer für den Localhost. Leider ohne Erfolg. Wenn ich meinen Rechner aber explizit als IP hinzufüge und diesem den Zugriff verweigere funktioniert es.

Aktuelle einstellungen sind:
ecp_sperren

Die IP des Localhost ist hier dann als Zugelassen hinterlegt. Auch die öffentliche IP des Exchange ist hinterlegt
Nachdem das allerdings nicht funktioniert, habe ich es über die Exchange Shell versucht.

Befehl: New-ClientAccessRule -Name "Block Remote ExchangeAdminCenter" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 127.0.0.0/8

das funktioniert aber leider auch nicht.

Hat jemand von euch noch Ideen?

Danke schon mal und ein schönes Wochenende.
Gruß Felix

Content-Key: 7912215084

Url: https://administrator.de/contentid/7912215084

Printed on: May 28, 2024 at 07:05 o'clock

Member: Knorkator
Knorkator Jul 21, 2023 at 05:46:46 (UTC)
Goto Top
Moin.

läuft hier seit ein paar Jahren zuverlässig.

Hab mich damals an dieser Anleitung entlang gehangelt.
https://www.frankysweb.de/exchange-2016-eac-nur-im-internen-netzwerk-fre ...
Member: itzwich
itzwich Jul 21, 2023 at 06:56:56 (UTC)
Goto Top
Danke. Werde ich mal ausprobieren und berichten
Member: tech-flare
tech-flare Jul 21, 2023 at 07:20:07 (UTC)
Goto Top
Hängt der Exchange ohne WAF nackig im Netz?

Wenn ja…. Ziemlich fahrlässig.

In der Regel schränkt man den Zugang über die Firewall / WAF ein.

Gruß
Member: crypt0r
crypt0r Jul 21, 2023 at 08:31:16 (UTC)
Goto Top
Kein Loadbalancer mit ESP?
Member: Dani
Dani Jul 21, 2023 at 08:48:45 (UTC)
Goto Top
@crypt0r
Kein Loadbalancer mit ESP?
Für was steht ESP?

@itzwich
Vor welchen Szenerien möchtest du dich mit dieser Anforderung schützen und was ist mit den restlichen Services, die über das Internet erreichbar sind?! Einen Exchange-Server würde ich heute ohne ADFS + WAP + WAF + MFA nicht mehr betreiben. Dazu hat die Vergangenheit die gefundenen Sicherheitslücken das vorgeschlagene Design bestätigt.


Gruß,
Dani
Member: hukahu23489
hukahu23489 Jul 21, 2023 updated at 09:33:11 (UTC)
Goto Top
Hey,

ich habe es so gelöst:
https://www.mt1.at/externen-zugriff-auf-exchange-admin-center-sperren/

Allerdings schränkst du deine Bequemlichkeit ein, eben schnell Einstellungen ohne VPN etc. im ECP vornehmen zu können. Selbstverständlich schadet diese zusätzliche Sicherheitsmaßnahme nicht im geringsten, im Gegenteil


Gruß,

hukahu23489
Member: CH3COOH
CH3COOH Jul 22, 2023 at 08:25:17 (UTC)
Goto Top
Moin
Zitat von @Dani:

@crypt0r
Kein Loadbalancer mit ESP?
Für was steht ESP?

Edge Security Pack nennt es KEMP.
https://www.frankysweb.de/howto-exchange-2019-und-kemp-loadmaster-mit-es ...

Bei Sophos geht das als Static Hardening durch.
Gemeint ist primär das man die Pfade einschränkt. Zum Beispiel erlaubt /owa anzuwählen, aber nicht /ecp .


Zitat von @tech-flare:

Hängt der Exchange ohne WAF nackig im Netz?

Wenn ja…. Ziemlich fahrlässig.

+1 dafür!

Gruß
Member: crypt0r
crypt0r Jul 24, 2023 at 05:16:28 (UTC)
Goto Top
Zitat von @Dani:

@crypt0r
Kein Loadbalancer mit ESP?
Für was steht ESP?

@itzwich
Vor welchen Szenerien möchtest du dich mit dieser Anforderung schützen und was ist mit den restlichen Services, die über das Internet erreichbar sind?! Einen Exchange-Server würde ich heute ohne ADFS + WAP + WAF + MFA nicht mehr betreiben. Dazu hat die Vergangenheit die gefundenen Sicherheitslücken das vorgeschlagene Design bestätigt.


Gruß,
Dani

https://support.kemptechnologies.com/hc/en-us/articles/14337457839757
Member: CH3COOH
CH3COOH Jul 27, 2023 at 16:20:15 (UTC)
Goto Top
Zitat von @itzwich:

Werde ich mal ausprobieren und berichten
Und gibt es schon was zu berichten? Hat sich dein Thema ggf. schon erledigt?
Gruß
Member: Ueba3ba
Ueba3ba Sep 04, 2023 updated at 19:35:04 (UTC)
Goto Top
Ist es möglich das eac mittels dem nginx Proxy Manager zu sperren?

regex??

Edit:

Habe eine Lösung gefunden.

In diesem Beitrag

Die Zeile:
location /ecp {
deny all;
}

Brachte schon mal ein
403 Forbidden

Edit:

Allerding ist das ecp mit:
https://meine.domain.de/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fmeine.domain.de%2fecp%2f

wieder erreichbar.