3
Log eines nginx-Reverse-Proxy vor Exchange 2016 OWA oder Active-Sync auswerten
Hallo,
ich probiere hier gerade mit einem nginx als Reverse-Proxy vor einem Exchange 2016.
Was ich von MS sehr "schade" finde ist, dass bei einer fehlerhaften Anmeldung kein 401 oder 403 sondern ein 200 zurückliefert.
Mit einem 40x könnt man recht einfach fail2ban verwenden um Zugriffsversuche gleich im Proxy zu blocken.
Frage 1: Kennt Jemand einen Weg um Exchange 2010-2016 dazu zu bewegen einen 40x als Fehler zurückliefern?
Aber im Log wird der URL auf die verwiesen wird steht "reason=2".
Wenn ich diesem MS Dokument glauben darf, bedeutet ein Reason != 0 einen Fehler beim Zugriff oder der Anmeldung.
Ein Reason=2 ist dann ein "Error: Access is denied.".
Danach könnte ich in den Logs schauen und die IP bei übermäßiger Fehlerzahl blocken.
https://support.microsoft.com/en-us/help/327843/troubleshooting-outlook- ...
Frage 2: Kann das Jemand bestätigen?
Und weiß ob das auch bei Exchange 2010-2016 so ist?
Danke
Stefan
ich probiere hier gerade mit einem nginx als Reverse-Proxy vor einem Exchange 2016.
Was ich von MS sehr "schade" finde ist, dass bei einer fehlerhaften Anmeldung kein 401 oder 403 sondern ein 200 zurückliefert.
Mit einem 40x könnt man recht einfach fail2ban verwenden um Zugriffsversuche gleich im Proxy zu blocken.
Frage 1: Kennt Jemand einen Weg um Exchange 2010-2016 dazu zu bewegen einen 40x als Fehler zurückliefern?
Aber im Log wird der URL auf die verwiesen wird steht "reason=2".
IP- - [09/May/2018:08:23:35 +0000] "GET /owa/auth/logon.aspx?url=https%3a%2f%2fTestserver%2fowa%2f%23authRedirect%3dtrue&reason=2 HTTP/1.1" 200 10158 "https://Testserver/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fTestserver%2fowa%2f%23authRedirect%3dtrue" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" Wenn ich diesem MS Dokument glauben darf, bedeutet ein Reason != 0 einen Fehler beim Zugriff oder der Anmeldung.
Ein Reason=2 ist dann ein "Error: Access is denied.".
Danach könnte ich in den Logs schauen und die IP bei übermäßiger Fehlerzahl blocken.
https://support.microsoft.com/en-us/help/327843/troubleshooting-outlook- ...
Frage 2: Kann das Jemand bestätigen?
Und weiß ob das auch bei Exchange 2010-2016 so ist?
Danke
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 373499
Url: https://administrator.de/contentid/373499
Ausgedruckt am: 01.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Wenn ich diesem MS Dokument glauben darf, bedeutet ein Reason != 0 einen Fehler beim Zugriff oder der Anmeldung.
Nicht zwingend. "4" wäre z.B. "Ihr Kennwort wurde geändert."Ein Reason=2 ist dann ein "Error: Access is denied.".
Ja das ist hier richtig, trotzdem würde ich das Portal anders vor sochen Attacken schützen5 ways to protect Microsoft Exchange/Outlook Web from Brute Force, DoS
Hallo,
Danke.
Die meisten Hacker nutzen aber Active-Sync wo sich dies nicht so einfach abbilden lässt.
2FA ist schon schwierig wenn man Emails auf seinem iPhone abrufen will.
Woher weist Du das mit reason=4?
Ja, ich habe OWA oben geschrieben
Aber gemeint ist OWA, ECP und Active-Sync
Stefan
Danke.
1. Strong Passwords and a Lockout Mechanism
But what many people fail to realize is a brute-force attack can quickly turn into a Denial of Service (DoS) attack. Take for example this lockout configuration:
Meine Variente wäre IP gebunden. Ein DoS würde damit nicht passieren.But what many people fail to realize is a brute-force attack can quickly turn into a Denial of Service (DoS) attack. Take for example this lockout configuration:
2. - 5.
Basieren alle auf OWA.Die meisten Hacker nutzen aber Active-Sync wo sich dies nicht so einfach abbilden lässt.
2FA ist schon schwierig wenn man Emails auf seinem iPhone abrufen will.
Woher weist Du das mit reason=4?
Ja, ich habe OWA oben geschrieben
Aber gemeint ist OWA, ECP und Active-Sync
Stefan
Woher weist Du das mit reason=4?
Probiers aus .Die meisten Hacker nutzen aber Active-Sync wo sich dies nicht so einfach abbilden lässt.
Doch, mit Client-Zertifikaten!
