Netzwerksicherheit - Externer Zugriff absichern
Hallo zusammen,
ich wünsche euch und euren Familien schönen Weihnachten und einen schönen, aber vor allem gesunden Rutsch ins neue Jahr.
Wir haben vor Weihnachten über das Thema "Externer Zugriff" speziell für den Exchange-Server von Microsoft geredet und mich würden eure Meinungen / Umsetzungen zu diesem Thema interessieren.
Zu unseren Hintergründen:
In unserer Firma werden Webanwendungen verwendet, wodrauf die Mitarbeiter von extern Zugriff bekommen sollen. Ebenfalls möchten wir unseren externen Zugriff auf die Outlook Web App und unseren Exchange-Server (Active Sync) besser schützen.
Für die Webanwendungen möchten wir einen Authenticationserver (Reverse Proxy) einrichten, welcher jede Anfrage durch einen Login und einen zweiten Faktor (Keys von Yubico) absichert. Nach erfolgreicher Authentication wird ein JWT Token in Cookies des Browsers gespeichert, welcher alle 10 Minuten erneuert werden muss. Hat dies jemand von euch im Einsatz oder noch eine bessere Lösung?
Meiner Meinung nach können wir damit nicht den Login für Active Sync schützen. Sonst müsste jeder Mitarbeiter sich erst mal am Authenticationserver (Reverse Proxy) authentifizierten, um danach 10 Minuten seine E-Mails abrufen zu können.
Wie können wir den Microsoft Exchange Login gegen Brute Force Angriffe und weiteren Angriffen schützen? Die Outlook Web App von Microsoft würden wir ebenfalls durch unsere Reverse Proxy schützen.
Wie sichert Ihr eure externen Zugriff ab? Ich bin euch für jeden Vorschlag dankbar.
Euch noch schöne Tage und einen guten Rutsch ins neue Jahr
Viele Grüße
LK
ich wünsche euch und euren Familien schönen Weihnachten und einen schönen, aber vor allem gesunden Rutsch ins neue Jahr.
Wir haben vor Weihnachten über das Thema "Externer Zugriff" speziell für den Exchange-Server von Microsoft geredet und mich würden eure Meinungen / Umsetzungen zu diesem Thema interessieren.
Zu unseren Hintergründen:
In unserer Firma werden Webanwendungen verwendet, wodrauf die Mitarbeiter von extern Zugriff bekommen sollen. Ebenfalls möchten wir unseren externen Zugriff auf die Outlook Web App und unseren Exchange-Server (Active Sync) besser schützen.
Für die Webanwendungen möchten wir einen Authenticationserver (Reverse Proxy) einrichten, welcher jede Anfrage durch einen Login und einen zweiten Faktor (Keys von Yubico) absichert. Nach erfolgreicher Authentication wird ein JWT Token in Cookies des Browsers gespeichert, welcher alle 10 Minuten erneuert werden muss. Hat dies jemand von euch im Einsatz oder noch eine bessere Lösung?
Meiner Meinung nach können wir damit nicht den Login für Active Sync schützen. Sonst müsste jeder Mitarbeiter sich erst mal am Authenticationserver (Reverse Proxy) authentifizierten, um danach 10 Minuten seine E-Mails abrufen zu können.
Wie können wir den Microsoft Exchange Login gegen Brute Force Angriffe und weiteren Angriffen schützen? Die Outlook Web App von Microsoft würden wir ebenfalls durch unsere Reverse Proxy schützen.
Wie sichert Ihr eure externen Zugriff ab? Ich bin euch für jeden Vorschlag dankbar.
Euch noch schöne Tage und einen guten Rutsch ins neue Jahr
Viele Grüße
LK
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 635942
Url: https://administrator.de/forum/netzwerksicherheit-externer-zugriff-absichern-635942.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
hast Du Dir Azure Application Proxy angesehen? 1
Das sollte mit Azure Active Directory diese Möglichkeit bieten.
Grüße
lcer
hast Du Dir Azure Application Proxy angesehen? 1
Das sollte mit Azure Active Directory diese Möglichkeit bieten.
Grüße
lcer
Guck dir Mal für Direct Access bzw Allways in VPN an.
Hallo L,
Dann bitte mehr Infos bzw am besten klar, welche Software, welche Version, welche Anbindungsszenarien. Vielleicht sogar Schaubild Port, notwendige Offenheit. Ansonsten ist das nur Mutmaßung...hilft keinem was.
Welche wawi ist es, welche Version usw.
Viele Grüße,
Christian
certifiedit.net
Dann bitte mehr Infos bzw am besten klar, welche Software, welche Version, welche Anbindungsszenarien. Vielleicht sogar Schaubild Port, notwendige Offenheit. Ansonsten ist das nur Mutmaßung...hilft keinem was.
Welche wawi ist es, welche Version usw.
Viele Grüße,
Christian
certifiedit.net
Moin,
Allerdings ist die Konfiguration kein Kinderspiel. In der Regel 4-5 Arbeitstage, die du investieren muss. Je nachdem wie Fit du mit Microsoft Technologien und mit de mThema Zertifikate bist.
Wo es geht (z.B. OWA) nuzten wir über privacyIDEA eine 2 Faktor Authentifizierung. Das entsprechende Modul für AD FS gibt es bei GitHub.
Gruß,
Dani
Wie können wir den Microsoft Exchange Login gegen Brute Force Angriffe und weiteren Angriffen schützen? Die Outlook Web App von Microsoft würden wir ebenfalls durch unsere Reverse Proxy schützen.
die günstiges Lösung (lässt man die Lizenzkosten für Windows Server außen vor), ist die Kombination von Windows Web Application Proxy (WAP) in Kombination mit Active Directory Ferderation Service (AD FS). Damit schützen wir sowohl Outlook Web App und Active Sync Verbindungen.Allerdings ist die Konfiguration kein Kinderspiel. In der Regel 4-5 Arbeitstage, die du investieren muss. Je nachdem wie Fit du mit Microsoft Technologien und mit de mThema Zertifikate bist.
Wo es geht (z.B. OWA) nuzten wir über privacyIDEA eine 2 Faktor Authentifizierung. Das entsprechende Modul für AD FS gibt es bei GitHub.
Gruß,
Dani
Gut, dann wäre es da vielleicht besser - bei interner Unsicherheit - sich jemanden ins Haus zu holen. Je nach dem gilt dies auch dafür die Webanwendung einmal gegenprüfen zu lassen. Auf welcher Basis läuft diese denn? Und wo? DMZ? etc.
Mit gegebenen Informationen wirst du hier wohl leider keine Zufriedenstellende Antwort finden (schon alleine, weil zu viele ?).
Grüße,
Christian
certifiedit.net
Mit gegebenen Informationen wirst du hier wohl leider keine Zufriedenstellende Antwort finden (schon alleine, weil zu viele ?).
Grüße,
Christian
certifiedit.net
Kannst du mir eventuell noch eine Antwort zur Absicherung der Active Sync Verbindung geben? Oder fehlen in diesem Fall ebenfalls Informationen? Bei diesem Thema habe ich aktuell leider noch keine Ideen, meiner Meinung nach funktioniert dort keine 2FA Authentifizierung.
Bei mir läuft das ebenfalls hinter dem Sophos Reverse-Proxy, 2fa macht da eher keinen Sinn. Hier gilt eher starke Passwörter, Verschlüsselung, Sicherheitsrichtlinien des Backendservers.
Die Webanwendung haben wir bereits prüfen lassen. face-smile Die Webanwendung läuft in einer eigenen DMZ mit Basis NodeJS und als Frontend Angular.
Sehr gut.
Moin,
Nachstehend die Topologie/Aufbau des Schemas:
https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/deploymen ...
https://debay.blog/2015/01/30/web-application-proxy-pre-authentication-f ...
Wir nutzen für unsere mobile Geräte die Pre-authentication des WAP in Kombination mit der Lockout Funktion des AD FS. Mit Pre-authentication kannst mit Hilfe von Gruppen im Active Directory definieren, welche Benutzerkonten inner- und/oder außerhalb des LANs Active Sync nutzen dürfen. Mit Lockout werden vermeidliche Brut Force Angriffe verzögert, ohne dass das eigentliche Benutzerkonto im LAN gesperrt wird.
Das Ganze kann man im Exchange mit der Verwaltung der mobilen Geräte verfeinern. In dem du das Gerät mit einem oder mehreren Postfächern verknüpfst. Bindet somit ein Nutzer das Postfach auf seinem privaten Endgerät ein, so wird der Zugriff nicht möglich sein. Denn das Gerät wird seitens Exchange Server erst einmal isoliert, bist du es frei gibst.
Gruß,
Dani
Ich werde mir die Einzelheiten die nächsten Tage anschauen und mich dann nochmal bei dir melden.
Gerne. Kannst du mir noch verraten, wie WAP die Active Sync Verbindung absichert? Durch einen 2FA wird es ja nicht gehen, oder liege ich in dieser Annahme falsch?
Für Active Sync gibt es meines Wissens nach mit Microsoft Boardmitteln keine technische Möglichkeit, dies zu Implementieren. Der WAP dient primär als Reverse Proxy wie NGINX oder Apache2. Die Besonderheit ist in diesen Fall, dass WAP mit Hilfe von Zertifikaten mit AD FS verknüpft werden. Damit ist der Backend-Sever (in diesen Fall der Exchange Server) nicht direkt erreichbar und bei potenziellen Angriffen außerhalb des Gefahrenbereichs.Nachstehend die Topologie/Aufbau des Schemas:
https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/deploymen ...
https://debay.blog/2015/01/30/web-application-proxy-pre-authentication-f ...
Wir nutzen für unsere mobile Geräte die Pre-authentication des WAP in Kombination mit der Lockout Funktion des AD FS. Mit Pre-authentication kannst mit Hilfe von Gruppen im Active Directory definieren, welche Benutzerkonten inner- und/oder außerhalb des LANs Active Sync nutzen dürfen. Mit Lockout werden vermeidliche Brut Force Angriffe verzögert, ohne dass das eigentliche Benutzerkonto im LAN gesperrt wird.
Das Ganze kann man im Exchange mit der Verwaltung der mobilen Geräte verfeinern. In dem du das Gerät mit einem oder mehreren Postfächern verknüpfst. Bindet somit ein Nutzer das Postfach auf seinem privaten Endgerät ein, so wird der Zugriff nicht möglich sein. Denn das Gerät wird seitens Exchange Server erst einmal isoliert, bist du es frei gibst.
Gruß,
Dani