Netzwerksicherheit - Externer Zugriff absichern

lkleemann
Goto Top
Hallo zusammen,

ich wünsche euch und euren Familien schönen Weihnachten und einen schönen, aber vor allem gesunden Rutsch ins neue Jahr.

Wir haben vor Weihnachten über das Thema "Externer Zugriff" speziell für den Exchange-Server von Microsoft geredet und mich würden eure Meinungen / Umsetzungen zu diesem Thema interessieren.

Zu unseren Hintergründen:
In unserer Firma werden Webanwendungen verwendet, wodrauf die Mitarbeiter von extern Zugriff bekommen sollen. Ebenfalls möchten wir unseren externen Zugriff auf die Outlook Web App und unseren Exchange-Server (Active Sync) besser schützen.

Für die Webanwendungen möchten wir einen Authenticationserver (Reverse Proxy) einrichten, welcher jede Anfrage durch einen Login und einen zweiten Faktor (Keys von Yubico) absichert. Nach erfolgreicher Authentication wird ein JWT Token in Cookies des Browsers gespeichert, welcher alle 10 Minuten erneuert werden muss. Hat dies jemand von euch im Einsatz oder noch eine bessere Lösung?

Meiner Meinung nach können wir damit nicht den Login für Active Sync schützen. Sonst müsste jeder Mitarbeiter sich erst mal am Authenticationserver (Reverse Proxy) authentifizierten, um danach 10 Minuten seine E-Mails abrufen zu können.
Wie können wir den Microsoft Exchange Login gegen Brute Force Angriffe und weiteren Angriffen schützen? Die Outlook Web App von Microsoft würden wir ebenfalls durch unsere Reverse Proxy schützen.

Wie sichert Ihr eure externen Zugriff ab? Ich bin euch für jeden Vorschlag dankbar.

Euch noch schöne Tage und einen guten Rutsch ins neue Jahr

Viele Grüße
LK

Content-Key: 635942

Url: https://administrator.de/contentid/635942

Ausgedruckt am: 13.08.2022 um 19:08 Uhr

Mitglied: lcer00
lcer00 25.12.2020 um 20:57:48 Uhr
Goto Top
Hallo,

hast Du Dir Azure Application Proxy angesehen? 1

Das sollte mit Azure Active Directory diese Möglichkeit bieten.

Grüße

lcer
Mitglied: 142583
142583 25.12.2020 um 22:02:21 Uhr
Goto Top
Guck dir Mal für Direct Access bzw Allways in VPN an.
Mitglied: LKleemann
LKleemann 25.12.2020 um 23:47:46 Uhr
Goto Top
Hallo Icer,

vielen Dank für deine Idee und deine schnelle Antwort.

Ich habe mir den Azure Application Proxy angeschaut, allerdings benötigt man dafür eine Office 356 Subscription, richtig?

Zusätzlich möchte ich ungern unseren Traffic erst mal zu Microsoft schicken, man weiß ja nie, was Sie mit solchen Daten anfangenface-smile


Ich danke Dir für eine Antwort und wünsche dir noch einen schönen Abend

Grüße
LK
Mitglied: LKleemann
LKleemann 25.12.2020 um 23:52:30 Uhr
Goto Top
Hallo IT-Prof,

vielen Dank für deine Idee.

Leider kann ich diese Idee nicht verwenden, weil wir ein zukunftsorientiertes System aufbauen wollen, welches im zweiten Schritt an unser Warenwirtschaftsprogramm angebunden wird, um unseren Kunden ein Webinterface zur Verfügung zustellen.

Solltest du noch weitere Ideen haben, würde ich mich freuen, wenn du Sie in diesem Beitrag mit uns teilst.

Dir noch einen schönen Abend und vielen Dank für deine Antwort

Grüße
LK
Mitglied: falscher-sperrstatus
falscher-sperrstatus 26.12.2020 aktualisiert um 00:11:49 Uhr
Goto Top
Hallo L,

Dann bitte mehr Infos bzw am besten klar, welche Software, welche Version, welche Anbindungsszenarien. Vielleicht sogar Schaubild Port, notwendige Offenheit. Ansonsten ist das nur Mutmaßung...hilft keinem was.

Welche wawi ist es, welche Version usw.

Viele Grüße,

Christian
certifiedit.net
Mitglied: Dani
Dani 26.12.2020 aktualisiert um 14:43:56 Uhr
Goto Top
Moin,
Wie können wir den Microsoft Exchange Login gegen Brute Force Angriffe und weiteren Angriffen schützen? Die Outlook Web App von Microsoft würden wir ebenfalls durch unsere Reverse Proxy schützen.
die günstiges Lösung (lässt man die Lizenzkosten für Windows Server außen vor), ist die Kombination von Windows Web Application Proxy (WAP) in Kombination mit Active Directory Ferderation Service (AD FS). Damit schützen wir sowohl Outlook Web App und Active Sync Verbindungen.

Allerdings ist die Konfiguration kein Kinderspiel. In der Regel 4-5 Arbeitstage, die du investieren muss. Je nachdem wie Fit du mit Microsoft Technologien und mit de mThema Zertifikate bist.

Wo es geht (z.B. OWA) nuzten wir über privacyIDEA eine 2 Faktor Authentifizierung. Das entsprechende Modul für AD FS gibt es bei GitHub.


Gruß,
Dani
Mitglied: LKleemann
LKleemann 26.12.2020 um 11:10:07 Uhr
Goto Top
Guten Morgen Christian,

vielen Dank für deine Hilfe. Ich stimme deiner Aussage zu, desto mehr Informationen in diesem Beitrag vorhanden sind, desto besser können die Antworten formulierten werden.

Leider kann ich keine genaueren Informationen mitteilen, weil die Webanwendung von uns intern entwickelt wurden und diese Anwendungen nicht öffentlich sind.

Aus diesem Grund beschränke ich meine Frage nun auf den Schutz des Active Sync vom Exchange Server 2019. Wie sichert Ihr euren Active Sync Zugang gegen Brute Force, etc.? Die OWA werde ich nun wahrscheinlich einfach über den Reverse Proxy absichern.

Vielen Dank im Voraus

Euch noch einen schönen Samstag

Mit freundlichen Grüßen
LK
Mitglied: LKleemann
LKleemann 26.12.2020 um 11:12:33 Uhr
Goto Top
Guten Morgen Dani,

vielen Dank für deine Idee.

Ich werde mir die Einzelheiten die nächsten Tage anschauen und mich dann nochmal bei dir melden.

Kannst du mir noch verraten, wie WAP die Active Sync Verbindung absichert? Durch einen 2FA wird es ja nicht gehen, oder liege ich in dieser Annahme falsch?



Vielen Dank im Voraus

Noch einen schönen Samstag

Mit freundlichen Grüßen
LK
Mitglied: falscher-sperrstatus
falscher-sperrstatus 26.12.2020 um 11:41:46 Uhr
Goto Top
Gut, dann wäre es da vielleicht besser - bei interner Unsicherheit - sich jemanden ins Haus zu holen. Je nach dem gilt dies auch dafür die Webanwendung einmal gegenprüfen zu lassen. Auf welcher Basis läuft diese denn? Und wo? DMZ? etc.

Mit gegebenen Informationen wirst du hier wohl leider keine Zufriedenstellende Antwort finden (schon alleine, weil zu viele ?).

Grüße,

Christian
certifiedit.net
Mitglied: LKleemann
LKleemann 26.12.2020 um 11:52:47 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Gut, dann wäre es da vielleicht besser - bei interner Unsicherheit - sich jemanden ins Haus zu holen.

Hallo Christian,

vielen Dank für deine Antwort.

Kannst du mir eventuell noch eine Antwort zur Absicherung der Active Sync Verbindung geben? Oder fehlen in diesem Fall ebenfalls Informationen? Bei diesem Thema habe ich aktuell leider noch keine Ideen, meiner Meinung nach funktioniert dort keine 2FA Authentifizierung.


Zitat von @falscher-sperrstatus:

Je nach dem gilt dies auch dafür die Webanwendung einmal gegenprüfen zu lassen. Auf welcher Basis läuft diese denn? Und wo? DMZ? etc.

Die Webanwendung haben wir bereits prüfen lassen. face-smile Die Webanwendung läuft in einer eigenen DMZ mit Basis NodeJS und als Frontend Angular.

Ich danke Dir im Voraus

Mit freundlichen Grüßen
LK
Mitglied: falscher-sperrstatus
falscher-sperrstatus 26.12.2020 um 11:55:15 Uhr
Goto Top
Kannst du mir eventuell noch eine Antwort zur Absicherung der Active Sync Verbindung geben? Oder fehlen in diesem Fall ebenfalls Informationen? Bei diesem Thema habe ich aktuell leider noch keine Ideen, meiner Meinung nach funktioniert dort keine 2FA Authentifizierung.

Bei mir läuft das ebenfalls hinter dem Sophos Reverse-Proxy, 2fa macht da eher keinen Sinn. Hier gilt eher starke Passwörter, Verschlüsselung, Sicherheitsrichtlinien des Backendservers.

Die Webanwendung haben wir bereits prüfen lassen. face-smile face-smile Die Webanwendung läuft in einer eigenen DMZ mit Basis NodeJS und als Frontend Angular.

Sehr gut.
Mitglied: Dani
Lösung Dani 26.12.2020 aktualisiert um 14:42:48 Uhr
Goto Top
Moin,
Ich werde mir die Einzelheiten die nächsten Tage anschauen und mich dann nochmal bei dir melden.
Gerne. face-smile

Kannst du mir noch verraten, wie WAP die Active Sync Verbindung absichert? Durch einen 2FA wird es ja nicht gehen, oder liege ich in dieser Annahme falsch?
Für Active Sync gibt es meines Wissens nach mit Microsoft Boardmitteln keine technische Möglichkeit, dies zu Implementieren. Der WAP dient primär als Reverse Proxy wie NGINX oder Apache2. Die Besonderheit ist in diesen Fall, dass WAP mit Hilfe von Zertifikaten mit AD FS verknüpft werden. Damit ist der Backend-Sever (in diesen Fall der Exchange Server) nicht direkt erreichbar und bei potenziellen Angriffen außerhalb des Gefahrenbereichs.

Nachstehend die Topologie/Aufbau des Schemas:
https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/deploymen ...
https://debay.blog/2015/01/30/web-application-proxy-pre-authentication-f ...

Wir nutzen für unsere mobile Geräte die Pre-authentication des WAP in Kombination mit der Lockout Funktion des AD FS. Mit Pre-authentication kannst mit Hilfe von Gruppen im Active Directory definieren, welche Benutzerkonten inner- und/oder außerhalb des LANs Active Sync nutzen dürfen. Mit Lockout werden vermeidliche Brut Force Angriffe verzögert, ohne dass das eigentliche Benutzerkonto im LAN gesperrt wird.

Das Ganze kann man im Exchange mit der Verwaltung der mobilen Geräte verfeinern. In dem du das Gerät mit einem oder mehreren Postfächern verknüpfst. Bindet somit ein Nutzer das Postfach auf seinem privaten Endgerät ein, so wird der Zugriff nicht möglich sein. Denn das Gerät wird seitens Exchange Server erst einmal isoliert, bist du es frei gibst.


Gruß,
Dani