12
Netzwerksicherheit - Externer Zugriff absichern
Hallo zusammen,
ich wünsche euch und euren Familien schönen Weihnachten und einen schönen, aber vor allem gesunden Rutsch ins neue Jahr.
Wir haben vor Weihnachten über das Thema "Externer Zugriff" speziell für den Exchange-Server von Microsoft geredet und mich würden eure Meinungen / Umsetzungen zu diesem Thema interessieren.
Zu unseren Hintergründen:
In unserer Firma werden Webanwendungen verwendet, wodrauf die Mitarbeiter von extern Zugriff bekommen sollen. Ebenfalls möchten wir unseren externen Zugriff auf die Outlook Web App und unseren Exchange-Server (Active Sync) besser schützen.
Für die Webanwendungen möchten wir einen Authenticationserver (Reverse Proxy) einrichten, welcher jede Anfrage durch einen Login und einen zweiten Faktor (Keys von Yubico) absichert. Nach erfolgreicher Authentication wird ein JWT Token in Cookies des Browsers gespeichert, welcher alle 10 Minuten erneuert werden muss. Hat dies jemand von euch im Einsatz oder noch eine bessere Lösung?
Meiner Meinung nach können wir damit nicht den Login für Active Sync schützen. Sonst müsste jeder Mitarbeiter sich erst mal am Authenticationserver (Reverse Proxy) authentifizierten, um danach 10 Minuten seine E-Mails abrufen zu können.
Wie können wir den Microsoft Exchange Login gegen Brute Force Angriffe und weiteren Angriffen schützen? Die Outlook Web App von Microsoft würden wir ebenfalls durch unsere Reverse Proxy schützen.
Wie sichert Ihr eure externen Zugriff ab? Ich bin euch für jeden Vorschlag dankbar.
Euch noch schöne Tage und einen guten Rutsch ins neue Jahr
Viele Grüße
LK
ich wünsche euch und euren Familien schönen Weihnachten und einen schönen, aber vor allem gesunden Rutsch ins neue Jahr.
Wir haben vor Weihnachten über das Thema "Externer Zugriff" speziell für den Exchange-Server von Microsoft geredet und mich würden eure Meinungen / Umsetzungen zu diesem Thema interessieren.
Zu unseren Hintergründen:
In unserer Firma werden Webanwendungen verwendet, wodrauf die Mitarbeiter von extern Zugriff bekommen sollen. Ebenfalls möchten wir unseren externen Zugriff auf die Outlook Web App und unseren Exchange-Server (Active Sync) besser schützen.
Für die Webanwendungen möchten wir einen Authenticationserver (Reverse Proxy) einrichten, welcher jede Anfrage durch einen Login und einen zweiten Faktor (Keys von Yubico) absichert. Nach erfolgreicher Authentication wird ein JWT Token in Cookies des Browsers gespeichert, welcher alle 10 Minuten erneuert werden muss. Hat dies jemand von euch im Einsatz oder noch eine bessere Lösung?
Meiner Meinung nach können wir damit nicht den Login für Active Sync schützen. Sonst müsste jeder Mitarbeiter sich erst mal am Authenticationserver (Reverse Proxy) authentifizierten, um danach 10 Minuten seine E-Mails abrufen zu können.
Wie können wir den Microsoft Exchange Login gegen Brute Force Angriffe und weiteren Angriffen schützen? Die Outlook Web App von Microsoft würden wir ebenfalls durch unsere Reverse Proxy schützen.
Wie sichert Ihr eure externen Zugriff ab? Ich bin euch für jeden Vorschlag dankbar.
Euch noch schöne Tage und einen guten Rutsch ins neue Jahr
Viele Grüße
LK
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 635942
Url: https://administrator.de/contentid/635942
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
hast Du Dir Azure Application Proxy angesehen? 1
Das sollte mit Azure Active Directory diese Möglichkeit bieten.
Grüße
lcer
hast Du Dir Azure Application Proxy angesehen? 1
Das sollte mit Azure Active Directory diese Möglichkeit bieten.
Grüße
lcer
Guck dir Mal für Direct Access bzw Allways in VPN an.
Hallo Icer,
vielen Dank für deine Idee und deine schnelle Antwort.
Ich habe mir den Azure Application Proxy angeschaut, allerdings benötigt man dafür eine Office 356 Subscription, richtig?
Zusätzlich möchte ich ungern unseren Traffic erst mal zu Microsoft schicken, man weiß ja nie, was Sie mit solchen Daten anfangen
Ich danke Dir für eine Antwort und wünsche dir noch einen schönen Abend
Grüße
LK
vielen Dank für deine Idee und deine schnelle Antwort.
Ich habe mir den Azure Application Proxy angeschaut, allerdings benötigt man dafür eine Office 356 Subscription, richtig?
Zusätzlich möchte ich ungern unseren Traffic erst mal zu Microsoft schicken, man weiß ja nie, was Sie mit solchen Daten anfangen
Ich danke Dir für eine Antwort und wünsche dir noch einen schönen Abend
Grüße
LK
Hallo IT-Prof,
vielen Dank für deine Idee.
Leider kann ich diese Idee nicht verwenden, weil wir ein zukunftsorientiertes System aufbauen wollen, welches im zweiten Schritt an unser Warenwirtschaftsprogramm angebunden wird, um unseren Kunden ein Webinterface zur Verfügung zustellen.
Solltest du noch weitere Ideen haben, würde ich mich freuen, wenn du Sie in diesem Beitrag mit uns teilst.
Dir noch einen schönen Abend und vielen Dank für deine Antwort
Grüße
LK
vielen Dank für deine Idee.
Leider kann ich diese Idee nicht verwenden, weil wir ein zukunftsorientiertes System aufbauen wollen, welches im zweiten Schritt an unser Warenwirtschaftsprogramm angebunden wird, um unseren Kunden ein Webinterface zur Verfügung zustellen.
Solltest du noch weitere Ideen haben, würde ich mich freuen, wenn du Sie in diesem Beitrag mit uns teilst.
Dir noch einen schönen Abend und vielen Dank für deine Antwort
Grüße
LK
Hallo L,
Dann bitte mehr Infos bzw am besten klar, welche Software, welche Version, welche Anbindungsszenarien. Vielleicht sogar Schaubild Port, notwendige Offenheit. Ansonsten ist das nur Mutmaßung...hilft keinem was.
Welche wawi ist es, welche Version usw.
Viele Grüße,
Christian
certifiedit.net
Dann bitte mehr Infos bzw am besten klar, welche Software, welche Version, welche Anbindungsszenarien. Vielleicht sogar Schaubild Port, notwendige Offenheit. Ansonsten ist das nur Mutmaßung...hilft keinem was.
Welche wawi ist es, welche Version usw.
Viele Grüße,
Christian
certifiedit.net
Moin,
Allerdings ist die Konfiguration kein Kinderspiel. In der Regel 4-5 Arbeitstage, die du investieren muss. Je nachdem wie Fit du mit Microsoft Technologien und mit de mThema Zertifikate bist.
Wo es geht (z.B. OWA) nuzten wir über privacyIDEA eine 2 Faktor Authentifizierung. Das entsprechende Modul für AD FS gibt es bei GitHub.
Gruß,
Dani
Wie können wir den Microsoft Exchange Login gegen Brute Force Angriffe und weiteren Angriffen schützen? Die Outlook Web App von Microsoft würden wir ebenfalls durch unsere Reverse Proxy schützen.
die günstiges Lösung (lässt man die Lizenzkosten für Windows Server außen vor), ist die Kombination von Windows Web Application Proxy (WAP) in Kombination mit Active Directory Ferderation Service (AD FS). Damit schützen wir sowohl Outlook Web App und Active Sync Verbindungen.Allerdings ist die Konfiguration kein Kinderspiel. In der Regel 4-5 Arbeitstage, die du investieren muss. Je nachdem wie Fit du mit Microsoft Technologien und mit de mThema Zertifikate bist.
Wo es geht (z.B. OWA) nuzten wir über privacyIDEA eine 2 Faktor Authentifizierung. Das entsprechende Modul für AD FS gibt es bei GitHub.
Gruß,
Dani
Guten Morgen Christian,
vielen Dank für deine Hilfe. Ich stimme deiner Aussage zu, desto mehr Informationen in diesem Beitrag vorhanden sind, desto besser können die Antworten formulierten werden.
Leider kann ich keine genaueren Informationen mitteilen, weil die Webanwendung von uns intern entwickelt wurden und diese Anwendungen nicht öffentlich sind.
Aus diesem Grund beschränke ich meine Frage nun auf den Schutz des Active Sync vom Exchange Server 2019. Wie sichert Ihr euren Active Sync Zugang gegen Brute Force, etc.? Die OWA werde ich nun wahrscheinlich einfach über den Reverse Proxy absichern.
Vielen Dank im Voraus
Euch noch einen schönen Samstag
Mit freundlichen Grüßen
LK
vielen Dank für deine Hilfe. Ich stimme deiner Aussage zu, desto mehr Informationen in diesem Beitrag vorhanden sind, desto besser können die Antworten formulierten werden.
Leider kann ich keine genaueren Informationen mitteilen, weil die Webanwendung von uns intern entwickelt wurden und diese Anwendungen nicht öffentlich sind.
Aus diesem Grund beschränke ich meine Frage nun auf den Schutz des Active Sync vom Exchange Server 2019. Wie sichert Ihr euren Active Sync Zugang gegen Brute Force, etc.? Die OWA werde ich nun wahrscheinlich einfach über den Reverse Proxy absichern.
Vielen Dank im Voraus
Euch noch einen schönen Samstag
Mit freundlichen Grüßen
LK
Guten Morgen Dani,
vielen Dank für deine Idee.
Ich werde mir die Einzelheiten die nächsten Tage anschauen und mich dann nochmal bei dir melden.
Kannst du mir noch verraten, wie WAP die Active Sync Verbindung absichert? Durch einen 2FA wird es ja nicht gehen, oder liege ich in dieser Annahme falsch?
Vielen Dank im Voraus
Noch einen schönen Samstag
Mit freundlichen Grüßen
LK
vielen Dank für deine Idee.
Ich werde mir die Einzelheiten die nächsten Tage anschauen und mich dann nochmal bei dir melden.
Kannst du mir noch verraten, wie WAP die Active Sync Verbindung absichert? Durch einen 2FA wird es ja nicht gehen, oder liege ich in dieser Annahme falsch?
Vielen Dank im Voraus
Noch einen schönen Samstag
Mit freundlichen Grüßen
LK
Gut, dann wäre es da vielleicht besser - bei interner Unsicherheit - sich jemanden ins Haus zu holen. Je nach dem gilt dies auch dafür die Webanwendung einmal gegenprüfen zu lassen. Auf welcher Basis läuft diese denn? Und wo? DMZ? etc.
Mit gegebenen Informationen wirst du hier wohl leider keine Zufriedenstellende Antwort finden (schon alleine, weil zu viele ?).
Grüße,
Christian
certifiedit.net
Mit gegebenen Informationen wirst du hier wohl leider keine Zufriedenstellende Antwort finden (schon alleine, weil zu viele ?).
Grüße,
Christian
certifiedit.net
Zitat von @certifiedit.net:
Gut, dann wäre es da vielleicht besser - bei interner Unsicherheit - sich jemanden ins Haus zu holen.
Gut, dann wäre es da vielleicht besser - bei interner Unsicherheit - sich jemanden ins Haus zu holen.
Hallo Christian,
vielen Dank für deine Antwort.
Kannst du mir eventuell noch eine Antwort zur Absicherung der Active Sync Verbindung geben? Oder fehlen in diesem Fall ebenfalls Informationen? Bei diesem Thema habe ich aktuell leider noch keine Ideen, meiner Meinung nach funktioniert dort keine 2FA Authentifizierung.
Zitat von @certifiedit.net:
Je nach dem gilt dies auch dafür die Webanwendung einmal gegenprüfen zu lassen. Auf welcher Basis läuft diese denn? Und wo? DMZ? etc.
Je nach dem gilt dies auch dafür die Webanwendung einmal gegenprüfen zu lassen. Auf welcher Basis läuft diese denn? Und wo? DMZ? etc.
Die Webanwendung haben wir bereits prüfen lassen.
Die Webanwendung läuft in einer eigenen DMZ mit Basis NodeJS und als Frontend Angular.Ich danke Dir im Voraus
Mit freundlichen Grüßen
LK
Kannst du mir eventuell noch eine Antwort zur Absicherung der Active Sync Verbindung geben? Oder fehlen in diesem Fall ebenfalls Informationen? Bei diesem Thema habe ich aktuell leider noch keine Ideen, meiner Meinung nach funktioniert dort keine 2FA Authentifizierung.
Bei mir läuft das ebenfalls hinter dem Sophos Reverse-Proxy, 2fa macht da eher keinen Sinn. Hier gilt eher starke Passwörter, Verschlüsselung, Sicherheitsrichtlinien des Backendservers.
Die Webanwendung haben wir bereits prüfen lassen. face-smile Die Webanwendung läuft in einer eigenen DMZ mit Basis NodeJS und als Frontend Angular.
face-smile Die Webanwendung läuft in einer eigenen DMZ mit Basis NodeJS und als Frontend Angular.Sehr gut.
Moin,
Nachstehend die Topologie/Aufbau des Schemas:
https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/deploymen ...
https://debay.blog/2015/01/30/web-application-proxy-pre-authentication-f ...
Wir nutzen für unsere mobile Geräte die Pre-authentication des WAP in Kombination mit der Lockout Funktion des AD FS. Mit Pre-authentication kannst mit Hilfe von Gruppen im Active Directory definieren, welche Benutzerkonten inner- und/oder außerhalb des LANs Active Sync nutzen dürfen. Mit Lockout werden vermeidliche Brut Force Angriffe verzögert, ohne dass das eigentliche Benutzerkonto im LAN gesperrt wird.
Das Ganze kann man im Exchange mit der Verwaltung der mobilen Geräte verfeinern. In dem du das Gerät mit einem oder mehreren Postfächern verknüpfst. Bindet somit ein Nutzer das Postfach auf seinem privaten Endgerät ein, so wird der Zugriff nicht möglich sein. Denn das Gerät wird seitens Exchange Server erst einmal isoliert, bist du es frei gibst.
Gruß,
Dani
Ich werde mir die Einzelheiten die nächsten Tage anschauen und mich dann nochmal bei dir melden.
Gerne. Kannst du mir noch verraten, wie WAP die Active Sync Verbindung absichert? Durch einen 2FA wird es ja nicht gehen, oder liege ich in dieser Annahme falsch?
Für Active Sync gibt es meines Wissens nach mit Microsoft Boardmitteln keine technische Möglichkeit, dies zu Implementieren. Der WAP dient primär als Reverse Proxy wie NGINX oder Apache2. Die Besonderheit ist in diesen Fall, dass WAP mit Hilfe von Zertifikaten mit AD FS verknüpft werden. Damit ist der Backend-Sever (in diesen Fall der Exchange Server) nicht direkt erreichbar und bei potenziellen Angriffen außerhalb des Gefahrenbereichs.Nachstehend die Topologie/Aufbau des Schemas:
https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/deploymen ...
https://debay.blog/2015/01/30/web-application-proxy-pre-authentication-f ...
Wir nutzen für unsere mobile Geräte die Pre-authentication des WAP in Kombination mit der Lockout Funktion des AD FS. Mit Pre-authentication kannst mit Hilfe von Gruppen im Active Directory definieren, welche Benutzerkonten inner- und/oder außerhalb des LANs Active Sync nutzen dürfen. Mit Lockout werden vermeidliche Brut Force Angriffe verzögert, ohne dass das eigentliche Benutzerkonto im LAN gesperrt wird.
Das Ganze kann man im Exchange mit der Verwaltung der mobilen Geräte verfeinern. In dem du das Gerät mit einem oder mehreren Postfächern verknüpfst. Bindet somit ein Nutzer das Postfach auf seinem privaten Endgerät ein, so wird der Zugriff nicht möglich sein. Denn das Gerät wird seitens Exchange Server erst einmal isoliert, bist du es frei gibst.
Gruß,
Dani
