delpiero
Goto Top

OWA Security Exchange 2013

Hallo zusammen

Ich setze mich momentan mit der Sicherheits erhöhung von OWA bzw Exchange auseinander.
Mich würde interessieren, was ihr alles vornehmt, um es so sicher wie möglich zu gestalten.

Bei mir sieht das ungefähr so aus:
- Einschränkung der Erreichbarkeit im IIS (z.B. ECP nur vom internen Netz aufrufbar)
- Aufteilung der Exchange-Server-Rollen auf zwei Server auf. CAS in der DMZ und MBX intern
- Zugriff auf OWA erfolgt ausschliesslich per SSL
- Als Domänen-Admin verwende ich nicht den Benutzernamen "Admin" oder "Administrator"
- User müssen sichere Passwörter verwenden
- Je nach dem setze ich einen GEO-IP-Filter mit einer Firewall und blockiere den Zugriff von Ländern, welche vermutlich nie vom Kunden bereist werden (z.B. Afghanistan, Pakistan etc.)


Neulich bin ich auf "Messageware OWA Guard" gestossen. Mit diesem Produkt lässt sich ein Captcha Code in der OWA-Seite implementieren. Man hat zusätzlich noch ein übersichtliches Log, in welchem alle Login-Versuche aufgeführt sind. Man sieht ebenfalls ein Kuchendiagramm in dem ersichtlich ist, von welchem Land aus die meisten Fehlversuche stammen.

Habt ihr Erfahrungen mit dem Produkt? Ich werde es auf jedenfall mal testen.

Ich danke euch im Voraus für Tipps und Anregungen. Bin gespannt face-smile

Gruss DelPiero

Content-ID: 287222

Url: https://administrator.de/contentid/287222

Ausgedruckt am: 22.11.2024 um 07:11 Uhr

GuentherH
GuentherH 01.11.2015 um 12:07:55 Uhr
Goto Top
Ich setze mich momentan mit der Sicherheits erhöhung von OWA bzw Exchange auseinander.

Und die Antwort darauf heißt Reverse Proxy. Dann kannst du dir die Basteleien, die du da aufgezählt hast sparen.
Und, der Admin egal wie er heißt hat überhaupt keinen Zugriff über OWA.

LG Günther
Dani
Dani 01.11.2015 um 14:51:04 Uhr
Goto Top
Moin,
Je nach dem setze ich einen GEO-IP-Filter mit einer Firewall und blockiere den Zugriff von Ländern, welche vermutlich nie vom Kunden bereist werden (z.B. Afghanistan, Pakistan etc.)
den Aufwand kannst du dir sparen, da heute IP-adressen nicht mehr wirklich geografisch zuordnen lassen.

Aufteilung der Exchange-Server-Rollen auf zwei Server auf. CAS in der DMZ und MBX intern
Daran denken, dass du zwei Exchangelizenzen benötigst. Einfacher und günstiger wäre ein SMTP-Proxy bzw. Relay in die DMZ zu stellen und eine Weiterleitung auf dem Exchange-Server einzurichten.

Mit diesem Produkt lässt sich ein Captcha Code in der OWA-Seite implementieren.
Was soll der Capatcha code verhindern bzw. abhalten? Wir haben mit Hilfe von Vasco eine 2FA hinterlegt. D.h. ein Login ist nur mit gültigen Benutzer + Passwort + PIN über einen Token möglich.


Gruß,
Dani
DelPiero
DelPiero 02.11.2015 um 08:31:50 Uhr
Goto Top
Hallo

Danke für deine Antworten.

Der Captcha Code sollte BruteForce Attacken entgegensteuern.

Wobei ich mich frage, ob es das überhaupt braucht, da nach 5 Login Fehlversuchen sowieso der User-Account gesperrt wird.

Was sind die Vor-/Nachteile eines SMTP-Proxys im Vergleich zu CAS in der DMZ?

Gruss DelPiero
Dani
Dani 02.11.2015 um 11:11:16 Uhr
Goto Top
Moin,
Was sind die Vor-/Nachteile eines SMTP-Proxys im Vergleich zu CAS in der DMZ?
Du meinst sicherlich Edge und nicht CAS. face-wink
Der SMTP-Proxy arbeitet nicht nach dem Store-and-Forward-Prinzip. Sprich von der Außenwelt ist es nicht möglich eine direkte Verbindung mit dem MTA (in deinem Fall Exchange) aufzubauen. Schickt dir einer ne Mail wird die Verbindung mit dem Proxy aufgebaut und der Proxy baut eine neue Verbindung zum MTA auf. Die Mail wird erst zustellt, wenn das OK vom Mailserver kommt.


Gruß,
Dani
TomAteBerlin
TomAteBerlin 03.11.2015 aktualisiert um 16:34:05 Uhr
Goto Top
Wir veröffentlichen OWA, ActiveSync, Outlook Anywhere usw. über TMG's in der DMZ.
Ist ja leider abgekündigt.
Zukünftig werden wir das mithilfe der F5 abbilden.