Proxy Server Settings Cloud + EWS
Hiho,
ich habe eine kleine Frage an unsere Netzwerk Spezialisten und Security Fans
Also folgendes, wir haben ein IoT Device welches im Netzwerk platziert werden muss.
Das Device benötigt eine Connection zum Azure IoT Hub über (Port 443) und zu einem speziellen NTP Server Port (123).
Außerdem benötigt es Zugriff auf die EWS vom Exchange Server (Port 443).
Soweit so gut, wenn der Exchange Server ein Office 365 Server oder ähnliches ist, ist die Platzierung der IoT Devices nicht kritisch, da beides in der Regel vom Internet aus erreichbar ist.
Eine Schwierigkeit stellt sich heraus wenn der Exchange Server intern ist, da das Device sowohl Zugriff (auf spezielle Server) im Internet benötigt, als auch in das Interne Netz auf den Exchange (EWS).
Jetzt steht das große Theme Proxy im Raum, in der Regel setzen die Unternehmen einen Proxy Server ein, damit könnte man dann im Internen Netz ins Internet auf unsere Server kommunizieren.
Leider besitzt unser Device (noch) keine Proxy Authentifiezierung, was natürlich die Platzierung deutlich schwieriger macht.
Und leider kenne ich mich mit den verschiedenen Proxy Settings nicht so gut aus... (War bisher immer in kleineren Netzwerken und habe einfach einen transparenten Proxy eingerichtet)
Die Entwickler hatten das mit der Proxy Authentifizierung noch nicht hinbekommen, haben aber im letzten Realease eingebaut das man dem Device eine Statische IP konfigurieren kann und man damit auch den Proxy Server entsprechend konfigurieren könnte.
Allerdings ist, mangels meiner bisherigen Erfahrung, mir nicht ganz bewusst wie ich das jetzt am besten umsetzen soll.
Kann mir eventuell von euch jemand sagen wie er so ein Device platzieren würde oder ob das gegen jede Sicherheitsrichtlinie verstoßen würde und schlicht in der Konstellation nicht möglich ist.
Vielen Dank schonmal für eure Antwort
Beste Grüße
Somebody
ich habe eine kleine Frage an unsere Netzwerk Spezialisten und Security Fans
Also folgendes, wir haben ein IoT Device welches im Netzwerk platziert werden muss.
Das Device benötigt eine Connection zum Azure IoT Hub über (Port 443) und zu einem speziellen NTP Server Port (123).
Außerdem benötigt es Zugriff auf die EWS vom Exchange Server (Port 443).
Soweit so gut, wenn der Exchange Server ein Office 365 Server oder ähnliches ist, ist die Platzierung der IoT Devices nicht kritisch, da beides in der Regel vom Internet aus erreichbar ist.
Eine Schwierigkeit stellt sich heraus wenn der Exchange Server intern ist, da das Device sowohl Zugriff (auf spezielle Server) im Internet benötigt, als auch in das Interne Netz auf den Exchange (EWS).
Jetzt steht das große Theme Proxy im Raum, in der Regel setzen die Unternehmen einen Proxy Server ein, damit könnte man dann im Internen Netz ins Internet auf unsere Server kommunizieren.
Leider besitzt unser Device (noch) keine Proxy Authentifiezierung, was natürlich die Platzierung deutlich schwieriger macht.
Und leider kenne ich mich mit den verschiedenen Proxy Settings nicht so gut aus... (War bisher immer in kleineren Netzwerken und habe einfach einen transparenten Proxy eingerichtet)
Die Entwickler hatten das mit der Proxy Authentifizierung noch nicht hinbekommen, haben aber im letzten Realease eingebaut das man dem Device eine Statische IP konfigurieren kann und man damit auch den Proxy Server entsprechend konfigurieren könnte.
Allerdings ist, mangels meiner bisherigen Erfahrung, mir nicht ganz bewusst wie ich das jetzt am besten umsetzen soll.
Kann mir eventuell von euch jemand sagen wie er so ein Device platzieren würde oder ob das gegen jede Sicherheitsrichtlinie verstoßen würde und schlicht in der Konstellation nicht möglich ist.
Vielen Dank schonmal für eure Antwort
Beste Grüße
Somebody
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349478
Url: https://administrator.de/forum/proxy-server-settings-cloud-ews-349478.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @SomebodyToLove:
Kann man da nicht "einfach" konfigurieren das die IP 10.10.10.10 (Display1) auf die entsprechenden Server von intern zugreifen kann und das ohne Authentifizierung am Proxy? Ist das wirklich ein großer Einschnitt in die Sicherheitsrichtlinien?
Nun, das hängt davon ab was und welchen Proxy du verwendest. Der eine kann, der andere nicht. Wirst du bei deinen Proxy schauen müssen was der denn will. Ansonsten für deine Leuchttafel einen eigene Proxy aufsetzen und gut ist. Warum muss die Tablette den ins Internet um die Uhrzeit zu aktualisieren, habt ihr keine Domäne wo du deine Zeit mit abgleichen kannst? Nur das ins Internet lassen was wirklich nöctig ist sonst regeln deine Leuchttafeln irgandwann was du in dein Netz darfst. Solange das IoT für dich nur das schwarze kleine darstellt - lass di aus dein netz raus, mach dafür ein eigenes. VLAN und Co. ist ja heute nicht mehr das Problem oder dort ein eigenes LAN machen.Kann man da nicht "einfach" konfigurieren das die IP 10.10.10.10 (Display1) auf die entsprechenden Server von intern zugreifen kann und das ohne Authentifizierung am Proxy? Ist das wirklich ein großer Einschnitt in die Sicherheitsrichtlinien?
Gruß,
Peter
Das kommt immer auf den Proxy und das Design an. Ggf. wäre auch ein eigener Netzabschnitt für das Device sinnvoll, dann brauchst du nur die entsprechenden Regeln für EX, NTP und in die Wolke setzen, der Rest Block. IoT reisst leider regelmäßig löcher in die Sicherheitsrichtlinie, offensichtlich machen sich die Entwickler darum auch kaum Gedanken...aber wen wundert es, wenn UTM Anbieter mittlerweile mit Cloudfirewalls werben (?!?)...auf der anderen Seite sind den vielen Ihre Daten anscheinend auch total egal...
Hallo,
und welche Gedanken da so kreisen und warum das Them Proxy Authentifizierung groß ist? Wenn ihr also Dienstleiter oder Wiederverkäufer dort seid oder gar der Hersteller und das Them Sicherheit und IoT euch schon schwitzen lässt.....
Eine Firma mit nur einer Fritte als Router/Switch / Patchpanel mag das ja so wie von euch gedacht hinnehmen und einsetzen, aber die kaufen das nicht weil deren Flurbeleuchtung schon vorhanden ist bzw. gar keine Meeting Rooms hat, ein (Groß)Kunde mt 2000 Mitarbeitern und zig Meeting Rooms welche eine Grafische aufbereitung brauchen um die Leuchttafeln im Flur zu Rechtfertigen, daort haben Verantwortliche IT leute die ein wenig mit den Wort Sicherheit was anfangen können bestimmte erwartungen an IoT und was diese können müssen.
Nur so meine Gedanken nach dem nmehrmaligen Lesen des Threads. Vom admin der ein IoT Gerät bereitstellen will nun zum Dienstleister / Vertrieb / Hersteller dieser IoT Geräte aufgestiegen ist.
Gruß,
Peter
Zitat von @SomebodyToLove:
Aber unterm Strich ist es ja alles ähnlich aufgebaut in größeren Netzwerken.
Und da wunderst du dich das man dich in der Luft auseinander nimmt? Klar haben alle einen Router, einen Switch, Kabel und ein grossteil sogar Patchpanels, Netzwerkschränke, Klimaanlagen, Notstromgeräte, und und und... Wenn du also kommst und euren (Groß)Kunden so eine Flurbeleuchtung verpassen willst / aufbauen willst bekommst du schnell zu hören wo das IoT hingehört. Für mich hört sich das nicht an das ihr euch über das Thema Sicherheit und IoT überhaupt Gedanken gemacht habt. Spezifiziere doch mal eurerAber unterm Strich ist es ja alles ähnlich aufgebaut in größeren Netzwerken.
Grundsätzlich werden sich große Gedanken um die Sicherheit gemacht, auch das Thema Proxy Authentifizierung ist groß.
Eine Firma mit nur einer Fritte als Router/Switch / Patchpanel mag das ja so wie von euch gedacht hinnehmen und einsetzen, aber die kaufen das nicht weil deren Flurbeleuchtung schon vorhanden ist bzw. gar keine Meeting Rooms hat, ein (Groß)Kunde mt 2000 Mitarbeitern und zig Meeting Rooms welche eine Grafische aufbereitung brauchen um die Leuchttafeln im Flur zu Rechtfertigen, daort haben Verantwortliche IT leute die ein wenig mit den Wort Sicherheit was anfangen können bestimmte erwartungen an IoT und was diese können müssen.
Nur so meine Gedanken nach dem nmehrmaligen Lesen des Threads. Vom admin der ein IoT Gerät bereitstellen will nun zum Dienstleister / Vertrieb / Hersteller dieser IoT Geräte aufgestiegen ist.
Gruß,
Peter
Puh, ich dachte auch, du wärst ein interner Admin. Imho dreht sich das Bild nun von "sicherheitsbewusster Admin" zu einem Vertriebler von einem unausgereiften und unsicheren (andere Worte wären möglich) Produkt. Leider kommt mit deiner Antwort auch nur der "Verkäufer" durch...echt getroffen? na gut....
Peter, volle Zustimmung.
Peter, volle Zustimmung.
Hallo,
Nicht doch
und
Und dein Fazit daraus
Was sollen wir uns also denken was sich wirklich dahinter verbirgt? Wir hier im Forum liefern dir die Lösungen damit Ihr die dicke Kohle eintütet?
sagt doch eine ganze Menge aus, gerade wenn es um Kunde geht die eigentlich fast alles in einer Domäne betreiben. Da gehört dann euer IoT definitiv dann nicht ins Firmennetzwerk - komplett eigenes oder zumindest per VLAN abtrennen...
Ein IoT gerät ist genauso zu betrachten wie andere netzwerkgeräte auch. Und die muss ich dann immer auch im Kontext meines Sicherheitskonzepts betrachten und wenn etwas nicht geeignet ist, muss es eben zum Edelschrott gebracht werden. Jedes Unterhmen ist da auch anders gestrickt, auch wenn jedes irgendwie ein Switch, Router und Patchpanels hat
Bedenke bitte, wir sind hier Blind und Taub, wir Lesen nur was du uns Schreibst.
Gruß,
Peter
Nicht doch
Dadurch das das Unternehmen ISO 27001 Zertifiziert ist und die Server entsprechenden Sicherheitsrichtlinien unterworfen sind würde ich sagen das das Thema Sicherheit relevant ist.
Sagt aber nichts über den Sachverstand der Mitarbeiter aus, oder?das Thema war für mich gelöst.
Warum diskutierst du dann immer noch? Und jetzt trittst du nach?
Nö, ich habe mich nur in der laufenden Diskussion bemerkbar gemacht, nix nachtreten.Ich spreche nicht für ein "wir" sondern nur für mich selbst
Ja, das ist schon klar und das du es nicht für den Lebensalltag benötigst ist auch klar. Aber bitte verstehe uns hier, Es ist ein Forum welches sich "Administrator" nennt, wir kennen dich und deine bedürfnisse und Fachkentnisse nicht und du stellst Fragen zur Sicherheit mit IoT Geräten, was sollen wir uns dann denken? Entschuldige das ich etwas lernen wollte und erfragen wollte wie ein Fachmann im Bereich Netzwerk ein solches Problem angehen würde.
Ich finde dazu ist das Forum nicht die richtige Wahl um Ausbildung zu betreiben.Ich hatte doch in keinem Wort geschrieben das ich ein admin bin der ein IoT Gerät bereitstellen möchte?
Lies doch einfach den Thread mit etwas Abstand genau durch. Welche eindruck gewinnst du über deine Fragen und deiner Person? Vom einfachen fragen eines benutzers nach Grundlagen die auch für IoT Geräte gelten sollten welche in Grossunternehmen eingestezt werden sollen (kleine Unternehmen haben kaum/keine Bedarf an zusätzlciher Flurbeleuchtung ) bis zumich muss mich im allgemeinen um implementierungen beim Kunden kümmern
unterschiedliche Kunden in unterschiedlichen Netzwerkstrukturen.
Und dein Fazit daraus
Aber unterm Strich ist es ja alles ähnlich aufgebaut in größeren Netzwerken.
Was sollen wir uns also denken was sich wirklich dahinter verbirgt? Wir hier im Forum liefern dir die Lösungen damit Ihr die dicke Kohle eintütet?
Sorry, aber darf man hier, als Dienstleister keine solchene Fragen stellen?
Doch, aber Grundlagen sollte schon beherrscht werden.Das Produkt hatte ich extra nicht erwähnt, da es doch eigentlich nicht relevant ist - es könnte auch ein anderes Gerät sein welches sowohl mit der "Cloud" als auch mit einem anderen internen Server z.B. Webserver sprechen müsste...
Deinzu einem speziellen NTP Server Port (123).
Mich hat es lediglich interessiert wie andere so ein Problem angehen würden und was für alternative wege gegangen werden können.
Was nützen Alternativen wenn das IoT es nicht kann oder die Möglichkeiten dieses einen bestimmten Proxy nicht bekannt sind? Un d nein, es ist kein Problem so ein IoT einzusetzen. Das kann genauso gut ein Kühlschrank oder Bügeleisen sein der per IoT einen ganz bestimmten NTP Server nutzen muss Aber deine jetzige Antwort hat mich echt getroffen
Bitte nicht, es ist ja nur meine Sichtweise Ein IoT gerät ist genauso zu betrachten wie andere netzwerkgeräte auch. Und die muss ich dann immer auch im Kontext meines Sicherheitskonzepts betrachten und wenn etwas nicht geeignet ist, muss es eben zum Edelschrott gebracht werden. Jedes Unterhmen ist da auch anders gestrickt, auch wenn jedes irgendwie ein Switch, Router und Patchpanels hat
Bedenke bitte, wir sind hier Blind und Taub, wir Lesen nur was du uns Schreibst.
Gruß,
Peter
Hallo,
Kein Problem, ist doch nichts passiert
Vielleicht auch mal hier rein schauen. Sicherheit und IoT ist ein immer noch ungeachtetes Thema für viele. leider.
https://www.channelpartner.de/a/bruessel-will-sicherheitszertifikat-fuer ...
https://en.wikipedia.org/wiki/Proxy_server
Gruß,
Peter
Kein Problem, ist doch nichts passiert
Ich habe es irgendwie vor der Mittagspause in den falschen Hals bekommen :/
Passiert schon mal, auch uns Wahrscheinlich war mein Eingangspost zu undeutlich.
Irgendwie ... egal. ist ja jetzt geklärt, und du musst dich wirklich nicht entschuldigen - ist doch keiner geköpft worden Vielleicht auch mal hier rein schauen. Sicherheit und IoT ist ein immer noch ungeachtetes Thema für viele. leider.
https://www.channelpartner.de/a/bruessel-will-sicherheitszertifikat-fuer ...
https://en.wikipedia.org/wiki/Proxy_server
Gruß,
Peter