somebodytolove
Goto Top

Proxy Server Settings Cloud + EWS

Hiho,

ich habe eine kleine Frage an unsere Netzwerk Spezialisten und Security Fans face-smile

Also folgendes, wir haben ein IoT Device welches im Netzwerk platziert werden muss.
Das Device benötigt eine Connection zum Azure IoT Hub über (Port 443) und zu einem speziellen NTP Server Port (123).
Außerdem benötigt es Zugriff auf die EWS vom Exchange Server (Port 443).

Soweit so gut, wenn der Exchange Server ein Office 365 Server oder ähnliches ist, ist die Platzierung der IoT Devices nicht kritisch, da beides in der Regel vom Internet aus erreichbar ist.

Eine Schwierigkeit stellt sich heraus wenn der Exchange Server intern ist, da das Device sowohl Zugriff (auf spezielle Server) im Internet benötigt, als auch in das Interne Netz auf den Exchange (EWS).

Jetzt steht das große Theme Proxy im Raum, in der Regel setzen die Unternehmen einen Proxy Server ein, damit könnte man dann im Internen Netz ins Internet auf unsere Server kommunizieren.

Leider besitzt unser Device (noch) keine Proxy Authentifiezierung, was natürlich die Platzierung deutlich schwieriger macht.
Und leider kenne ich mich mit den verschiedenen Proxy Settings nicht so gut aus... (War bisher immer in kleineren Netzwerken und habe einfach einen transparenten Proxy eingerichtet)

Die Entwickler hatten das mit der Proxy Authentifizierung noch nicht hinbekommen, haben aber im letzten Realease eingebaut das man dem Device eine Statische IP konfigurieren kann und man damit auch den Proxy Server entsprechend konfigurieren könnte.

Allerdings ist, mangels meiner bisherigen Erfahrung, mir nicht ganz bewusst wie ich das jetzt am besten umsetzen soll.

Kann mir eventuell von euch jemand sagen wie er so ein Device platzieren würde oder ob das gegen jede Sicherheitsrichtlinie verstoßen würde und schlicht in der Konstellation nicht möglich ist.

Vielen Dank schonmal für eure Antwort face-smile

Beste Grüße
Somebody

Content-ID: 349478

Url: https://administrator.de/forum/proxy-server-settings-cloud-ews-349478.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

certifiedit.net
certifiedit.net 19.09.2017 um 11:25:32 Uhr
Goto Top
Hallo Somebody,

wäre schön, wenn du den Namen, die FW Version usw des IoT Devices nennst.

VG
SomebodyToLove
SomebodyToLove 19.09.2017 aktualisiert um 11:35:10 Uhr
Goto Top
Hi certifiedit.net,

es ist ein Connect Screen, die Firmware Version habe ich gerade nicht im Kopf, aber diese sollte auch nicht relevant sein?

PS:
Hier ist ein Link zu der Produkt Seite:
http://www.condecosoftware.com/de/produkte/connect-digitales-tuerschild ...
certifiedit.net
certifiedit.net 19.09.2017 um 11:40:23 Uhr
Goto Top
Sieht halbwegs modern aus, würde dem Hersteller nahe legen, dass er das nachentwickelt. face-wink
SomebodyToLove
SomebodyToLove 19.09.2017 um 11:49:01 Uhr
Goto Top
Ja, es steht auf der Agenda. face-smile

Kennst du dich mit Proxy Servern und ihren Einstellmöglichkeiten aus?

Kann man da nicht "einfach" konfigurieren das die IP 10.10.10.10 (Display1) auf die entsprechenden Server von intern zugreifen kann und das ohne Authentifizierung am Proxy? Ist das wirklich ein großer Einschnitt in die Sicherheitsrichtlinien?

Beste Grüße
Somebody
Pjordorf
Lösung Pjordorf 19.09.2017 um 11:59:54 Uhr
Goto Top
Hallo,

Zitat von @SomebodyToLove:
Kann man da nicht "einfach" konfigurieren das die IP 10.10.10.10 (Display1) auf die entsprechenden Server von intern zugreifen kann und das ohne Authentifizierung am Proxy? Ist das wirklich ein großer Einschnitt in die Sicherheitsrichtlinien?
Nun, das hängt davon ab was und welchen Proxy du verwendest. Der eine kann, der andere nicht. Wirst du bei deinen Proxy schauen müssen was der denn will. Ansonsten für deine Leuchttafel einen eigene Proxy aufsetzen und gut ist. Warum muss die Tablette den ins Internet um die Uhrzeit zu aktualisieren, habt ihr keine Domäne wo du deine Zeit mit abgleichen kannst? Nur das ins Internet lassen was wirklich nöctig ist sonst regeln deine Leuchttafeln irgandwann was du in dein Netz darfst. Solange das IoT für dich nur das schwarze kleine darstellt - lass di aus dein netz raus, mach dafür ein eigenes. VLAN und Co. ist ja heute nicht mehr das Problem oder dort ein eigenes LAN machen.

Gruß,
Peter
certifiedit.net
Lösung certifiedit.net 19.09.2017 aktualisiert um 12:02:45 Uhr
Goto Top
Das kommt immer auf den Proxy und das Design an. Ggf. wäre auch ein eigener Netzabschnitt für das Device sinnvoll, dann brauchst du nur die entsprechenden Regeln für EX, NTP und in die Wolke setzen, der Rest Block. IoT reisst leider regelmäßig löcher in die Sicherheitsrichtlinie, offensichtlich machen sich die Entwickler darum auch kaum Gedanken...aber wen wundert es, wenn UTM Anbieter mittlerweile mit Cloudfirewalls werben (?!?)...auf der anderen Seite sind den vielen Ihre Daten anscheinend auch total egal...
SomebodyToLove
SomebodyToLove 19.09.2017 um 13:20:11 Uhr
Goto Top
Zitat von @SomebodyToLove:
Nun, das hängt davon ab was und welchen Proxy du verwendest. Der eine kann, der andere nicht. Wirst du bei deinen Proxy schauen müssen was der denn will. Ansonsten für deine Leuchttafel einen eigene Proxy aufsetzen und gut ist. Warum muss die Tablette den ins Internet um die Uhrzeit zu aktualisieren, habt ihr keine Domäne wo du deine Zeit mit abgleichen kannst? Nur das ins Internet lassen was wirklich nöctig ist sonst regeln deine Leuchttafeln irgandwann was du in dein Netz darfst. Solange das IoT für dich nur das schwarze kleine darstellt - lass di aus dein netz raus, mach dafür ein eigenes. VLAN und Co. ist ja heute nicht mehr das Problem oder dort ein eigenes LAN machen.

Gruß,
Peter

Hi Peter,

die Leuchttafel holt teile seiner config aus der Wolke und natürlich überprüft es auch die Lizenzierung, es werden aber keine Benutzernamen oder Passwörter in der Wolke gespeichert. Es bekommt zum Beispiel die EWS URL aus der Wolke. Zusätzlich sendet es die Auslastung der Meeting Räume ins Portal und man erhält eine schicke Übersicht wie die Räume ausgelastet sind.

Es geht darum wie ich meine "Leuchttafel" (Schönes Wort face-smile ) im allgemeinen in Netzwerken platzieren kann. Also es sollte am besten eine Universallösung sein, aber so wie es klingt gibt es diese leider nicht. Zumindestens nicht so schön einfach wie ich mir das ausgemalt habe.

Wenn ich alles richtig verstanden habe würdest du, als eleganteste Lösung vorschlagen ein VLAN zu bilden, für die Leuchttafeln, welches auf den NTP Server zugreifen kann, auf den IoT Hub und auf den internen EWS.

Wie würdest du das aus der Sicherheitsbrille sehen? Klingt für mich erstmal nach nicht dem größten Einfallstor.

@certifiedit.net
Grundsätzlich werden sich große Gedanken um die Sicherheit gemacht, auch das Thema Proxy Authentifizierung ist groß. Allerdings gab es wohl bei der implementierung unvorhergesehene Probleme.
Aber wenn ich deinen Ansatz richtig verstehe bist du unterm Strich auch auf einer Wellenlänge mit Peter. Die Displays in ein eigenes VLAN hängen die entsprechenden Port´s und URL´s freigeben und Punkt face-smile

Alternativ auf Proxy Authentifizierung warten. Bzw. die entsprechenden Port´s und URL´s über eine IP-Adressen Regel freigeben (Wenn vom Proxy unterstützt)

Vielen Dank für eure Antworten und eurem Input zu meinen Überlegungen face-smile .

Beste Grüße
Somebody
certifiedit.net
Lösung certifiedit.net 19.09.2017 um 13:33:56 Uhr
Goto Top
Prinzipiell ja, aber lass die ', ´ usw vor dem 's' weg face-wink

VLAN, entsprechendes Netz und aus dem darf wirklich nur auf den einen Server (je Dienst) Zugegriffen werden. Mehr sollte sowieso nicht, weniger kannst du offensichtlich nicht.

VG

PS: Was für ein Proxy habt ihr denn nun im Einsatz?
SomebodyToLove
SomebodyToLove 19.09.2017 um 14:12:30 Uhr
Goto Top
Zitat von @certifiedit.net:

Prinzipiell ja, aber lass die ', ´ usw vor dem 's' weg face-wink

Hehe, okay face-smile

PS: Was für ein Proxy habt ihr denn nun im Einsatz?

Ähm, ich muss mich im allgemeinen um implementierungen beim Kunden kümmern. Also sind alle möglichen Proxy Server.
Ich bin technisch Grundsätzlich auch bewandert, aber leider habe ich mich bisher noch nicht groß mit Proxy Servern auseinander gesetzt und das war eben immer das erste Agument welches ich zu hören bekommen habe.

Quasi:

Meine Aussage:
"Das Device benötigt Zugriff auf Azure und EWS"

Antwort:
"Okay, wo kann ich die Proxy Authentifizierung eintragen"

Meine Antwort:
"Proxy Authentifizierung funktioniert aktuell leider noch nicht"

Antwort:
"Okay, dann können wir das leider nicht implementieren"

Deshalb dachte ich, um meine Wissenslücke etwas auszufüllen, frage ich hier mal nach wie das andere sehen bzw. implementieren würden.

Jetzt kann ich zumindestens den Denkanstoß geben das man dies auch über ein VLAN implementieren kann.

Von dem her danke ich euch wirklich 1.000 mal für eure Hilfe face-smile
certifiedit.net
certifiedit.net 19.09.2017 um 18:26:13 Uhr
Goto Top
Sind das denn unterschiedliche Kunden oder wie ist das?
SomebodyToLove
SomebodyToLove 20.09.2017 um 11:09:57 Uhr
Goto Top
Ja, unterschiedliche Kunden in unterschiedlichen Netzwerkstrukturen...

Aber unterm Strich ist es ja alles ähnlich aufgebaut in größeren Netzwerken.
Pjordorf
Pjordorf 20.09.2017 um 11:45:14 Uhr
Goto Top
Hallo,

Zitat von @SomebodyToLove:
Aber unterm Strich ist es ja alles ähnlich aufgebaut in größeren Netzwerken.
Und da wunderst du dich das man dich in der Luft auseinander nimmt? Klar haben alle einen Router, einen Switch, Kabel und ein grossteil sogar Patchpanels, Netzwerkschränke, Klimaanlagen, Notstromgeräte, und und und... Wenn du also kommst und euren (Groß)Kunden so eine Flurbeleuchtung verpassen willst / aufbauen willst bekommst du schnell zu hören wo das IoT hingehört. Für mich hört sich das nicht an das ihr euch über das Thema Sicherheit und IoT überhaupt Gedanken gemacht habt. Spezifiziere doch mal eurer
Grundsätzlich werden sich große Gedanken um die Sicherheit gemacht, auch das Thema Proxy Authentifizierung ist groß.
und welche Gedanken da so kreisen und warum das Them Proxy Authentifizierung groß ist? Wenn ihr also Dienstleiter oder Wiederverkäufer dort seid oder gar der Hersteller und das Them Sicherheit und IoT euch schon schwitzen lässt.....

Eine Firma mit nur einer Fritte als Router/Switch / Patchpanel mag das ja so wie von euch gedacht hinnehmen und einsetzen, aber die kaufen das nicht weil deren Flurbeleuchtung schon vorhanden ist bzw. gar keine Meeting Rooms hat, ein (Groß)Kunde mt 2000 Mitarbeitern und zig Meeting Rooms welche eine Grafische aufbereitung brauchen um die Leuchttafeln im Flur zu Rechtfertigen, daort haben Verantwortliche IT leute die ein wenig mit den Wort Sicherheit was anfangen können bestimmte erwartungen an IoT und was diese können müssen.

Nur so meine Gedanken nach dem nmehrmaligen Lesen des Threads. Vom admin der ein IoT Gerät bereitstellen will nun zum Dienstleister / Vertrieb / Hersteller dieser IoT Geräte aufgestiegen ist.

Gruß,
Peter
SomebodyToLove
SomebodyToLove 20.09.2017 um 12:21:17 Uhr
Goto Top
Hi Peter,

du schlägst einen rauen Ton an, da bin ich beim lesen ja gleich zusammen gezückt.

Dadurch das das Unternehmen ISO 27001 Zertifiziert ist und die Server entsprechenden Sicherheitsrichtlinien unterworfen sind würde ich sagen das das Thema Sicherheit relevant ist.

Ich verstehe nicht warum du mich so anfauchst? Ich hatte eine Frage diese hattest du mit deiner ersten Antwort fachmänisch und freundlich beantwortest, das Thema war für mich gelöst.

Und jetzt trittst du nach?

Für mich hört sich das nicht an das ihr euch über das Thema Sicherheit und IoT überhaupt Gedanken gemacht habt.

Ich spreche nicht für ein "wir" sondern nur für mich selbst. Und ich selber habe es nicht verstanden. Deshalb wollte ich hier einen Thread erstellen, hätte ich gewusst das ich so zusammengefaltet werde hätte ich es gelassen.
Entschuldige das ich etwas lernen wollte und erfragen wollte wie ein Fachmann im Bereich Netzwerk ein solches Problem angehen würde.

Nur so meine Gedanken nach dem nmehrmaligen Lesen des Threads. Vom admin der ein IoT Gerät bereitstellen will nun zum Dienstleister / Vertrieb / Hersteller dieser IoT Geräte aufgestiegen ist.

Ich hatte doch in keinem Wort geschrieben das ich ein admin bin der ein IoT Gerät bereitstellen möchte?

Sorry, aber darf man hier, als Dienstleister keine solchene Fragen stellen?
Das Produkt hatte ich extra nicht erwähnt, da es doch eigentlich nicht relevant ist - es könnte auch ein anderes Gerät sein welches sowohl mit der "Cloud" als auch mit einem anderen internen Server z.B. Webserver sprechen müsste...

Mich hat es lediglich interessiert wie andere so ein Problem angehen würden und was für alternative wege gegangen werden können.

Entschuldige die lange Antwort.

Ich bedanke mich für deine vorrangegangen Hilfe.
Aber deine jetzige Antwort hat mich echt getroffen face-smile
certifiedit.net
certifiedit.net 20.09.2017 um 12:54:42 Uhr
Goto Top
Puh, ich dachte auch, du wärst ein interner Admin. Imho dreht sich das Bild nun von "sicherheitsbewusster Admin" zu einem Vertriebler von einem unausgereiften und unsicheren (andere Worte wären möglich) Produkt. Leider kommt mit deiner Antwort auch nur der "Verkäufer" durch...echt getroffen? na gut....

Peter, volle Zustimmung.
Pjordorf
Pjordorf 20.09.2017 aktualisiert um 13:09:04 Uhr
Goto Top
Hallo,

Zitat von @SomebodyToLove:
da bin ich beim lesen ja gleich zusammen gezückt.
Nicht doch face-smile

Dadurch das das Unternehmen ISO 27001 Zertifiziert ist und die Server entsprechenden Sicherheitsrichtlinien unterworfen sind würde ich sagen das das Thema Sicherheit relevant ist.
Sagt aber nichts über den Sachverstand der Mitarbeiter aus, oder?

das Thema war für mich gelöst.
Warum diskutierst du dann immer noch? face-smile

Und jetzt trittst du nach?
Nö, ich habe mich nur in der laufenden Diskussion bemerkbar gemacht, nix nachtreten.

Ich spreche nicht für ein "wir" sondern nur für mich selbst
Ja, das ist schon klar und das du es nicht für den Lebensalltag benötigst ist auch klar. Aber bitte verstehe uns hier, Es ist ein Forum welches sich "Administrator" nennt, wir kennen dich und deine bedürfnisse und Fachkentnisse nicht und du stellst Fragen zur Sicherheit mit IoT Geräten, was sollen wir uns dann denken? face-smile

Entschuldige das ich etwas lernen wollte und erfragen wollte wie ein Fachmann im Bereich Netzwerk ein solches Problem angehen würde.
Ich finde dazu ist das Forum nicht die richtige Wahl um Ausbildung zu betreiben.

Ich hatte doch in keinem Wort geschrieben das ich ein admin bin der ein IoT Gerät bereitstellen möchte?
Lies doch einfach den Thread mit etwas Abstand genau durch. Welche eindruck gewinnst du über deine Fragen und deiner Person? Vom einfachen fragen eines benutzers nach Grundlagen die auch für IoT Geräte gelten sollten welche in Grossunternehmen eingestezt werden sollen (kleine Unternehmen haben kaum/keine Bedarf an zusätzlciher Flurbeleuchtung face-smile) bis zum
ich muss mich im allgemeinen um implementierungen beim Kunden kümmern
und
unterschiedliche Kunden in unterschiedlichen Netzwerkstrukturen.

Und dein Fazit daraus
Aber unterm Strich ist es ja alles ähnlich aufgebaut in größeren Netzwerken.

Was sollen wir uns also denken was sich wirklich dahinter verbirgt? Wir hier im Forum liefern dir die Lösungen damit Ihr die dicke Kohle eintütet?

Sorry, aber darf man hier, als Dienstleister keine solchene Fragen stellen?
Doch, aber Grundlagen sollte schon beherrscht werden.

Das Produkt hatte ich extra nicht erwähnt, da es doch eigentlich nicht relevant ist - es könnte auch ein anderes Gerät sein welches sowohl mit der "Cloud" als auch mit einem anderen internen Server z.B. Webserver sprechen müsste...
Dein
zu einem speziellen NTP Server Port (123).
sagt doch eine ganze Menge aus, gerade wenn es um Kunde geht die eigentlich fast alles in einer Domäne betreiben. Da gehört dann euer IoT definitiv dann nicht ins Firmennetzwerk - komplett eigenes oder zumindest per VLAN abtrennen...

Mich hat es lediglich interessiert wie andere so ein Problem angehen würden und was für alternative wege gegangen werden können.
Was nützen Alternativen wenn das IoT es nicht kann oder die Möglichkeiten dieses einen bestimmten Proxy nicht bekannt sind? Un d nein, es ist kein Problem so ein IoT einzusetzen. Das kann genauso gut ein Kühlschrank oder Bügeleisen sein der per IoT einen ganz bestimmten NTP Server nutzen muss face-smile

Aber deine jetzige Antwort hat mich echt getroffen face-smile
Bitte nicht, es ist ja nur meine Sichtweise face-smile

Ein IoT gerät ist genauso zu betrachten wie andere netzwerkgeräte auch. Und die muss ich dann immer auch im Kontext meines Sicherheitskonzepts betrachten und wenn etwas nicht geeignet ist, muss es eben zum Edelschrott gebracht werden. Jedes Unterhmen ist da auch anders gestrickt, auch wenn jedes irgendwie ein Switch, Router und Patchpanels hat face-smile

Bedenke bitte, wir sind hier Blind und Taub, wir Lesen nur was du uns Schreibst. face-smile

Gruß,
Peter
SomebodyToLove
SomebodyToLove 20.09.2017 aktualisiert um 15:11:52 Uhr
Goto Top
Alles gut face-smile

Sorry ist wohl etwas aus der Bahn gelaufen.

Ich habe es irgendwie vor der Mittagspause in den falschen Hals bekommen :/

Und ich habe eure Antworten hier schon öfter gelesen und diese waren immer sehr hilfreich.
Ich möchte hier auf jeden Fall keinen Krieg anzetteln.

Ich verdiene nur indirekt damit Geld, es geht mir nicht darum das Ding am besten an den Mann zu bringen. Sondern die beste Strategie wie man es ins Netzwerk platzieren kann.

Ich werde keinerlei derartigen Fragen mehr stellen. Wahrscheinlich war mein Eingangspost zu undeutlich.

Letzten Endes wäre ich selber lieber wieder Sysadmin.

Und bitte nehmt meine Entschuldigung an.

Ich kann euch versichern das ich kein Profitgeier bin!

Nochmal tausend Dank für eure Antwort!
Pjordorf
Lösung Pjordorf 20.09.2017 um 17:58:20 Uhr
Goto Top
Hallo,

Zitat von @SomebodyToLove:
Sorry ist wohl etwas aus der Bahn gelaufen.
Kein Problem, ist doch nichts passiert face-smile

Ich habe es irgendwie vor der Mittagspause in den falschen Hals bekommen :/
Passiert schon mal, auch uns face-smile

Wahrscheinlich war mein Eingangspost zu undeutlich.
Irgendwie ... egal. ist ja jetzt geklärt, und du musst dich wirklich nicht entschuldigen - ist doch keiner geköpft worden face-smile

Vielleicht auch mal hier rein schauen. Sicherheit und IoT ist ein immer noch ungeachtetes Thema für viele. leider.
https://www.channelpartner.de/a/bruessel-will-sicherheitszertifikat-fuer ...

https://en.wikipedia.org/wiki/Proxy_server

Gruß,
Peter