siegmarb
Goto Top

Proxy vor Exchange19, Authentifizierung, Exch. Extended Protection

Hi Forum,

wir haben derzeit einen Nginx-Proxy vor dem Exchange 19 stehen, der hinten raus noch verschl. Basic-Authentifizierung macht zum EX, was unschön ist.

Der Proxy erfüllt den Zweck, div. URLs des IIS nicht durchzulassen und präsentiert den Clients ein öffentliches Zertifikat.

Jetzt möchte ich im IIS Exchange Extended Protection aktivieren. Greift aber nur zuverlässig, wenn ich Windows-Authentifizierung (Kerberos oder NTLM "erzwinge").

Kerberos selbst, ist nicht ganz trivial durch den Proxy zu bekommen und so auch nicht nativ von Nginx unterstützt.

Was würdet Ihr tun?

Dankesehr.

Content-ID: 11344728543

Url: https://administrator.de/forum/proxy-vor-exchange19-authentifizierung-exch-extended-protection-11344728543.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

Globetrotter
Globetrotter 22.09.2023 um 17:37:21 Uhr
Goto Top
Hi..
Was benutzt Du für eine Firewall - bietet die nichts an und wenn was ?

Gruss Globe!
siegmarb
siegmarb 22.09.2023 um 17:59:55 Uhr
Goto Top
Hi, wir haben eine PFSense in der freien Version im Einsatz.
Globetrotter
Globetrotter 22.09.2023 um 18:35:04 Uhr
Goto Top
Hi..
und was spricht dann gegen FrankysWeb ?

Gruss Globe!
Dani
Dani 22.09.2023 um 19:22:41 Uhr
Goto Top
Moin,
und was spricht dann gegen FrankysWeb ?
ist ein Anfang. Aber beinhaltet keine Pre-Authentification für die Exchange Services.
Unabhängig davon würde ich den Beitrag maximal als eine WAF sehen.


Gruß,
Dani
Globetrotter
Globetrotter 22.09.2023 um 19:43:58 Uhr
Goto Top
Jo.. da haste Recht - es gibt aber auch prof. Support von PFSense... dann den mal andragen und den Geldbeutel bereit legen.. die Haben sicherlich ne günstige Lösung ...

Ich selbst rüste gerade 2 SOPHOS XGS auf von der UTM. Deshalb betrifft mich das auch. Bekomme unterstützung für das "Streaming"... WAF ist ja out.

Bin mal gespannt...

Gruss Globe!
Dani
Dani 22.09.2023 um 21:08:05 Uhr
Goto Top
Moin,
Ich selbst rüste gerade 2 SOPHOS XGS auf von der UTM. Deshalb betrifft mich das auch. Bekomme unterstützung für das "Streaming"...
Meines Wissens nach wirst du auch mit einer Sophos kein Pre-Authentication für Exchange Services vollumfänglich hinbekommen. Das hatten wir gerade in einem Beitrag von @StefanKittel.


Gruß,
Dani
StefanKittel
StefanKittel 22.09.2023 um 22:05:29 Uhr
Goto Top
Zitat von @Dani:

Moin,
Ich selbst rüste gerade 2 SOPHOS XGS auf von der UTM. Deshalb betrifft mich das auch. Bekomme unterstützung für das "Streaming"...
Meines Wissens nach wirst du auch mit einer Sophos kein Pre-Authentication für Exchange Services vollumfänglich hinbekommen. Das hatten wir gerade in einem Beitrag von @StefanKittel.


Gruß,
Dani

Und das mit der PreAuth mit Client Zertifikaten hängt, zumindest bei iPhones, an Apple...
Unterstützt IOS Client Zertifikate mit der normalen Mail App?
Die Outlook App in IOS ist nicht soooo toll.
StefanKittel
StefanKittel 22.09.2023 um 22:09:44 Uhr
Goto Top
Siehe auch
Sind kommerzielle UTM Firewalls besser als Open source Reverse Proxys?

Mit den Möglichkeiten eines Proxy bekommt man schon einen recht guten Schutz hin.
Geo Blocking
Header management
Brute-Force-Schutz
Rate-Limiter
URL-Schutz
Tarpits

Bringt natürlich nichts wenn ein Angreifer das Kennwort kennt oder es eine ECP URL gibt wo man ohne Anmeldung blödsinn machen kann (Hafnium). Aber die Frage ist ob die kommerziellen Firewalls da wirklich besser sind.

Stefan
siegmarb
siegmarb 23.09.2023 um 09:15:03 Uhr
Goto Top
Zitat von @Globetrotter:

und was spricht dann gegen FrankysWeb ?

Gruss Globe!

Dagegen spricht, dass Franky nur NTLM mit seiner Anleitung nutzt und das nicht das bevorzugtes Protokoll ist für die Authentifizierung. Vielleicht muss ich hier mangels besserer Lösungen aber tatsächlich erstmal damit leben face-sad
siegmarb
siegmarb 23.09.2023 um 09:17:06 Uhr
Goto Top
Zitat von @Dani:

Meines Wissens nach wirst du auch mit einer Sophos kein Pre-Authentication für Exchange Services vollumfänglich hinbekommen. Das hatten wir gerade in einem Beitrag von @StefanKittel.

Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.
StefanKittel
StefanKittel 23.09.2023 um 09:47:11 Uhr
Goto Top
Moin

Zitat von @siegmarb:
Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.

Wenn Du das hinbekommst sage gerne Bescheid ob und wie Du das hinbekommen hast.
Ich, und vermutlich noch anderen, wäre froh da.

Die aktuellen Proxy-Setups sind nur ein grober Vorfilter der Anfrage nach Daumenmaß durchlässt.

Wenn man wüsste ob Jemand angemeldet ist, könnte man die Anfragen deutlich besser filtern.

Stefan
Dani
Dani 23.09.2023 um 10:43:20 Uhr
Goto Top
Moin,
Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.
bei den veröffentlichten Sicherheitslücken in den letzten 2 Jahren muss eigentlich bei jedem Exchange-Admin ein Umdenken erfolgen. Denn alle Installationen, welche mit Pre-Auth gesichert waren, konnten die Show mit Cola und Popcorn anschauen. Währenddessen andere Exchange-Server oder sogar das Ganze Netzwerk neu aufgebaut haben. Solche Botschaften werden nicht aus bleiben.

Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.
In wie fern schützt es dich gegen die Sicherheitslücken Hafnium & Co?


Gruß,
Dani
StefanKittel
StefanKittel 23.09.2023 aktualisiert um 13:00:36 Uhr
Goto Top
Hallo,

Zitat von @Dani:
Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.
In wie fern schützt es dich gegen die Sicherheitslücken Hafnium & Co?

und da sind wir wieder beim Kern der Geschichte.
Eine Firewall oder Proxy filtern und prüfen und erhöhen die Sicherheit.
100% Sichertheit kann es prinzipbedingt nicht geben.

Als PreAuth sind mir nur VPN oder Client-Zertifikate bekannt.
Sobald man zwei Postfächer von getrennten Servern hat, wird VPN schon schwierig in der Handhabung.
Und Client-Zertifikate auf iPhone mit der Standard-Mail-App funktionieren sehr wahrscheinlich gar nicht. (Habe ich nicht ausprobiert, aber auch Niemanden gefunden der es hat)

Man könnte über dynamische IP-Filter nachdenken.
Also Dyn-DNS-Client auf dem Smartphone der damit seine öffentliche IP freischaltet.
Klingt auch nicht so zuverlässig und auch ein bisschen grob.

Oder man geht vorher auf eine Webseite und meldet sich dort an und schaltet seine öffentliche IP frei.
Bei mobilen Geräte die sich bewegen auch wenig hilfreich.

Btw
Ein VPN ist auch angreifbar und ein Client-Zertifikat ist im Prinzip ja auch nur ein seeeeehr langes Kennwort.

Stefan
Dani
Dani 23.09.2023 um 18:06:30 Uhr
Goto Top
Moin,
Als PreAuth sind mir nur VPN oder Client-Zertifikate bekannt.
Das sind für mich beide keine Pre-Authentification Verfahren. Denn weder VPN noch Client Zertifikat werden dafür genutzt, dass die Authentification am Service, nämlich Exchangee-Server nach wie vor auf diesem stattfindet und nicht auf einem vorgelagerten Server.

In diesem Sinn wiederhole ich mich gerne. Die mir bekannten Produkte sind
  • Produkte von F5, Kemp und Barracuda, jeweils WAF/LB
  • Microsoft Azure Application Proxy
  • Microsoft AD FS + WAP

Und wer es erst meint sichert die Zugänge für ECP, OWA, Outlook Anywhere noch mit einem 2FA ala OTP.


Gruß,
Dani
Globetrotter
Globetrotter 25.09.2023 um 21:54:21 Uhr
Goto Top
@StefanKittel,
ich ziehe ja zu XGS um - mit "Support" für EX2016/2019... werde berichten.. wie mmer gesagt.. B2D2T ist is absulut beste Variante... da komme was da will... -> genug Tapes - genug Backups......

Gruß Globe!
Dani
Dani 25.09.2023 aktualisiert um 23:59:52 Uhr
Goto Top
@globtrotter
ich ziehe ja zu XGS um - mit "Support" für EX2016/2019... werde berichten..
Mein Wissensstand: Mini WAF => Ja, Pre-Auth => Nein.


Gruß,
Dani
StefanKittel
StefanKittel 26.09.2023 um 00:17:07 Uhr
Goto Top
Zitat von @Globetrotter:
ich ziehe ja zu XGS um - mit "Support" für EX2016/2019... werde berichten..

Ich bin gespannt.

Aber wie will man das testen? Man müsste einen bekannten Exploid haben, die Updates nicht installieren und schauen ob die WAF den blockiert. Viel Aufwand.


B2D2T ist is absulut beste Variante... da komme was da will... -> genug Tapes - genug Backups......
Tja... und dann kam Emotet und wühlte sich durch Netzwerke ohne aufzufallen. Was bringt Dir Dein Backup wenn Dein Netzwerk schon seit 6 Monaten inzifiert ist? Daten von 6 Monaten wegwerfen? Säuben?

Nach Exchange Haifun hätten alle oder zumindest viele Firmen weltweit mit Exchange Ihre ADs neu aufsetzen sollen.
Die Lücke wurde vor dem Update ausgenutzt. Es gab verschiedene Dinge woram man erkennen konnte ob Jemand da war. Aber wenn der seine Spure verwischt hat.... Hat aber kaum Jemand gemacht.

Stefan
Dani
Dani 26.09.2023 um 10:33:02 Uhr
Goto Top
Moin,
Aber wie will man das testen? Man müsste einen bekannten Exploid haben, die Updates nicht installieren und schauen ob die WAF den blockiert. Viel Aufwand.
der Request sollte eigentlich gar nicht bis zum Exchange-Server kommen. Weil das Pattern für den Angriffsvektor ist nach wie vor das Selbe und somit sollte die WAF den Request blockieren.

Nach Exchange Haifun hätten alle oder zumindest viele Firmen weltweit mit Exchange Ihre ADs neu aufsetzen sollen.
Die Lücke wurde vor dem Update ausgenutzt.
Darum bestehe ich auf Pre-Authentication - koste was es wolle. Es kann nicht teuer sein, als ein Unternehmensnetzwerk neu aufzubauen oder ein Disaster Recovery durchzuführen.


Gruß,
Dani
siegmarb
siegmarb 26.09.2023 um 11:42:58 Uhr
Goto Top
Zitat von @Globetrotter:
und was spricht dann gegen FrankysWeb ?

Danke. Ich kann schon mal berichten, dass o.g. Setup bei uns seit 3 Tagen einwandfrei funktioniert mit OL13+16+19 jedoch noch ohne Kerberos. Hier starte ich nächste Woche einen Testaufbau und ich liefer dann nochmal ein Follow-up.
Globetrotter
Globetrotter 28.09.2023 um 17:19:28 Uhr
Goto Top
@Dani
Mein Wissensstand: Mini WAF => Ja, Pre-Auth => Nein.
Die XGS hat da angeblich was neues - nennt sich "Streaming" - ich werde in den nächsten 14 Tagen berichten..
Das mit WAF geht zwar noch mit der XGS, ist aber "Pfusch"....

Gruss Globe!
StefanKittel
StefanKittel 28.09.2023 um 17:30:31 Uhr
Goto Top
Hallo,

Zitat von @Globetrotter:
@Dani
Die XGS hat da angeblich was neues - nennt sich "Streaming" - ich werde in den nächsten 14 Tagen berichten..

Die Webseite als interaktives Video zu streamen ist ein spanender Ansatz...
Globetrotter
Globetrotter 28.09.2023 um 18:04:19 Uhr
Goto Top
Hi@StefanKittel...
xg-architecture[2]
StefanKittel
StefanKittel 28.09.2023 um 21:33:14 Uhr
Goto Top
Hallo @Globetrotter,
Danke.
Das klingt ganz gut. Aber es ist auch nur eine Sammlung von Schlagworten.
Ich erinnere mich an einen Fall wo die Presse auf der CeBit den Entwicklungschef von NVidia nach einer angekündigten Technik frage und der sie auf Presseabteilung von NVidia verwiese weil er die gar nicht kennt.

Einige Hersteller haben nur einen einfachen Proxy und vieleicht andere eine richtige Firewall.
Ein wo täglich ein Team Angriffsmuster aus den Logs durchschaut und neue Regeln entwickelt und testet.
Aber wer was hat ist nicht so einfach zu erkennen.

Man bräuchte Exchange-Server mit den Firewalls der Hersteller um zu schauen ob bekannte Angriffe bis zum Exchange durchkommen. Wenn das schon gelingt ist die Firewall nichts wert. Wäre doch was für einen gelangweilige Penetration Experten.

Stefan