Proxy vor Exchange19, Authentifizierung, Exch. Extended Protection
Hi Forum,
wir haben derzeit einen Nginx-Proxy vor dem Exchange 19 stehen, der hinten raus noch verschl. Basic-Authentifizierung macht zum EX, was unschön ist.
Der Proxy erfüllt den Zweck, div. URLs des IIS nicht durchzulassen und präsentiert den Clients ein öffentliches Zertifikat.
Jetzt möchte ich im IIS Exchange Extended Protection aktivieren. Greift aber nur zuverlässig, wenn ich Windows-Authentifizierung (Kerberos oder NTLM "erzwinge").
Kerberos selbst, ist nicht ganz trivial durch den Proxy zu bekommen und so auch nicht nativ von Nginx unterstützt.
Was würdet Ihr tun?
Dankesehr.
wir haben derzeit einen Nginx-Proxy vor dem Exchange 19 stehen, der hinten raus noch verschl. Basic-Authentifizierung macht zum EX, was unschön ist.
Der Proxy erfüllt den Zweck, div. URLs des IIS nicht durchzulassen und präsentiert den Clients ein öffentliches Zertifikat.
Jetzt möchte ich im IIS Exchange Extended Protection aktivieren. Greift aber nur zuverlässig, wenn ich Windows-Authentifizierung (Kerberos oder NTLM "erzwinge").
Kerberos selbst, ist nicht ganz trivial durch den Proxy zu bekommen und so auch nicht nativ von Nginx unterstützt.
Was würdet Ihr tun?
Dankesehr.
Please also mark the comments that contributed to the solution of the article
Content-ID: 11344728543
Url: https://administrator.de/contentid/11344728543
Printed on: October 5, 2024 at 09:10 o'clock
23 Comments
Latest comment
Jo.. da haste Recht - es gibt aber auch prof. Support von PFSense... dann den mal andragen und den Geldbeutel bereit legen.. die Haben sicherlich ne günstige Lösung ...
Ich selbst rüste gerade 2 SOPHOS XGS auf von der UTM. Deshalb betrifft mich das auch. Bekomme unterstützung für das "Streaming"... WAF ist ja out.
Bin mal gespannt...
Gruss Globe!
Ich selbst rüste gerade 2 SOPHOS XGS auf von der UTM. Deshalb betrifft mich das auch. Bekomme unterstützung für das "Streaming"... WAF ist ja out.
Bin mal gespannt...
Gruss Globe!
Moin,
Gruß,
Dani
Ich selbst rüste gerade 2 SOPHOS XGS auf von der UTM. Deshalb betrifft mich das auch. Bekomme unterstützung für das "Streaming"...
Meines Wissens nach wirst du auch mit einer Sophos kein Pre-Authentication für Exchange Services vollumfänglich hinbekommen. Das hatten wir gerade in einem Beitrag von @StefanKittel.Gruß,
Dani
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Ich selbst rüste gerade 2 SOPHOS XGS auf von der UTM. Deshalb betrifft mich das auch. Bekomme unterstützung für das "Streaming"...
Meines Wissens nach wirst du auch mit einer Sophos kein Pre-Authentication für Exchange Services vollumfänglich hinbekommen. Das hatten wir gerade in einem Beitrag von @StefanKittel.Gruß,
Dani
Und das mit der PreAuth mit Client Zertifikaten hängt, zumindest bei iPhones, an Apple...
Unterstützt IOS Client Zertifikate mit der normalen Mail App?
Die Outlook App in IOS ist nicht soooo toll.
Siehe auch
Sind kommerzielle UTM Firewalls besser als Open source Reverse Proxys?
Mit den Möglichkeiten eines Proxy bekommt man schon einen recht guten Schutz hin.
Geo Blocking
Header management
Brute-Force-Schutz
Rate-Limiter
URL-Schutz
Tarpits
Bringt natürlich nichts wenn ein Angreifer das Kennwort kennt oder es eine ECP URL gibt wo man ohne Anmeldung blödsinn machen kann (Hafnium). Aber die Frage ist ob die kommerziellen Firewalls da wirklich besser sind.
Stefan
Sind kommerzielle UTM Firewalls besser als Open source Reverse Proxys?
Mit den Möglichkeiten eines Proxy bekommt man schon einen recht guten Schutz hin.
Geo Blocking
Header management
Brute-Force-Schutz
Rate-Limiter
URL-Schutz
Tarpits
Bringt natürlich nichts wenn ein Angreifer das Kennwort kennt oder es eine ECP URL gibt wo man ohne Anmeldung blödsinn machen kann (Hafnium). Aber die Frage ist ob die kommerziellen Firewalls da wirklich besser sind.
Stefan
Moin
Wenn Du das hinbekommst sage gerne Bescheid ob und wie Du das hinbekommen hast.
Ich, und vermutlich noch anderen, wäre froh da.
Die aktuellen Proxy-Setups sind nur ein grober Vorfilter der Anfrage nach Daumenmaß durchlässt.
Wenn man wüsste ob Jemand angemeldet ist, könnte man die Anfragen deutlich besser filtern.
Stefan
Zitat von @siegmarb:
Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.
Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.
Wenn Du das hinbekommst sage gerne Bescheid ob und wie Du das hinbekommen hast.
Ich, und vermutlich noch anderen, wäre froh da.
Die aktuellen Proxy-Setups sind nur ein grober Vorfilter der Anfrage nach Daumenmaß durchlässt.
Wenn man wüsste ob Jemand angemeldet ist, könnte man die Anfragen deutlich besser filtern.
Stefan
Moin,
Gruß,
Dani
Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.
bei den veröffentlichten Sicherheitslücken in den letzten 2 Jahren muss eigentlich bei jedem Exchange-Admin ein Umdenken erfolgen. Denn alle Installationen, welche mit Pre-Auth gesichert waren, konnten die Show mit Cola und Popcorn anschauen. Währenddessen andere Exchange-Server oder sogar das Ganze Netzwerk neu aufgebaut haben. Solche Botschaften werden nicht aus bleiben.Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.
In wie fern schützt es dich gegen die Sicherheitslücken Hafnium & Co?Gruß,
Dani
Hallo,
und da sind wir wieder beim Kern der Geschichte.
Eine Firewall oder Proxy filtern und prüfen und erhöhen die Sicherheit.
100% Sichertheit kann es prinzipbedingt nicht geben.
Als PreAuth sind mir nur VPN oder Client-Zertifikate bekannt.
Sobald man zwei Postfächer von getrennten Servern hat, wird VPN schon schwierig in der Handhabung.
Und Client-Zertifikate auf iPhone mit der Standard-Mail-App funktionieren sehr wahrscheinlich gar nicht. (Habe ich nicht ausprobiert, aber auch Niemanden gefunden der es hat)
Man könnte über dynamische IP-Filter nachdenken.
Also Dyn-DNS-Client auf dem Smartphone der damit seine öffentliche IP freischaltet.
Klingt auch nicht so zuverlässig und auch ein bisschen grob.
Oder man geht vorher auf eine Webseite und meldet sich dort an und schaltet seine öffentliche IP frei.
Bei mobilen Geräte die sich bewegen auch wenig hilfreich.
Btw
Ein VPN ist auch angreifbar und ein Client-Zertifikat ist im Prinzip ja auch nur ein seeeeehr langes Kennwort.
Stefan
Zitat von @Dani:
Pre-Authentication ist gar kein muss. Es wäre schon ausreichend/nice, wenn der "Proxy" Kerberos-Tickets delegiert.
In wie fern schützt es dich gegen die Sicherheitslücken Hafnium & Co?und da sind wir wieder beim Kern der Geschichte.
Eine Firewall oder Proxy filtern und prüfen und erhöhen die Sicherheit.
100% Sichertheit kann es prinzipbedingt nicht geben.
Als PreAuth sind mir nur VPN oder Client-Zertifikate bekannt.
Sobald man zwei Postfächer von getrennten Servern hat, wird VPN schon schwierig in der Handhabung.
Und Client-Zertifikate auf iPhone mit der Standard-Mail-App funktionieren sehr wahrscheinlich gar nicht. (Habe ich nicht ausprobiert, aber auch Niemanden gefunden der es hat)
Man könnte über dynamische IP-Filter nachdenken.
Also Dyn-DNS-Client auf dem Smartphone der damit seine öffentliche IP freischaltet.
Klingt auch nicht so zuverlässig und auch ein bisschen grob.
Oder man geht vorher auf eine Webseite und meldet sich dort an und schaltet seine öffentliche IP frei.
Bei mobilen Geräte die sich bewegen auch wenig hilfreich.
Btw
Ein VPN ist auch angreifbar und ein Client-Zertifikat ist im Prinzip ja auch nur ein seeeeehr langes Kennwort.
Stefan
Moin,
In diesem Sinn wiederhole ich mich gerne. Die mir bekannten Produkte sind
Und wer es erst meint sichert die Zugänge für ECP, OWA, Outlook Anywhere noch mit einem 2FA ala OTP.
Gruß,
Dani
Als PreAuth sind mir nur VPN oder Client-Zertifikate bekannt.
Das sind für mich beide keine Pre-Authentification Verfahren. Denn weder VPN noch Client Zertifikat werden dafür genutzt, dass die Authentification am Service, nämlich Exchangee-Server nach wie vor auf diesem stattfindet und nicht auf einem vorgelagerten Server.In diesem Sinn wiederhole ich mich gerne. Die mir bekannten Produkte sind
- Produkte von F5, Kemp und Barracuda, jeweils WAF/LB
- Microsoft Azure Application Proxy
- Microsoft AD FS + WAP
Und wer es erst meint sichert die Zugänge für ECP, OWA, Outlook Anywhere noch mit einem 2FA ala OTP.
Gruß,
Dani
@StefanKittel,
ich ziehe ja zu XGS um - mit "Support" für EX2016/2019... werde berichten.. wie mmer gesagt.. B2D2T ist is absulut beste Variante... da komme was da will... -> genug Tapes - genug Backups......
Gruß Globe!
ich ziehe ja zu XGS um - mit "Support" für EX2016/2019... werde berichten.. wie mmer gesagt.. B2D2T ist is absulut beste Variante... da komme was da will... -> genug Tapes - genug Backups......
Gruß Globe!
Ich bin gespannt.
Aber wie will man das testen? Man müsste einen bekannten Exploid haben, die Updates nicht installieren und schauen ob die WAF den blockiert. Viel Aufwand.
B2D2T ist is absulut beste Variante... da komme was da will... -> genug Tapes - genug Backups......
Tja... und dann kam Emotet und wühlte sich durch Netzwerke ohne aufzufallen. Was bringt Dir Dein Backup wenn Dein Netzwerk schon seit 6 Monaten inzifiert ist? Daten von 6 Monaten wegwerfen? Säuben?Nach Exchange Haifun hätten alle oder zumindest viele Firmen weltweit mit Exchange Ihre ADs neu aufsetzen sollen.
Die Lücke wurde vor dem Update ausgenutzt. Es gab verschiedene Dinge woram man erkennen konnte ob Jemand da war. Aber wenn der seine Spure verwischt hat.... Hat aber kaum Jemand gemacht.
Stefan
Moin,
Darum bestehe ich auf Pre-Authentication - koste was es wolle. Es kann nicht teuer sein, als ein Unternehmensnetzwerk neu aufzubauen oder ein Disaster Recovery durchzuführen.
Gruß,
Dani
Aber wie will man das testen? Man müsste einen bekannten Exploid haben, die Updates nicht installieren und schauen ob die WAF den blockiert. Viel Aufwand.
der Request sollte eigentlich gar nicht bis zum Exchange-Server kommen. Weil das Pattern für den Angriffsvektor ist nach wie vor das Selbe und somit sollte die WAF den Request blockieren.Nach Exchange Haifun hätten alle oder zumindest viele Firmen weltweit mit Exchange Ihre ADs neu aufsetzen sollen.
Die Lücke wurde vor dem Update ausgenutzt.Darum bestehe ich auf Pre-Authentication - koste was es wolle. Es kann nicht teuer sein, als ein Unternehmensnetzwerk neu aufzubauen oder ein Disaster Recovery durchzuführen.
Gruß,
Dani
@Dani
Das mit WAF geht zwar noch mit der XGS, ist aber "Pfusch"....
Gruss Globe!
Mein Wissensstand: Mini WAF => Ja, Pre-Auth => Nein.
Die XGS hat da angeblich was neues - nennt sich "Streaming" - ich werde in den nächsten 14 Tagen berichten..Das mit WAF geht zwar noch mit der XGS, ist aber "Pfusch"....
Gruss Globe!
Hallo,
Die Webseite als interaktives Video zu streamen ist ein spanender Ansatz...
Zitat von @Globetrotter:
@Dani
Die XGS hat da angeblich was neues - nennt sich "Streaming" - ich werde in den nächsten 14 Tagen berichten..
@Dani
Die XGS hat da angeblich was neues - nennt sich "Streaming" - ich werde in den nächsten 14 Tagen berichten..
Die Webseite als interaktives Video zu streamen ist ein spanender Ansatz...
Hallo @Globetrotter,
Danke.
Das klingt ganz gut. Aber es ist auch nur eine Sammlung von Schlagworten.
Ich erinnere mich an einen Fall wo die Presse auf der CeBit den Entwicklungschef von NVidia nach einer angekündigten Technik frage und der sie auf Presseabteilung von NVidia verwiese weil er die gar nicht kennt.
Einige Hersteller haben nur einen einfachen Proxy und vieleicht andere eine richtige Firewall.
Ein wo täglich ein Team Angriffsmuster aus den Logs durchschaut und neue Regeln entwickelt und testet.
Aber wer was hat ist nicht so einfach zu erkennen.
Man bräuchte Exchange-Server mit den Firewalls der Hersteller um zu schauen ob bekannte Angriffe bis zum Exchange durchkommen. Wenn das schon gelingt ist die Firewall nichts wert. Wäre doch was für einen gelangweilige Penetration Experten.
Stefan
Danke.
Das klingt ganz gut. Aber es ist auch nur eine Sammlung von Schlagworten.
Ich erinnere mich an einen Fall wo die Presse auf der CeBit den Entwicklungschef von NVidia nach einer angekündigten Technik frage und der sie auf Presseabteilung von NVidia verwiese weil er die gar nicht kennt.
Einige Hersteller haben nur einen einfachen Proxy und vieleicht andere eine richtige Firewall.
Ein wo täglich ein Team Angriffsmuster aus den Logs durchschaut und neue Regeln entwickelt und testet.
Aber wer was hat ist nicht so einfach zu erkennen.
Man bräuchte Exchange-Server mit den Firewalls der Hersteller um zu schauen ob bekannte Angriffe bis zum Exchange durchkommen. Wenn das schon gelingt ist die Firewall nichts wert. Wäre doch was für einen gelangweilige Penetration Experten.
Stefan