wasabi
Goto Top

WAF für Exchange OWA u. ActiveSync

Hallo Administratoren,

ich bin auf der Suche nach einer einfachen WAF zur Absicherung von OWA und ActiveSync.
OWA wird nur sporadisch verwendet. Per ActiveSync sind 5 Smartphones angebunden.
Grundsätzlich wird eine gute/günstige WAF gesucht.

Wäre eine Sophos XGS 87 hierfür passend? Bzw. habt Ihr Empfehlungen?

Vielen Dank.

Content-ID: 3399158081

Url: https://administrator.de/forum/waf-fuer-exchange-owa-u-activesync-3399158081.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

Dani
Lösung Dani 21.07.2022 um 15:10:36 Uhr
Goto Top
Moin,
ich bin auf der Suche nach einer einfachen WAF zur Absicherung von OWA und ActiveSync.
Muss die WAF was spezielles können? Wie lauten die Anforderungen für die WAF?

zw. habt Ihr Empfehlungen?
Kostenlos und Opensource: Apache als Reverse Proxy mit ModSecurity.


Gruß,
Dani
wasabi
wasabi 21.07.2022 um 15:50:17 Uhr
Goto Top
Zitat von @Dani:

Moin,
ich bin auf der Suche nach einer einfachen WAF zur Absicherung von OWA und ActiveSync.
Muss die WAF was spezielles können? Wie lauten die Anforderungen für die WAF?

zw. habt Ihr Empfehlungen?
Kostenlos und Opensource: Apache als Reverse Proxy mit ModSecurity.


Gruß,
Dani

Was meinst du mit spezielles? Meinst du damit z.B. das die WAF auch die Authentifizierung übernimmt?
Welche Funktionen sind den generell als guter Standard zu empfehlen?

Funktionen wie Geo-Blocking, IPS, SSL-Inspection, etc. werden bereits von unserer FW übernommen.
Allerdings hat die FW keine WAF.
Deshalb suche eine WAF-Hardware-Appliance die ich dann in die DMZ setzen kann für ActiveSync und OWA (443).
2423392070
2423392070 21.07.2022 um 19:09:24 Uhr
Goto Top
CloudFlare?
Dani
Dani 21.07.2022 um 19:26:20 Uhr
Goto Top
Moin,
Was meinst du mit spezielles?
Aktuell redest du von OWA und AS. Ist es absehbar, dass noch weitere Internetseiten geschützt werden sollen. Des Weiteren ist die Frage, wer pflegt die WAF und pflegt das Regelwerk (Überwachen, Anpassen, Dokumentieren, etc.). Oder soll dies nur einen IT-Dienstleister im Rahmen von ManagedService abgedeckt werden. Das hat meistens die Abhängigkeit, dass der IT-Dienstleister den Hersteller der WAF auf Grund der Qualifikationen festlegt.

Wenn das für dich alles nicht in Frage kommt, ist evtl. die Cloud wie Kollege @2423392070 genannt hat, eine Option. Ich persönlich würde allerdings deutsche Anbieter (z.B. Link11) bevorzugen.

Meinst du damit z.B. das die WAF auch die Authentifizierung übernimmt?
Macht grundsätzlich sinn. Je nachdem wie bisher eure Maßnahmen in dem Bereich aussehen.

Funktionen wie ... SSL-Inspection ... werden bereits von unserer FW übernommen.
Inbound? D.h. auch die Verbindungen werden auf der Firewall terminiert? Das hätte entsprechend Auswirkungen auf das von dir gewünschte Design mit der WAF.


Gruß,
Dani
wasabi
wasabi 22.07.2022 aktualisiert um 10:02:05 Uhr
Goto Top
Zitat von @Dani:

Moin,
Was meinst du mit spezielles?
Aktuell redest du von OWA und AS. Ist es absehbar, dass noch weitere Internetseiten geschützt werden sollen. Des Weiteren ist die Frage, wer pflegt die WAF und pflegt das Regelwerk (Überwachen, Anpassen, Dokumentieren, etc.). Oder soll dies nur einen IT-Dienstleister im Rahmen von ManagedService abgedeckt werden. Das hat meistens die Abhängigkeit, dass der IT-Dienstleister den Hersteller der WAF auf Grund der Qualifikationen festlegt.

Wenn das für dich alles nicht in Frage kommt, ist evtl. die Cloud wie Kollege @2423392070 genannt hat, eine Option. Ich persönlich würde allerdings deutsche Anbieter (z.B. Link11) bevorzugen.

Meinst du damit z.B. das die WAF auch die Authentifizierung übernimmt?
Macht grundsätzlich sinn. Je nachdem wie bisher eure Maßnahmen in dem Bereich aussehen.

Funktionen wie ... SSL-Inspection ... werden bereits von unserer FW übernommen.
Inbound? D.h. auch die Verbindungen werden auf der Firewall terminiert? Das hätte entsprechend Auswirkungen auf das von dir gewünschte Design mit der WAF.


Gruß,
Dani

Es wird ziemlich wahrscheinlich bei OWA und AS bleiben, für alles andere VPN.
Warten und pflegen würde ich die WAF.
Angebote für Cloud und einer managed WAF habe ich bereits vorliegen.
Was mir fehlt ist eben eine Lösung welche ich selbst verwalte, um schlicht weg die Kosten zu vergleichen.

In meiner bisherigen Recherche habe ich festgestellt das viele eine Sophos dafür verwenden, z.B. ist auf frankysweb.de eine Anleitung zwecks Einrichtung vorhanden.

Dann gibt es noch Geräte von F5, Kemp oder der gleichen. Welche aber im meinem Szenario wahrscheinlich etwas overpowered sind.

Bei Apache als Reverse Proxy mit ModSecurity oder Nginx habe ich eben das Problem das es komplett von mir verwaltet wird(Aufwand, Backups, Ausfall Hardware) und der Support findet über die Community statt.
Da ist eine Sophos oder ähnliches wesentlich einfacher zu handeln. Backup Konfig, regelmäßige Firmware Updates, Logs durchschauen und im Falle Hardware-Defekt direkter Austausch.

Die Authentifizierung auf der WAF würde ich aktuell als nice-to-have Option einordnen.

Beim Einsatz einer WAF wird natürlich auf dieser terminiert.
Dani
Dani 17.08.2022 um 15:39:17 Uhr
Goto Top
Moin,
Was mir fehlt ist eben eine Lösung welche ich selbst verwalte, um schlicht weg die Kosten zu vergleichen.
denke bitte auch an die organisatorische Themen: Wer kümmert sich um die WAF wenn du krank, Urlaub oder gekündigt hast?!

In meiner bisherigen Recherche habe ich festgestellt das viele eine Sophos dafür verwenden, z.B. ist auf frankysweb.de eine Anleitung zwecks Einrichtung vorhanden.
Das sollte nicht der Maßstab sein. Definiere Anforderungen (Technisch, kaufmännisch, organisatorisch) und schaue danach welche Hersteller in Frage kommt. Alles andere ist doch für die Katz.

Dann gibt es noch Geräte von F5, Kemp oder der gleichen. Welche aber im meinem Szenario wahrscheinlich etwas overpowered sind.
Wie sagt, Anforderungen definieren und ggf. gewichten. Dann hast du zu Vermutungen auch Fakten. Letztes wird deinem Vorgesetzten besser gefallen.

Bei Apache als Reverse Proxy mit ModSecurity oder Nginx habe ich eben das Problem das es komplett von mir verwaltet wird(Aufwand, Backups, Ausfall Hardware) und der Support findet über die Community statt.
Es gibt dazu auch IT-Dienstleister, die dafür Support/Unterstützung anbieten.


GRuß,
Dani
wasabi
wasabi 22.08.2022 um 14:39:10 Uhr
Goto Top
Hallo Dani,

ich habe mich nach Einarbeitung, jetzt doch für Apache als Reverse Proxy mit ModSecurity entschieden.
So kompliziert ist das System gar nicht. Für kommende Anforderungen ist man mit dieser Lösung auch gut aufgestellt.

Klar organisatorisch gebe ich dir Recht, aber im Endeffekt bekommt man das nie unter einen Hut.
Jeder Dienstleister hat seine eigenen "Lieblinge", von dem man dann zwangsläufig abhängig ist.