7
WAF für Exchange OWA u. ActiveSync
Hallo Administratoren,
ich bin auf der Suche nach einer einfachen WAF zur Absicherung von OWA und ActiveSync.
OWA wird nur sporadisch verwendet. Per ActiveSync sind 5 Smartphones angebunden.
Grundsätzlich wird eine gute/günstige WAF gesucht.
Wäre eine Sophos XGS 87 hierfür passend? Bzw. habt Ihr Empfehlungen?
Vielen Dank.
ich bin auf der Suche nach einer einfachen WAF zur Absicherung von OWA und ActiveSync.
OWA wird nur sporadisch verwendet. Per ActiveSync sind 5 Smartphones angebunden.
Grundsätzlich wird eine gute/günstige WAF gesucht.
Wäre eine Sophos XGS 87 hierfür passend? Bzw. habt Ihr Empfehlungen?
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3399158081
Url: https://administrator.de/contentid/3399158081
Printed on: April 26, 2024 at 15:04 o'clock
7 Comments
Latest comment
Moin,
Gruß,
Dani
ich bin auf der Suche nach einer einfachen WAF zur Absicherung von OWA und ActiveSync.
Muss die WAF was spezielles können? Wie lauten die Anforderungen für die WAF?zw. habt Ihr Empfehlungen?
Kostenlos und Opensource: Apache als Reverse Proxy mit ModSecurity.Gruß,
Dani
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
ich bin auf der Suche nach einer einfachen WAF zur Absicherung von OWA und ActiveSync.
Muss die WAF was spezielles können? Wie lauten die Anforderungen für die WAF?zw. habt Ihr Empfehlungen?
Kostenlos und Opensource: Apache als Reverse Proxy mit ModSecurity.Gruß,
Dani
Was meinst du mit spezielles? Meinst du damit z.B. das die WAF auch die Authentifizierung übernimmt?
Welche Funktionen sind den generell als guter Standard zu empfehlen?
Funktionen wie Geo-Blocking, IPS, SSL-Inspection, etc. werden bereits von unserer FW übernommen.
Allerdings hat die FW keine WAF.
Deshalb suche eine WAF-Hardware-Appliance die ich dann in die DMZ setzen kann für ActiveSync und OWA (443).
CloudFlare?
Moin,
Wenn das für dich alles nicht in Frage kommt, ist evtl. die Cloud wie Kollege @2423392070 genannt hat, eine Option. Ich persönlich würde allerdings deutsche Anbieter (z.B. Link11) bevorzugen.
Gruß,
Dani
Was meinst du mit spezielles?
Aktuell redest du von OWA und AS. Ist es absehbar, dass noch weitere Internetseiten geschützt werden sollen. Des Weiteren ist die Frage, wer pflegt die WAF und pflegt das Regelwerk (Überwachen, Anpassen, Dokumentieren, etc.). Oder soll dies nur einen IT-Dienstleister im Rahmen von ManagedService abgedeckt werden. Das hat meistens die Abhängigkeit, dass der IT-Dienstleister den Hersteller der WAF auf Grund der Qualifikationen festlegt.Wenn das für dich alles nicht in Frage kommt, ist evtl. die Cloud wie Kollege @2423392070 genannt hat, eine Option. Ich persönlich würde allerdings deutsche Anbieter (z.B. Link11) bevorzugen.
Meinst du damit z.B. das die WAF auch die Authentifizierung übernimmt?
Macht grundsätzlich sinn. Je nachdem wie bisher eure Maßnahmen in dem Bereich aussehen.Funktionen wie ... SSL-Inspection ... werden bereits von unserer FW übernommen.
Inbound? D.h. auch die Verbindungen werden auf der Firewall terminiert? Das hätte entsprechend Auswirkungen auf das von dir gewünschte Design mit der WAF.Gruß,
Dani
Zitat von @Dani:
Moin,
Wenn das für dich alles nicht in Frage kommt, ist evtl. die Cloud wie Kollege @2423392070 genannt hat, eine Option. Ich persönlich würde allerdings deutsche Anbieter (z.B. Link11) bevorzugen.
Gruß,
Dani
Moin,
Was meinst du mit spezielles?
Aktuell redest du von OWA und AS. Ist es absehbar, dass noch weitere Internetseiten geschützt werden sollen. Des Weiteren ist die Frage, wer pflegt die WAF und pflegt das Regelwerk (Überwachen, Anpassen, Dokumentieren, etc.). Oder soll dies nur einen IT-Dienstleister im Rahmen von ManagedService abgedeckt werden. Das hat meistens die Abhängigkeit, dass der IT-Dienstleister den Hersteller der WAF auf Grund der Qualifikationen festlegt.Wenn das für dich alles nicht in Frage kommt, ist evtl. die Cloud wie Kollege @2423392070 genannt hat, eine Option. Ich persönlich würde allerdings deutsche Anbieter (z.B. Link11) bevorzugen.
Meinst du damit z.B. das die WAF auch die Authentifizierung übernimmt?
Macht grundsätzlich sinn. Je nachdem wie bisher eure Maßnahmen in dem Bereich aussehen.Funktionen wie ... SSL-Inspection ... werden bereits von unserer FW übernommen.
Inbound? D.h. auch die Verbindungen werden auf der Firewall terminiert? Das hätte entsprechend Auswirkungen auf das von dir gewünschte Design mit der WAF.Gruß,
Dani
Es wird ziemlich wahrscheinlich bei OWA und AS bleiben, für alles andere VPN.
Warten und pflegen würde ich die WAF.
Angebote für Cloud und einer managed WAF habe ich bereits vorliegen.
Was mir fehlt ist eben eine Lösung welche ich selbst verwalte, um schlicht weg die Kosten zu vergleichen.
In meiner bisherigen Recherche habe ich festgestellt das viele eine Sophos dafür verwenden, z.B. ist auf frankysweb.de eine Anleitung zwecks Einrichtung vorhanden.
Dann gibt es noch Geräte von F5, Kemp oder der gleichen. Welche aber im meinem Szenario wahrscheinlich etwas overpowered sind.
Bei Apache als Reverse Proxy mit ModSecurity oder Nginx habe ich eben das Problem das es komplett von mir verwaltet wird(Aufwand, Backups, Ausfall Hardware) und der Support findet über die Community statt.
Da ist eine Sophos oder ähnliches wesentlich einfacher zu handeln. Backup Konfig, regelmäßige Firmware Updates, Logs durchschauen und im Falle Hardware-Defekt direkter Austausch.
Die Authentifizierung auf der WAF würde ich aktuell als nice-to-have Option einordnen.
Beim Einsatz einer WAF wird natürlich auf dieser terminiert.
Moin,
GRuß,
Dani
Was mir fehlt ist eben eine Lösung welche ich selbst verwalte, um schlicht weg die Kosten zu vergleichen.
denke bitte auch an die organisatorische Themen: Wer kümmert sich um die WAF wenn du krank, Urlaub oder gekündigt hast?!In meiner bisherigen Recherche habe ich festgestellt das viele eine Sophos dafür verwenden, z.B. ist auf frankysweb.de eine Anleitung zwecks Einrichtung vorhanden.
Das sollte nicht der Maßstab sein. Definiere Anforderungen (Technisch, kaufmännisch, organisatorisch) und schaue danach welche Hersteller in Frage kommt. Alles andere ist doch für die Katz.Dann gibt es noch Geräte von F5, Kemp oder der gleichen. Welche aber im meinem Szenario wahrscheinlich etwas overpowered sind.
Wie sagt, Anforderungen definieren und ggf. gewichten. Dann hast du zu Vermutungen auch Fakten. Letztes wird deinem Vorgesetzten besser gefallen.Bei Apache als Reverse Proxy mit ModSecurity oder Nginx habe ich eben das Problem das es komplett von mir verwaltet wird(Aufwand, Backups, Ausfall Hardware) und der Support findet über die Community statt.
Es gibt dazu auch IT-Dienstleister, die dafür Support/Unterstützung anbieten.GRuß,
Dani
Hallo Dani,
ich habe mich nach Einarbeitung, jetzt doch für Apache als Reverse Proxy mit ModSecurity entschieden.
So kompliziert ist das System gar nicht. Für kommende Anforderungen ist man mit dieser Lösung auch gut aufgestellt.
Klar organisatorisch gebe ich dir Recht, aber im Endeffekt bekommt man das nie unter einen Hut.
Jeder Dienstleister hat seine eigenen "Lieblinge", von dem man dann zwangsläufig abhängig ist.
ich habe mich nach Einarbeitung, jetzt doch für Apache als Reverse Proxy mit ModSecurity entschieden.
So kompliziert ist das System gar nicht. Für kommende Anforderungen ist man mit dieser Lösung auch gut aufgestellt.
Klar organisatorisch gebe ich dir Recht, aber im Endeffekt bekommt man das nie unter einen Hut.
Jeder Dienstleister hat seine eigenen "Lieblinge", von dem man dann zwangsläufig abhängig ist.