Was bringt ein Reverse Proxy vor einem Exchange für KMU?

edvman27
Goto Top
Hallo,

ich habe bei einem KMU Kunden gesehen, dass dieser einen Reverse-Proxy (NGINX) vor dem Exchange für HTTPs geschaltet hat.

Das ist nicht so mein Thema, ich kann mit OWA, ECP und umgehen und Outlook einrichten.
Es ist mehr eine rein (sicherheits-)technische Frage.

Es geht um einen KMU Kunden mit stark fluktuierenden Personal und vielen Externen.
Deshalb sind Dinge wie VPN, Preauthentifizierung oder Client-Zertifikate keine Option. Sagt der Kunde zumindest.
Hier geht es nur um HTTPs, weder SMTP, POP oder IMAP.

1. Die haben nur /owa und /Microsoft-Server-ActiveSync zugelassen.
Aber was ist mit /ews, /oab, /mapi und /autodiscover?
Braucht man die heutzutage für Exchange 2013, 2016, 2019 und Outlook 2013, 2016, 2019 und 2021 nicht mehr?

2. Was bringt der Proxy?
  • ECP bleibt draußen.
  • Direkte Zugriff auf Sicherheitslücken des IIS blauben draußen.
  • Mit GEO Blocking bleiben unfreundliche Personen von woanders draußen.
  • Aber Haifun hätte er nicht verhindert, da der Zugriff auf den Exchange ja 1:1 durchgeleitet wird.

3. Was machen richtige Firewalls besser?
Laut Aussage eines Firewall-"Experten" eines größeren Systemhauses nutzen viele Firewalls technisch auch nur Squid als Proxy.
Es gibt dort kein IDS oder IPS. Auch kein Brute-Force-Schutz.

Dies hier liest sich genau so.
https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange


Frage 1: Lohnt sich ein Open Source Proxy mit Geo-Blocking?
Frage 1: Wieviel besser ist eine Firewall als so ein Proxy?

Danke für Eure Gedanken

Content-Key: 2906821125

Url: https://administrator.de/contentid/2906821125

Ausgedruckt am: 29.06.2022 um 07:06 Uhr

Mitglied: MysticFoxDE
Lösung MysticFoxDE 27.05.2022 aktualisiert um 04:41:00 Uhr
Goto Top
Moin EDVMan27,

Es geht um einen KMU Kunden mit stark fluktuierenden Personal und vielen Externen.
Deshalb sind Dinge wie VPN, Preauthentifizierung oder Client-Zertifikate keine Option. Sagt der Kunde zumindest.
Hier geht es nur um HTTPs, weder SMTP, POP oder IMAP.

und wie genau nutzt der Kunde diesen Exchange von aussen per HTTPS?
Sind Smartphones angebunden, wenn ja welche (Android/Apple)?
Notebooks mit Outlook?
Nutzt er evtl. nur OWA über den Browser?

1. Die haben nur /owa und /Microsoft-Server-ActiveSync zugelassen.

Das riecht nach Smartphone.

Aber was ist mit /ews, /oab, /mapi und /autodiscover?
Braucht man die heutzutage für Exchange 2013, 2016, 2019 und Outlook 2013, 2016, 2019 und 2021 nicht mehr?

Das kommt ganz auf den Client an.

2. Was bringt der Proxy?
  • ECP bleibt draußen.

Das geht auch per Bordmittel, ganz ohne WAF (Reverse-Proxy/WebApplicationFireWall/ALG).

* Direkte Zugriff auf Sicherheitslücken des IIS blauben draußen.

Theoretisch ja.

* Mit GEO Blocking bleiben unfreundliche Personen von woanders draußen.

GEO Blocking kann bereits schon eine anständige FW (FireWall), dafür brauchst du nicht unbedingt eine WAF.

* Aber Haifun hätte er nicht verhindert, da der Zugriff auf den Exchange ja 1:1 durchgeleitet wird.

Das kommt ganz auf die Implementierung der jeweiligen WAF an.

3. Was machen richtige Firewalls besser?

Nichts, eine normale FireWall regelt normalerweise nur auf der Layer 3 Ebene.
Eine WAF, die heutzutage normalerweise in einem Enterprise-Security-Gateway steckt, regelt auf Layer 7 Ebene und ist somit jeder normalen Layer 3 FireWall, schutztechnisch haushoch überlegen.

Laut Aussage eines Firewall-"Experten" eines größeren Systemhauses nutzen viele Firewalls technisch auch nur Squid als Proxy.
Es gibt dort kein IDS oder IPS. Auch kein Brute-Force-Schutz.

Dann nutzt dein Firewall-Experte vielleicht die falsche WAF, respektive das falsche Security-Gateway.
Die SG's von Sophos und deren WAF'S, beherrschen sehr wohl IPS & IDS (Snort-Engine), ATP und diverse weitere Schutzmechanismen.

Frage 1: Lohnt sich ein Open Source Proxy mit Geo-Blocking?

Geo-Blocking ja, aber dafür benötigst du wie schon gesagt, normalerweise nicht extra eine WAF.

Frage 1: Wieviel besser ist eine Firewall als so ein Proxy?

Wie schon oben geschrieben, eine reine FireWall (Layer 3) ist einem Security-Gateway (Layer 7) nicht überlegen, sondern haushoch unterlegen.

Noch besser ist übrigens VPN mit 2FA und den Exchange überhaupt nicht über FW oder WAF zu veröffentlichen. 😉

Beste Grüsse aus BaWü

Alex
Mitglied: NordicMike
Lösung NordicMike 27.05.2022 um 08:53:41 Uhr
Goto Top
Der Reverse Proxy sendet seinen eigenen Header, somit bekommt der Angreifer nicht mit, dass am Ende ein Microsoft IIS bzw Exchange hängt.

/autodiscover sind für viele Clients wichtig um die Email Einstellungen zu finden.
/ecp wird von Outlook verwendet um z.B. Out Of Office Einstellungen zu übermitteln.

Direkte Zugriff auf Sicherheitslücken des IIS blauben draußen.
Hat es noch welche? Ist die Gefahr höher, als bei Apache oder Nginx, diese können ja auch Sicherheitslücken haben.
Mitglied: EDVMan27
EDVMan27 27.05.2022 um 09:06:51 Uhr
Goto Top
Zitat von @NordicMike:

Der Reverse Proxy sendet seinen eigenen Header, somit bekommt der Angreifer nicht mit, dass am Ende ein Microsoft IIS bzw Exchange hängt.

/autodiscover sind für viele Clients wichtig um die Email Einstellungen zu finden.
/ecp wird von Outlook verwendet um z.B. Out Of Office Einstellungen zu übermitteln.

Direkte Zugriff auf Sicherheitslücken des IIS blauben draußen.
Hat es noch welche? Ist die Gefahr höher, als bei Apache oder Nginx, diese können ja auch Sicherheitslücken haben.
Das ist ja die Frage. Bringt so ein Proxy wirklich Vorteile.
Alle hier im Forum schreiben man muss einen verwenden. Aber wieviel bringt das?
Laut der Anleitung von Securepoint hat deren Proxy ja keine weiteren Schutzfunktionen.
Mitglied: EDVMan27
EDVMan27 27.05.2022 um 09:07:57 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin EDVMan27,

Es geht um einen KMU Kunden mit stark fluktuierenden Personal und vielen Externen.
Deshalb sind Dinge wie VPN, Preauthentifizierung oder Client-Zertifikate keine Option. Sagt der Kunde zumindest.
Hier geht es nur um HTTPs, weder SMTP, POP oder IMAP.

und wie genau nutzt der Kunde diesen Exchange von aussen per HTTPS?
Sind Smartphones angebunden, wenn ja welche (Android/Apple)?
Ja, Beide
Notebooks mit Outlook?
Ja
Nutzt er evtl. nur OWA über den Browser?
Auch

1. Die haben nur /owa und /Microsoft-Server-ActiveSync zugelassen.

Das riecht nach Smartphone.
Siehe Oben

Aber was ist mit /ews, /oab, /mapi und /autodiscover?
Braucht man die heutzutage für Exchange 2013, 2016, 2019 und Outlook 2013, 2016, 2019 und 2021 nicht mehr?

Das kommt ganz auf den Client an.

2. Was bringt der Proxy?
  • ECP bleibt draußen.

Das geht auch per Bordmittel, ganz ohne WAF (Reverse-Proxy/WebApplicationFireWall/ALG).

* Direkte Zugriff auf Sicherheitslücken des IIS blauben draußen.

Theoretisch ja.

* Mit GEO Blocking bleiben unfreundliche Personen von woanders draußen.

GEO Blocking kann bereits schon eine anständige FW (FireWall), dafür brauchst du nicht unbedingt eine WAF.

* Aber Haifun hätte er nicht verhindert, da der Zugriff auf den Exchange ja 1:1 durchgeleitet wird.

Das kommt ganz auf die Implementierung der jeweiligen WAF an.
Laut Securepoint (Telefon) hätte deren Firewall dies nicht verhindert.

3. Was machen richtige Firewalls besser?

Nichts, eine normale FireWall regelt normalerweise nur auf der Layer 3 Ebene.
Eine WAF, die heutzutage normalerweise in einem Enterprise-Security-Gateway steckt, regelt auf Layer 7 Ebene und ist somit jeder normalen Layer 3 FireWall, schutztechnisch haushoch überlegen.

Laut Aussage eines Firewall-"Experten" eines größeren Systemhauses nutzen viele Firewalls technisch auch nur Squid als Proxy.
Es gibt dort kein IDS oder IPS. Auch kein Brute-Force-Schutz.

Dann nutzt dein Firewall-Experte vielleicht die falsche WAF, respektive das falsche Security-Gateway.
Die SG's von Sophos und deren WAF'S, beherrschen sehr wohl IPS & IDS (Snort-Engine), ATP und diverse weitere Schutzmechanismen.

Frage 1: Lohnt sich ein Open Source Proxy mit Geo-Blocking?

Geo-Blocking ja, aber dafür benötigst du wie schon gesagt, normalerweise nicht extra eine WAF.

Frage 1: Wieviel besser ist eine Firewall als so ein Proxy?

Wie schon oben geschrieben, eine reine FireWall (Layer 3) ist einem Security-Gateway (Layer 7) nicht überlegen, sondern haushoch unterlegen.

Noch besser ist übrigens VPN mit 2FA und den Exchange überhaupt nicht über FW oder WAF zu veröffentlichen. 😉

Beste Grüsse aus BaWü

Alex

Mitglied: MysticFoxDE
Lösung MysticFoxDE 27.05.2022 um 09:35:09 Uhr
Goto Top
Laut Securepoint (Telefon) hätte deren Firewall dies nicht verhindert.

https://docs.sophos.com/releasenotes/output/en-us/nsg/IPSReleaseNotes/9. ...

😉
Mitglied: chgorges
Lösung chgorges 27.05.2022 um 09:46:11 Uhr
Goto Top
Was zumindest sicher ist: Firmen mit einem sauber konfigurierten Proxy und Reverse-Proxy konnte Hafnium nichts anhaben, egal auf welchem Patchstand der Exchange war, weil die Angreifer entweder erst gar nicht reinkamen (Reverse-Proxy), oder ihren Müll nicht nachladen konnten (Proxy).
Und mit Proxy meine ich keinen „pobligen“ Squid-Proxy wie den einer PFSense, sondern ein richtiges ALG, wie Alex geschrieben hat.

Ich hab hier auch überall SecurePoint im Einsatz, alle Kunden wurden von Hafnium „verschont“, bzw. blieb es wirkungslos.

VG
Mitglied: StefanKittel
Lösung StefanKittel 27.05.2022 um 10:29:02 Uhr
Goto Top
Zitat von @NordicMike:
Der Reverse Proxy sendet seinen eigenen Header, somit bekommt der Angreifer nicht mit, dass am Ende ein Microsoft IIS bzw Exchange hängt.
Naja... Die loginmaske ist doch ziemlich eindeutig.

Direkte Zugriff auf Sicherheitslücken des IIS blauben draußen.
Hat es noch welche? Ist die Gefahr höher, als bei Apache oder Nginx, diese können ja auch Sicherheitslücken haben.
Hafnium hat uns ja nun gelehrt, dass es noch böse Sicherheitslücken gibt die ausgenutzt werden bevor es Patches dazu gib.

Ich vertraue da eher auf gekauften Firewall.
Inwieweit zurecht kann ich nicht beurteilen.
"Vermutlich" ist der Unterschied zu einem reinen Proxy nicht groß.

Die Firewalls die ich kennen können ja noch nichtmal einen Brute-Force-Schutz.
Und wenn ich dann noch sehe, dass im Autodiscover bis zu 10 fehlerhafte Anmeldungen ankommen... naja
Mitglied: tikayevent
Lösung tikayevent 27.05.2022 um 10:29:57 Uhr
Goto Top
Zitat von @chgorges:

Was zumindest sicher ist: Firmen mit einem sauber konfigurierten Proxy und Reverse-Proxy konnte Hafnium nichts anhaben, egal auf welchem Patchstand der Exchange war, weil die Angreifer entweder erst gar nicht reinkamen (Reverse-Proxy), oder ihren Müll nicht nachladen konnten (Proxy).
Und mit Proxy meine ich keinen „pobligen“ Squid-Proxy wie den einer PFSense, sondern ein richtiges ALG, wie Alex geschrieben hat.

Ich hab hier auch überall SecurePoint im Einsatz, alle Kunden wurden von Hafnium „verschont“, bzw. blieb es wirkungslos.

VG

Bei mir hat der „pobligen“ Squid-Proxy genau das verhindert. Da ist aber ein enormes Regelwerk hinter, es ist eine hierarchisches Squid-Mesh (fünf Kisten insgesamt) und die Bereitstellung der EXCH-Webdienste ist nur ein Teil der Aufgaben.

Aber bei uns gab es nicht einen einzigen Versuch oder irgendeine Veränderung, dem „pobligen“ Squid-Proxy sei Dank.

Es kommt nicht darauf an, was etwas ist, sondern was man daraus macht.
Mitglied: MysticFoxDE
Lösung MysticFoxDE 27.05.2022 aktualisiert um 16:37:45 Uhr
Goto Top
Moin Chgorges,

mit einem sauber konfigurierten Proxy und Reverse-Proxy konnte Hafnium nichts anhaben, egal auf welchem Patchstand der Exchange war, weil die Angreifer entweder erst gar nicht reinkamen (Reverse-Proxy), oder ihren Müll nicht nachladen konnten (Proxy).

die Erwähnung des Proxy, sprich, ausgehende Filterung finde ich gut und auch sehr wichtig.
Denn es ist beim Exchange und eigentlich auch allen anderen Servern und Clients, nicht nur wichtig von Aussen nach Ihnen richtig "einzuzäunen", sondern auch von Innen nach Aussen.

Wir haben das ausgehende bei unseren Kunden folgend gelöst.

exchange-out
Die drei Regeln gelten explizit für den Exchange.
Die erste Regel erlaubt ausgehend SMTP und scannt die Mails auch ausgehend nach Viren.
Die zweite Regel ist ein transparenter WEB-Proxy, der dem Exchange nur den Zugriff auf Webserver der Kategorie CRL & OCSP (Zertifikatsaktualisierungen) erlaubt und ansonsten alle anderen Webzugriffe komplett blockt.
Und die dritte Regel blockt alles andere richtung WAN, was die oberen beiden Regeln nicht zulassen.
Einfach und absolut effektiv. 😎

DNS Auflösung und NTP gehen über die internen DC's und Updates gibts über den WSUS oder von Hand.

Beste Grüsse aus BaWü

Alex
Mitglied: StefanKittel
Lösung StefanKittel 30.05.2022 um 11:20:23 Uhr
Goto Top
Zitat von @tikayevent:
Bei mir hat der „pobligen“ Squid-Proxy genau das verhindert. Da ist aber ein enormes Regelwerk hinter, es ist eine hierarchisches Squid-Mesh (fünf Kisten insgesamt) und die Bereitstellung der EXCH-Webdienste ist nur ein Teil der Aufgaben.
Es kommt nicht darauf an, was etwas ist, sondern was man daraus macht.
Bei den gekauften UTM Firewalls geht es doch hauptsächlich um das Regelwerk was man erwirbt.
Viele von denen nutzen auch "nur" Squid.
Mitglied: StefanKittel
Lösung StefanKittel 30.05.2022 um 11:22:34 Uhr
Goto Top
Zitat von @EDVMan27:
Das ist ja die Frage. Bringt so ein Proxy wirklich Vorteile.
Alle hier im Forum schreiben man muss einen verwenden. Aber wieviel bringt das?
Ein reiner Reverse-Proxy ohne Exchange-Regeln kann nicht viel bewirken.
Aber er bietet die Basis für Geo-Blocking, Client-Zertifikate (sehr effektiv aber bei KMUs sehr nervig) oder weiteren Regeln.

Stefan
Mitglied: EDVMan27
EDVMan27 30.05.2022 um 12:25:40 Uhr
Goto Top
OK.
Danke für die vielen Inputs.

Dann Frage ich mich natürlich warum es so viele Anleitungen für einen reinen Reverse-Proxy mit NIGNX und Apache für Exchange gibt wenn die eigentlich Nichts bringen.

Geo-Blocking
OK, aber durch VPNs, gehackte oder gemietete Server und Proxy komme viele Anfragen von deutschen IPs.

Client-Zertifikate
Ja, die bringen wirklich was.
Aber die Installation auf den Endgeräten, besonders wenn dies private Endgeräte oder externe Personen sind, ist doch schon ziemlich aufwendig.
Mitglied: NordicMike
Lösung NordicMike 30.05.2022 um 12:53:55 Uhr
Goto Top
Dann Frage ich mich natürlich warum es so viele Anleitungen für einen reinen Reverse-Proxy mit NIGNX und Apache für Exchange gibt wenn die eigentlich Nichts bringen.
Es bringt schon was, aber nicht so viel als eine WAF.

OPNsense bringt angeblich eine WAF, aber es ist noch keine Zeitankündigung zu sehen. Bis dahin verwende ich den Reverse Proxy, aber auch zusätzlich um zwischen zwei Exchange Server zu steuern. Es macht einfach Spaß einen Exchange Server stundenlang in Ruhe kaputt zu updaten, während der andere stabil die Stellung hält.
Mitglied: EDVMan27
EDVMan27 30.05.2022 um 13:57:38 Uhr
Goto Top
Mitglied: StefanKittel
StefanKittel 30.05.2022 um 14:00:39 Uhr
Goto Top
Zitat von @NordicMike:
OPNsense bringt angeblich eine WAF, aber es ist noch keine Zeitankündigung zu sehen.
Meinst Du naxsi? Den gibt es doch schon ewig für opnsense. Aber Exchange kann der glaube ich nicht.
Mitglied: NordicMike
NordicMike 30.05.2022 um 14:29:54 Uhr
Goto Top
Ich weiss es nicht, ich habe es gestern in einem Video mitbekommen, ohne zu prüfen von wann das Video war.

Das naxsi kenne ich noch gar nicht. Ich schaue sie mir mal an.
Mitglied: StefanKittel
StefanKittel 30.05.2022 um 14:36:19 Uhr
Goto Top
Zitat von @NordicMike:
Das naxsi kenne ich noch gar nicht. Ich schaue sie mir mal an.
https://docs.opnsense.org/manual/how-tos/nginx_waf.html