stefankittel
Goto Top

Welche Funktionen haben kommerzielle UTM Firewalls zum Schutz von Exchange-Servern (ECP, OWA, ActiveSync, RPC, OAB, MAPI

Hallo zusammen,

Ich führe das Thema aus diesem Thread einmal fort.
Sind kommerzielle UTM Firewalls besser als Open source Reverse Proxys?

Mir war am Beispiel einer Firewall eines deutschen Herstellers bei einem Kunden, die durch einen Vertriebspartner installiert wurde, ausgefallen, dass diese kaum Schutzfunktionen für den Exchange-Server bietet. Eigentlich nur einen URL-Filter.

Als Schutzfunktionen definieren ich:
- Geo-Locations und -Blocking
- Brute-Force-Protection
- Probe-Protection
- Rate Limiter
- URL-Protection
- SSL-Security
- Sichere und unsichere Header
- Interne Informationen verbergen

Nun interessiert es mich wie andere kommerzielle Firewall das Webinterface von Exchange-Servern schützen.
Zum Einen weil mich das Thema interessiert und zum Anderen weil ich plane daraus ein Produkt zu machen.

Dafür benötige ich nur eine IP-Adresse oder einen Domänennamen und die Information welche Firewall verwendet wird.
Ich rufe nur die Webseite bis zur Anmeldung auf die ja eh öffentlich ist.

Ich werde nicht versuchen in den Server einzubrechen, ihn zu manipulieren oder zu sabortieren. Er wird nicht in seiner Funktion gestört, es wird keine Zugangssicherung überwunden und keine Passwörter oder Sicherungscodes entwendet.

Wenn gewünscht kann ich Euch über das Ergebnis informieren.
Sonst gehen die Informationen anonym in einen Vergleich ein den ich hier veröffentlichen werden.

Schickt mir einfach eine PM mit:
IP-Adresse oder Domänenname
Verwendete Firewall
Wollt Ihr über das Ergebnis informiert werden?

Viele Grüße

Stefan

Content-Key: 91630195504

Url: https://administrator.de/contentid/91630195504

Printed on: February 29, 2024 at 08:02 o'clock

Member: Ueba3ba
Ueba3ba Nov 27, 2023 at 11:54:17 (UTC)
Goto Top
Servus.

Hast PM

LG
Member: Snuffchen
Snuffchen Nov 27, 2023 at 12:52:53 (UTC)
Goto Top
Hab dir auch eine PM geschrieben face-smile
Member: Vision2015
Vision2015 Nov 27, 2023 at 13:03:06 (UTC)
Goto Top
Moin...

das kann eine pfsense aber auch....
Wollt Ihr über das Ergebnis informiert werden?
ja klar... was soll das PM Rumeiern!

Frank
Member: Lochkartenstanzer
Lochkartenstanzer Nov 27, 2023 at 13:15:38 (UTC)
Goto Top
Moin,

Meine Kunden setzen kein Exchange ein, und ich sowiso nicht. Wenn, dann "spiele ich mit Exchange" in meinen Sandkästen. Daher kann ich da nichts sinnvolles beitragen, wäre aber trotzdem am Ergebnis interessiert.

lks

PS. Diesen "Angriff" nennt man social Engineering. face-smile
Member: StefanKittel
StefanKittel Nov 27, 2023 updated at 14:22:42 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
PS. Diesen "Angriff" nennt man social Engineering. face-smile

Ich frage ja nur nach Domäne und Typ der Firewall.
Und die Domäne kann ich mit Shodan einfach mit dem Hinweise Exchange App suchen. Es sind ca. 16.000 Exchange direkt im Internet in DE sichtbar.

Stefan
Member: StefanKittel
StefanKittel Nov 27, 2023 updated at 14:34:42 (UTC)
Goto Top
Zwischeninfo.

Securepoint: URL-Filter
FortiNet: URL-Filter
Sophos: URL-Filter teilweise + Header-Filter
Mitglied: 8585324113
8585324113 Nov 27, 2023 at 15:26:26 (UTC)
Goto Top
Wie willst Du eigentlich ermitteln, welche Features die Geräte lizensiert haben? Es ist ja nicht mal trivial überhaupt die Schutzlösung zu identifizieren.

Was setzt den MS und Google ein um sich zu schützen in dieser Kategorie? Oder 1u1 und wie die anderen großen heißen...
Member: StefanKittel
StefanKittel Nov 27, 2023 at 15:36:20 (UTC)
Goto Top
Hallo,

Zitat von @8585324113:
Wie willst Du eigentlich ermitteln, welche Features die Geräte lizensiert haben? Es ist ja nicht mal trivial überhaupt die Schutzlösung zu identifizieren.

Ich rufe die URLs im Browser auf und schaue mir das Ergebnis und Verhalten anhand des Fragenkataloges offen. Dabei ist mir egal ob die Funktion nicht lizensiert oder nicht verfügbar ist.

Ich gehe eh davon aus, dass nur wenige Firewalls mehr als den URL-Filter haben. Aber ich lasse mich da gerne eines besseren belehren.

Stefan
Mitglied: 8585324113
8585324113 Nov 27, 2023 at 16:24:27 (UTC)
Goto Top
Und welche Aussagekraft soll das dann haben?

Hast du mal eine aktuelle Palo Alto, Fortinet, Checkpoint oder Sonicwall im Detail auf die teuren Features benutzt?

Du wirst von Außen für fast alle Protokolle und Dienste eine Quantum Maestro oder PA nicht erkennen können. Und es gibt noch viel mehr als das OWA was am Internet hängt.
Auch sind Angriffe über OWA nicht mal anteilig relevant und OWA hängt auch fast nie direkt am Internet, auch ohne "krasse" Firewall.
Member: StefanKittel
StefanKittel Nov 27, 2023 at 16:28:15 (UTC)
Goto Top
Zitat von @8585324113:
Hast du mal eine aktuelle Palo Alto, Fortinet, Checkpoint oder Sonicwall im Detail auf die teuren Features benutzt?
Securepoint und Fortinet: Ja, der Rest: Nein
Deshalb schreibe ich ja hier.

...OWA hängt auch fast nie direkt am Internet...
Im KMU Bereich hängen die Exchange zu 99% direkt im WAN ohne VPN oder PreAuth. Die Chefs wollen ja Emails am iPhone ohne VPN nutzen.

Stefan
Mitglied: 8585324113
8585324113 Nov 27, 2023 updated at 16:43:57 (UTC)
Goto Top
Es ging nicht um VPN oder PreAuth sondern um Firewalls auch WAPs und (Reverse)Proxys, usw...

Wer hängt denen seinen Exchange direkt ans Internet?

Ich glaube Du solltest über deine Idee noch mal nachdenken.
Member: Vision2015
Vision2015 Nov 27, 2023 at 16:53:42 (UTC)
Goto Top
Moin...
Zitat von @8585324113:

Es ging nicht um VPN oder PreAuth sondern um Firewalls auch WAPs und (Reverse)Proxys, usw...

Wer hängt denen seinen Exchange direkt ans Internet?
tausende.... oder gar mehr face-smile

Frank
Member: StefanKittel
StefanKittel Nov 27, 2023 at 17:21:07 (UTC)
Goto Top
Zitat von @8585324113:
Wer hängt denen seinen Exchange direkt ans Internet?
Laut Shodan ca. 16.000 Installation in Deutschland.
Member: Lochkartenstanzer
Lochkartenstanzer Nov 27, 2023 at 17:50:47 (UTC)
Goto Top
Zitat von @8585324113:

Wer hängt denen seinen Exchange direkt ans Internet?

Viel zu viele.
Member: Drohnald
Drohnald Nov 27, 2023 at 19:52:22 (UTC)
Goto Top
Zitat von @8585324113:
Wer hängt denen seinen Exchange direkt ans Internet?
Am WE erst wieder ne kurze "Analyse" von nem Mini-Netzwerk gemacht:
1 Server mit 2 VMs: 1x Exchange, 1x DC + Fileserver + Appserver, Updates zuletzt im Juni, kein Automatismus
NAS als Backup mit Veeam
USV ohne Verbindung
Fritzbox mit 443 Weiterleitung direkt an den Exchange
Alles steht im Putzraum auf dem Boden.

Seh ich ständig. Bleibt in 90% der Fälle auch so, egal was wir vorschlagen, wobei inzwischen immer mehr zu Exchange Online wechseln weil sie die Office-Lizenzen sowieso schon bezahlen.
Immerhin.