stefankittel
27.11.2023, aktualisiert um 14:56:32 Uhr
view1898
view15
1
Goto Top

Welche Funktionen haben kommerzielle UTM Firewalls zum Schutz von Exchange-Servern (ECP, OWA, ActiveSync, RPC, OAB, MAPI

FrageFirewall
Hallo zusammen,

Ich führe das Thema aus diesem Thread einmal fort.
Sind kommerzielle UTM Firewalls besser als Open source Reverse Proxys?

Mir war am Beispiel einer Firewall eines deutschen Herstellers bei einem Kunden, die durch einen Vertriebspartner installiert wurde, ausgefallen, dass diese kaum Schutzfunktionen für den Exchange-Server bietet. Eigentlich nur einen URL-Filter.

Als Schutzfunktionen definieren ich:
- Geo-Locations und -Blocking
- Brute-Force-Protection
- Probe-Protection
- Rate Limiter
- URL-Protection
- SSL-Security
- Sichere und unsichere Header
- Interne Informationen verbergen

Nun interessiert es mich wie andere kommerzielle Firewall das Webinterface von Exchange-Servern schützen.
Zum Einen weil mich das Thema interessiert und zum Anderen weil ich plane daraus ein Produkt zu machen.

Dafür benötige ich nur eine IP-Adresse oder einen Domänennamen und die Information welche Firewall verwendet wird.
Ich rufe nur die Webseite bis zur Anmeldung auf die ja eh öffentlich ist.

Ich werde nicht versuchen in den Server einzubrechen, ihn zu manipulieren oder zu sabortieren. Er wird nicht in seiner Funktion gestört, es wird keine Zugangssicherung überwunden und keine Passwörter oder Sicherungscodes entwendet.

Wenn gewünscht kann ich Euch über das Ergebnis informieren.
Sonst gehen die Informationen anonym in einen Vergleich ein den ich hier veröffentlichen werden.

Schickt mir einfach eine PM mit:
IP-Adresse oder Domänenname
Verwendete Firewall
Wollt Ihr über das Ergebnis informiert werden?

Viele Grüße

Stefan
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 91630195504

Url: https://administrator.de/contentid/91630195504

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

15 Kommentare
Neuester Kommentar
Goto Top
Ueba3ba
Ueba3ba 27.11.2023 um 12:54:17 Uhr
Goto Top
Servus.

Hast PM

LG
Snuffchen
Snuffchen 27.11.2023 um 13:52:53 Uhr
Goto Top
Hab dir auch eine PM geschrieben face-smile
Vision2015
Vision2015 27.11.2023 um 14:03:06 Uhr
Goto Top
Moin...

das kann eine pfsense aber auch....
Wollt Ihr über das Ergebnis informiert werden?
ja klar... was soll das PM Rumeiern!

Frank
heart1
Lochkartenstanzer
Lochkartenstanzer 27.11.2023 um 14:15:38 Uhr
Goto Top
Moin,

Meine Kunden setzen kein Exchange ein, und ich sowiso nicht. Wenn, dann "spiele ich mit Exchange" in meinen Sandkästen. Daher kann ich da nichts sinnvolles beitragen, wäre aber trotzdem am Ergebnis interessiert.

lks

PS. Diesen "Angriff" nennt man social Engineering. face-smile
heart1
StefanKittel
StefanKittel 27.11.2023 aktualisiert um 15:22:42 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
PS. Diesen "Angriff" nennt man social Engineering. face-smile

Ich frage ja nur nach Domäne und Typ der Firewall.
Und die Domäne kann ich mit Shodan einfach mit dem Hinweise Exchange App suchen. Es sind ca. 16.000 Exchange direkt im Internet in DE sichtbar.

Stefan
StefanKittel
StefanKittel 27.11.2023 aktualisiert um 15:34:42 Uhr
Goto Top
Zwischeninfo.

Securepoint: URL-Filter
FortiNet: URL-Filter
Sophos: URL-Filter teilweise + Header-Filter
8585324113
8585324113 27.11.2023 um 16:26:26 Uhr
Goto Top
Wie willst Du eigentlich ermitteln, welche Features die Geräte lizensiert haben? Es ist ja nicht mal trivial überhaupt die Schutzlösung zu identifizieren.

Was setzt den MS und Google ein um sich zu schützen in dieser Kategorie? Oder 1u1 und wie die anderen großen heißen...
StefanKittel
StefanKittel 27.11.2023 um 16:36:20 Uhr
Goto Top
Hallo,

Zitat von @8585324113:
Wie willst Du eigentlich ermitteln, welche Features die Geräte lizensiert haben? Es ist ja nicht mal trivial überhaupt die Schutzlösung zu identifizieren.

Ich rufe die URLs im Browser auf und schaue mir das Ergebnis und Verhalten anhand des Fragenkataloges offen. Dabei ist mir egal ob die Funktion nicht lizensiert oder nicht verfügbar ist.

Ich gehe eh davon aus, dass nur wenige Firewalls mehr als den URL-Filter haben. Aber ich lasse mich da gerne eines besseren belehren.

Stefan
8585324113
8585324113 27.11.2023 um 17:24:27 Uhr
Goto Top
Und welche Aussagekraft soll das dann haben?

Hast du mal eine aktuelle Palo Alto, Fortinet, Checkpoint oder Sonicwall im Detail auf die teuren Features benutzt?

Du wirst von Außen für fast alle Protokolle und Dienste eine Quantum Maestro oder PA nicht erkennen können. Und es gibt noch viel mehr als das OWA was am Internet hängt.
Auch sind Angriffe über OWA nicht mal anteilig relevant und OWA hängt auch fast nie direkt am Internet, auch ohne "krasse" Firewall.
StefanKittel
StefanKittel 27.11.2023 um 17:28:15 Uhr
Goto Top
Zitat von @8585324113:
Hast du mal eine aktuelle Palo Alto, Fortinet, Checkpoint oder Sonicwall im Detail auf die teuren Features benutzt?
Securepoint und Fortinet: Ja, der Rest: Nein
Deshalb schreibe ich ja hier.

...OWA hängt auch fast nie direkt am Internet...
Im KMU Bereich hängen die Exchange zu 99% direkt im WAN ohne VPN oder PreAuth. Die Chefs wollen ja Emails am iPhone ohne VPN nutzen.

Stefan
8585324113
8585324113 27.11.2023 aktualisiert um 17:43:57 Uhr
Goto Top
Es ging nicht um VPN oder PreAuth sondern um Firewalls auch WAPs und (Reverse)Proxys, usw...

Wer hängt denen seinen Exchange direkt ans Internet?

Ich glaube Du solltest über deine Idee noch mal nachdenken.
Vision2015
Vision2015 27.11.2023 um 17:53:42 Uhr
Goto Top
Moin...
Zitat von @8585324113:

Es ging nicht um VPN oder PreAuth sondern um Firewalls auch WAPs und (Reverse)Proxys, usw...

Wer hängt denen seinen Exchange direkt ans Internet?
tausende.... oder gar mehr face-smile

Frank
StefanKittel
StefanKittel 27.11.2023 um 18:21:07 Uhr
Goto Top
Zitat von @8585324113:
Wer hängt denen seinen Exchange direkt ans Internet?
Laut Shodan ca. 16.000 Installation in Deutschland.
Lochkartenstanzer
Lochkartenstanzer 27.11.2023 um 18:50:47 Uhr
Goto Top
Zitat von @8585324113:

Wer hängt denen seinen Exchange direkt ans Internet?

Viel zu viele.
Drohnald
Drohnald 27.11.2023 um 20:52:22 Uhr
Goto Top
Zitat von @8585324113:
Wer hängt denen seinen Exchange direkt ans Internet?
Am WE erst wieder ne kurze "Analyse" von nem Mini-Netzwerk gemacht:
1 Server mit 2 VMs: 1x Exchange, 1x DC + Fileserver + Appserver, Updates zuletzt im Juni, kein Automatismus
NAS als Backup mit Veeam
USV ohne Verbindung
Fritzbox mit 443 Weiterleitung direkt an den Exchange
Alles steht im Putzraum auf dem Boden.

Seh ich ständig. Bleibt in 90% der Fälle auch so, egal was wir vorschlagen, wobei inzwischen immer mehr zu Exchange Online wechseln weil sie die Office-Lizenzen sowieso schon bezahlen.
Immerhin.
FrageFirewall
Mehr von StefanKittelStefanKittelMySQL Erklärung für Qcache_lowmem_prunes gesuchtStefanKittelStefanKittelVisualisieren einer Handvoll Werten über einen längeren Zeitraum onlineStefanKittel - 10 KommentareStefanKittelDNS Provider für MSP oder Reseller gesuchtStefanKittel - 8 KommentareStefanKittelMehr dBi bei WLAN Antennen ist doch besser?StefanKittel - 7 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare