3
Zugriff auf David-eMail-Webbox über das WAN
Mit diesem Thread möchte ich besprechen, ob es ein Sicherheitsrisiko darstellt, die Webbox unseres David-eMail-Servers per WAN direkt verfügbar zu machen.
Hallo zusammen,
wir setzen David Zehn als eMail-Server auf unserem Domänen-Controler ein, bislang ohne die geringsten Probleme.
Nun möchten wir die Webbox-Funktion für unsere IPhones verwenden - vergleichbar mit dem Outlook Web Access.
Die nutzerfreundlichste Möglichkeit wäre das Forwarden des entsprechenden Webbox-Ports (80 .. oder ein anderer - ist änderbar) von der Firewall auf den Domänen-Controler. User öffnet seine Webbox über https://oeffentlicheIP ...
Verbindung ist zwar verschlüsselt, doch ich sehe diese Variante trotzdem als Sicherheitsrisiko für unseren Server bzw. unser Netzwerk an, da wir ja hier einen "offenen" Port nach außen hin haben.
Meine Idee (etwas nutzerunfreundlicher): aufbau einer PPTP-Verbindung von den IPhones aus und dann Aufrufen der Webbox mit http://192.168....
Wie schätzt ihr die Situation ein? Wie würdet ihr das realisieren?
Gruß,
Canni
Hallo zusammen,
wir setzen David Zehn als eMail-Server auf unserem Domänen-Controler ein, bislang ohne die geringsten Probleme.
Nun möchten wir die Webbox-Funktion für unsere IPhones verwenden - vergleichbar mit dem Outlook Web Access.
Die nutzerfreundlichste Möglichkeit wäre das Forwarden des entsprechenden Webbox-Ports (80 .. oder ein anderer - ist änderbar) von der Firewall auf den Domänen-Controler. User öffnet seine Webbox über https://oeffentlicheIP ...
Verbindung ist zwar verschlüsselt, doch ich sehe diese Variante trotzdem als Sicherheitsrisiko für unseren Server bzw. unser Netzwerk an, da wir ja hier einen "offenen" Port nach außen hin haben.
Meine Idee (etwas nutzerunfreundlicher): aufbau einer PPTP-Verbindung von den IPhones aus und dann Aufrufen der Webbox mit http://192.168....
Wie schätzt ihr die Situation ein? Wie würdet ihr das realisieren?
Gruß,
Canni
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 115278
Url: https://administrator.de/contentid/115278
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Moin,
ok, erstmal würde ich David wegkicken... aber das aufgrund von anderen Problemen ... (just m2c)
Aber um das Problem zu lösen: Ich würde einfach den Port 80 in der Firewall auf den David-Server weiterleiten. Denn ein besonderes Sicherheitsrisiko kann ich da nicht sehen (sofern man den David-Webservice als sicher betrachten kann - hier habe ich aktuell keine Info drüber). Ein Angreifer kann ja nicht jetzt plötzlich über Port 80 auf dem Server einen anderen Port ansprechen... Du kannst ja auch gucken das du z.B. auf der Firewall einen anderen Port (7134 z.B.) nimmst und diesen dann an den Server auf 80 weiterleitest...
Bei uns ist allerdings der Zugriff aufs Mailsystem generell nur nach VPN-Anmeldung möglich. Denn zum einen vertraue ich den Webserver (bei uns IIS mit Exchange) nunmal generell nicht besonders - und zum anderen spare ich mir so die ganzen Script-Kiddy-Attacken die den Server nur unnötig beschäftigen... Ausserdem weiss ich wie gut die Passwörter teilweise gewählt werden -> da ist mir eine vorherige VPN-Anmeldung mit einem PW was ich generiert habe doch lieber
ok, erstmal würde ich David wegkicken... aber das aufgrund von anderen Problemen ... (just m2c)
Aber um das Problem zu lösen: Ich würde einfach den Port 80 in der Firewall auf den David-Server weiterleiten. Denn ein besonderes Sicherheitsrisiko kann ich da nicht sehen (sofern man den David-Webservice als sicher betrachten kann - hier habe ich aktuell keine Info drüber). Ein Angreifer kann ja nicht jetzt plötzlich über Port 80 auf dem Server einen anderen Port ansprechen... Du kannst ja auch gucken das du z.B. auf der Firewall einen anderen Port (7134 z.B.) nimmst und diesen dann an den Server auf 80 weiterleitest...
Bei uns ist allerdings der Zugriff aufs Mailsystem generell nur nach VPN-Anmeldung möglich. Denn zum einen vertraue ich den Webserver (bei uns IIS mit Exchange) nunmal generell nicht besonders - und zum anderen spare ich mir so die ganzen Script-Kiddy-Attacken die den Server nur unnötig beschäftigen... Ausserdem weiss ich wie gut die Passwörter teilweise gewählt werden -> da ist mir eine vorherige VPN-Anmeldung mit einem PW was ich generiert habe doch lieber
Die PPTP Variante ist natürlich sicherer, da der Tunnel auf der Firewall endet und nicht auf dem Server. Clients werden somit behandelt als ob sie lokal im Netzwerk arbeiten, was ja der tiefere Sinn eines VPNs ist !
Folglich ist auch der Server nicht direkt exponiert im Internet wie in Variante 1, wie du es ja selber richtig siehst.
Möglichkeit 1 ist einfach umzusetzen und bewirkt einen einfachen Zugang für die Clients ist aber bedingt sicher.
Möglichkeit 2 ist erheblich sicherer hat aber den Nachteil des etwas höheren Mehraufwands für die Clients.
Letztlich musst du selber das abwägen welche Lösung besser in das Security Profil eures Unternehmens passt, das kann dir logischerweise kein Forum beantworten !!!
Folglich ist auch der Server nicht direkt exponiert im Internet wie in Variante 1, wie du es ja selber richtig siehst.
Möglichkeit 1 ist einfach umzusetzen und bewirkt einen einfachen Zugang für die Clients ist aber bedingt sicher.
Möglichkeit 2 ist erheblich sicherer hat aber den Nachteil des etwas höheren Mehraufwands für die Clients.
Letztlich musst du selber das abwägen welche Lösung besser in das Security Profil eures Unternehmens passt, das kann dir logischerweise kein Forum beantworten !!!
Vielen Dank für die Anregungen. Ich tendiere auch zur VPN-Lösung. Ich meine, dass viele hier zu leichtsinnig sind. Wozu benötige ich VPN bei anderen Anwendungen, wenn ich hier Ports öffne?
Wer hat noch andere Sichtweisen oder Tipps?
Wer hat noch andere Sichtweisen oder Tipps?
