Zugriff auf Exchange über SSL-VPN
Guten Morgen Kollegen! Ich hätte da gerne mal Eure Einschätzung zu einem Problem das ich derzeit auf dem Tisch habe:
Ein Kunde von mir betreibt eine SSL-VPN Appliance von Zyxel, die befindet sich ein der DMZ der Firewall (ebenfalls Zyxel). In der Firewall ist von der DMZ in das LAN nur RDP und LDAP freigegeben.
Nun will der Kunde über den SSL-VPN-Tunnel sein lokales Outlook auf dem Notebook das er extern betreibt auf den Exchange-Server im lokalen Netz zugreifen lassen. Dazu müsste ich aber praktisch den kompletten Verkehr aus der DMZ ins LAN freigeben, da Outlook für den Exchange-Zugriff etliche, und zudem variable Ports verwendet. OWA kann er zwar nutzen, das mag er aber nicht so.
In der DMZ steht nur die SSL Appliance. Nun meine Frage:
Wie ist das Sicherheitsrisiko zu bewerten, wenn aus der DMZ (wie gesagt, da steht nur die SSL-VPN) der komplette Netzwerkverkehr in das LAN freigegeben wird????
In die DMZ kommt man von außen ja nur über eine verschlüsselte HTTPS-Verbindung und nach Authorisierung über die SSL-Appliance.
Bei festen VPN-Tunneln mit Routern auf der Gegenseite tunnel der VPN-Traffic ja auch komplett die Firewall. Nur sind feste VPN-Router auf der jeweiligen Gegenseite natürlich an bekannten und dementsprechend als relativ sicher einzustufenden Standorten zu finden.
Es wäre nett, wenn Ihr mir hier kurz bewerten würdet, ob man sowas mit gutem Gewissen machen kann.
Herzlichen Dank im Voraus für Eure nette Hilfe!
Ein Kunde von mir betreibt eine SSL-VPN Appliance von Zyxel, die befindet sich ein der DMZ der Firewall (ebenfalls Zyxel). In der Firewall ist von der DMZ in das LAN nur RDP und LDAP freigegeben.
Nun will der Kunde über den SSL-VPN-Tunnel sein lokales Outlook auf dem Notebook das er extern betreibt auf den Exchange-Server im lokalen Netz zugreifen lassen. Dazu müsste ich aber praktisch den kompletten Verkehr aus der DMZ ins LAN freigeben, da Outlook für den Exchange-Zugriff etliche, und zudem variable Ports verwendet. OWA kann er zwar nutzen, das mag er aber nicht so.
In der DMZ steht nur die SSL Appliance. Nun meine Frage:
Wie ist das Sicherheitsrisiko zu bewerten, wenn aus der DMZ (wie gesagt, da steht nur die SSL-VPN) der komplette Netzwerkverkehr in das LAN freigegeben wird????
In die DMZ kommt man von außen ja nur über eine verschlüsselte HTTPS-Verbindung und nach Authorisierung über die SSL-Appliance.
Bei festen VPN-Tunneln mit Routern auf der Gegenseite tunnel der VPN-Traffic ja auch komplett die Firewall. Nur sind feste VPN-Router auf der jeweiligen Gegenseite natürlich an bekannten und dementsprechend als relativ sicher einzustufenden Standorten zu finden.
Es wäre nett, wenn Ihr mir hier kurz bewerten würdet, ob man sowas mit gutem Gewissen machen kann.
Herzlichen Dank im Voraus für Eure nette Hilfe!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127238
Url: https://administrator.de/contentid/127238
Ausgedruckt am: 22.11.2024 um 18:11 Uhr