thomas20
Goto Top

Zugriff für iPhone auf Exchange-Server auf einem internen Netz ohne Verbindung zum WWW?

In unserem Unternehmen geniest das Thema Sicherheit vor Industriespionage höchste Priorität. Aus diesem Grund haben wir bis dato zwei verschiedene Netze, welche komplett galvanisch getrennt sind:

1. Internes Netz, ohne Verbindung zur Außenwelt
2. Externes Netz mit Anbindung ans WWW

Im internen Netz haben wir unsere ERP-Software und die Office-Produkte inkl. Exchange-Server angesiedelt. Für den Ein-/Ausgang von Mails oder anderer Dokumente ist ein Transferserver zwischengeschaltet, welcher jeweils nur für sehr kurze Zeit entweder mit dem internen oder mit dem externen Netz verbunden ist. Eine gleichzeitige Verbindung beider Netzwelten ist physikalisch ausgeschlossen. Zusätzlich können nur vordefinierte Daten und Dateiinhalte transferiert werden.

Nun wollen wir die Möglichkeit schaffen, dass Kontakte, Termine und E-Mails auch von einigen wenigen Mitarbeitern in der „bösen“ Außenwelt auf dem ipad bzw. einem iphone gelesen und bearbeitet werden können. Dazu ist meines Wissens ein direkter Kontakt zu dem Exchange-Server notwendig. Durch unsere galvanische Trennung ist dies aber ausgeschlossen. Einen zweiten Exchange – Server auf dem Transferserver zu installieren, diesen mit der internen Welt zu synchronisieren und anschließend nach Trennung der Verbindung diesen mit einem dritten Exchange-Server im externen Netz zu synchronisieren ist angeblich (laut Microsoft) nicht möglich, da dazu eine längere bzw. konstante Verbindung notwendig ist.

Hat hierzu jemand eine Idee wie bzw. mit welcher Software so ein Thema gelöst werden kann?

Content-ID: 205708

Url: https://administrator.de/forum/zugriff-fuer-iphone-auf-exchange-server-auf-einem-internen-netz-ohne-verbindung-zum-www-205708.html

Ausgedruckt am: 24.12.2024 um 12:12 Uhr

psannz
psannz 26.04.2013 aktualisiert um 13:59:38 Uhr
Goto Top
Sers,

Ein Stichwort habe ich für dich: VPN.

Das Mobilgerät wählt sich über eure Firewall/VPN-Gateway/Router/hastenichjesehn in euer Firmenlan ein und greift dann so auf den darin erreichbaren EX zu.

Grüße,
Philip
aqui
aqui 26.04.2013 aktualisiert um 14:06:27 Uhr
Goto Top
Wenn iPad usw. im Netz sind folgt daraus das im externen Netz WLAN vorhanden ist. Damit dann eine physische Verbindung beider Netze auszuschliessen ist ja etwas blauäugig denn da reicht ein simpler Laptop. WLAN Port in Netz 1 und LAN Port in Netz 2 und schon ist die Verbindung geschaltet. Ein pfiffiger Mitarbeiter macht das in 3 Minuten. Soviel zum Thema Spionage was aber hier ja nicht das Thema ist....
Netztechnsich hast du keinerlei Chance das zu lösen sofern diese vollkommene physische Trennung beider Netze aufrecht erhalten werden soll.
Generell musst du dein Netzwerk umdesignen mit einer Firewall arbeiten den Exchange in eine DMZ bringen das WLAN dort erlauben und den WLAN Zugang mit Zertifikaten sichern usw. usw.
Lösungen gibt es natürlich sehr viele. Die Kardinlasfrage ist aber was davon sich mit den Security Policies deiner Company vereinbaren lässt.
Dazu sagst du kein einziges Wort, so das wir hier nur im freien Fall raten können und so niemand dir hier wirklich zielgerichtet helfen kann face-sad
Thomas20
Thomas20 26.04.2013 um 14:59:00 Uhr
Goto Top
Hallo, danke für die Anwort. Du hast recht, ich hätte den Sachverhalt noch ausführlicher beschreiben sollen:

- Aktuell haben wir kein Wlan installiert, dies soll auch in Zukunft so bleiben.
- Im internen Netz können nur autorisierte Geräte betrieben werden, da jeder einzelne Port nur eine bestimmte vordefinierte Mac-Adresse zulässt.
- Die Mitarbeiter arbeiten nicht mit PS's sondern IGEL-Geräten über einen Terminalserver.
- Die Drucker werden über Printserver betrieben mit selbiger Mac-Adressen-überwachung
- Die iPhones sollen nicht über Wlan sondern über die normale Funkverbindung arbeiten, dazu müssten wir die Daten aber in dem Externen Netz haben.

Am liebsten wäre mir eine Möglichkeit die Mails/Termine etc. über den Transferserver (hat wechselweise Kontakt zum internen oder externen Netz) zu Syncroniseren. Gibt es dazu eine Chance?
Thomas20
Thomas20 26.04.2013 um 15:00:40 Uhr
Goto Top
Hallo Philip,

geht leider nicht, da der Exchange nicht mit der Firewall (ist dem externen Netz vorgeschaltet) verbunden ist.
GuentherH
GuentherH 26.04.2013 um 15:48:29 Uhr
Goto Top
Hallo.

Ist doch ein typischer Fall für Office 365.

LG Günther
108012
108012 26.04.2013 um 18:44:20 Uhr
Goto Top
Hallo,

warum sollte das eigentlich nicht funktionieren was der @aqui mit den WLAN APs geschrieben hat?

Die iPhones können doch via WLAN auf den Exchange zugreifen oder nicht?
Und mit X.509 Zertifikaten können die doch auch von Haus aus umgehen.
Und wenn man das WLAN in ein VLAN "steckt" sollte doch auch der Zugriff auf alles andere verwehrt werden können mittels ACLs am Switch.

Gruß
Dobby
filippg
filippg 26.04.2013 um 20:50:29 Uhr
Goto Top
Hallo,

Am liebsten wäre mir eine Möglichkeit die Mails/Termine etc. über den Transferserver
(hat wechselweise Kontakt zum internen oder externen Netz) zu Syncroniseren. Gibt es dazu eine Chance?
Etwas basteln kann man da bestimmt.
Zum Beispiel könntest du einen zweiten Exchange installieren. Auf dem ersten per Skript das Postfach in PST exportieren, auf den Transferserver hochladen. Auf dem per Skript importieren. Und das ganze regelmäßig in beide Richtungen. Da dabei Duplikate erkannt werden könnte das sogar funktionieren. Aber ob man damit glücklich wird...
Vielleicht findet sich auch ein Mailserver ("Hamster" evtl), der Postfächer per IMAP synchronisiert & auch per IMAP zur Abholung bereitstellt (kann iPhone ja auch). Nach intern noch über einen Reverse-Proxy absichern. Technisch auch nicht berauschend.
Über den Transferserver hast du ja schon eine Brücke geschaffen (oder wird das Netz wirklich physikalisch wechselseitig geschaltet?). Vielleicht dann einfach eine "sichere Technik" zum Zugriff von extern? EAS über einen Reverse Proxy gilt als ziemlich sicher. BlackBerry hat diverse Zertifizierungen, und benötigt keine eingehenden Verbindungen, sondern baut einen Tunnel über das RIM-Rechenzentrum auf (das macht Angriffe auf Applikationsebene deutlich schwerer, weil nur Applikationsdaten geroutet werden), in eine DMZ kann man noch einen Application Proxy (BlackBerry-Router) stellen. Wenn es iOS sein soll: Good for Enterprise basiert auf der gleichen Technik (nur ausgehende Verbindungen).

Gruß

Filipp

Btw: eine galvanische Trennung ist etwas anderes. Die verhindert keinen Datenaustausch, sondern nur einen direkten Stromfluß.