Zugriff für iPhone auf Exchange-Server auf einem internen Netz ohne Verbindung zum WWW?
In unserem Unternehmen geniest das Thema Sicherheit vor Industriespionage höchste Priorität. Aus diesem Grund haben wir bis dato zwei verschiedene Netze, welche komplett galvanisch getrennt sind:
1. Internes Netz, ohne Verbindung zur Außenwelt
2. Externes Netz mit Anbindung ans WWW
Im internen Netz haben wir unsere ERP-Software und die Office-Produkte inkl. Exchange-Server angesiedelt. Für den Ein-/Ausgang von Mails oder anderer Dokumente ist ein Transferserver zwischengeschaltet, welcher jeweils nur für sehr kurze Zeit entweder mit dem internen oder mit dem externen Netz verbunden ist. Eine gleichzeitige Verbindung beider Netzwelten ist physikalisch ausgeschlossen. Zusätzlich können nur vordefinierte Daten und Dateiinhalte transferiert werden.
Nun wollen wir die Möglichkeit schaffen, dass Kontakte, Termine und E-Mails auch von einigen wenigen Mitarbeitern in der „bösen“ Außenwelt auf dem ipad bzw. einem iphone gelesen und bearbeitet werden können. Dazu ist meines Wissens ein direkter Kontakt zu dem Exchange-Server notwendig. Durch unsere galvanische Trennung ist dies aber ausgeschlossen. Einen zweiten Exchange – Server auf dem Transferserver zu installieren, diesen mit der internen Welt zu synchronisieren und anschließend nach Trennung der Verbindung diesen mit einem dritten Exchange-Server im externen Netz zu synchronisieren ist angeblich (laut Microsoft) nicht möglich, da dazu eine längere bzw. konstante Verbindung notwendig ist.
Hat hierzu jemand eine Idee wie bzw. mit welcher Software so ein Thema gelöst werden kann?
1. Internes Netz, ohne Verbindung zur Außenwelt
2. Externes Netz mit Anbindung ans WWW
Im internen Netz haben wir unsere ERP-Software und die Office-Produkte inkl. Exchange-Server angesiedelt. Für den Ein-/Ausgang von Mails oder anderer Dokumente ist ein Transferserver zwischengeschaltet, welcher jeweils nur für sehr kurze Zeit entweder mit dem internen oder mit dem externen Netz verbunden ist. Eine gleichzeitige Verbindung beider Netzwelten ist physikalisch ausgeschlossen. Zusätzlich können nur vordefinierte Daten und Dateiinhalte transferiert werden.
Nun wollen wir die Möglichkeit schaffen, dass Kontakte, Termine und E-Mails auch von einigen wenigen Mitarbeitern in der „bösen“ Außenwelt auf dem ipad bzw. einem iphone gelesen und bearbeitet werden können. Dazu ist meines Wissens ein direkter Kontakt zu dem Exchange-Server notwendig. Durch unsere galvanische Trennung ist dies aber ausgeschlossen. Einen zweiten Exchange – Server auf dem Transferserver zu installieren, diesen mit der internen Welt zu synchronisieren und anschließend nach Trennung der Verbindung diesen mit einem dritten Exchange-Server im externen Netz zu synchronisieren ist angeblich (laut Microsoft) nicht möglich, da dazu eine längere bzw. konstante Verbindung notwendig ist.
Hat hierzu jemand eine Idee wie bzw. mit welcher Software so ein Thema gelöst werden kann?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 205708
Url: https://administrator.de/forum/zugriff-fuer-iphone-auf-exchange-server-auf-einem-internen-netz-ohne-verbindung-zum-www-205708.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
7 Kommentare
Neuester Kommentar
Wenn iPad usw. im Netz sind folgt daraus das im externen Netz WLAN vorhanden ist. Damit dann eine physische Verbindung beider Netze auszuschliessen ist ja etwas blauäugig denn da reicht ein simpler Laptop. WLAN Port in Netz 1 und LAN Port in Netz 2 und schon ist die Verbindung geschaltet. Ein pfiffiger Mitarbeiter macht das in 3 Minuten. Soviel zum Thema Spionage was aber hier ja nicht das Thema ist....
Netztechnsich hast du keinerlei Chance das zu lösen sofern diese vollkommene physische Trennung beider Netze aufrecht erhalten werden soll.
Generell musst du dein Netzwerk umdesignen mit einer Firewall arbeiten den Exchange in eine DMZ bringen das WLAN dort erlauben und den WLAN Zugang mit Zertifikaten sichern usw. usw.
Lösungen gibt es natürlich sehr viele. Die Kardinlasfrage ist aber was davon sich mit den Security Policies deiner Company vereinbaren lässt.
Dazu sagst du kein einziges Wort, so das wir hier nur im freien Fall raten können und so niemand dir hier wirklich zielgerichtet helfen kann
Netztechnsich hast du keinerlei Chance das zu lösen sofern diese vollkommene physische Trennung beider Netze aufrecht erhalten werden soll.
Generell musst du dein Netzwerk umdesignen mit einer Firewall arbeiten den Exchange in eine DMZ bringen das WLAN dort erlauben und den WLAN Zugang mit Zertifikaten sichern usw. usw.
Lösungen gibt es natürlich sehr viele. Die Kardinlasfrage ist aber was davon sich mit den Security Policies deiner Company vereinbaren lässt.
Dazu sagst du kein einziges Wort, so das wir hier nur im freien Fall raten können und so niemand dir hier wirklich zielgerichtet helfen kann
Hallo,
warum sollte das eigentlich nicht funktionieren was der @aqui mit den WLAN APs geschrieben hat?
Die iPhones können doch via WLAN auf den Exchange zugreifen oder nicht?
Und mit X.509 Zertifikaten können die doch auch von Haus aus umgehen.
Und wenn man das WLAN in ein VLAN "steckt" sollte doch auch der Zugriff auf alles andere verwehrt werden können mittels ACLs am Switch.
Gruß
Dobby
warum sollte das eigentlich nicht funktionieren was der @aqui mit den WLAN APs geschrieben hat?
Die iPhones können doch via WLAN auf den Exchange zugreifen oder nicht?
Und mit X.509 Zertifikaten können die doch auch von Haus aus umgehen.
Und wenn man das WLAN in ein VLAN "steckt" sollte doch auch der Zugriff auf alles andere verwehrt werden können mittels ACLs am Switch.
Gruß
Dobby
Hallo,
Zum Beispiel könntest du einen zweiten Exchange installieren. Auf dem ersten per Skript das Postfach in PST exportieren, auf den Transferserver hochladen. Auf dem per Skript importieren. Und das ganze regelmäßig in beide Richtungen. Da dabei Duplikate erkannt werden könnte das sogar funktionieren. Aber ob man damit glücklich wird...
Vielleicht findet sich auch ein Mailserver ("Hamster" evtl), der Postfächer per IMAP synchronisiert & auch per IMAP zur Abholung bereitstellt (kann iPhone ja auch). Nach intern noch über einen Reverse-Proxy absichern. Technisch auch nicht berauschend.
Über den Transferserver hast du ja schon eine Brücke geschaffen (oder wird das Netz wirklich physikalisch wechselseitig geschaltet?). Vielleicht dann einfach eine "sichere Technik" zum Zugriff von extern? EAS über einen Reverse Proxy gilt als ziemlich sicher. BlackBerry hat diverse Zertifizierungen, und benötigt keine eingehenden Verbindungen, sondern baut einen Tunnel über das RIM-Rechenzentrum auf (das macht Angriffe auf Applikationsebene deutlich schwerer, weil nur Applikationsdaten geroutet werden), in eine DMZ kann man noch einen Application Proxy (BlackBerry-Router) stellen. Wenn es iOS sein soll: Good for Enterprise basiert auf der gleichen Technik (nur ausgehende Verbindungen).
Gruß
Filipp
Btw: eine galvanische Trennung ist etwas anderes. Die verhindert keinen Datenaustausch, sondern nur einen direkten Stromfluß.
Am liebsten wäre mir eine Möglichkeit die Mails/Termine etc. über den Transferserver
(hat wechselweise Kontakt zum internen oder externen Netz) zu Syncroniseren. Gibt es dazu eine Chance?
Etwas basteln kann man da bestimmt.(hat wechselweise Kontakt zum internen oder externen Netz) zu Syncroniseren. Gibt es dazu eine Chance?
Zum Beispiel könntest du einen zweiten Exchange installieren. Auf dem ersten per Skript das Postfach in PST exportieren, auf den Transferserver hochladen. Auf dem per Skript importieren. Und das ganze regelmäßig in beide Richtungen. Da dabei Duplikate erkannt werden könnte das sogar funktionieren. Aber ob man damit glücklich wird...
Vielleicht findet sich auch ein Mailserver ("Hamster" evtl), der Postfächer per IMAP synchronisiert & auch per IMAP zur Abholung bereitstellt (kann iPhone ja auch). Nach intern noch über einen Reverse-Proxy absichern. Technisch auch nicht berauschend.
Über den Transferserver hast du ja schon eine Brücke geschaffen (oder wird das Netz wirklich physikalisch wechselseitig geschaltet?). Vielleicht dann einfach eine "sichere Technik" zum Zugriff von extern? EAS über einen Reverse Proxy gilt als ziemlich sicher. BlackBerry hat diverse Zertifizierungen, und benötigt keine eingehenden Verbindungen, sondern baut einen Tunnel über das RIM-Rechenzentrum auf (das macht Angriffe auf Applikationsebene deutlich schwerer, weil nur Applikationsdaten geroutet werden), in eine DMZ kann man noch einen Application Proxy (BlackBerry-Router) stellen. Wenn es iOS sein soll: Good for Enterprise basiert auf der gleichen Technik (nur ausgehende Verbindungen).
Gruß
Filipp
Btw: eine galvanische Trennung ist etwas anderes. Die verhindert keinen Datenaustausch, sondern nur einen direkten Stromfluß.