Benachrichtigungen
Alles löschen

Exchange absichern

13 Beiträge
9 Benutzer
1 Reactions
13.9 K Ansichten
(@vendetta)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 85
Themenstarter  

Hi,

unter Exchange absichern habe ich mir alles durchgelesen und gewundert, dass gar keine WAF oder kein Reverse Proxy vorgeschaltet vorgeschlagen wurde. Ist der Exchange Server 2016 (mit Server 2016) bzw. sein IIS schon so sicher genug um direkt im Netz erreichbar zu sein? Dabei interessiert mich bevorzugt die Installation ohne separater Edge Rolle. Ich würde mich auf Schätzungen und Meinungen freuen, sowie auch Erfahrungen, ist jemanden schon einmal was passiert? Fühlt Ihr Euch sicher? Was genau würdet Ihr als vorgeschaltete Sicherheit empfehlen?

Vielen Dank in Voraus

Vendetta

 


   
Zitat
uschuetz
(@uschuetz)
Active Member
Beigetreten: Vor 5 Jahren
Beiträge: 18
 

Wir haben hier den Kemp Loadmaster nach draußen davon und intern den HAProxy. Gehen sicher beide, um nochmal zusätzliche Sicherheit reinzubekommen. Wir haben sie aber nicht nur der Sicherheit wegen sondern auch und vor allem wegen es Loadbalancing vor unserer 3Knoten-DAG.

Bei beiden LBs hast du sehr gute Möglichkeiten, die Sicherheit zu managen und verschiedene Level zu fahren. Der Kemp ist vielleicht so "von haus aus" etwas einfacher zu managen, hat eine gute Weboberfläche und es gibt eine freie Version zum Probieren.


   
AntwortZitat

(@tesso)
New Member
Beigetreten: Vor 5 Jahren
Beiträge: 2
 

Den Kemp hätte ich jetzt auch vorgeschlagen.

Ansonsten habe ich auch Kunden die einen HAProxy betreiben oder auch einen nginx.


   
AntwortZitat
(@robert)
Active Member
Beigetreten: Vor 5 Jahren
Beiträge: 7
 

HAProxy als Cluster für interne und externe Zugriffe kann ich empfehlen, macht auch die Wartungen einfacher.

Wenns nur ums veröffentlichen ins Internet geht reicht auch 1 HAProxy, da die aber nicht viel Ressourcen brauchen würde ich schon den Cluster empfehlen.

Der Artikel befasst sich für mein Verständnis mit reinem Hardening auf dem/den Exchange-Server(n), die WAF ist in dem Fall ja kein Teil davon, dazu gibt es auch einen separaten Artikel.


   
AntwortZitat

Ulrich
(@ulrich)
New Member
Beigetreten: Vor 5 Jahren
Beiträge: 2
 

Ich habe mich für diese Lösung entschieden:

  1. Sophos XG Firewall mit Exchange-Weiterleitungsregeln, die jeweils eine genaue Analyse vornehmen können und verschiedene Bedrohungen abfangen.
  2. Weiterleitung verschiedener Dienste, wie OWA, ECP und mapi ... auf einen IIS Proxy in der DMZ.
  3. Loadbalancing per Serverfarm des IIS Proxy auf zwei Exchange-Server im LAN mit DAG.

So kann jeweils einer der Exchange-Server gewartet werden, ohne dass es externe Unterbrechungen gibt.


   
AntwortZitat
(@vendetta)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 85
Themenstarter  

Danke Euch. Also hätte eine (Sophos) WAF auf jeden Fall noch zusätzliche Sicherheitsvorteile gegenüber einem alleinigem HAProxy....?!?

Den Exchange direkt im Internet betreibt niemand, oder? Es heißt, früher war es Pflicht, der aktuelle IIS wäre sicher genug?


   
AntwortZitat

Frank Zöchling
(@franky)
Honorable Member Admin
Beigetreten: Vor 15 Jahren
Beiträge: 512
 

Hallo,

der Artikel bezog sich in der Tat nur auf das Hardening eines Exchange Servers. Ob man soviel Vertrauen hat, den Server ohne WAF direkt ins Internet zu stellen muss jeder für sich selbst entscheiden.

Gruß,

Frank

PS: Ich würde eine WAF einsetzen :-)


   
AntwortZitat
(@stef_d)
Eminent Member
Beigetreten: Vor 5 Jahren
Beiträge: 49
 

Hallo zusammen,

die meisten Kunden aus meinem Umfeld setzen auf KEMP oder F5. Meistens entscheidet hier das Budget für welches Produkt sich entschieden wird, ebenso für welche weiteren Szenarios der Application Delivery Controller oder Loadbalancer genutzt werden kann. Darauf aufbauend kommt meistens zu den Balancern ja ebenso noch eine Firewall die Ihre nötigen Dinge tut dazu. 

Aber um es kurz zu halten, auch ich würde keinen Exchange ohne WAF veröffentlichen.

 

Grüße

Steffen

Never walk alone to the Cloud - Take the cloud journey and start the digital transformation


   
AntwortZitat

(@geloeschter-benutzer)
Reputable Member
Beigetreten: Vor 2 Jahren
Beiträge: 263
 

Auch ein Hallo in die Runde,

nein...im Firmenumfeld eine produktive Exchangeumgebung ohne WAF zu veröffentlichen... das würde ich nicht verantworten wollen.
Wir nutzen hier einen Kemp in der DMZ für WAF, danach gehts auf den internen Kemp (HA) und von dort auf die Exchangeserver. 

Selbst daheim hab ich entweder einen Kemp davor oder die Sophos...(je nach Testanforderung)

Wenn du bereits Hybrid nutzt, also ADFS eingerichtet, kannst du ja zum Veröffentlichen auch den ADFS Proxy nutzen. Kostet dich dann zumindest keine extra MS Lizenzen (BS Lizensierung vorausgesetzt).

Gruß,
Ralf


   
AntwortZitat
Frank Zöchling
(@franky)
Honorable Member Admin
Beigetreten: Vor 15 Jahren
Beiträge: 512
 

Hi,

sehe es wie @Monthy: Alle Webservices, welche aus dem Internet erreichbar sind, gehören hinter eine WAF. Zusätzlich sollte natürlich immer auch ein Hardening der Server/Dienste selbst durchgeführt werden. Welche WAF man dazu nutzt ist dann Geschmackssache, bzw. je nach Anforderung. Kleine Anmerkung: ADFS ist keine Web Application Firewall (WAF). Nur weil ein Proxy genutzt wird, wird eine Umgebung nicht automatisch sicherer, dies gilt auch für HAProxy / NGinx / WAP, es kommt immer auf das Regelwerk und die Funktionen sowie Anforderungen an.

Gruß,

Frank


   
AntwortZitat

(@stone1978)
Active Member
Beigetreten: Vor 4 Jahren
Beiträge: 15
 

https://www.frankysweb.de/community/exchange2016/exchange-2016-haerten-sicherheit-fuer-externen-zugriff-erhoehen/#post-2184

Ok also das Thema gibts auch hier.

Hier wird auch über WAF gesprochen. Werde mich dazu einlesen.

Was ist eigentlich mit Multi-Faktor Authentifizierung?
https://duo.com/docs/owa

https://duo.com/pricing = das wäre für 10 User FREE

lg Stone

Diese r Beitrag wurde geändert Vor 4 Jahren 2 mal von stone1978

   
AntwortZitat
(@stone1978)
Active Member
Beigetreten: Vor 4 Jahren
Beiträge: 15
 

Anbei noch der Auth-Prozess
Also die Idee finde ich genial.

lg Stone


   
AntwortZitat

(@stone1978)
Active Member
Beigetreten: Vor 4 Jahren
Beiträge: 15
 

Schönen Guten Abend

Ich möchte keinen doppelten Post haben ich werde hier weiter schreiben und im anderen Thread auf diesen verweisen ..... im Endeffekt verfolgen beide Threads das gleiche Ziel.

Exchange 2016 härten - Sicherheit für externen Zugriff erhöhen
https://www.frankysweb.de/community/exchange2016/exchange-2016-haerten-sicherheit-fuer-externen-zugriff-erhoehen/#post-2184

-------------

lg Stone


   
AntwortZitat
Teilen: