Hallo,
seit den letzten Sicherheitsvorfällen, habe ich ActiveSync und OWA usw. über https auf unseren Exchange 2019 abgeschaltet.
Der Exchange 2019 an sich sitzt hinter einer Firewall incl. WAF. Die Empfehlung unseres Informationssicherheitsberaters ist, ActiveSync nur noch über VPN zugänglich zu machen,
das halte ich allerdings nicht für sehr anwenderfreundlich, und administratorfreundlich.
Ich habe früher schonmal etwas mit eigenen Zertifizierungsstellen rumgespielt, (Exchange 2003 usw.) und dementsprechend geistert bei mir der Gedanke rum, eine eigene Zertifizierungsstelle in der AD einzurichten, Client Zertifikate auszustellen und diese auf die mobilen Clients zu verteilen, und den Exchange Webserver so zu konfigurieren, das sich nur Clients mit Client Zertifikat verbinden können.
Technisch muss es machbar sein, denn der Zugriff auf das Lehrer OWA des Kultusministeriums funktioniert so.
a) Was haltet ihr von der Idee ?
b) Kennt ihr Firmen die so etwas umsetzen ?
Mit freundlichen Grüßen
Mike
Hallo Mike,
ActiveSync nur via VPN ist ziemlich kontraproduktiv. Wird denn in deiner Umgebung ActiveSync nicht schon durch die WAF geschützt? Zertifikatsbasierte Auth wird für ActiveSync unterstützt, ist auch relativ einfach zu konfigurieren. Siehe hier:
Gruß,
Frank
Hallo Frank,
danke für die Rückmeldung. Das stimmt schon, ActiveSync wird bereits durch ein WAF geschützt, was aber dem Problem keine Abhilfe schafft, das ein Dritter mit erbeuteten Zugangsdaten, sich Zugang zu Exchange Accounts verschaffen könnte.
Wenn ich deinen Link richtig verstehe, dann wird hier die Auth komplett durch das Zertifikat ersetzt und nicht als zusätzliche Option gesetzt.
Mir geht's hier aber darum, das das Zertifikat zusätzlich erforderlich ist und nicht Benutzername und Kennwort ersetzt.
Ich möchte also eine 2-Stufen Authentifizierung abbilden, Benutzername und Kennwort + Zertifikat.
Die Authentifizierung komplett auf Zertifikat umzustellen, sehe ich auch etwas problematisch, da es Intern, Geräte gibt, denen ich kein Zertifikat mitgeben kann.
Gruß
Mike
was aber dem Problem keine Abhilfe schafft, das ein Dritter mit erbeuteten Zugangsdaten, sich Zugang zu Exchange Accounts verschaffen könnte.
Und das kann dir bei VPN nicht passieren? Meist wird auch das VPN ja ans AD geknotet. ;)
Nein das kann mir bei einer VPN nicht passieren, den
a) Derjenige müsste erstmal wissen das es eine VPN speziell für diesen Fall gibt,
b) Er müsste wissen, welche Art von VPN wir einsetzen und den Zugriff auf die notwendigen Schlüssel bekommen.
c) Besitzt die VPN eine Zwei Stufen Authentifizierung mit Token und an den Tokenschlüssel kommt ein Dritter nicht ran, bzw. würde der Verlust im extrem Fall, sehr schnell auffallen und gesperrt werden,
während der Missbrauch von Benutzername und Passwort unter umständen sehr lange unentdeckt bleibt.
Das hat mich ja auf die Idee gebracht, das ein separat ausgerolltes Zertifikat, als zweite Authentifizierungsstufe viel charmanter wäre, als ein Token.
a) Derjenige müsste erstmal wissen das es eine VPN speziell für diesen Fall gibt,
Und? Social Engineering ist jetzt nicht so schwer. ;)
b) Er müsste wissen, welche Art von VPN wir einsetzen und den Zugriff auf die notwendigen Schlüssel bekommen.
Auch das is notfalls kein Problem, aber natürlich eine andere Sache als ein Exchange.
Kannst ja dein Active Sync mit MFA absichern. Macht nur keinen Spaß vermute ich. ;) Was spricht denn gegen zertifikatsbasierte Authentifizierung? Das dürfte doch grundsätzlich deine Anforderungen erfüllen. Und ja, wenn man das Zertifikat verliert/verschenkt oder sonstwas ist das auch wie ein Passwort ;)
Bye
Norbert