Hallo zusammen,
was hat sich Microsoft eigentlich dabei gedacht, die Extended Protection zu implementieren und dann Modern Hybrid nicht zu unterstützen?
Eigentlich kann man Modern Hybrid doch gar nicht mehr sicher betreiben?
Wie macht ihr das, geht ihr immer Classic Hybrid? Ich möchte aber eigentlich keinen Port 443 mehr offen haben. Meine Firewall kann nämlich keine Wildcard URLs im Portfilter (unter anderem bin ich mir auch überhaupt nicht sicher welche IPs und URL ich von draußen nach drinnen freigebe müsste - welche URLs sind das?).
Danke für Tipps!
Grüße
Leon
Und wo siehst du jetzt das große Loch? Dein exchange ist nur intern erreichbar, mag man sicher drüber streiten können, ob Full Hybrid mit extended Protection riskanter ist als modern Hybrid ohne. ;)
Ja gut normalerweise sollte ja der Exchange mit 443 erreichbar sein und wenn dann Extended Protection aus ist, das ist ja ein nogo?
Ich kann Extended Protection auch nicht so richtig einschätzen, wie viel zusätzlichen Schutz mir das überhaupt bringt. Der Angreifer muss ja erst mal Man In The Middle werden damit der die Verschlüsselung aufbrechen kann. Oder verstehe ich das Feature falsch?
Ja gut normalerweise sollte ja der Exchange mit 443 erreichbar sein
Ist er aber nur intern und über den Hybrid Agent für O365 in deinem skizzierten Szenario. Oder wie soll ich deine ursprüngliche Aussage verstehen?
Naja die meisten haben ja nen Reverse Proxy damit die Handys Active Synch machen können. Hier brauch ich ja 443 offen von außen.
Ja, aber du schriebst, du willst kein 443 von außen mehr. ;) wenn du aber active sync eh auf machst, dann kannst auch Full Hybrid konfigurieren. Dafür hast du dann ja extended Protection. ;)
Naja theoretisch sobald alle die Active Sync machen wollen in der Cloud sind brauch ich den 443 ja nicht mehr...
Fakt ist Modern Hybrid ist aktuell mit offenen 443 eigentlich sicherheitstechnisch nicht machbar?
eigentlich sicherheitstechnisch nicht machbar?
Zumindest wenn man extended Protection aktiviert haben möchte. ;) Aber wie gesagt, wenn du eh Port 443 offen hast, dann kannst du bis dahin auch full hybrid konfigurieren und extended protection aktivieren und wenn dann port 443 irgendwann zu ist, dann kannst du auf modern hybrid umsteigen und musst derzeit zumindest extended protection wieder deaktivieren.