Exchange 2016 härte...
 
Notifications
Clear all

Exchange 2016 härten - Sicherheit für externen Zugriff erhöhen

15 Posts
5 Users
0 Reactions
10.8 K Views
(@stone1978)
Active Member
Joined: 4 years ago
Posts: 15
Topic starter  

Hallo
Ich bin von SBS auf Exchange 2016 migriert.
Läuft alles.

Jetzt möchte ich mich mit dem Thema Sicherheit verstärkt auseinander setzen.
Gibt es auf Fankysweb auch einen Exchange Security Guide.

Die Firma ist ein Kleinunternehmen es besteht aber die Anforderung OWA zu verwenden.
Wenn jetzt der OWA Server direkt im Netz verfügbar ist finde ich das nicht unbedingt einen guten Schutz. Vor allem in Hinblick auf Bruteforce Attacken.

Welche Möglichkeiten neben VPN gibt es um das für ein Kleinunternehmen kostengünstig bzw. kostenlos umzusetzen.

2 Faktor gefällt mir auch ist aber meistens eher was für Enterprise Kunden.

Ein zusätzlicher Verzeichnisschutz wäre zB eine Möglichkeit also nur für den "OWA" Link.
Damit müsste ein Hacker das Passwort vom Verzeichnisschutz sowie User und PW kennen.
Das wäre so ähnlich wie bei einem L2TP VPN wo man zusätzilch den Schlüssel kennen müsste.

https://exchangeserver/owa

Bitte um eure Hilfe.

Danke vielmals


   
Quote
Frank Zöchling
(@franky)
Honorable Member Admin
Joined: 15 years ago
Posts: 512
 

Servus,

oft ist es gar nicht so einfach "nur" OWA nach extern freizugeben. In der Standardeinstellung laufen alle Exchange Webservices unter der gleichen Webseite (neben OWA also auch ECA, MAPI, RPC, EWS, usw). Wird nun der Exchange Server einfach per NAT freigegeben, hängen auch alle weiteren Exchange Dienste im Internet (ja, auch das Exchange Admin Center). Es gibt zwar ein paar Tricks mittels einer zusätzlichen Webseite, allerdings lässt würde ich das eher nicht empfehlen.

Ich würde daher eher zu einer WAF tendieren, oftmals ist diese Funktion auch schon bei kleineren Unternehmen vorhanden, beispielsweise bieten manche Firewalls dies bereits mit an. Wenn es kostenlos sein soll, dann könntest du dir auch einmal OPNSense anschauen:

https://opnsense.org/

Gruß,

Frank


   
ReplyQuote

(@stone1978)
Active Member
Joined: 4 years ago
Posts: 15
Topic starter  

Servus Frank.
Ja ist mir aufgefallen was es im endeffekt noch schlimmer macht.
Das Problem ist die Anforderung für die Nutzung von mobilen Endgeräten da muss ich es ja aufmachen.
Ja NAT

Für eine zusätzliche Webseite schätze ich werde ich einen ReverseProxy brauchen. Also in einer Umgebung mit 10 PCs ist das schwer durchsetzbar.
Eine Firewall besteht aus dem Hause https://www.zyxel.com (Details sollte man aber aus Securitygründen nicht nennen **gg**).

Mit WAF habe ich keine Erfahrung ebenfalls nicht mit opnsense das ich nur vom Namen kenne.

Also eine einfache Möglichkeit das am Exchange direkt zu härten habe ich nicht?

https://www.frankysweb.de/community/exchange2016/exchange-absichern/
Ich lese mir das mal durch

lg Stone

 

 


   
ReplyQuote
Frank Zöchling
(@franky)
Honorable Member Admin
Joined: 15 years ago
Posts: 512
 

Servus,

bei einem NAT direkt auf den Server hast du im Prinzip kaum noch Möglichkeiten, du könntest noch Client Zertifikate für die Authentifizierung verwenden, aber ob dies bei 10 Benutzern Sinn macht?!

Gruß,

Frank


   
ReplyQuote

(@stone1978)
Active Member
Joined: 4 years ago
Posts: 15
Topic starter  

Servus Frank danke für die Idee.
Kannst du das bitte genauer Beschreiben?
Du meinst eine PKI erstellen und dann dann .... ?
Gibts zu dem was du seitens der Absicherung meinst eine genauere Beschreibung ich lese mir alles durch. 

------
Mir ist jetzt noch was eingefallen. Du hast von einer Trennung im IIS gesprochen. Ich gehe davon aus du meinst eine neue Webseite anlegen und dort nur OWA als Verzeichnis in eine Applikation konvertieren.

- neue Website erstellt (gleicher KNOTEN = %SystemDrive%\inetpub\wwwroot)
- zusätzliche IP Adresse für den Exchange server
- dns einträge und cname (OWA) angepasst indem auf die zweite IP geroutet wird
- OWA als APP hinzugefügt (ich denke da ist aber noch mehr Konfiguration notwendig damit das läuft)
Bindungen etc. 

Und dann nur auf diese zweite IP via NAT weiterleiten. Somit sollte dann nur mehr OWA extern erreichbar sein da die anderen Programme auf IP Nr. 1 die nicht freigeschaltet ist lauschen.

Und dann via DUO (2 Faktor Authentifizierung) das absichern?

Nur da tun sich aktuell viele Fragen auf. Wie binde ich dann externe Handys ein da ist sicher mehr zum freigeben.

Das Problem ist das mir dazu das Detailwissen über die gesamten Exchange Module fehlt. Somit hoffe ich du kannst mir weiterhelfen und mal kurz beschreiben wie das alles zusammenhängt bzw. einen Link oder Info zur Verfügung stellen wo ich das relativ kompakt beschrieben bekomme. Bitte nicht Technet oder ähnliches :-)

Aber das wäre mal skizziert die erste Überlegung für jene die so wie ich 
- NAT verwenden müssen
- keine Web Application Firewall zur Verfügung haben
- Security dennoch wichtig ist und nicht einfach Dienste frei für BruteForce Attacken ins Internet stellen wollen.

Was ich mir auch noch überlege man kann im IIS ja auch mit IP Bindings arbeiten. 
Die Firma die ich betreue kommt eigenltich immer mit IP Adressen aus Österreich daher.
Das könnte ich einschränken und zusätzlich die IP Ranges von 1 Provider in Österreich (mobiler Router) über den die externe Verbindung in die Firma aufgebaut wird.

Das würde für zusätzliche Sicherheit sorgen ein weiterer "Härtungsschritt"

lg Stone





 


   
ReplyQuote
(@stone1978)
Active Member
Joined: 4 years ago
Posts: 15
Topic starter  

So es hat mir jetzt keine Ruhe gelassen und ich habe mir mal das Thema WAF angeschaut.

Wenn ich das richtig verstanden habe ich das nur eine Firewall Erweiterung speziell zugeschnitten auf Webserver. Das ist natürlich für viele von euch Standard aber ich bin da jetzt mal am einlesen damit ich in kurzer Zeit eine entsprechende Lernkurve hinbekommen zwecks Beurteilung der Technologie.
Man hat keine 2-Faktor absicherung aber die definierten WebServices werden zusätzlich gegen  zum Beispiel
cross-site forgery
cross-site-scripting (XSS)
file inclusion
SQL injection
BruteForce attacking
usw usw
Also speziell auf HTTP / HTTPS Traffice zugeschnitten.

Dh ich kann das zusätzlich zu einer NAT Firewall ins System hängen? Das ist quasi eine Ergänzung.
Habe dazu 3 Möglichkeiten gefunden
- a) Cloud Versionen wie zB von Microsoft Azue Web Applikcation Firewall https://azure.microsoft.com/en-us/blog/azure-web-application-firewall-waf-generally-available/
- b) Softwareaufsätze direkt am betroffenen Webserver wie zB WebKnight = https://www.aqtronix.com/?PageID=99
- c) Routerlösungen (Egal ob Hard oder Software) wie zB Opensense => https://docs.opnsense.org/manual/reverse_proxy.html  
Könnte man via virtueller Maschine lösen eine zusätzliche Hardware wäre für mich nicht interessant.

Also wenn ich das so richtig verstanden habe dann würde ich mir das doch tiefer anschauen. Das interessiert mich nämlich jetzt.

Allerdings bietet das noch keinen 2-Faktor Schutz. Wie seht ihr das? Wie ist eure Erfahrung damit.
Und von den oben geannten Lösungsmöglichkeiten welchen Weg würdet ihr da beschreiten?

Wenn ich wo einen Denkfehler habe bitte sagen ich bin wie gesagt am Anfang der Lernkurve :-)

Danke für die HIlfe lg Stone

 

 

 


   
ReplyQuote

Roman_Wien
(@werom-edv)
Estimable Member
Joined: 5 years ago
Posts: 184
 

Hi Stone!

Geo-Firewall (Verigio, siehe google) und nur DE erlauben lassen. Dann hast du schon 99,9% der Hacker ausgeschlossen.

Danach noch Cyberarms Intrusion Detection mit Exchange-Logins zu 5x erlauben, danach wird die IP gesperrt.

 

Das ist für Kleinunternehmen meistens ausreichend.

Opnsense oder gänzlich Firewall da mit einzubinden ist schon vermehrt großer Aufwand.

 

GeoFirewall (ca. 15 Eur) kannst du dir mittels Opnsense ersparen, da Opnsense auch Geo-Regeln enthält.

Cyberarms Intrusion ist eh gratis.

 

Alle Veränderungen mittels virtuellen Ordnern sind nicht zu empfehlen, wenn auch möglich.

lg, R


   
ReplyQuote
(@stone1978)
Active Member
Joined: 4 years ago
Posts: 15
Topic starter  

Servus Roman
Danke das du dir die Zeit genommen hast.

Ja den Zugang mit den IP Adresse haben ich auch. Das geht sogar direkt im IIS bei den IP Restriktionen. So habe ich das schon oft in Intranet Umgebungen durchgeführt um gewisse Mandanten auszusperren.

Natürlich wäre mir zusätzlich ein getrenntes Produkt lieber.

Änderungen in virtuellen Ordnern könnte zu Problemen führen allerdings habe ich wirklich die Website getrennt das sollte normal nicht passieren aber du hast recht ich bin davon schon wieder abgekommen. Das war zu dem Zeitpunkt wo ich noch kein BLUT geleckt habe.
Ich bin ein alter LERNER von dem her würde es mich jetzt sogar "technologisch" reizen das umzusetzen. Ich habe bis 2021 Zeit von dem her herrscht aktuell kein akuter Umsetzungsdruck.

https://www.verigio.com/products/geo-firewall/
Ah ok das ist eine CLientapplikation die kommt direkt auf die Maschine. 

Ich sehe gerade das kann auch die Firewall die ich verwende aus dem Hause Zyxel. 
https://support.zyxel.eu/hc/en-us/articles/360001378533-How-to-use-the-Geo-IP-feature-on-the-USG-Series

Kennst du dich mit OPEN-SENSE aus? Ich würde ein paar gute Einsteigertipps brauchen eventuell ein paar gute Tutorials. Auf Youtube gibts natürlich viele viele aber die GUTEN rauszufiltern ist oft die Kunst wenn möglich keine wo ein INDER auf englisch spricht da werde ich nervös ;-)

Ich danke euch für die vielen Ideen und der Teilnahme

 

Was mir noch an OPEN-SENSE gefällt ist der Reverse Proxy !!!!

Ich würde OPEN-Sense als VM aufsetzen mit 2 LAN NICs
1x WAN
1x LAN

Jetzt ist schon mal die Frage wie kann ich das am besten konfigurieren damit ich doppeltes NAT vermeide.

Also aktuell ist die Anbindung
Exchange = Firewall = Modem = Internet

Dann wäre speziell für die Webserver
Exchange = OpenSense(WAF) = Firewall = Modem = Internet

Also quasi ein Layer dazwischen.

 

Hat jemand von euch eine Erfahrung mit dem DUO (MF-APP) ?

 Multi-Faktor Authentifizierung?
https://duo.com/docs/owa

https://duo.com/pricing  = das wäre für 10 User FREE
Finde ich auch sehr interessant. Allerdings schützt du so ja nur OWA.
Aber zusätzlich fürs Homeoffice wäre das super also in Kombination mit OpenSense als WAF

 

Danke für die Teilnahme und Unterstützung

lg Stone

 

This post was modified 4 years ago by stone1978

   
ReplyQuote

(@carstengeh)
Eminent Member
Joined: 5 years ago
Posts: 36
 
Veröffentlicht von: @stone1978

Hat jemand von euch eine Erfahrung mit dem DUO (MF-APP) ?

 Multi-Faktor Authentifizierung?
https://duo.com/docs/owa

https://duo.com/pricing  = das wäre für 10 User FREE
Finde ich auch sehr interessant. Allerdings schützt du so ja nur OWA. 

Würde mich auch interessieren. Suche gerade auch nach einer MFA Lösung für unseren Exchange 2016 bzw OWA. DUO ist nicht nur gratis für bis zu 10 User(für uns ausreichend), sondern scheint auch relativ easy einzurichten sein. Nutzt das jemand aktiv?

 

Danke


   
ReplyQuote
(@stone1978)
Active Member
Joined: 4 years ago
Posts: 15
Topic starter  

Servus
Ja ich habe mir das Video anschaut das ist eine QUICK-Installation.

Ich habe nur leider keine Exchange Testumgebung zur Verfügung.
Vielleicht hat jemand in dem Forum eine und 15 minuten Zeit denn länger wird er wohl für das Setup von DUO nicht brauchen.

Das wäre wirklich super. Ich würde mich sogar als TESTER anbieten ;-)

lg Stone


   
ReplyQuote

(@carstengeh)
Eminent Member
Joined: 5 years ago
Posts: 36
 

Also, ich habe da mal einen Test Account erstellt.

Auf meiner Sucher nach 2FA Lösungen bin ich auf mehrere Anbieter gestoßen. DUO ist auf jeden Fall eine der einfachsten plug-and-play Geschichten. Alternativ gibt es anscheinend noch einen Anbieter aus Russland?(Protectismus) und Kanada(LoginTC). Alle drei versprechen die selbe Einfachheit. Alternativ gibt es noch SecSign aus Deutschland. Diese bieten aber nur Inhouse Lösungen. Preis ab 6k aufwärts.

 

Oder man bastelt sich das ganze selber mit PrivacyIDEA und ADFS zusammen. Aber wenn man da in der Community von PI schaut, ist das Ganze irgendwie nicht so ausgereift. Es gibt auch kein nativ Plugin.

 

DUO ist denkbar einfach einzurichten und macht ziemlich genau das, was man sich wünscht. Man legt User und evtl. Gruppen mit den jeweiligen Regeln an und verknüpft dann beim ersten Einloggen in OWA die Smartphones mit den Kontos. Einmal hinterlegt kann man die Zugänge auch untereinander verbinden, damit mehrere Leute auf die gleichen Postfächer Zugriff haben.

 

Man muss dazu sagen, dass die Kostenlose Version wirklich nur ein An-Aus Schalter ist. Man kann zwar User erstellen, aber mehr geht dann nicht. Dann muss man mit den Standard Einstellungen von DUO so leben wie sie sind.

 

Wir überlegen gerade stark DUO zu benutzen. Die Preise fangen ab 3$/User/Monat an. Hier gibt es dann auch mehr Einstellungsmöglichkeiten im Bereich User/Gruppen usw. Darüber hinaus gibt es noch weitere Sicherheitsüberwachungen in den höheren Tiers. Da muss dann jeder selber entscheiden, ob das irgendwie von Nutzen ist.

 

Vielleicht gibt das den Ein oder Anderen ein bisschen einen Einblick.

 

Gruß


   
ReplyQuote
(@stone1978)
Active Member
Joined: 4 years ago
Posts: 15
Topic starter  

Servus

Danke für die ausführliche Info das macht es schon einfach was die Entscheidungsfindung angeht.

Noch eine kurze Frage weil du von Einschränkungen der Free Version zur Standard Edition gesprochen hast. Welche sind das? Also mit was müsste man leben?

Vor allem aber betrifft das jetzt nur OWA und was ist mit den anderen Diensten vom Exchange Server damit eine externe Verbindung möglich ist. Nicht das man dann überall DUO braucht?
Betrifft das nur OWA ?

lg Stone


   
ReplyQuote

(@carstengeh)
Eminent Member
Joined: 5 years ago
Posts: 36
 

@stone1978

Zu den Einschränkungen weiß ich jetzt auch nur das, was hier aufgelistet ist:

https://duo.com/pricing

 

Die Testversion läuft noch und bietet momentan alle Funktionen. Wie in der Übersicht ersichtlich ist, fehlen der Free Version jegliche Anpassungsmöglichkeiten für User, Gruppen, Applikationen etc. 

 

Ja, die Integration bezieht sich nur auf OWA. Nicht auf Active Sync oder interne Exchange Anbindung. Das Plugin klingt sich hier im IIS vom Exchange ein.

 

Gruß


   
ReplyQuote
(@stone1978)
Active Member
Joined: 4 years ago
Posts: 15
Topic starter  

Ok das habe ich überflogen.

Ich denke das wäre für die kleine Umgebung wo ich das vorerst brauche (5 Personen) ausreichend. Ich möchte nur sicherstellen dass ein höherer Schutz gegeben ist.
Ich werde das sicher testen.

Bin gespannt ob man das mit OpenSense wie oben beschrieben so kombinieren kann oder ob noch ein Denkfehler vorliegt.

lg Stone


   
ReplyQuote

(@rueberk)
New Member
Joined: 3 years ago
Posts: 1
 

@werom-edv 

Hast du mit gut Erfahrungen gemacht ? Wie aufwendig ist die Einrichtung ?

Vielen Dank 

Klaus


   
ReplyQuote
Share: