Hi,
unter Exchange absichern habe ich mir alles durchgelesen und gewundert, dass gar keine WAF oder kein Reverse Proxy vorgeschaltet vorgeschlagen wurde. Ist der Exchange Server 2016 (mit Server 2016) bzw. sein IIS schon so sicher genug um direkt im Netz erreichbar zu sein? Dabei interessiert mich bevorzugt die Installation ohne separater Edge Rolle. Ich würde mich auf Schätzungen und Meinungen freuen, sowie auch Erfahrungen, ist jemanden schon einmal was passiert? Fühlt Ihr Euch sicher? Was genau würdet Ihr als vorgeschaltete Sicherheit empfehlen?
Vielen Dank in Voraus
Vendetta
Wir haben hier den Kemp Loadmaster nach draußen davon und intern den HAProxy. Gehen sicher beide, um nochmal zusätzliche Sicherheit reinzubekommen. Wir haben sie aber nicht nur der Sicherheit wegen sondern auch und vor allem wegen es Loadbalancing vor unserer 3Knoten-DAG.
Bei beiden LBs hast du sehr gute Möglichkeiten, die Sicherheit zu managen und verschiedene Level zu fahren. Der Kemp ist vielleicht so "von haus aus" etwas einfacher zu managen, hat eine gute Weboberfläche und es gibt eine freie Version zum Probieren.
Den Kemp hätte ich jetzt auch vorgeschlagen.
Ansonsten habe ich auch Kunden die einen HAProxy betreiben oder auch einen nginx.
HAProxy als Cluster für interne und externe Zugriffe kann ich empfehlen, macht auch die Wartungen einfacher.
Wenns nur ums veröffentlichen ins Internet geht reicht auch 1 HAProxy, da die aber nicht viel Ressourcen brauchen würde ich schon den Cluster empfehlen.
Der Artikel befasst sich für mein Verständnis mit reinem Hardening auf dem/den Exchange-Server(n), die WAF ist in dem Fall ja kein Teil davon, dazu gibt es auch einen separaten Artikel.
Ich habe mich für diese Lösung entschieden:
- Sophos XG Firewall mit Exchange-Weiterleitungsregeln, die jeweils eine genaue Analyse vornehmen können und verschiedene Bedrohungen abfangen.
- Weiterleitung verschiedener Dienste, wie OWA, ECP und mapi ... auf einen IIS Proxy in der DMZ.
- Loadbalancing per Serverfarm des IIS Proxy auf zwei Exchange-Server im LAN mit DAG.
So kann jeweils einer der Exchange-Server gewartet werden, ohne dass es externe Unterbrechungen gibt.
Danke Euch. Also hätte eine (Sophos) WAF auf jeden Fall noch zusätzliche Sicherheitsvorteile gegenüber einem alleinigem HAProxy....?!?
Den Exchange direkt im Internet betreibt niemand, oder? Es heißt, früher war es Pflicht, der aktuelle IIS wäre sicher genug?
Hallo,
der Artikel bezog sich in der Tat nur auf das Hardening eines Exchange Servers. Ob man soviel Vertrauen hat, den Server ohne WAF direkt ins Internet zu stellen muss jeder für sich selbst entscheiden.
Gruß,
Frank
PS: Ich würde eine WAF einsetzen :-)
Hallo zusammen,
die meisten Kunden aus meinem Umfeld setzen auf KEMP oder F5. Meistens entscheidet hier das Budget für welches Produkt sich entschieden wird, ebenso für welche weiteren Szenarios der Application Delivery Controller oder Loadbalancer genutzt werden kann. Darauf aufbauend kommt meistens zu den Balancern ja ebenso noch eine Firewall die Ihre nötigen Dinge tut dazu.
Aber um es kurz zu halten, auch ich würde keinen Exchange ohne WAF veröffentlichen.
Grüße
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation
Auch ein Hallo in die Runde,
nein...im Firmenumfeld eine produktive Exchangeumgebung ohne WAF zu veröffentlichen... das würde ich nicht verantworten wollen.
Wir nutzen hier einen Kemp in der DMZ für WAF, danach gehts auf den internen Kemp (HA) und von dort auf die Exchangeserver.
Selbst daheim hab ich entweder einen Kemp davor oder die Sophos...(je nach Testanforderung)
Wenn du bereits Hybrid nutzt, also ADFS eingerichtet, kannst du ja zum Veröffentlichen auch den ADFS Proxy nutzen. Kostet dich dann zumindest keine extra MS Lizenzen (BS Lizensierung vorausgesetzt).
Gruß,
Ralf
Hi,
sehe es wie @Monthy: Alle Webservices, welche aus dem Internet erreichbar sind, gehören hinter eine WAF. Zusätzlich sollte natürlich immer auch ein Hardening der Server/Dienste selbst durchgeführt werden. Welche WAF man dazu nutzt ist dann Geschmackssache, bzw. je nach Anforderung. Kleine Anmerkung: ADFS ist keine Web Application Firewall (WAF). Nur weil ein Proxy genutzt wird, wird eine Umgebung nicht automatisch sicherer, dies gilt auch für HAProxy / NGinx / WAP, es kommt immer auf das Regelwerk und die Funktionen sowie Anforderungen an.
Gruß,
Frank
Ok also das Thema gibts auch hier.
Hier wird auch über WAF gesprochen. Werde mich dazu einlesen.
Was ist eigentlich mit Multi-Faktor Authentifizierung?
https://duo.com/docs/owa
https://duo.com/pricing = das wäre für 10 User FREE
lg Stone
Anbei noch der Auth-Prozess
Also die Idee finde ich genial.
lg Stone
Schönen Guten Abend
Ich möchte keinen doppelten Post haben ich werde hier weiter schreiben und im anderen Thread auf diesen verweisen ..... im Endeffekt verfolgen beide Threads das gleiche Ziel.
Exchange 2016 härten - Sicherheit für externen Zugriff erhöhen
https://www.frankysweb.de/community/exchange2016/exchange-2016-haerten-sicherheit-fuer-externen-zugriff-erhoehen/#post-2184
-------------
lg Stone