|
| Exchange OWA ???? Fra : Martin Lynge Nicolai~ |
Dato : 02-10-03 09:53 |
|
Hej Gruppe
Vi diskuterer her i firmaet om vi skal bruge webaccess på vores Exchange 5.5
server.
Nogen mener man åbner for hackere andre mener der ikke er noget
sikkerhedsproblem .....
Hvad siger i ????
På forhånd tak
/MLN
| |
Lars Knudsen (02-10-2003)
| Kommentar Fra : Lars Knudsen |
Dato : 02-10-03 10:23 |
|
"Martin Lynge Nicolaisen" <mln@tanddatahus.dk> wrote in
news:6IReb.158$536.21434@news000.worldonline.dk:
> Vi diskuterer her i firmaet om vi skal bruge webaccess på vores
> Exchange 5.5 server.
> Nogen mener man åbner for hackere andre mener der ikke er noget
> sikkerhedsproblem .....
Alle åbne services udgør potentielt en risiko. Dermed vil en webmail også
være en risiko. Det må være op til firmaets sikkerhedsansvarlige at
definere denne risiko, og om man er villig til at leve med den.
OWA'en i 5.5 er desuden stort set umulig at kontrollere i et DMZ miljø, så
man kunne evt. kigge på en 3. parts løsning der kunne fungere udelukkende
vha. f.eks. IMAP.
/lars
| |
Anon (02-10-2003)
| Kommentar Fra : Anon |
Dato : 02-10-03 11:31 |
|
> OWA'en i 5.5 er desuden stort set umulig at kontrollere i et DMZ miljø, så
Af nysgerrighed: hvordan skal dette forståes?
Sigurd
| |
Christian E. Lysel (02-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-10-03 12:08 |
|
In article <blgup9$6hc$1@news.net.uni-c.dk>, Anon wrote:
>> OWA'en i 5.5 er desuden stort set umulig at kontrollere i et DMZ miljø, så
> Af nysgerrighed: hvordan skal dette forståes?
Du skal fra DMZ'en åbne for meget trafik ind til din Exchange server.
Nogle firewalls kan ikke konfigureres til dette. Er dette tilfældet skal
man rette i Exchange serveren registeringsdatabase. Men jeg har set
et par installation hvor Exchange serveren ikke gad følge anvisningerne
i registeringsdatabasen.
I nyere versioner af OWA giver man fx adgang til sit AD.
Generelt kan jeg ikke se det smarte i at smide OWA serveren i en DMZ!
Normalt placere jeg en baglæns proxy server der laver brugervalideringen
indenfor https sessionen, mellem klienten og OWA serveren. Har kan man
evt. vælge at bruge stærk validering hvis man har anskaffet sig dette.
Hvis du stoler på Microsofts OWA løsning, skal du "blot" nøjes med at
konfigurer det rigtigt, og hardne dine komponenter, men på den anden side
har jeg set flere certificeret microsoft folk der ikke kunne finde ud af
dette.
| |
Lars Knudsen (02-10-2003)
| Kommentar Fra : Lars Knudsen |
Dato : 02-10-03 12:18 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in
news:slrnbno1pc.ja.chel@weebo.dmz.spindelnet.dk:
> Normalt placere jeg en baglæns proxy server der laver
> brugervalideringen indenfor https sessionen, mellem klienten og OWA
Hvad forstår du 'baglæns proxy'? Og laver du valideringen af https-
sessionen op mod domænet, eller f.eks. mod en RADIUS?
> Hvis du stoler på Microsofts OWA løsning, skal du "blot" nøjes med at
Det er kun folk under indflydelse af marketing-trommer der gør dette.
/lars
| |
Christian E. Lysel (02-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-10-03 12:38 |
|
In article <Xns940887472CF87bofhvdcdk@195.129.110.83>, Lars Knudsen wrote:
>> Normalt placere jeg en baglæns proxy server der laver
>> brugervalideringen indenfor https sessionen, mellem klienten og OWA
>
> Hvad forstår du 'baglæns proxy'? Og laver du valideringen af https-
En proxyserver der svarer på aldmindelige klient http/1.1 forspørgelser,
men som proxyer forspørgelserne videre til en webserver.
> sessionen op mod domænet, eller f.eks. mod en RADIUS?
Hvad valideringen bliver fortaget op imod er ligegyldigt.
Det vigtige er at validere i den samme session, dvs. ikke noget med
at have en session til validering og en anden til OWA sessionen, så
falder sikkerhedsmodellen fra hinanden.
Herefter bør man også kikke på hvad en tilfældig OWA klient cache, hvis
det skal kunne tilgåes "hvor som helst fra"
http://www.borderware.com/products/mxtreme.php er et produkt der
tilbyder ovenstående, dog er jeg usikkerhed på hvad Borderware mener
med OWA (sidst jeg rodet med produktet var det en IMAP klient, men
de lovede at bygge en hardnet baglæns http proxy til OWA serveren).
>> Hvis du stoler på Microsofts OWA løsning, skal du "blot" nøjes med at
> Det er kun folk under indflydelse af marketing-trommer der gør dette.
Antallet af sårbarheder kan tælles på én hånd, hvis man konfigurere
løsningen fornuftigt.
| |
Niels Vejrup Pederse~ (02-10-2003)
| Kommentar Fra : Niels Vejrup Pederse~ |
Dato : 02-10-03 16:02 |
|
> En proxyserver der svarer på aldmindelige klient http/1.1 forspørgelser,
> men som proxyer forspørgelserne videre til en webserver.
Det kan fx være Microsoft ISA server produkt.
> >> Hvis du stoler på Microsofts OWA løsning, skal du "blot" nøjes med at
> > Det er kun folk under indflydelse af marketing-trommer der gør dette.
>
> Antallet af sårbarheder kan tælles på én hånd, hvis man konfigurere
> løsningen fornuftigt.
Det handler jo bare om sund fornuft, og at forstå de teknologier man
arbejdet med - man kan gardere sig med en udemærket firewall langt hen af
vejen i sådanne løsninger.
Også uden DMZ.
Niels Vejrup Pedersen
| |
Christian E. Lysel (02-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-10-03 16:59 |
|
In article <3f7c3dda$0$97181$edfadb0f@dread12.news.tele.dk>, Niels Vejrup Pedersen wrote:
>> En proxyserver der svarer på aldmindelige klient http/1.1 forspørgelser,
>> men som proxyer forspørgelserne videre til en webserver.
>
> Det kan fx være Microsoft ISA server produkt.
Grunden til at købe ISA'en som jeg ser det er grundet den er den eneste
firewall med understøttelse af AD.
Men ønsker man virkelig at ens gateway firewall er medlem i AD'et?
>
>> >> Hvis du stoler på Microsofts OWA løsning, skal du "blot" nøjes med at
>> > Det er kun folk under indflydelse af marketing-trommer der gør dette.
>> Antallet af sårbarheder kan tælles på én hånd, hvis man konfigurere
>> løsningen fornuftigt.
> Det handler jo bare om sund fornuft, og at forstå de teknologier man
> arbejdet med - man kan gardere sig med en udemærket firewall langt hen af
> vejen i sådanne løsninger.
Udsagnet om firewalls er ikke sund formuft, men meget naivt.
En firewall beskytter ikke imod en fejlkonfiguration af IIS, der
giver en angriber administrator adgang til webserveren via http.
Det er langt vigtigere at konfigurere sine komponenter ordenligt.
Tager man en standard OWA løsning gætter jeg på der har været ca. 100 sårbarheder
igennem tiden (hvilket nok er en underdrivelse), men tager man en hardnet OWA
løsning har der været ca. 5 sårbarheder.
| |
Niels Vejrup Pederse~ (02-10-2003)
| Kommentar Fra : Niels Vejrup Pederse~ |
Dato : 02-10-03 18:11 |
|
> > Det handler jo bare om sund fornuft, og at forstå de teknologier man
> > arbejdet med - man kan gardere sig med en udemærket firewall langt hen
af
> > vejen i sådanne løsninger.
>
> Udsagnet om firewalls er ikke sund formuft, men meget naivt.
> En firewall beskytter ikke imod en fejlkonfiguration af IIS, der
> giver en angriber administrator adgang til webserveren via http.
>
> Det er langt vigtigere at konfigurere sine komponenter ordenligt.
Det hører selvfølgelig med, men jeg siger dermed at man sagtens kan køre en
OWA igennem en firewall uden proxy foran, og stadig have en sikker
konfiguration.
Man skal altid have locked sin konfiguration og sørge for at de relevante
patches og sårbarheder er opdateret.
Niels Vejrup Pedersen
| |
Jan Bøgh (02-10-2003)
| Kommentar Fra : Jan Bøgh |
Dato : 02-10-03 18:47 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbnoip5.5l1.chel@weebo.dmz.spindelnet.dk
> Grunden til at købe ISA'en som jeg ser det er grundet den er den
> eneste
> firewall med understøttelse af AD.
>
> Men ønsker man virkelig at ens gateway firewall er medlem i AD'et?
Man kan med fordel smide en FW mellem ISAen og den onde, onde net.
ISAen tilbyder IMHO nogle smarte muligheder med differentieret adgang i
forhold til brugere og grupper.
vh
Jan
| |
Povl H. Pedersen (02-10-2003)
| Kommentar Fra : Povl H. Pedersen |
Dato : 02-10-03 21:06 |
|
On 2003-10-02,
Jan Bøgh <jan@boegh-dot-net> wrote:
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
> news:slrnbnoip5.5l1.chel@weebo.dmz.spindelnet.dk
>
>> Grunden til at købe ISA'en som jeg ser det er grundet den er den
>> eneste
>> firewall med understøttelse af AD.
>>
>> Men ønsker man virkelig at ens gateway firewall er medlem i AD'et?
>
> Man kan med fordel smide en FW mellem ISAen og den onde, onde net.
> ISAen tilbyder IMHO nogle smarte muligheder med differentieret adgang i
> forhold til brugere og grupper.
Nu er ISA'en lige knap så smart som den burde være. Jo mere man
bruger den, jo mere lober man ind i dens begrænsninger.
Og der er andre konkurerende produkter. Og man bor lige tænke
på at ISA 2003 skulle komme omkring årsskiftet.
| |
Christian E. Lysel (02-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-10-03 21:26 |
|
In article <slrnbnp1a4.dbq.pope@mail.home.terminal.dk>, Povl H. Pedersen wrote:
> Nu er ISA'en lige knap så smart som den burde være. Jo mere man
> bruger den, jo mere lober man ind i dens begrænsninger.
Er den ikke udmærket som en intern proxy server?
> Og der er andre konkurerende produkter. Og man bor lige tænke
> på at ISA 2003 skulle komme omkring årsskiftet.
Jeg ville aldrig personligt finde på at bruge den selv, i
de preformance tests jeg har lavet lå den i bund. Det var ikke
fordi maskinen var overbelastet, ved de 150 connections begynde
TCP/IP stakken at retunere med "connection closed", og hverken
jeg eller vores Microsoft certificeret konsulent, kunne finde
en parameter der kunne hjælpe.
Andre der har ligende erfaringer, eller kan afvise min "påstand"?
Har endvidere set en kunde, der smed deres Symantec Enterprise Firewall
på porten da opdateringsaftalen var for dyr.
ISA'en havde en udmærket ydelse, indtil de bede mig om at kikke på sikkerheden
hvor jeg forslog at slå filter laget til, hvorefter ydelsen
faldt til det halve.
| |
Lars Kim Lund (03-10-2003)
| Kommentar Fra : Lars Kim Lund |
Dato : 03-10-03 06:13 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote:
>> Nu er ISA'en lige knap så smart som den burde være. Jo mere man
>> bruger den, jo mere lober man ind i dens begrænsninger.
>
>Er den ikke udmærket som en intern proxy server?
Jeg synes det er en god proxy-server. Den kan nogle ting, som få andre
kan, som kan være smart i en windows-miljø.
Jeg bryder mig ikke om dens måde at opsætte objekter og regler på. Har
aldtig brugt den som firewall, så kan ikke udtale mig om hastighed
eller sikkerhed. Den er dog okay hurtig som proxy.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Christian E. Lysel (03-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 03-10-03 09:19 |
|
In article <d81qnvsgn955ms0jrfobommvkccjimdnct@dtext.news.tele.dk>, Lars Kim Lund wrote:
>>Er den ikke udmærket som en intern proxy server?
>
> Jeg synes det er en god proxy-server. Den kan nogle ting, som få andre
> kan, som kan være smart i en windows-miljø.
Novells Proxy/Firewall, har været lige så flexsible siden '98 hvad
angår integration med et Directory.
> Jeg bryder mig ikke om dens måde at opsætte objekter og regler på. Har
Enig, men skal tænkt på en helt anden måde. i forhold til
andre ligende produkter.
> aldtig brugt den som firewall, så kan ikke udtale mig om hastighed
> eller sikkerhed. Den er dog okay hurtig som proxy.
Ok.
| |
Lars Kim Lund (03-10-2003)
| Kommentar Fra : Lars Kim Lund |
Dato : 03-10-03 21:05 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote:
>> Jeg synes det er en god proxy-server. Den kan nogle ting, som få andre
>> kan, som kan være smart i en windows-miljø.
>
>Novells Proxy/Firewall, har været lige så flexsible siden '98 hvad
>angår integration med et Directory.
Med deres eget directory - og det er jo ikke så relevant hvis man ikke
bruger Novell. Desuden skrev jeg "få andre" og ikke "alle andre".
>> Jeg bryder mig ikke om dens måde at opsætte objekter og regler på. Har
>
>Enig, men skal tænkt på en helt anden måde. i forhold til
>andre ligende produkter.
Der er et par interessante ting, men generelt synes jeg objektmodellen
er defekt. Den er ufleksibel og det kan i sidste ende være svært at få
overblik over hvad nettoresultatet egentlig er. Og hvis det er svært
at overskue, så laver man let fejl. Og det er jo ikke godt i et
sikkerhedsprodukt, for der er opsætningsfejl traditionelt den største
fejlkilde.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Povl H. Pedersen (03-10-2003)
| Kommentar Fra : Povl H. Pedersen |
Dato : 03-10-03 20:47 |
|
On 2003-10-03,
Lars Kim Lund <lkl@fabel.dk> wrote:
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote:
>
>>> Nu er ISA'en lige knap så smart som den burde være. Jo mere man
>>> bruger den, jo mere lober man ind i dens begrænsninger.
>>
>>Er den ikke udmærket som en intern proxy server?
>
> Jeg synes det er en god proxy-server. Den kan nogle ting, som få andre
> kan, som kan være smart i en windows-miljø.
>
> Jeg bryder mig ikke om dens måde at opsætte objekter og regler på. Har
> aldtig brugt den som firewall, så kan ikke udtale mig om hastighed
> eller sikkerhed. Den er dog okay hurtig som proxy.
Ja, mit storste problem er at det er svært at begrænse brugere til det
man vil have dem til.
Antag vi vil tillade ftp til 5 sites, og http til hele Internet for en
bruger.
Så skal vi et sted give ham lov til protokollen, og et andet til
destinationen. Resultatet er han kan lave FTP til hele Internet.
| |
Christian E. Lysel (02-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-10-03 12:39 |
|
In article <6IReb.158$536.21434@news000.worldonline.dk>, Martin Lynge Nicolaisen wrote:
> Nogen mener man åbner for hackere andre mener der ikke er noget
> sikkerhedsproblem .....
>
> Hvad siger i ????
Hvad er et sikkerhedproblem for Jer?
| |
Thomas Bøjstrup Joha~ (02-10-2003)
| Kommentar Fra : Thomas Bøjstrup Joha~ |
Dato : 02-10-03 20:46 |
|
> sikkerhedsproblem .....
husk kun at køre det med SSL på
| |
Christian E. Lysel (02-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 02-10-03 20:58 |
|
In article <ch%eb.3465$m97.1760@news.get2net.dk>, Thomas Bøjstrup Johansen wrote:
>> sikkerhedsproblem .....
> husk kun at køre det med SSL på
-------^^^
Hvorfor "kun"?
| |
Salva (03-10-2003)
| Kommentar Fra : Salva |
Dato : 03-10-03 00:54 |
|
"Thomas Bøjstrup Johansen" <tooms@post1.tele.dk> skrev i en meddelelse
news:ch%eb.3465$m97.1760@news.get2net.dk...
>
> > sikkerhedsproblem .....
> husk kun at køre det med SSL på
Jeg har tænkt over hvordan det egentlig gøres. Er det bare en indstilling
eller skal der mere til??
Vi bruger win2k og Exchange 2k fuldt opdateret
-salva
| |
Povl H. Pedersen (03-10-2003)
| Kommentar Fra : Povl H. Pedersen |
Dato : 03-10-03 20:41 |
|
On 2003-10-02,
Salva <salvanone@hotmail.com> wrote:
>
> "Thomas Bøjstrup Johansen" <tooms@post1.tele.dk> skrev i en meddelelse
> news:ch%eb.3465$m97.1760@news.get2net.dk...
>>
>> > sikkerhedsproblem .....
>> husk kun at køre det med SSL på
>
> Jeg har tænkt over hvordan det egentlig gøres. Er det bare en indstilling
> eller skal der mere til??
> Vi bruger win2k og Exchange 2k fuldt opdateret
SSL kræver et servercertifikat. Evt også klientcertifikater (anbefales).
Microsoft har en certificate server du kan bruge til at lave selvudstedte
certifikater med, eller du kan kobe det hele hos TDC, eller installere
cygwin og bruge openssl kommandoen til det hele.
Jeg vil dog generelt anbefale, at såfremt folk skal kunne læse mails
udefra, så anvender du 2-faktor authentifikation, eksempelvis SecurID
tokens, helst i din foranstillede firewall.
| |
Stig Meyer Jensen (03-10-2003)
| Kommentar Fra : Stig Meyer Jensen |
Dato : 03-10-03 07:39 |
|
"Martin Lynge Nicolaisen" <mln@tanddatahus.dk> skrev i en meddelelse
news:6IReb.158$536.21434@news000.worldonline.dk...
> Hej Gruppe
>
> Vi diskuterer her i firmaet om vi skal bruge webaccess på vores Exchange
5.5
> server.
> Nogen mener man åbner for hackere andre mener der ikke er noget
> sikkerhedsproblem .....
> Hvad siger i ????
Det afhænger jo alt sammen af hvordan i har tænkt jer at gøre det. Jo flere
services du åbner direkte udadtil, jo større risiko er der for at der er
exploits der kan bruges imod dig. Hvis ikke i har (og vedligholder) en IIS
på maskinen i dag, vil der jo være en del ting i skal sørge for er
up-to-date på maskinen hvis i åbner op for OWA.
Er der noget der taler for at I ikke kan løse opgaven på en anden måde, fx
med VPN?
--
Stig Meyer Jensen
stig@mine_3_initialer.dk
| |
Povl H. Pedersen (03-10-2003)
| Kommentar Fra : Povl H. Pedersen |
Dato : 03-10-03 20:53 |
|
On 2003-10-03,
Stig Meyer Jensen <stig@mine_3_initialer.dk> wrote:
>
> "Martin Lynge Nicolaisen" <mln@tanddatahus.dk> skrev i en meddelelse
> news:6IReb.158$536.21434@news000.worldonline.dk...
>> Hej Gruppe
>>
>> Vi diskuterer her i firmaet om vi skal bruge webaccess på vores Exchange
> 5.5
>> server.
>> Nogen mener man åbner for hackere andre mener der ikke er noget
>> sikkerhedsproblem .....
>> Hvad siger i ????
>
> Det afhænger jo alt sammen af hvordan i har tænkt jer at gøre det. Jo flere
> services du åbner direkte udadtil, jo større risiko er der for at der er
> exploits der kan bruges imod dig. Hvis ikke i har (og vedligholder) en IIS
> på maskinen i dag, vil der jo være en del ting i skal sørge for er
> up-to-date på maskinen hvis i åbner op for OWA.
>
> Er der noget der taler for at I ikke kan løse opgaven på en anden måde, fx
> med VPN?
Min holdning er, at VPN er en dårlig losning da man ofte ikke har kontrol
over den anden ende. En langt bedre losning er Citrix eller Terminalserver
adgang til en server i en DMZ på det indre netværk som kan lave det
nodvendige. Og så brug noget 2-faktor auth til at komme ind til den
gennem firewall. Det kan være 1-time-passwords, diverse tokens etc.
| |
|
|