Webacess til Exchange server og sikkerhed

Det udgør altid en risiko at åbne ind til en server, især hvis serveren er en at de såkaldte usikre tjenester (web, mail eller ftp). Den måde mange løser problemerne på er at placere en mail relay server i DMZ og lå lader firewallen håndtere trafikken mellem mail server og mail relay samt mellem internet og mail realy.

Jeg vil fraråde at i åbner driekte ind til en mailserver på jeres indterne net, den vil være relativt let at hacke, og har man først fat i mailserveren, ligger resten hurtigt åbent. Netop en mailserver er svær at håndtere sikkerheden på, da der typisk er meget trafik ind og ud, og da der anvendes mange protokoller der giver megen funktionalitet og dermed mange muligheder for en hacker

Hej kjs!

IIS 6 i Windows Server 2003 er kraftigt forbedret. Sammen med ISA 2000 / URLscan kan du mindske risikoen betragteligt for angreb på din IIS.

Du skal ikke åbne for port 80, da du så transmitterer ukrypteret. Jeg mener at SBS automatisk installerer et certifikat på webserveren, så du kan køre krypteret (HTTPS på port 443).

Det vil være en meget stor fordel, hvis du udstyrer dine brugere med en form for 2 faktor validering, enten certifikat (ex. Alladin e-token) eller SecureID (RSA, SafeWord). Dette vil sikre, at det KUN er DINE brugere, der når frem til din WEB server. Dermed har du fjernet muligheden for at fremmede forsøger at kompromittere din WEB server.

En prisbillig løsning kunne være en Cisco PIX 501 / certifikat løsning. Hvis brugerne skal have WEB adgang fra vilkårlige maskiner, så er der KUN 2 faktor løsningen tilbage. Her er ex. Safeword nok det billigste til små virksomheder.

Den "forkromede" løsning hedder en front-end Exchange server til OWA - men DET koster kassen.

/JP

PS: Rygterne siger, at ISA server 2004 kommer som en SP til SBS 2003. Her har du stærkt forbedrede firewall muligheder...

Jpvj - Er en Safeword løsning nem at opsætte, kan se på nettet at der er tale om en form for enhed som generer en kode !! - kræver det nogen speciel hardware i den anden ende altså på kontoret - i form af speciel router/gateway - eller bliver det styret I AD på serveren. ?? Hvis man kører med https trafik ind mod mailserveren, hvad er det der i grunden så kan gå galt hvis man ellers bare sørger for at ha nogle ordenlige loginnavne og passwords. Hvad sker der i praksis når en mailserver eller webserver bliver hacket ??

Jeg kender faktisk ikke Safeword løsningen i praksis - det kommer jeg nok til inden for de næste par mdr. Jeg tror ikke, at det er specielt svært at installere og konfigurere.

Det kræver ingen speciel hardware.

Det er ikke et krav at have 2 faktor validering, men et brugernavn/password kan let blvie snuppet, hvis en bruger benytter en ukendt maskine til at logge på webmailen. Derfor anbefales altid 2 faktor validering.

ISA2004 kommer i øvrigt med i SP1 til SBS - man skal vist blot bestille mediet hos MS.

Hvad der sker i praksis? Det klassiske eksempel er udnyttelse af et buffer overflow. Det vil i værste tilfælde give en ondsindet person fuld kontrol over serveren, dvs. adgang til alle data.