05. november 2004 - 10:09Der er
2 kommentarer og 2 løsninger
Webacess til Exchange server og sikkerhed
Vi har En SBS 2003 server med exchange 2003. Brugerne vil gerne ha tilgang til mailbokse fra internettet altså via webaccess. Men jeg mangler helt konkrete fakta omkring hvad risici er ved at åbne for dette. Vi har harware firewall på, og jeg har læst mig til at at der i princippet kun skal åbnes for port 80 ind mod serveren, men denne server kører jo også som fil/print server, så er det klogt ?? - og i givet fald hvad er det der i teorien kan ske - hvis man ellers sørger for at holde windows og exchange serveren opdateret med div. servicePacks fra Microsoft.
Det udgør altid en risiko at åbne ind til en server, især hvis serveren er en at de såkaldte usikre tjenester (web, mail eller ftp). Den måde mange løser problemerne på er at placere en mail relay server i DMZ og lå lader firewallen håndtere trafikken mellem mail server og mail relay samt mellem internet og mail realy.
Jeg vil fraråde at i åbner driekte ind til en mailserver på jeres indterne net, den vil være relativt let at hacke, og har man først fat i mailserveren, ligger resten hurtigt åbent. Netop en mailserver er svær at håndtere sikkerheden på, da der typisk er meget trafik ind og ud, og da der anvendes mange protokoller der giver megen funktionalitet og dermed mange muligheder for en hacker
IIS 6 i Windows Server 2003 er kraftigt forbedret. Sammen med ISA 2000 / URLscan kan du mindske risikoen betragteligt for angreb på din IIS.
Du skal ikke åbne for port 80, da du så transmitterer ukrypteret. Jeg mener at SBS automatisk installerer et certifikat på webserveren, så du kan køre krypteret (HTTPS på port 443).
Det vil være en meget stor fordel, hvis du udstyrer dine brugere med en form for 2 faktor validering, enten certifikat (ex. Alladin e-token) eller SecureID (RSA, SafeWord). Dette vil sikre, at det KUN er DINE brugere, der når frem til din WEB server. Dermed har du fjernet muligheden for at fremmede forsøger at kompromittere din WEB server.
En prisbillig løsning kunne være en Cisco PIX 501 / certifikat løsning. Hvis brugerne skal have WEB adgang fra vilkårlige maskiner, så er der KUN 2 faktor løsningen tilbage. Her er ex. Safeword nok det billigste til små virksomheder.
Den "forkromede" løsning hedder en front-end Exchange server til OWA - men DET koster kassen.
/JP
PS: Rygterne siger, at ISA server 2004 kommer som en SP til SBS 2003. Her har du stærkt forbedrede firewall muligheder...
Jpvj - Er en Safeword løsning nem at opsætte, kan se på nettet at der er tale om en form for enhed som generer en kode !! - kræver det nogen speciel hardware i den anden ende altså på kontoret - i form af speciel router/gateway - eller bliver det styret I AD på serveren. ?? Hvis man kører med https trafik ind mod mailserveren, hvad er det der i grunden så kan gå galt hvis man ellers bare sørger for at ha nogle ordenlige loginnavne og passwords. Hvad sker der i praksis når en mailserver eller webserver bliver hacket ??
Jeg kender faktisk ikke Safeword løsningen i praksis - det kommer jeg nok til inden for de næste par mdr. Jeg tror ikke, at det er specielt svært at installere og konfigurere.
Det kræver ingen speciel hardware.
Det er ikke et krav at have 2 faktor validering, men et brugernavn/password kan let blvie snuppet, hvis en bruger benytter en ukendt maskine til at logge på webmailen. Derfor anbefales altid 2 faktor validering.
ISA2004 kommer i øvrigt med i SP1 til SBS - man skal vist blot bestille mediet hos MS.
Hvad der sker i praksis? Det klassiske eksempel er udnyttelse af et buffer overflow. Det vil i værste tilfælde give en ondsindet person fuld kontrol over serveren, dvs. adgang til alle data.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.