Avatar billede kjs Nybegynder
05. november 2004 - 10:09 Der er 2 kommentarer og
2 løsninger

Webacess til Exchange server og sikkerhed

Vi har En SBS 2003 server med exchange 2003. Brugerne vil gerne ha tilgang til mailbokse fra internettet altså via webaccess. Men jeg mangler helt konkrete fakta omkring hvad risici er ved at åbne for dette. Vi har harware firewall på, og jeg har læst mig til at at der i princippet kun skal åbnes for port 80 ind mod serveren, men denne server kører jo også som fil/print server, så er det klogt ?? - og i givet fald hvad er det der i teorien kan ske - hvis man ellers sørger for at holde windows og exchange serveren opdateret med div. servicePacks fra Microsoft.
Avatar billede bufferzone Praktikant
05. november 2004 - 10:14 #1
Det udgør altid en risiko at åbne ind til en server, især hvis serveren er en at de såkaldte usikre tjenester (web, mail eller ftp). Den måde mange løser problemerne på er at placere en mail relay server i DMZ og lå lader firewallen håndtere trafikken mellem mail server og mail relay samt mellem internet og mail realy.

Jeg vil fraråde at i åbner driekte ind til en mailserver på jeres indterne net, den vil være relativt let at hacke, og har man først fat i mailserveren, ligger resten hurtigt åbent. Netop en mailserver er svær at håndtere sikkerheden på, da der typisk er meget trafik ind og ud, og da der anvendes mange protokoller der giver megen funktionalitet og dermed mange muligheder for en hacker
Avatar billede jpvj Nybegynder
05. november 2004 - 10:21 #2
Hej kjs!

IIS 6 i Windows Server 2003 er kraftigt forbedret. Sammen med ISA 2000 / URLscan kan du mindske risikoen betragteligt for angreb på din IIS.

Du skal ikke åbne for port 80, da du så transmitterer ukrypteret. Jeg mener at SBS automatisk installerer et certifikat på webserveren, så du kan køre krypteret (HTTPS på port 443).

Det vil være en meget stor fordel, hvis du udstyrer dine brugere med en form for 2 faktor validering, enten certifikat (ex. Alladin e-token) eller SecureID (RSA, SafeWord). Dette vil sikre, at det KUN er DINE brugere, der når frem til din WEB server. Dermed har du fjernet muligheden for at fremmede forsøger at kompromittere din WEB server.

En prisbillig løsning kunne være en Cisco PIX 501 / certifikat løsning. Hvis brugerne skal have WEB adgang fra vilkårlige maskiner, så er der KUN 2 faktor løsningen tilbage. Her er ex. Safeword nok det billigste til små virksomheder.

Den "forkromede" løsning hedder en front-end Exchange server til OWA - men DET koster kassen.

/JP

PS: Rygterne siger, at ISA server 2004 kommer som en SP til SBS 2003. Her har du stærkt forbedrede firewall muligheder...
Avatar billede kjs Nybegynder
05. november 2004 - 14:03 #3
Jpvj - Er en Safeword løsning nem at opsætte, kan se på nettet at der er tale om en form for enhed som generer en kode !! - kræver det nogen speciel hardware i den anden ende altså på kontoret - i form af speciel router/gateway - eller bliver det styret I AD på serveren. ?? Hvis man kører med https trafik ind mod mailserveren, hvad er det der i grunden så kan gå galt hvis man ellers bare sørger for at ha nogle ordenlige loginnavne og passwords. Hvad sker der i praksis når en mailserver eller webserver bliver hacket ??
Avatar billede jpvj Nybegynder
20. april 2005 - 10:24 #4
Jeg kender faktisk ikke Safeword løsningen i praksis - det kommer jeg nok til inden for de næste par mdr. Jeg tror ikke, at det er specielt svært at installere og konfigurere.

Det kræver ingen speciel hardware.

Det er ikke et krav at have 2 faktor validering, men et brugernavn/password kan let blvie snuppet, hvis en bruger benytter en ukendt maskine til at logge på webmailen. Derfor anbefales altid 2 faktor validering.

ISA2004 kommer i øvrigt med i SP1 til SBS - man skal vist blot bestille mediet hos MS.

Hvad der sker i praksis? Det klassiske eksempel er udnyttelse af et buffer overflow. Det vil i værste tilfælde give en ondsindet person fuld kontrol over serveren, dvs. adgang til alle data.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester



IT-JOB

MAN Energy Solutions

Principal Expert DevOps

Metroselskabet og Hovedstadens Letbane

ESDH-administrator med udviklerkompetencer

MAN Energy Solutions

LTSA 4-Stroke Technical Advisor

Danske Andelskassers Bank A/S

IT-konsulent