Exchange Firewallzone

So kann Exchange gegen äußere Einflüsse und andere System abgeschirmt werden. Exchange Enthält wichtige und schützenswerte Daten und nicht erst das EWS-Fiasko (Siehe Exchange Fail Jan 2019 - CVE-2018-8581) hat gezeigt, dass Exchange nicht nur Schutz aus dem Internet sondern auch im Intranet braucht. Viele Firmen gehen schon länger dazu über, bestimmte Dienste in eigene Netzwerkzonen zu verlagern um die Zugriffe unter Kontrolle zu haben.

Exchange und Nachbarzonen

Ich habe ihnen hier eine Umgebung mit zwei Exchange Servern skizziert, welche mit seinen Nachbarn kommuniziert. Ich habe hier fünf Zonen separiert:

  • Internet
    Ohne Frage die am wenigsten vertrauenswürdige Zone mit den meisten Systemen und vom Firmennetzwerk durch eine Firewall abgeschirmt
  • Office 365
    Wenn Sie auch die Microsoft Cloud nutzen, dann sollten Sie Office 365 wie eine eigene Netzwerkzone betrachten.
  • Relay
    In dem Bereich, früher gerne als DMZ bezeichnet, stehen Relay- und Proxy-Systeme, die eine direkte Verbindung zwischen Internet und internen Systemen aufbrechen und inspizieren und ggfls. eine Preauthentifizierung durchführen und Richtlinien anwenden
  • Interne Clients
    Die Zeiten sind vorbei, dass Clients und Server einfach per Switch verbunden sind. Zu leicht können sich Angreifer über Clients oder einen einfachen Netzwerkzugang hier eine Verbindung verschaffen. Selbst 802.1x ist nur ein weiterer Schutz ohne Anspruch auf Vollständigkeit.
  • Infrastruktur
    Ganz innen auf der rechten Seite gibt es das Backend, welches den Exchange Betrieb unterstützt.
  • Exchange Zone
    Die Exchange Server haben hier ihre eigene Netzwerkzone, in denen zumindest mit einem Bein dann auch die Anschlüsse der Loadbalancer zu verortensind.

Verbindungen

Die Verbindungen zwischen den Zonen können sehr genau spezifiziert werden. Das ist eine wesentliche Funktion um den Schutz bereit zustellen.

  1. SMTP rein/raus 
    Ein Mailserver ohne Verbindung zu anderen Mailservern im Internet hat quasi keine Funktion. Daher ist es verständlich, dass er per SMTP erreichbar sein muss. Exchange spricht dazu in der Regel mit einem Relay-System, welches vorgelagert Zusatzfunktionen wie Spamfilterung und Virenschutz realisiert.
  2. Internet Client
    Auch aus dem Internet müssen natürlich z.B. Mobilgerät mit dem Postfach arbeiten. Auch hier kommen aber meist Reverse-Proxy-Systeme davor zum Einsatz. Für Exchange bedeutet das aber auch, dass es eigentlich keine direkte Verbindung aus dem Internet zum Exchange Server geben muss. Eine Firewall kann also sehr einfach auf die Source-IP-Adresse des Relay-Systems filtern.
  3. Office 365
    Eine Hybrid-Anbindung mit der Cloud ist natürlich eine "Besonderheit", da hier ein direkter Zugriff auf Exchange für EWS/SMTP empfohlen wird. Hier kommt ihnen aber entgegen, dass die Exchange Datacenter-Server bei Office 365 von Microsoft mit ihrer IP-Adresse publiziert werden und daher auch dies eine Regel in der externen Firewall sein sollte. (Siehe auch Office 365 Firewalls und Office 365 Netzwerkziele)
  4. Interne Clients
    Aus Sicht von Exchange sind auch die Clients nicht "vertrauenswürdig". Clients im Firmen-LAN müssen aber nicht zwingend über ein Relay-System kommen und können sich auch z.B. per Kerberos authentifizieren. Dennoch müssen Clients sicher nicht per SMB sich mit Exchange verbinden und Exchange wird nie eine Verbindung zurück aufbauen sondern nur auf eingehende Verbindungen antworten. Eine Firewall kann auf jeden Fall steuern.
  5. Exchange Innenverhältnis
    Die Exchange Server in der gleichen Zone sprechen natürlich intensiv miteinander. Das sind HTTP-Proxy-Aufrufe, SMTP-Routing mit TransportCache aber auch die DAG-Replikation per Log-Shipping (TCP-Port oder SMB Copy) und Datenbank-Seeding. Hier eine Firewall oder weitere Filterung einzusetzen ist möglich aber eher ungewöhnlich. Aber irgendwann kann ich mir schon vorstellen, dass eine Netzwerkkomponente auf jedem Port eine einfache Firewall realisiert und unerwünschte Verbindungen unterbindet, selbst wenn es kein IP-Routing zwischen Subnetzen ist.
  6. Active Directory
    Exchange ist eines der wenigen Produkte, die das Active Directory als primäre Konfigurationsdatenbank nutzen. Andere Produkte haben ihre eigenen Speicher und Skype for Business nutzt seine lokale SQL-Instanzen und das AD nur als Replikationsquelle. Exchange muss die Verzeichnisdienste nutzen und benötigt dazu natürlich entsprechende Zugriffsmöglichkeiten über LDAP, RPC und als Domainmitglied natürlich hauch NETLOGON/SMB, Kerberos u.a.
    Tipp: Es gibt Firmen, die für Exchange in eine eigene AD-Site samt eigenen Domain Controllern stellen, so dass das Mailrouting z.B. vom Anmeldeverkehr von Clients separiert ist.
  7. Backend Service
    Auch ein Exchange Server muss überwacht, aktualisiert, gesichert werden. Dazu müssen die entsprechenden Verbindungen zwischen diesen Verwaltungsservern und den Exchange Servern geöffnet werden. In den Bereich fallen auch Backend-Services wie z.B. Fax-Server, Archivprodukte, ERP-Integrationen, Voice-Mail u.a. die mit Exchange quasi als "Client" kommunizieren. Im Gegensatz zu Clients sind diese Systeme aber namentlich und per IP-Adresse bekannt.
  8. Administration
    Die Verwaltung der Server durch die Exchange Administratoren habe ich als eigenen Punkt aufgeschrieben. Der Zugriff auf die Konsole des Servers ist besonders kritisch und darf nur von Systemen erfolgen, die die gleiche Sicherheitseinstufung haben. Ein Admin sollte also nie auf einem unsicheren Client seine Anmeldedaten "eintippen". Ein Keylogger als Software oder Hardwaretoken freut sich über das Geschenk.

Office 365

Ein Sonderfall bei all den Verbindungen ist natürlich Office 365. Aus der Sicht von Microsoft sind alle Benutzer von Office 365 und Exchange natürlich "nicht vertrauenswürdig". Dort wird das Modell ähnlich betrieben, nur dass es keine "Internen Clients" gibt. Für Sie als Betreiber einer On Premises Umgebung ist es allerdings schon ein Unterschied, ob in interner Client, ein Client aus dem Internet oder ein Server aus Office 365 mit ihrer Umgebung kommunizieren will.

Die Aufgabenstellung ist hier die Einrichtung des Exchange Hybrid Mode (Siehe Exchange Hybrid). Dabei ist eine enge Kopplung der beiden Exchange Welten erforderlich. So möchte Exchange Online natürlich von ihrer Exchange On Premises-Umgebung folgende Dienste nutzen:

  • SMTP-Mailversand 
    Nachrichten zwischen den beiden Plattform sollten immer verschlüsselt sein und natürliche Spamfilter u.a. umgehen.
  • EWS-Abfragen für Free/Busy, MailTips
    Sonst können Sie nicht übergreifend ihre Terminplanung abstimmen
  • EWS/MRS für Mailbox-Migrationen
    Über den MRSProxy saugt sich die Cloud die Daten der Benutzer bei einer Migration von ihrem Exchange Server

Bei allen drei Wegen wird sich Exchange Online nicht mit einem "Benutzernamen/Kennwort" anmelden sondern per SMTP-Zertifikat oder WSSECURITY-Authentifizierung für EWS. Das stellt neue Herausforderungen an die Konfiguration.

Aber auch in die Gegenrichtung ist das der Fall, bei dem Exchange nach extern direkt kommunizieren.

  • HTTPS ausgehend
    Wenn ihre On Premises Benutzer Termine mit Exchange Online-Benutzern abstimmen wollen, dann muss ihr Exchange Server per HTTPS die entsprechende Gegenstelle erreichen können.
  • SMTP-Ausgehend zu Exchange Online
    Im Hybrid-Mailrouting muss ihr Exchange Server direkt oder über einen Exchange Edge Server mit den SMTP-Diensten von Office 365 kommunizieren. Ein weiteres Relay im Verbindungsweg ist nicht supportet 

Die Definition von Office 365 aber auch Partner-Unternehmen für ein optimiertes Mailrouting und WebServices ist wichtig, um das Vertrauen in diese Systeme auch über Regeln umsetzen zu können

Monitoring

Die Steuerung der Zugriffe zwischen den Zonen erlaubt natürlich auch eine Auswertung der erfolgreichen und unterbundenen Verbindungen. Diese Daten können ein Schatz für sie sein, denn Sie erhalten zumindest auf IP-Adresse-Ebene und pro Protokoll eine gute Übersicht über das Nutzungsverhalten, z.B.

  • Übertragenes Datenvolumen von Clients
    Denken Sie einfach mal an eine Migration nach Office 365. Mit dem Wissen können Sie die Internet-Bandbreite viel besser planen. Aber auch "fehlendes Volumne" kann z.B. auf einen Fehler beim Backup hinweisen.
  • SourceIP
    Über die Gegenstellen können Sie auch ermitteln, wer in welchem Umfang per SMTP einliefert.
  • Geblockte Verbindungen
    Sie können indirekt auch Missbrauch und Konfigurationsfehler erkennen, z.B.: wenn jemand per SMTP versucht einzuliefern der POP3/IMAP4 ohne Verschlüsselung versucht.

Es gibt noch ganz viel mehr interessante Datenquellen, mit denen Sie ihren Betrieb sicherer, zuverlässiger und effektiver gestalten können. Allerdings müssen Sie auch darauf achten, das IP-Adressen als personenbezogene Daten gewertet werden können. Dies gilt insbesondere, wenn es interne Clients sind, bei denen eine Zuordnung des Anwender zur IP-Adresse leicht möglich ist. Die Frage sollten sie vorher mit den entsprechenden Institutionen (Betriebsrate/Personalrat, Datenschutz etc.) klären. 

Wo ist der Haken?

Bislang sieht soweit alles gut und verständlich aus. Allerdings gibt es natürlich auch Einschränkungen. Die Unterschiedlichen Zonen müssen z.B. als eigene Subnetze definiert und betrieben werden. Zwischen Subnetzen muss ein Router sich um die Verbindungen kümmern. Das ist eine Komponente, die auf die Datenmengen ausgelegt sein muss. Es ist schließlich kein Layer-2 Switching mehr sondern "Store/Evaluate/Forward" von IP-Paketen, was etwas Latenzzeit addiert. Dass dabei heute nur IP verarbeitet wird und andere Protokolle (NetBEUI, IPX etc.) unterbunden werden, würde ich eher als Vorteil sehen.

Allerdings finden einige Systeme sich dann auch nicht mehr per Broacast/Multicast, was Anforderungen an eine korrekte Namensauflösung stellt. Aber auch das ist aus meiner Sicht unkritisch. Insofern sind die Nachteile:

  • Kosten für Hardware (Router/Layer3-Switch)
  • Aufwand für Konfiguration
  • Etwas komplexeres Netzwerk
  • Etwas erhöhte Latenzzeit

Die Vorteile wiegen diese Nachteile aber auf jeden Fall auf.

  • Deutlich verringerte Angriffsflächen der Server untereinander
  • Bessere Kontrolle der Datenströme 
  • Bessere Einsicht und Abwehrmöglichkeiten
  • Klar definierte Funktion statt "Plug and Play"
  • Erkennen von Konfigurationsfehlern und Verständnislücken, aufgrund von "BLOCK" vergessener Verbindungen

Die Sicherheit ist das Pfand, mit dem die Kosten und zusätzlichen Aufwände auf jeden Fall argumentiert werden können.

Und nun denken Sie noch einmal an die Lücken der Vergangenheit

Und so gibt es ganz viele weitere Beispiele und es wird auch zukünftig immer wieder solche Lücken geben. Das liegt in der Natur von Software und selbst so eine besser geschützte Umgebung ist kein Freibrief mit Updates und Patches zu warten

Weitere Links