Exchange und Firewall
Wer würde heute schon einen Exchange Server ungeschützt in das Internet stellen. Keiner oder? Ich zumindest nicht. Zumindest rudimentäre Filter sollten das System gegen Angriffe und Missbrauch von außen schützen. Aber die Fragestellung ist keineswegs trivial. Schließlich bezeichnen verschiedene Hersteller ihre Software oder Hardware als Firewall und bewegen sich in Preisregionen von 39$ für eine so genannte Personal Firewall bis zu fünfstelligen Beträgen für eine Enterprise Firewall. Daher wird es auch mir nicht gelingen, auf dieser Seite eine befriedigende Antwort auf all Ihre Fragen zu geben. Allerdings möchte Ich ihnen neben einigen Basisgrundlagen einer Firewall vor allem die Aspekte aufzeigen, bei denen Exchange mit ins Spiel kommt. Dazu ist dieses Thema auf mehrere Seiten verteilt.
Teil1: Firewall Grundlagen
Zuerst ein paar Grundlagen zur Bedarfsermittlung
Teil 2: Firewall Technik
Der Begriff Firewall wird sehr breit genutzt. Viele DSL-Router für wenig Geld haben eine Firewall, auch Windows XP SP2 hat eine und eine Checkpoint kostet ein vielfaches. Was bedeutet Firewall denn genau und aus welchen Komponenten besteht eine Firewall
Teil 3: Die Zonen einer Firewall
Woher weiß die Firewall, was gut ist und was nicht ?. Was verbirgt sich hinter dem Begriff "DMZ"
- Das Internet
- Das interne LAN
- Die DMZ
- Welche Systeme gehören in die DMZ, welche nicht ?
- Der Tod der DMZ
Teil 4: Der Platz für Exchange, OWA und SMTP Relay
So viele Netzwerkzonen und wo ist nun der Platz für Exchange ?
Exchange, Firewalls, and Support… Oh, my!
https://blogs.technet.microsoft.com/exchange/2013/02/18/exchange-firewalls-and-support-oh-my/
Sehr lesenswerter Artikel zu Exchange und Firewalls
Teil 5: Beispiele
Es gibt keine "Standardinstallation" für Firewalls, aber es gibt durchaus häufig anzutreffende Konstellationen. Hier sind einige.
- VPN Nutzung
- Beispiel: NAT-Router als Firewall
- Beispiel: MS-Proxy / MS ISA-Server als Firewall
- Beispiel: Checkpoint und Exchange
Teil 6: Exchange 2000 mit zwei SMTP
Sie möchten die Funktion "internes Mailen" und externes Mailen trennen ? Wunderbar, dann sind zwei SMTP-Server eventuell eine Lösung. Ansonsten können Sie sich über Frontend/Backend Konstellationen oder eigene Connector Server Gedanken machen
Worte der Warnung
Bitte glauben Sie nicht, dass allein diese Informationsseite ausreichend ist, ein Angebot, eine Planung oder eine Bewertung einer Anbindung zu realisieren. Auch wenn viele Hersteller versprechen, eine Firewall wäre einfach, ist es das Detail, welche eine Anbindung zum Erfolg oder Problem werden lässt.
Glauben Sie einfach mal einem Administrator, der seit 1995 mit einer Standleitung am Internet hängt und einige Angriffe überlebt hat und natürlich auch nicht. Es ist nicht ein Produkt alleine, welches Sicherheit liefert, sondern es ist die Gesamtlösung, die eine bessere Sicherheit schafft, Absolute Sicherheit bleibt eine Illusion.
Ich verzichte hier bewusst auf eine Anleitung, wie Sie was in einer Firewall frei schalten. Zum einen gibt es mehrere Produkte mit unterschiedlichen Ansätzen und KonfigurationsMöglichkeiten. Aber viel schlimmer wirkt, dass sich Regeln gegenseitig aufheben könnten oder die Reihenfolge wichtig ist, und da ich die bestehende Konfiguration ihrer Firewall nicht kenne, kann es keine gültige Antwort geben. Wenn Sie ihre Firewall selbst pflegen, sollten Sie das notwendige Wissen haben, denn die Freischaltung von POP3, SMTP, DNS und HTTP gehören zu den einfacheren Dingen einer Firewall im Gegensatz zu ICA, RPC, NFS und anderen Protokollen. Wenn Sie daran scheitern, dann rate ich ihnen auf jeden Fall einen Fachmann hinzu zu ziehen. Ein gut konfigurierter Exchange Server mit einem Portfilter auf dem Router davor ist oftmals sicherer als eine schlecht konfigurierte 10.000 DM Firewall.
Normalerweise ist die einfachste Einführung schon ein Workshop von mehreren Stunden, wie ich ihn einmal im Monat bei Net at Work halte. Wenn es notwendig könnten wir hier auch die einzelnen Bits auf dem Kabel nachspüren oder die Anbindung von außen mit Tools wie Saint, Nmap etc. Prüfen, aber dies würde den Rahmen einer Exchange FAQ sprengen.
Der Vollständigkeit halber sei auch noch auf den Artikel Funktion von SMTP im Internet als auch auf den Artikel zu OWA hingewiesen. Auch die Abhandlung zur Clientkommunikation sollten Sie können. Nicht jeder Firewall beinhaltet auch eine Komponente zum Schutz gegen Relay. Sie sollten daher auf jeden Fall prüfen (am besten sofort), ob ihr Mailsystem sicher gegen Relay ist.
Weitere Links
- OWA Absichern
- RPCFirewall
- Sichere Exchange Veröffentlichung mit ISA Server 2004
http://blogs.technet.com/mkalbe/archive/2005/09/09/ALF_firewall_exchange2003.aspx - "Application Layer Firewall protection für Exchange Server 2003 with
ISA Server 2004"
http://www.Microsoft.com/technet/prodtechnol/isa/2004/plan/firewall-exchange2003.mspx - Q280132 XCCC: Exchange 2000 Windows 2000 Connectivity Through Firewalls
- Q148732 XADM: Setting TCP/IP Port Numbers für Internet Firewalls
- Q150543 WinNT, Terminal Server, & Exchange Services use TCP/IP Ports
- Q155831 XADM: Setting TCP/IP Ports für Exchange and Outlook Client Connections Through a Firewall
- Q176466 XGEN: TCP Ports and Microsoft Exchange: In-depth Discussion
- Q179442 How to Configure a Firewall für Domains and Trusts
- Q224196 Restricting Active Directory Replication Traffic to a Port
- Q246303 XGEN: Global Catalog Searches and Related TCP Ports
- Q259240 XWEB: Configure OWA to Connect to Exchange Through a Firewall
- Q260973 XCON: SMTP Domains für Inbound and Relay in Exchange 2000
- Q256976 XCLN: How MAPI Clients Access Active Directory
- Q270836 XCLN: Exchange 2000 Static Port Mappings
- Q276388 XIMS: How to Configure Exchange 2000 Behind Proxy Server 2.0
- Q278339 XGEN: TCP/UDP Ports used By Exchange 2000 Server
- Q280132 XCCC: Exchange 2000 Windows 2000 Connectivity Through Firewalls
- Q294818 Frequently Asked Questions About Network Monitor
- Q280132 XCCC: Exchange 2000 Windows 2000 Connectivity Through Firewalls
- Q289241 A List of the Windows 2000 Domain Controller Default Ports
- Q298369 XADM: How to Configure a Global Catalog Server to use a Specific Port When Servicing MAPI Clients
- Q289241A List of the Windows 2000 Domain Controller Default Ports
- Q818222 Messages remain in an outbound queue until a non-delivery report is generated when you send e-mail to a remote domain
- TechNet - IT Tasks - Top IT Tasks - Active Directory Replication over Firewalls
- Windows XP Funktion der eingebauten Firewall. Wie funktioniert diese ?
www.Microsoft.com/technet/columns/security/aus1001.asp - http://www.Microsoft.com/privacy/safeinternet/security/best_practices/firewalls.htm
- http://www.Microsoft.com/privacy/safeinternet/security/best_practices
-
http://www.Microsoft.com/downloads/release.asp?releaseid=26777
ISA Server Standard deutsch 120 Tage Testversion - http://www.Microsoft.com/isaserver/techinfo/development/ISAandExchange.asp
-
http://www.Microsoft.com/exchange/outlook/default.htm
Auf dieser Seite sind verschiedenste White Paper bezüglich OWA vorhanden.
Links zu anderen FAQs
Ganz besonders die Firmen mit einem ISA-Server sollten folgende Links können
- www.msisafaq.de die deutsche FAQ eines MVP Kollegen mit vielen Hinweisen zu Exchange und ISA-Server
-
Plädoyer für ISA-Server als Domain Member
http://isaserver.org/tutorials/Debunking-Myth-that-ISA-Firewall-Should-Not-Domain-Member.html -
www.msisafaq.com
Die englische Referenz von Tom Shinder (Achtung. Seite ist mit GFI verbunden. Daher nicht über die häufigen "Editors Pick" und Werbung wundern.)
http://www.tacteam.net/isaserverorg/exchangekit/default.htm
http://www.isaserver.org/news/exchangekitbeta1.html
ISA Server 2000 Exchange 2000/2003 Secure Remote Email Access Deployment Kit - Introducing the ISA Server 2000 Exchange Server 2000/2003 Deployment Kit
http://www.isaserver.org/pages/article.asp?id=1164
www.tacteam.net/isaserverorg/exchangekit/ISAEXCHANGEKIT.zip - ISA Server 2000 Exchange 2000/2003 Deployment Kit Network Topologies
http://www.ISAserver.org/pages/article.asp?id=1167 - ISA 2004 Branch Office Deployment Kit
http://download.Microsoft.com/download/1/8/8/188ab94a-4ec5-4746-ac0f-a18177040fbf/ISA2004SE_branchoffice-Rev%201%2003.doc - ISA 2004 Exchange Deployment Kit
http://download.Microsoft.com/download/1/8/8/188ab94a-4ec5-4746-ac0f-a18177040fbf/ISA2004SE_exchangekit-Rev%201%2005.doc - ISA 2004 Quick Start Guide
http://download.Microsoft.com/download/3/7/b/37b0cbc4-e578-4082-a779-de4fbe876f06/ISA2004SE_quickstartguide-Rev%201%2003.doc - ISA 2004 Configuration Guide
http://download.Microsoft.com/download/3/7/b/37b0cbc4-e578-4082-a779-de4fbe876f06/ISA2004SE_configguide-Rev%201%2003.doc - ISA 2004 VPN Deployment Kit
http://download.Microsoft.com/download/3/7/b/37b0cbc4-e578-4082-a779-de4fbe876f06/ISA2004SE_vpnkit-Rev%201%2004.doc - Konfiguration von PostFix als Relay vor Exchange
http://postfix.state-of-mind.de/patrick.koetter/mailrelay
Links zu anderen Firmen
-
http://www.bsi.bund.de/literat/studien/firewall/fwstud.htm
Firewallstudie des BSI - Security through obscurity
http://en.wikipedia.org/wiki/Security_through_obscurity - Secure by design
http://en.wikipedia.org/wiki/Secure_by_design - Weitere Links
www.staysafeonline.info
http://www.securityfocus.com
http://www.Microsoft.com/Security
http://www.ntadvice.com
http://www.cert.org/tech_tips/win-resources.html
http://www.ntbugtraq.com
http://advice.networkice.com/advice
http://grc.com/default.htm
http://www.lfd.niedersachsen.de
http://www.bsi.de - Tools der Angreifer
http://packetstormsecurity.nl/assess.html
http://www.nmap.org
http://www.nessus.org
http://p.ulh.as/tools/ nmap, satan und andere - So können Webseiten dann aussehen:
www.alldas.org , www.illegalaccess.de) - Unter http://scan.sygatetech.com können Sie sich dann selbst scannen.
- FAQs und Infoseiten zum ISA-Server
http://www.isaserver.org Tom Shinders Seite. Sehr empfehlenswert -
http://www.msisafaq.de
http://www.msisafaq.de/Anleitungen/Server/Exchange.htm
http://www.msisafaq.de/Anleitungen/Server/ISA_SBS2k.htm
http://www.msisafaq.de/Anleitungen/Server/socket_pooling.htm -
http://www.enteract.com/~lspitz/enemy.html
Sehr gute Abhandlung zu Hackern, deren Arbeitsweise und Beweggründe, "Den Feind erkennen" sollten Sie gelesen haben. - http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
- http://www.netcraft.com/security/diary.html
- http://www.little-idiot.de/firewall/
- http://www.isi.edu/in-notes/iana/assignments/port-numbers Liste der bekannten Ports