Sichere Exchange Server Veröffentlichung

[Thomas_L]

Guten Morgen!

Ich bitte um eure Meinung zum Thema sichere Exchange Veröffentlichung. Nach manchen von uns der März noch schmerzhaft in Erinnerung ist würde ich gerne so gut es geht Vorkehrungen für die Zukunft treffen und bitte um eure Meinung dazu.

Mein Vorschlag wäre:
1. FireHOL Level 1 blockt von außen

2. Ein GeoIP Filter lässt nur Länder zu in denen die Clients sind (wird spannend in der Urlaubszeit).

3. Ich lasse nur den Zugriff auf ActiveSync ohne Vorauthentifizierung zu damit sich die Mobiltelefone verbinden können (d.h. das virtuelle Verzeichnis /activesync, ich hoffe das ist das einzige das benötigt wird).

4. Zugriff auf OWA nur mit einer Vorauthentifizierung (Basic Auth im Backend; eigenes Backend jeweils für ActiveSync und OWA). Das Kennwort kann in der ganzen Firma dasselbe sein, es geht nur darum Eindringlinge vor dem Exchange Server abzufangen.

5. Eventuell kann der Exchange auch ausgehend so eingestellt werden dass er mit GeoIP eingeschränkt ist (wir leiten ausgehende E-Mails über TrendMicro HES, also bekannte IP-Ranges).

Was ist eure Meinung dazu, wir habt ihr das gelöst? Vielleicht können wir hier eine Art Best Practice Guide zusammenbauen das dann im Forum oder in der OPNsense Doku eingebaut werden kann.

Vielen Dank für eure Hilfe und noch einen schönen Tag!

Schöne Grüße,

Thomas

[vpnuser]

Hallo Thomas,
meine OPNSense / Exchange Konfiguration sieht wie folgt aus:
VPN Verbindung für Exchange Dienste. Ist nun mal die sicherste Lösung, wie der Exploit ProxyLogn eindrücklich gezeigt hat.
Für ActiveSync kann man ebenfalls VPN verwenden. Ich habe aber den direkten Zugang aus dem Internet freigeschaltet und wie folgt abgesichert:
Im Exchange IIS ein eigenes, virtuelles Verzeichnis mit eigenem Port (nicht 443) eingerichtet. Login nur mit User Zertifikaten, keine Passwörter. Damit ist dies auch die einzige Authentifizierungs-Möglichkeit.
GeoIP für VPN und ActiveSync. Exchange DeviceID (Block / Allow) für ActiveSync aktiviert. Ideal wäre noch eine WAF / Reverse Proxy Server für EAS – steht noch aus.

[hsiewert]

Hallo Thomas,

ich glaube, dass zunächst mal angesehen werden muss, an welche Zielgruppe so ein Best Practice Guide hat.
Bei uns, 140 MA, 2,5 Admins.

Firehol ->  https://forum.opnsense.org/index.php?topic=11791.0

GeoIP finde ich schwierig, CGN, Proxies, Tor-Exit-Nodes und wie du schreibst muss ggf. in der Urlaubszeit nachjustiert werden. Zudem unterhalten wir div. Beziehungen mit Ländern, die öfters in der Angriffsliste auftauchen (CN, RU, US, ...) . Ich kann sie nicht komplett blocken.

Ich habe Firehol Level 3 aktiv jedoch keinen GeoIP-Filter. SMTP geht über ein HA-Gateway, OWA ist public verfügbar.
Eine sichere Methode ist, den Zugriff auf OWA nur über VPN zu ermöglichen. Clients für Android / Apfel sind verfügbar. Alternativ VPN + IMAP. Mag "oldschool" sein, tut aber.

Ein zusätzliche (Basic-) Auth vor dem Exchange bringt deinen Benutzern zusätzlich Verwirrung und Dir vermutlich viele Fragen (oder Tickets). Es macht das ganze System unnötig kompliziert.

Das Problem vom März liegt ja nicht an der Firewall, sondern daran, dass M$ es (mal wieder) nicht auf die Reihe gekriegt hat, den 0Day zuzugeben und dann abzustellen. Hinzu kommt die hohe Verbreitung des Exchangeservers. Leider hilft nur patchen und das Internet "beobachten" und ja, das Einfallstor so klein wie möglich zu halten.

Aber ich bin an jeder Verbesserung / Absicherung der Exchangeserver interessiert ;-)

Grüße

Heiko

[JeGr]

Bei unseren Kunden die betroffen waren/sind, hat sich das ähnlich abgezeichnet. Viele haben den generellen Remote Zugriff ausgeschaltet und machen OWA/Exchange Zugriff nur noch per VPN. Da wird dann eben vorausgesetzt, dass die Leuts morgens ihr VPN anmachen um via Outlook an ihre Mails zu kommen. Mobil dito. Ansonsten wenn es offen bleiben muss, haben ihn einige hinter den HAproxy gepackt und beobachten die Mailinglisten nach Signaturen, die man dann ggf. in WAF / Proxy oder notfalls nen IDS packen kann. Ansonsten Firehol1-3 und Co. aktiv.

Trotzdem muss ich bei der ganzen Sache schmunzeln, ist doch MS der einzige Hersteller, der aus so einem Fuckup (monatelang von der Lücke gewusst, ewig nicht gepatcht, Kunden nicht informiert, etc. etc.) jetzt auch noch massiv Geld schlagen, weil auch viele Firmen jetzt einfach den Exchange rauswerfen und statt dessen gleich in Office 365 migrieren. Geil. Produktsicherheit vergeigt und dafür noch Geld bekommen damit mans jetzt in der eigenen Cloud betreiben kann

Am Ende geht nichts über Abschottung via VPN, klar. Aber ist eben die Frage wie die Firma oder die Entscheider da ticken. Gibt einige, die das VPN Prozedere dann so rauswirft, dass das dann (leider) keine Alternative ist.

Cheers

[Patrick M. Hausen]

Ein Proxy mit HTTP basic auth über HTTPS, evtl. per 2FA, erst danach weiter zum Login-Formular von OWA ...

[JeGr]

Ein Proxy mit HTTP basic auth über HTTPS, evtl. per 2FA, erst danach weiter zum Login-Formular von OWA ...

Das grätscht dir doch aber bei den ganzen Outlooks und Smartphones mit rein? Die rufen doch auch alle Active Sync mal zwischendurch via 443 ab und wenn da plötzlich ne Basic Auth mit dazwischenplatzt bekommen sie ja keine direkte Antwort mehr? Outlook dreht ja schon bei falscher autodiscover Domain durch - und eine Basic Auth bekommt das Ding dann hin? Darf ich da Zweifel anmelden?

[Patrick M. Hausen]

Das grätscht dir doch aber bei den ganzen Outlooks und Smartphones mit rein? Die rufen doch auch alle Active Sync mal zwischendurch via 443 ab und wenn da plötzlich ne Basic Auth mit dazwischenplatzt bekommen sie ja keine direkte Antwort mehr? Outlook dreht ja schon bei falscher autodiscover Domain durch - und eine Basic Auth bekommt das Ding dann hin? Darf ich da Zweifel anmelden?

Darfst Du. Ich hatte ausschließlich den OWA-Anwendungsfall im Auge. Hab ich mit der Sidewinder und Tokens so bei einem Kunden. Mobile Sync gibt's bei denen nicht. Keine "own devices" im Firmennetz.

[Thomas_L]

Hallo an alle,

vielen Dank für eure Antworten.

Die Vorauthentifizierung war auch in meinem Fall nur für OWA gedacht.

Ich würde über den HAProxy auch nur das virtuelle Verzeichnis /ActiveSync veröffentlichen (das war glaube ich von der Exchange-Lücke nicht betroffen) und auch nur mit einem Geo-IP Filter für (in meinem Fall) das kleine Österreich.

FireHOL Level 3 ausgehend und Level 1 eingehend steht an erster Stelle meiner OPNsense Setup Doku :-)

Da ich neu hier bin und keine Erfahrung mit OpenVPN bzw. dessen Clients im Mobilbereich habe hier eine Frage:

Kann man das automatisieren mit dem VPN Aufbau wenn gewisse Hosts/IPs/Domains angefragt werden bei IOS/Android? Oder muss der Benutzer immer zuerst das VPN aufbauen und dann das Exchange Konto manuell synchronisieren?

Ich könnte mir auch vorstellen nur die Mobilclients im Heimatland direkt auf den Exchange zu lassen und die "Ausländer" nur über VPN. Das sollte auch schon einige Angriffe abhalten.

Aber ich sehe, ein Allheilmittel gibt es hier wohl nicht.

Vielen Dank für eure Inputs und ein schönes Wochenende!

Thomas

[lfirewall1243]

Bei unseren Kunden überall nur per VPN aber auch schon vor ProxyLogon, weil soetwas einfach absehbar war.... Daher war bei uns auch niemand davon wirklich betroffen und man konnte ruhig schlafen.

Also OpenVPN Client auf die Endgeräte und permanent aktiv halten. Der Kunde merkt am Ende keinen wirklichen Unterschied.

Und wenn man es gescheit kommuniziert ist es auch für die Endanwender verständlich.