15
Welche Funktionen haben kommerzielle UTM Firewalls zum Schutz von Exchange-Servern (ECP, OWA, ActiveSync, RPC, OAB, MAPI
Hallo zusammen,
Ich führe das Thema aus diesem Thread einmal fort.
Sind kommerzielle UTM Firewalls besser als Open source Reverse Proxys?
Mir war am Beispiel einer Firewall eines deutschen Herstellers bei einem Kunden, die durch einen Vertriebspartner installiert wurde, ausgefallen, dass diese kaum Schutzfunktionen für den Exchange-Server bietet. Eigentlich nur einen URL-Filter.
Als Schutzfunktionen definieren ich:
- Geo-Locations und -Blocking
- Brute-Force-Protection
- Probe-Protection
- Rate Limiter
- URL-Protection
- SSL-Security
- Sichere und unsichere Header
- Interne Informationen verbergen
Nun interessiert es mich wie andere kommerzielle Firewall das Webinterface von Exchange-Servern schützen.
Zum Einen weil mich das Thema interessiert und zum Anderen weil ich plane daraus ein Produkt zu machen.
Dafür benötige ich nur eine IP-Adresse oder einen Domänennamen und die Information welche Firewall verwendet wird.
Ich rufe nur die Webseite bis zur Anmeldung auf die ja eh öffentlich ist.
Ich werde nicht versuchen in den Server einzubrechen, ihn zu manipulieren oder zu sabortieren. Er wird nicht in seiner Funktion gestört, es wird keine Zugangssicherung überwunden und keine Passwörter oder Sicherungscodes entwendet.
Wenn gewünscht kann ich Euch über das Ergebnis informieren.
Sonst gehen die Informationen anonym in einen Vergleich ein den ich hier veröffentlichen werden.
Schickt mir einfach eine PM mit:
IP-Adresse oder Domänenname
Verwendete Firewall
Wollt Ihr über das Ergebnis informiert werden?
Viele Grüße
Stefan
Ich führe das Thema aus diesem Thread einmal fort.
Sind kommerzielle UTM Firewalls besser als Open source Reverse Proxys?
Mir war am Beispiel einer Firewall eines deutschen Herstellers bei einem Kunden, die durch einen Vertriebspartner installiert wurde, ausgefallen, dass diese kaum Schutzfunktionen für den Exchange-Server bietet. Eigentlich nur einen URL-Filter.
Als Schutzfunktionen definieren ich:
- Geo-Locations und -Blocking
- Brute-Force-Protection
- Probe-Protection
- Rate Limiter
- URL-Protection
- SSL-Security
- Sichere und unsichere Header
- Interne Informationen verbergen
Nun interessiert es mich wie andere kommerzielle Firewall das Webinterface von Exchange-Servern schützen.
Zum Einen weil mich das Thema interessiert und zum Anderen weil ich plane daraus ein Produkt zu machen.
Dafür benötige ich nur eine IP-Adresse oder einen Domänennamen und die Information welche Firewall verwendet wird.
Ich rufe nur die Webseite bis zur Anmeldung auf die ja eh öffentlich ist.
Ich werde nicht versuchen in den Server einzubrechen, ihn zu manipulieren oder zu sabortieren. Er wird nicht in seiner Funktion gestört, es wird keine Zugangssicherung überwunden und keine Passwörter oder Sicherungscodes entwendet.
Wenn gewünscht kann ich Euch über das Ergebnis informieren.
Sonst gehen die Informationen anonym in einen Vergleich ein den ich hier veröffentlichen werden.
Schickt mir einfach eine PM mit:
IP-Adresse oder Domänenname
Verwendete Firewall
Wollt Ihr über das Ergebnis informiert werden?
Viele Grüße
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91630195504
Url: https://administrator.de/contentid/91630195504
Printed on: April 27, 2024 at 14:04 o'clock
15 Comments
Latest comment
Servus.
Hast PM
LG
Hast PM
LG
Hab dir auch eine PM geschrieben 
Moin...
das kann eine pfsense aber auch....
Frank
das kann eine pfsense aber auch....
Wollt Ihr über das Ergebnis informiert werden?
ja klar... was soll das PM Rumeiern!Frank
1
Moin,
Meine Kunden setzen kein Exchange ein, und ich sowiso nicht. Wenn, dann "spiele ich mit Exchange" in meinen Sandkästen. Daher kann ich da nichts sinnvolles beitragen, wäre aber trotzdem am Ergebnis interessiert.
lks
PS. Diesen "Angriff" nennt man social Engineering.
Meine Kunden setzen kein Exchange ein, und ich sowiso nicht. Wenn, dann "spiele ich mit Exchange" in meinen Sandkästen. Daher kann ich da nichts sinnvolles beitragen, wäre aber trotzdem am Ergebnis interessiert.
lks
PS. Diesen "Angriff" nennt man social Engineering.
1
Ich frage ja nur nach Domäne und Typ der Firewall.
Und die Domäne kann ich mit Shodan einfach mit dem Hinweise Exchange App suchen. Es sind ca. 16.000 Exchange direkt im Internet in DE sichtbar.
Stefan
Zwischeninfo.
Securepoint: URL-Filter
FortiNet: URL-Filter
Sophos: URL-Filter teilweise + Header-Filter
Securepoint: URL-Filter
FortiNet: URL-Filter
Sophos: URL-Filter teilweise + Header-Filter
Wie willst Du eigentlich ermitteln, welche Features die Geräte lizensiert haben? Es ist ja nicht mal trivial überhaupt die Schutzlösung zu identifizieren.
Was setzt den MS und Google ein um sich zu schützen in dieser Kategorie? Oder 1u1 und wie die anderen großen heißen...
Was setzt den MS und Google ein um sich zu schützen in dieser Kategorie? Oder 1u1 und wie die anderen großen heißen...
Hallo,
Ich rufe die URLs im Browser auf und schaue mir das Ergebnis und Verhalten anhand des Fragenkataloges offen. Dabei ist mir egal ob die Funktion nicht lizensiert oder nicht verfügbar ist.
Ich gehe eh davon aus, dass nur wenige Firewalls mehr als den URL-Filter haben. Aber ich lasse mich da gerne eines besseren belehren.
Stefan
Zitat von @8585324113:
Wie willst Du eigentlich ermitteln, welche Features die Geräte lizensiert haben? Es ist ja nicht mal trivial überhaupt die Schutzlösung zu identifizieren.
Wie willst Du eigentlich ermitteln, welche Features die Geräte lizensiert haben? Es ist ja nicht mal trivial überhaupt die Schutzlösung zu identifizieren.
Ich rufe die URLs im Browser auf und schaue mir das Ergebnis und Verhalten anhand des Fragenkataloges offen. Dabei ist mir egal ob die Funktion nicht lizensiert oder nicht verfügbar ist.
Ich gehe eh davon aus, dass nur wenige Firewalls mehr als den URL-Filter haben. Aber ich lasse mich da gerne eines besseren belehren.
Stefan
Und welche Aussagekraft soll das dann haben?
Hast du mal eine aktuelle Palo Alto, Fortinet, Checkpoint oder Sonicwall im Detail auf die teuren Features benutzt?
Du wirst von Außen für fast alle Protokolle und Dienste eine Quantum Maestro oder PA nicht erkennen können. Und es gibt noch viel mehr als das OWA was am Internet hängt.
Auch sind Angriffe über OWA nicht mal anteilig relevant und OWA hängt auch fast nie direkt am Internet, auch ohne "krasse" Firewall.
Hast du mal eine aktuelle Palo Alto, Fortinet, Checkpoint oder Sonicwall im Detail auf die teuren Features benutzt?
Du wirst von Außen für fast alle Protokolle und Dienste eine Quantum Maestro oder PA nicht erkennen können. Und es gibt noch viel mehr als das OWA was am Internet hängt.
Auch sind Angriffe über OWA nicht mal anteilig relevant und OWA hängt auch fast nie direkt am Internet, auch ohne "krasse" Firewall.
Zitat von @8585324113:
Hast du mal eine aktuelle Palo Alto, Fortinet, Checkpoint oder Sonicwall im Detail auf die teuren Features benutzt?
Securepoint und Fortinet: Ja, der Rest: NeinHast du mal eine aktuelle Palo Alto, Fortinet, Checkpoint oder Sonicwall im Detail auf die teuren Features benutzt?
Deshalb schreibe ich ja hier.
...OWA hängt auch fast nie direkt am Internet...
Im KMU Bereich hängen die Exchange zu 99% direkt im WAN ohne VPN oder PreAuth. Die Chefs wollen ja Emails am iPhone ohne VPN nutzen.Stefan
Es ging nicht um VPN oder PreAuth sondern um Firewalls auch WAPs und (Reverse)Proxys, usw...
Wer hängt denen seinen Exchange direkt ans Internet?
Ich glaube Du solltest über deine Idee noch mal nachdenken.
Wer hängt denen seinen Exchange direkt ans Internet?
Ich glaube Du solltest über deine Idee noch mal nachdenken.
Moin...
Frank
Zitat von @8585324113:
Es ging nicht um VPN oder PreAuth sondern um Firewalls auch WAPs und (Reverse)Proxys, usw...
Wer hängt denen seinen Exchange direkt ans Internet?
tausende.... oder gar mehr Es ging nicht um VPN oder PreAuth sondern um Firewalls auch WAPs und (Reverse)Proxys, usw...
Wer hängt denen seinen Exchange direkt ans Internet?
Zitat von @8585324113:
Wer hängt denen seinen Exchange direkt ans Internet?
Laut Shodan ca. 16.000 Installation in Deutschland.Wer hängt denen seinen Exchange direkt ans Internet?
Zitat von @8585324113:
Wer hängt denen seinen Exchange direkt ans Internet?
Wer hängt denen seinen Exchange direkt ans Internet?
Viel zu viele.
Zitat von @8585324113:
Wer hängt denen seinen Exchange direkt ans Internet?
Am WE erst wieder ne kurze "Analyse" von nem Mini-Netzwerk gemacht:Wer hängt denen seinen Exchange direkt ans Internet?
1 Server mit 2 VMs: 1x Exchange, 1x DC + Fileserver + Appserver, Updates zuletzt im Juni, kein Automatismus
NAS als Backup mit Veeam
USV ohne Verbindung
Fritzbox mit 443 Weiterleitung direkt an den Exchange
Alles steht im Putzraum auf dem Boden.
Seh ich ständig. Bleibt in 90% der Fälle auch so, egal was wir vorschlagen, wobei inzwischen immer mehr zu Exchange Online wechseln weil sie die Office-Lizenzen sowieso schon bezahlen.
Immerhin.