Exchange 2019 über Apache veröffentlichen

Draußen spielen

Lange war das Microsoft Threat Management Gateway der favorisierte Weg, um Exchange abzusichern und im Internet zu veröffentlichen. Mit der Aufgabe dieses Werkzeugs hat Microsoft zunächst eine große Lücke hinterlassen, die zahlreiche Drittanbieter auf den Plan rief. Es zeigt sich jedoch, dass die Zahl der direkt im Internet veröffentlichten Exchange-Server weiterhin sehr hoch ist. Wir schauen uns in diesem Workshop an, wie sich Exchange über einen Apache-Reverse-Proxy veröffentlichen lässt.
Dass Hackerangriffe auf Unternehmen zunehmen und immer ausgefeilter werden, ist inzwischen eine Binsenweisheit. Das ändert aber nichts an der Tatsache, dass ... (mehr)

Der Hafnium Exploit verursachte im März 2021 viel Aufregung, schließlich erlaubte er es Angreifern, die reguläre Exchange-Authentifizierung zu umgehen und sich als Administrator anzumelden. Darüber hinaus waren die Bösewichte in der Lage, Dateien auf dem Exchange-Server abzulegen und auszuführen. Laut BSI waren allein in Deutschland potenziell etwa 57.000 Server betroffen. Bis die Lücke beim Großteil der Exchange Server schließlich geschlossen wurde, ging einige Zeit ins Land.

Reverse-Proxy als Sicherheitsmaßnahme

Um offene Sicherheitslücken schneller zu schließen, hat Microsoft einen Exchange Emergency Mitigation Service (EEMS) [1] direkt in Exchange integriert. Die neue Funktion prüft stündlich, ob es ein neues Regelwerk für eine Schwachstelle gibt und wendet diese Regel lokal an, um Lücken zu schließen. Der EEMS nimmt Exchange-Administratoren nicht das Einspielen von Updates ab und Fixes müssen diese nach deren Veröffentlichung auch weiterhin händisch einspielen.

Doch Angriffe fängt die Funktion nur verzögert ab und grundsätzlich sollten Sie Exchange nie ohne zusätzliche Sicherheitsvorkehrungen im Internet veröffentlichen. Ein reines Portforwarding an einer Firewall ist dabei nicht ausreichend und IT-Verantwortliche sollten daher den Einsatz einer Web Application Firewall (WAF) oder zumindest eines Reverse-Proxy ins Auge fassen.

Ein Proxy bietet dabei den großen Vorteil, dass er die nachgelagerten Server zunächst Richtung Internet verschleiert. Viele automatisierte Angriffe prüfen über den HTTP-Header, ob sie es mit einem IIS zu tun haben. Ist dies nicht der Fall, sparen sie Zeit und Ressourcen und suchen sich ein nächstes potenzielles Ziel. Durch die Aktivierung der Web Application Firewall lässt sich die Sicherheit des Exchange-Servers deutlich erhöhen. Wir schauen uns in diesem Workshop die Möglichkeiten eines Reverse-Proxy über einen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023