xDSL.at

[martin]

der zweck von outlook web access ist doch eigentlich, dass man von überall auf seine mails zugreifen kann? den zugriff auf whitelist basis freischalten ist doch da irgendwie kontraproduktiv...

ich hätte vermutlich probleme, wenn ich unseren usern auf die frage "wieso geht mein OWA nicht?" nur antworten kann "du hast den falschen provider". ob du sämtliche A1 adressen oder gleich das ganze internet drauf zugreifen lässt ist vermutlich nur um wenige prozentpunkte riskanter.

sichere lieber dein OWA vernünftig ab:

- SSL
- starke passwörter + den usern eintrichtern dass die gefälligst nur im eigenen (!) kopf und sonst nirgendwo aufbewahrt werden
- application firewall wie z.b. ISA server oder zumindest URLscan vorschalten
- die logfiles immer im auge behalten
- stets brav die microsoft patches einspielen

wirklich 100% sicher vor angriffen wirst du nur, wenn du bei deinem router den stecker ziehst...


edit: konfiguriere deinen webserver so, dass er nur bei aufruf mit dem korrekten hostname antwortet und ansonsten "invalid hostname" o.ä. zurückwirft. so fällt bei einem automatischem scan auf ip ebene nicht mal auf, dass hier ein OWA steht.

[jutta]

> der zweck von outlook web access ist doch eigentlich, dass man von überall auf seine mails zugreifen kann? den zugriff auf whitelist basis freischalten ist doch da irgendwie kontraproduktiv...

ich denke, dass es sehr davon abhaengt, wieviele leute von wo "ueberall" auf ihre mails zugreifen sollen. wenn es nur eine handvoll leute ist, die ausserdem nur innerhalb von oesterreich dienstlich unterwegs sind, kann ich sehr grosse ip-ranges raussperren, ohne zu riskieren, dass der chef aus diesem grund nicht an seine mails kann.

bei einem konzern mit standorten in allen kontinenten sieht es natuerlich anders aus.

[SFNR1]

Wenns eh nur um Outlook geht, was spricht gegen RPC-over-HTTP(S)?

Outlook 2000

[SFNR1]

> ich hab gerade nchgefragt. eine statische IP-Option wird nicht mehr angeboten.. seit ungefähr einem Jahr. Schade.

finde ich auch schade. falls ihr irgendwann anbieter wechseln wollt: bei silver server gibt es statische ip adressen fuer mobil-zugaenge.

@authentifizierung usw: es stimmt schon, dass es fuer die authentifizierung bessere loesungen gibt als ip adressen in der firewall zu sperren. aber die eingrenzung auf bestimmte ip adressen kann die unnoetigen zugriffsversuche auf den server reduzieren, was ich mittlerweilen bei meinen servern tue.

ja, wirklich schade und verstehen tu ichs nicht aber bitte.

jep, es geht eher mehr um die zugriffsversuche. jedes stückchen eingrenzen hilft da schon

[SFNR1]

der zweck von outlook web access ist doch eigentlich, dass man von überall auf seine mails zugreifen kann? den zugriff auf whitelist basis freischalten ist doch da irgendwie kontraproduktiv...

ich hätte vermutlich probleme, wenn ich unseren usern auf die frage "wieso geht mein OWA nicht?" nur antworten kann "du hast den falschen provider". ob du sämtliche A1 adressen oder gleich das ganze internet drauf zugreifen lässt ist vermutlich nur um wenige prozentpunkte riskanter.

sichere lieber dein OWA vernünftig ab:

- SSL
- starke passwörter + den usern eintrichtern dass die gefälligst nur im eigenen (!) kopf und sonst nirgendwo aufbewahrt werden
- application firewall wie z.b. ISA server oder zumindest URLscan vorschalten
- die logfiles immer im auge behalten
- stets brav die microsoft patches einspielen

wirklich 100% sicher vor angriffen wirst du nur, wenn du bei deinem router den stecker ziehst...


edit: konfiguriere deinen webserver so, dass er nur bei aufruf mit dem korrekten hostname antwortet und ansonsten "invalid hostname" o.ä. zurückwirft. so fällt bei einem automatischem scan auf ip ebene nicht mal auf, dass hier ein OWA steht.

es geht im endeffekt nur um den zugang vom chef. der hat 1 notebook mit 1 a1-umts-karte. von woanders greift der nicht zu also wärs hierbei egal.

owa 2007 geht eh nicht mehr ohne https und ich denk die watchguard davor dürfte reichen. klar könnte man einen mobile user für ipsec einrichten oder eben das auth-applet aber das ist halt jemand der "einfach nur draufdrücken" will und jeder ahndgriff schon zu viel ist.

[hotze_com]

Ein netter Ansatz wäre eine CACERT Firmenzertifizierung, dann kannst du für deine Mitarbeiter ebenfalls Zertifikate ausstellen, dann baust auf der Webseite ein Clientzertifikat ein und das geht nur mit den Mitarbeiterzertifikaten auf. Damit hast du dir - mit der Installation von nur einem Rootzertifikat - schnell deine "eigene" Zertifizierungsstelle aufgebaut und kannst damit für die gesamte Firma auf Zertifikate basierend arbeiten. (siehe auch www.cacert.org)

[wicked_one]

Outlook 2000 -- mir fällt grad keine andere Formulierung ein als - Selbst Schuld...

Gut, dann wohl noch Outlook Web Access, mit HTTPS zumindest abgesichert - tjo und diese Whitelist... also ich würd den Kopf schütteln wenn mein Support mir sagen würd, ich könnte nur über das Pintschige Mobile Breitband auf den OWA zugreifen, als Chef würd ichs vermutlich gar nicht kapieren ...

[SFNR1]

Outlook 2000 -- mir fällt grad keine andere Formulierung ein als - Selbst Schuld...

Gut, dann wohl noch Outlook Web Access, mit HTTPS zumindest abgesichert - tjo und diese Whitelist... also ich würd den Kopf schütteln wenn mein Support mir sagen würd, ich könnte nur über das Pintschige Mobile Breitband auf den OWA zugreifen, als Chef würd ichs vermutlich gar nicht kapieren ...

80 mal neues Outlook 2007 kaufen und dann auch gleich noch XP weil 2k7 nicht mehr unter 2000 geht? Nö, das isses nicht. Leider sind beim Exi 2007 keine Outlooklizenzen mehr dabei wie beim 2003er aber das ist eine andere Geschichte.

Ja so wies aussieht ist das Thema statische IP eh gestorben also wird wohl nix mit Whitelist.

[Viennaboy]

Wieso fragst du nicht bei den anderen Netzbetreiber nach wie TMA oder Drei ?

[SFNR1]

Wieso fragst du nicht bei den anderen Netzbetreiber nach wie TMA oder Drei ?

weil der Kunde "dafür" nicht den provider wechselt.

[penguinforce]

und dann auch gleich noch XP weil 2k7 nicht mehr unter 2000 geht?

machts 2003er schon nicht, weil für exchange 2003 mit outlook 2003 brauchst rpc over http(s), und wird erst mit xp mit min. sp2 vom os bereitgestellt...

wieso nicht die lösung via vpn-tunnel (sodass dein boss teil des lan's wird), und er dann von extern via vpn zugreift, als wäre er intern? oder über diesen weg via rdp auf seinen eigenen firmenpc, und dort greift er (innerhalb seine gewohnten umgebung) auf seine daten zu (ok, is net des wahre, aber für rpc over https wollt ihr ja nix ausgeben))

also: warum kein ipsec oder openvpn...?

[SFNR1]

und dann auch gleich noch XP weil 2k7 nicht mehr unter 2000 geht?

machts 2003er schon nicht, weil für exchange 2003 mit outlook 2003 brauchst rpc over http(s), und wird erst mit xp mit min. sp2 vom os bereitgestellt...

wieso nicht die lösung via vpn-tunnel (sodass dein boss teil des lan's wird), und er dann von extern via vpn zugreift, als wäre er intern? oder über diesen weg via rdp auf seinen eigenen firmenpc, und dort greift er (innerhalb seine gewohnten umgebung) auf seine daten zu (ok, is net des wahre, aber für rpc over https wollt ihr ja nix ausgeben))

also: warum kein ipsec oder openvpn...?

So, die Lage hat sich wieder mal geändert. Sein Lappi ist nun per PPTP-VPN (so umgeht man die Watchguard Mobile-User Lizenzen ) drin weil OWA ja soooo unbrauchbar ist und er natürlich schon Outlook habn will.

Das mit der IP-Range würde jetzt noch fürs Nokia E51 gelten. Das greift per secure POP3 auf den Exchange zu... na, wird wohl reichen.

[jutta]

ich bin fuer briefe. ganz einfach auf papier. spart enorm viel zeit fuer die loesung von problemen die man ohne e-mail nicht haette. und wenn der chef unterwegs ist und wissen will, was in einem brief steht, ruft er die sekretaerin an und die liest es ihm vor.

//nein, das ist kein witz.

[SFNR1]

ich bin fuer briefe. ganz einfach auf papier. spart enorm viel zeit fuer die loesung von problemen die man ohne e-mail nicht haette. und wenn der chef unterwegs ist und wissen will, was in einem brief steht, ruft er die sekretaerin an und die liest es ihm vor.

//nein, das ist kein witz.

So schräg das klingt... so ähnlich ist es eh. Sagt dir der Begriff "Internetausdrucker" etwas? . Das sind halt alles Gschichtl wo sich die Geschäftsführung einbildet sowas haben zu müssen und dann 1. das Notebook kaum 1 mal im Monat einschaltet und 2. das Handy zwar schön Traffic verbrät mit Mails abholen aber kaum nachgesehen wird was da wirklich per Mail kam. Besser wäre sicher wenn die Sekretärin (oh, Teamassistentin heißt das jetz oder? Will ja nicht diskriminierend werden ) einfach anruft und sagt "sie haben von Klienten eine Mail da steht.... soll ich zurückschreiben?" aber bitte.