6 votes

HopelessN00b avatar

Pour un serveur Exchange "tous rôles confondus" tourné vers l'Internet, que dois-je laisser passer à travers le pare-feu ?

Demandé el 17 de Décembre, 2014
Quand la question a-t-elle été
1481 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

À la suite d'un récent test de pénétration, au cours duquel nous n'avons pas obtenu de bons résultats, il a été porté à mon attention que notre serveur Exchange 2010 SP3, qui fait face à l'Internet et est doté de tous les rôles en un, n'a pas de pare-feu en place et est donc complètement exposé à l'Internet. J'ai vérifié les résultats moi-même, et c'est effectivement assez mauvais. SMB, LDAP, le registre à distance, RDP et tous les autres services par défaut que l'on trouve dans un environnement Windows Active Directory sont exposés à l'internet via notre serveur Exchange.

Naturellement, j'aimerais corriger ce problème, et j'ai l'intention de le faire avec le Pare-feu Windows, mais en cherchant sur Google, tout ce que j'ai pu trouver sur ce point dans les sources officielles sont les suivants les références de port qui semblent s'appliquer au trafic interne d'Exchange et un Publication sur le blog de Technet indiquant qu'il ne faut pas utiliser ces références pour configurer vos pare-feu. parce que la seule configuration prise en charge entre les serveurs Exchange est l'équivalent d'un serveur de type "A". ANY:ANY allow règle. :/

Étant donné que nous utilisons Active Sync, OWA, IMAP, le partage de calendrier/carnet d'adresses, l'autodécouverte et l'accès client Outlook, quelqu'un sait-il quelles règles de pare-feu sont nécessaires pour un serveur Exchange tout-en-un qui fait face à l'Internet ? (Des points bonus sous la forme d'une petite prime à toute personne ayant une source MS officielle, également).

De mémoire, avec un tas d'expérience en tant qu'administrateur Exchange accidentel et en tant que responsable de la sécurité informatique accidentel, j'ai établi la liste ci-dessous (qui semble à la fois trop longue et trop longue) y trop court pour moi), mais avant d'aller casser potentiellement l'email pour un millier d'utilisateurs pleurnichards, j'aimerais vraiment avoir une vérification de ce que je prévois de faire.

TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
Demandé el 17 de Décembre, 2014 par HopelessN00b

Réponses

Trop de publicités?

12voto

Katherine Villyard avatar
Katherine Villyard Points 18470

Ce que mfinni a dit, sauf que nous transférons trois ports vers une boîte Exchange tout-en-un derrière le pare-feu :

25:  SMTP
80:  HTTP (redirect to OWA HTTPS)
443: HTTPS

Cela fonctionne très bien pour les personnes qui ont des Androïdes, des iPhones, etc. En général, les gens à la maison utilisent OWA ou leur téléphone, de toute façon.

Edit : Puisque vous avez demandé une source Microsoft, ce est un lien vers un article de TechNet sur les pare-feu et SBS 2008, qui propose une configuration Exchange tout en un. Ils recommandent :

Service or Protocol     Port
SMTP e-mail             TCP 25
HTTP Web traffic        TCP 80
HTTPS Web traffic       TCP 443
SharePoint Services     TCP 987
VPN                     TCP 1723
Remote Desktop Protocol TCP 3389

Il est clair que vous n'avez pas besoin de Sharepoint, VPN ou RDP, ce qui laisse les numéros 25, 80 et 443.

Et voici un lien pour SBS 2011, qui dispose d'Exchange 2010. Mêmes ports (sauf RDP).

Répondu el 17 de Décembre, 2014 par Katherine Villyard (18470 Points )

9voto

mfinni avatar
mfinni Points 35332

Cela semble plutôt correct pour une mise en œuvre ouverte à tous les protocoles. Quelques suggestions :

À moins que vous n'ayez des clients de messagerie, avec une justification commerciale, qui exigent tout cela, limitez-les à 25, 80, 443. N'autorisez pas l'accès POP, c'est un mot de passe en clair. N'autorisez pas l'accès SMTP du client, c'est un mot de passe en clair. (Bien sûr, pour accepter du courrier d'Internet, vous devez ouvrir TCP 25).

Toute personne utilisant un appareil mobile ou Outlook Anywhere utilisera HTTPS pour Outlook Anywhere ou EWS/Activesync.

Si nous voulions écrire tout un essai sur la sécurité, vous accepteriez des courriels vers un enregistrement MX qui ne fait pas partie de votre domaine, et votre serveur Exchange n'accepterait que TCP 25 de cet/ces hôtes. Vous pourriez utiliser Edge Transport, ou un produit tiers, ou un service hébergé.

Répondu el 17 de Décembre, 2014 par mfinni (35332 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X