Sicherer(er) Zugang über ActiveSync

1. offizieller Beitrag

    Hallo zusammen,


    ich habe einen Exchange 2007 Std. Server und plane den Zugriff von außen über ActiveSync (Windows Mobile, iPhone) zu ermöglichen.


    Besonders wichtig ist mir dabei die Absicherung dieser Verbindung nach außen. Soweit ich bislang gelernt habe reicht es aus, Port 443 an den Exchange durchzureichen und ein Zertifikat zu installieren. Damit wird doch dann nur die Verbindung an sich verschlüsselt.


    Welche zusätzlichen Möglichkeiten einer Absicherung habe ich noch? Ein VPN-Tunnel wäre mir zwar am liebsten, ist jedoch nach meiner Auffassung für eine Push-Verbindung wenig praktikabel.


    Über Tipps jeder Art bin ich sehr dankbar!


    Gruß
    Jens

    • Offizieller Beitrag
    Zitat

    ich habe einen Exchange 2007 Std. Server und plane den Zugriff von außen über ActiveSync (Windows Mobile, iPhone) zu ermöglichen.


    OK.


    Zitat

    Besonders wichtig ist mir dabei die Absicherung dieser Verbindung nach außen. Soweit ich bislang gelernt habe reicht es aus, Port 443 an den Exchange durchzureichen und ein Zertifikat zu installieren. Damit wird doch dann nur die Verbindung an sich verschlüsselt.


    Korrekt.


    Zitat

    Welche zusätzlichen Möglichkeiten einer Absicherung habe ich noch? Ein VPN-Tunnel wäre mir zwar am liebsten, ist jedoch nach meiner Auffassung für eine Push-Verbindung wenig praktikabel.


    Warum sollte deiner Meinung nach ein VPN sicherer sein, als eine SSL Verbindung?
    Eventuell erklärst du ja einfach mal, was genau du erwartest. bspw. kannst du mittels ISA/TMG den Zugang noch zusätzlich absichern. Oder du nutzt Clientzertifikate zur Authentifizierung (kann das IPhone aber nicht). Aber da du keine Anforderungen definierst, ist das alles nur Rumgerate. ;)


    Bye
    Norbert

    Hallo Norbert,


    danke für die so kurzfristige Rückmeldung. Ist ja schon fast ein msx-Chat ;)


    Also:


    Zitat


    NorbertFe schrieb:


    Warum sollte deiner Meinung nach ein VPN sicherer sein, als eine SSL Verbindung?
    Eventuell erklärst du ja einfach mal, was genau du erwartest. bspw. kannst du mittels ISA/TMG den Zugang noch zusätzlich absichern. Oder du nutzt Clientzertifikate zur Authentifizierung (kann das IPhone aber nicht). Aber da du keine Anforderungen definierst, ist das alles nur Rumgerate. ;)


    Bye
    Norbert


    Bei einem VPN hat jeder User einen individuellen Schlüssel zum Ziel. Hier gibt es nur einen "Generalschlüssel" für alle. Oder habe ich da ein falsches Verständnis?


    Ich habe einfach ein ungutes Bauchgefühl bei der Konfiguration. Ein ISA-Server würde dann stellvertretend den Zugriff zum Exchange aufbauen - ein zusätzlicher Schutz nach außen ist das aber doch auch nicht, oder?


    Gruß,
    Jens

    Kurz zum Abschluss des Themas: Wir haben uns für die Veröffentlichung von Active Sync über ISA entschieden. Das funktioniert überraschend gut und zuverlässig ;)


    Danke für eure Überlegungen!
    Jens

    Ich würde den Backend vom Frontend (Owa/ActiveSync) trennen und den dann in die DMZ stellen ^^


    Im endeffekt installiert dir der Exchange beim OWA genau die gleiche Funktion wie wie beim 2008er Terminalgateway Web-TS wo im Endeffekt die Verbindung auch getunnelt ist, dies kannst du dementsprechend bis an die Grenze ausreizen, Tokenauthenfizierung/Smartcard + SSl-Zertifikat + NAP + IDS + Applicationfiltern (String) usw...


    Grüsse k3ops


    P.S.: Aber ISA-Server wenn ihr bereits im Einsatz hattet vereinfacht die ganze Konfiguration.