MICROLINC - Probleme suchen Lösung
Zurück   Home

OWA (Outlook Web App) ohne Forefront absichern mit nginx

  -  08.09.2012 - 18:32
Menü

Home
Microsoft Small Business Server 2011 Standard
Hardware
Windows
MS Office
Projekte
Support
Download
Peripherie
Sonstiges (Off-Topic)
Telefonie
Windows 8
Windows Mobile
Security-Software
DATEV
Virtualisierung Oracle virtualbox
nginx
Kryptographie
hMailServer
Android
Novell
Exchange
Server 2012 R2
AD Certificate Service (PKI) / Zertifizierungsstelle
System Center
Blackberry
Microsoft Flow
Virtualisierung Microsoft Hyper-V
Ubiquiti
3CX
OneDrive


 
Autor:Thomas Windscheif last edit:02.08.2015 14:26

Link zu diesem Beitrag:


[Druckansicht]

Man kann das OWA ohne die teuere Forefront-Solution von Microsoft absichern. Dazu eignen sich hervorragend Reverse-Proxys. Für RPC, MAPI over HTTPS u. Ä. Protokolle bietet nginx leider keine Unterstützung.

Eine hervorragend konfigurierbare Lösung bietet KEMP mit der Loadmaster-Produktreihe an. KEMP Loadmaster verfügen über "echte" Loadbalancing-Methoden, darüberhinaus über sehr einfach konfigurierbare Clusterkonfigurationen und damit HA und sind im Vergleich zu anderen Anbietern im Verhältnis wesentlich günstiger. Es gibt sowohl Hardware-Lösungen die insbesondere für "große" SSL-(Offloading)-Szenarien - Dank der integrierten ASIC-Prozessoren - perfekt abgestimmt sind und VM-Lösungen für alle großen Virtualisierungsplattformen (mit Ausnahme von Citrix). Über ESP steht auch die Möglichkeit eines u. A. Kerberos-basierten SSO für das Backend zur Verfügung. KEMP bietet auch kostenfreie VM-Testversionen mit einer Laufzeit von 30 Tagen an um sich das ganze mal praktisch anzuschauen. Dank des sehr engen Kontakts der Consultants zu den Entwicklern kommen regelmäßig neue Features mit dazu. Ich persönlich bin von dem Produkt schwer begeistert, auch wenn man nicht der gebohrene Loadbalancer-Experte ist, kann man einfache Testumgebungsszenarien binnen kürzester Zeit aufsetzen und nachvollziehbar simulieren.

UPDATE 16.07.2015
nginx kann nun wohl auch Outlook Anywhere "loadbalancen". Zumindest hat nginx eine entsprechende Anleitung hierfür veröffentlicht https://www.nginx.com/wp-content/uploads/2015/05/microsoft-exchange-deployment-guide-20150520.pdf. Hier wird zwar nginx plus als Produkt explizit beschrieben, dass wird aber auch für die allgemeine Version gültig sein. Seit der 1.9.x-Version ist ein stream-Modul (http://nginx.org/en/docs/stream/ngx_stream_upstream_module.html#hash) integriert welches die Pakete einfach nur durchreicht. Fragt sich, ob man eine vorgelagerte Clientzertifikatsabfrage einbauen kann, bevor die Verbindung zum Exchange durchgereicht wird. Ich habe dies bisher noch nicht testen können.

UPDATE 04.01.2014: Mit dem Windows Server 2012 R2 steht eine neue Rolle zur sicheren Veröffentlichung von Webanwendungen nach außen zur Verfügung: "Webanwendungsproxy". Hier lassen sich interne Anwendungen nach außen hin veröffentlichen mit bspw. einer Vorauthentifizierung.

Hier ein Blogeintrag von Hrn. Sichel in der recht anschaulich die Umsetzung in der Praxis dargestellt wird.:
http://blog.asichel.de/server-2012-r2-webanwendungsproxy-mit-exchange-2013/

Ich bin persönlich mit nginx als Reverse-Proxy in Kombination mit SSL-Offload mehr als zufrieden, es verbraucht kaum Speicher und belastet die CPU kaum. Zudem lässt es sich als low-privileged Dienst betreiben, generell bin ich der Meinung das die Kombination aus verschiedenen Hersteller-Tools Netzwerke sicherer machen (bei korrekter Konfiguration) als All-in-One Lösungen eines Herstellers, zudem lässt sich mit nginx die Last auf verschiedene Server verteilen und ist daher auch für wachsende Strukturen (mit wenig Aufwand) hervorragend anzuwenden.

UPDATE: Einige Forefront-Komponenten (wie z.B. TMG vorher ISA) wurden Dezember 2012 von Microsoft abgekündigt, bestehende Systeme werden wohl weiterhin gepflegt aber um sich in Zukunft nach außen hin zu schützen muss man sich wohl mit Produkten anderer Anbieter schützen. Grund dafür sollen die neuen integrierten Security-Solutions in den Produkten wie SharePoint oder Exchange 2013 sein.
(weitere Informationen: http://www.zdnet.de/88123260/microsoft-stellt-funf-sicherheitsprodukte-der-reihe-forefront-ein/)

Eine effiziente und zugleich kostenfreie Variante wäre der Reverse-Proxy nginx (http://nginx.org/). Eine sehr kleine und relativ einfach zu konfigurierende Software inkl. SSL-Offload wodurch die Belastung des OWA-ausführenden IIS-Servers reduziert wird. Außerdem kann man zur Missbrauchsvermeidung eine Basic-Benutzerauthentifizierung auch über eine SSL-Verbindung integrieren. Das mindert auch den Ressourcenverbrauch durch gut- oder bösartige Bots und verhindert Anwendung von Exploits bei der normalen OWA-Authentifizierung. nginx verfügt über ein hervorragendes wiki (http://wiki.nginx.org/Main; offizielle Dokumentation: http://nginx.org/en/docs/) auf dem alle Funktionen beispielhaft erläutert werden (englisch-sprachig).

Außerdem ist es möglich z.B. bei Active-Sync die Benutzer über Clientzertifikate bzw. kombiniert (Clientzertifikat & Benutzername und Passwort; getestet mit Windows Mobile und Android; mit WP 7 ist dies leider nicht möglich, mit WP 8/8.1 konnte ich es leider noch nicht testen) über nginx anzumelden. D. h. durch den vorgelagerten Reverse-Proxy wird durch aktivierte Client-Zertifikat-Prüfung erstmal geprüft, ob das Gerät überhaupt zum Backend geleitet werden darf und dann muss sich das Gerät noch mit der klassischen Benutzername/Kennwort-Anmeldung authentifzieren.

Für die Verwendung der Zertifikate benötigt man openssl zur Konvertierung und um die Zertifikateverteilung an eine zentrale Stelle zu binden bietet sich die AD-Zertifizierungsstellle (in Windows-Domänen an). nginx prüft die Client-Zertifikate gegen das in der nginx-config hinterlegte root-cert. Eine einfache Verwaltung (z. B. Sperrung der Benutzerzertifikate) habe ich noch nicht gefunden, wünschenswert wäre ein Abgleich gegen die AD-Zertifizierungstelle. Da meines Wissens nach in der Spezifikation von Active-Sync eigentlich nur eine Authentifizierungsmethode verwendet werden kann, "zicken" die Endgeräte zu Beginn etwas aber es funktioniert.

nginx prüft das user-cert und übergibt dann an den Active-Sync Ordner des IIS. Dieser ist in Exchange so konfiguriert, dass er nur Benutzerauthentifizierung prüft.
Das User-Zertifikat erstellt man ganz normal über das certmgr-Snap-in und importiert es als pfx in den Speicher des Smartphones.

Eine beispielhafte Standard-Konfiguration findet man hier (OWA & Active-Sync):
http://forum.nginx.org/read.php?2,92239,92239




Für Anbindung von IPhone u.Ä. Peripherien sollte man folgenden Artikel beachten:
http://www.zero1design.com/2011/12/08/nginx-reverse-proxy-exchange-activesync-for-ios/


Über den Autor
Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen (Novell/Micro Focus, Microsoft), Cloud-Lösungen (Office365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann.

Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.





Login


QuickTag:  

 
Sie haben ein ungelöstes Problem in Ihrer Exchange Server oder Microsoft-Infrastruktur?
Treten Sie gerne mit mir in Kontakt. Sowohl bei einfachen Exchange Installationen, als auch bei hochverfügbaren, lastverteilten Mehrstandort-DAG-Topologien mit Loadbalancern unterstütze ich Sie -auch kurzfristig- sehr gerne.

Nutzen Sie den Live Chat, xing, LinkedIn, das Kontaktformular oder den Mailkontakt

[News als RSS-Feed abonnieren]
News

vom 16.09.2019 - 17:48


- Windows Server 2019 - LDAP out of memory exception -

Aktuelle Versionen von Windows Server 2019 laufen bei LDAP Abfragen mit Gruppenauflösung (1.2.840.113556.1.4.1941) auf einen out of memory-Fehler. Laut einem Microsoft-Mitarbeiter soll das Problem aber im kommenden September-Update behoben werden (KB4516077).

Unter folgendem Link kann man die Diskussion im Microsoft Social TechNet verfolgen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/4f14412f-dd81-4b9a-b6b5-aa69100e87d0/intermittent-not-enough-space-errors-when-doing-ldap-queries-against-2019-domain-controller?forum=winservergen

Leider kann man in den offiziellen Kanälen zu dem KB-Artikel noch nichts finden.


Weitere News:

3CX V16 Call Control API mit PowerShell Core


vom 25.04.2019 11:41


Exchange Online SMTP TLS Report


vom 15.02.2019 18:04


TLS-Test für SMTP mit PowerShell


vom 10.12.2018 11:47


3CX Secure SIP via DIRECT-STUN mit yealink T46S


vom 08.09.2018 15:35


Exchange 2016 CU10


vom 25.06.2018 15:21


Apple iCloud Addin stört Outlook Kalenderfunktionen


vom 18.10.2017 13:24


.NET 4.7 released - Bitte nicht auf Exchange Servern installieren


vom 13.06.2017 21:52


Troubleshooting Exchange Health Manager Sensoren


vom 16.05.2017 21:06


Exchange 2016 - ActiveSync-Lesebestätigungen können nun unterdrückt werden


vom 09.03.2017 18:28


Exchange - Informationen an Dritte einschränken


vom 20.02.2017 01:53


Einen guten Start in das neue Jahr


vom 31.12.2016 19:21


Smart App Banner für OWA entfernen


vom 09.09.2016 20:15


Neue Version des Berechtigungsvererbungsskript für Exchange released


vom 17.05.2016 19:34


LogParser für Exchange SMTP-Logs


vom 16.05.2016 00:48


Exchange Healthmailboxen neu anlegen


vom 25.03.2016 16:28


Retention Policy auf Healthmailboxen anwenden


vom 24.03.2016 20:52


Exchange Schemaversionen auf allen DCs abfragen


vom 24.03.2016 16:37


Neue Versionen des Berechtigungsvererbungsskripts


vom 27.09.2015 19:04


Exchange 2013 Mapi over HTTP Diagnose


vom 20.09.2015 20:42



[alle News auflisten]
Sitemap - Kontakt - Datenschutz & Disclaimer - Impressum