ActiveSync für mobile Endgeräte absichern

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
suhlig97
Beiträge: 4
Registriert: Sa 30.05.2020, 17:10

ActiveSync für mobile Endgeräte absichern

Beitrag von suhlig97 »

Hallo, 

nach dem bekanntlichen Exchange Hack im März haben wir alle Kommunikation zu unserem Exchange 2013 blockiert und auf VPN umgestellt. Auch die ganzen Smartphones/Tablets.
Nun ist das etwas gewöhnungsbedürftig immer den VPN einzuschalten um EMails abzurufen.
Kann man irgendwie doch ActiveSyn aktivieren und dies so sicher wie möglich gestalten? Vielleicht durch Zertifikate oder eine andere Authentifizierung?
Verbaut ist eine RC100 und dahinter hängt ein Exchange Server.
Vielen Dank im Voraus für Vorschläge.

VG Sebastian

betamax65
Beiträge: 17
Registriert: Di 12.11.2019, 12:50

Beitrag von betamax65 »

Also ich plane so etwas ähnliches.

Ich habe zwar keinen orig. Exchange Server allerdings versteht unser Zimbra-Server das EAS-Protokoll.

Um den Mailserver nicht direkt mit der freien Welt zu verbinden habe ich daher also bisher folgendes eingebaut:

SMTP(s) wird über das Mailrelay abgewickelt (Sprich die UTM nimmt Mail nach den definierten Filtern an und leitet weiter)
EAS leitet ich über den Reverse-Proxy an den Zimbra-Server weiter.

Beim Reverse-Proxy gibt es die Möglichkeit (in der Karteikarte Einstellungen) Zertifikatsbasierte Authentifizierung zu aktivieren.
Das habe ich bisher auch noch nicht gemacht, aber ich denke das wird der Weg sein, damit sich die Clients
per Zertifikat zusätzlich authentifizieren müssen. Das wäre dann quasi so eine Device-Policy.

Dafür muss dann aber auf jeden Client auch das Zertifikat installiert werden, was je nach Menge der Devices
ja recht aufwendig werden kann. Die Frage ist dann aber auch, ob zum Beispiel auf mobilen Devices
das ganze dann auch funktioniert. Ob zum Beispiel die Mail App eines iPhones beim EAS Zugriff das Zertifikat sendet, oder nicht.
Wäre zu testen. An diese Information wäre ich auch interessiert ;-)

Da bei uns noch jede Menge BOYD-Devices sind, habe ich darauf erstmal verzichtet. Steht aber auf ToDo.

Kai

betamax65
Beiträge: 17
Registriert: Di 12.11.2019, 12:50

Beitrag von betamax65 »

Mir fällt dazu noch ein (bitte mich korrigieren wenn ich falsch liege) das ich wohl mal gesehen habe (anhand von IPs), das zum Beispiel
der mobile Outlook Client nicht direkt mit dem Exchangeartigen Dienst kommuniziert, sondern das diese EAS-Verbindungen dann über
Server von Microsoft laufen. Das dürfte dann natürlich beim Einsatz von Zertifikaten problematisch werden.

(Ich hatte es beobachtet weil einige Kollegen Probleme hatten mit dem Client. Das lief damals noch über einen Apache R-Proxy und in den Logs
waren dann unterschiedliche IPs geleistet, deren whois deutlich Microsoft aufgezeigt haben. Da das ganze in der Cloud bei MS läuft war dann das
Problem das einige IPs von MS ordnungsgemäß funktionierten und andere nicht. Wir haben bei uns daher den mobilen MS-Outlook als nicht supportet
deklariert)

Antworten