Nachdem ich
hier beschrieben hatte, wie man Outlook Anyhwere (oder auch RPC-over-HTTP) mittels TMG absichert und
hier beschrieben hatte, wie man Outlook Web Access (OWA) mittels TMG absichert, folgt nun der dritte Eintrag, wie man ActiveSync mittels TMG absichert.
Wie vorher auch, beschreibe ich nur die Einstellungen auf der TMG Seite und nutze die vorherigen Einstellungen aus den anderen beiden Artikeln (z.B. den "h4des.org exchange" Weblistener).
Der Push-Mechanismus bekommt einen Timeout, wenn die TTL von der HTTPS Verbindung kleiner ist als die Heartbeat Einstellung fuer den Push-Mechanismus. Laut M$ Buechern ist die Standardeinstellung des Push-Mechanismuses bei Exchange 2010 9 Minuten. Also setzen wir das TTL von der HTTPS Verbindung gross genug (der Weblistener hatte per Default eine TTL Einstellung von 1800 Sekunden).
ActiveSync muss auf der Exchange CAS Seite auf "basic authentication" gestellt werden. Dies bedeutet, dass die Passwoerter im Klartext uebertragen werden, was aber nur halb so schlimm ist (ja ich weiss, kein security-in-depth Konzept, anders waere es mir auch lieber), da die Passwoerter ueber HTTPS uebertragen werden.
Nun zu den Einstellungen beim TMG:
-Forefront TMG Management ? Forefront TMG (h4desTMG) ? Firewall Policy ? Rechtsklick ? New ? Exchange Web Client Access Publishing Rule...
-Exchange Publishing rule name: Active Synce
-Exchange version: Exchange Server 2010
-Exchange ActiveSync
-Publish a single Web site or load balancer
-Use SSL to connect to the published Web server or server farm
-Internal site name: mail.test.h4des.org
-Accept requests for: This domain name (type below)
-Public name: mail.test.h4des.org
-Web listener ? h4des.org exchange
-Select the method used by Forefront TMG to authenticate to the published Web server: Basic Authentication
-This rule applies to requests from the following user sets: Authenticated Users
Ok, damit hat man schon die Regel erstellt. Als naechstes muessen wir die Verbindung nur noch durch etwas HTTP-Filterung absichern:
-Forefront TMG Management ? Forefront TMG (h4desTMG) ? Firewall Policy ? active sync ? Rechtsklick ? Configure HTTP
-General
*Maximum headers length (bytes): 32768 (default war 32768)
*Allow any payload length: deaktivieren (default war aktiviert)
*Maximum Payload length (bytes): 65536
*Maximum URL length (bytes): 1024 (default war 10240)
*Maximum query length (bytes): 512 (default war 10240)
*Verify normalization: aktivieren (default war deaktiviert)
*Block high bit characters: aktivieren (default war deaktiviert)
*Block responses containing Windows executable content: aktivieren (default war deaktiviert)
-Methods
*Allow only specified methods (default war Allow all methods)
*Add... ? Method: OPTIONS
*Add... ? Method: POST
-Extensions
*Allow only specified extensions (default war Allow all extensions)
*Add... ? Extension: . (ja, wirklich nur einen . (PUNKT))
*Block requests containing ambiguous extensions: aktivieren (default war deaktiviert)
-Signatures
*Add...
*Name: \
*Search in: Request URL
*Signature: \
*Add...
*Name: ./
*Search in: Request URL
*Signature: ./
*Add...
*Name: ..
*Search in: Request URL
*Signature: ..
Und schon ist die ActiveSync Verbindung durch den TMG Proxy abgesichert. Das wars aus der Reihe "Exchange 2010 Dienste durch einen TMG-Proxy absichern".
Ich versuche schon etwas länger, die empfohlenen Einstellungen von Microsoft für das absichern von ActiveSync via dem TMG mit modsecurity2 für z-push nachzubauen. Auf diese Weise könnten eingie Angriffsversuche auf ActiveSync geblockt werden. Nur das Prob
Tracked: Feb 07, 18:11