h4des.org - we rise or fall

letzter Blogeintrag von sqall:

- TMG als Proxy - Outlook Web Access hardening

Gestern habe ich die Konfiguration zum Absichern von Outlook Anywhere beschrieben. Heute zeige ich euch in ultra kurz wie Outlook Web Access (OWA) mit TMG als Proxy abgesichert wird. Wie bei Outlook Anywhere benutzen wir den Wizard fuer die Freigabe (fuer Weblistener oder anderen vorher gemachten Einstellungen, bitte bei der Outlook Anywhere Kurzanleitung schauen):

-Forefront TMG Management ? Forefront TMG (h4desTMG) ? Firewall Policy ? Rechtsklick ? New ? Exchange Web Client Access Publishing Rule... -Exchange Publishing rule name: owa -Exchange version: Exchange Server 2010 -Outlook Web Access -Publish a single Web site or load balancer -Use SSL to connect to the published Web server or server farm -Internal site name: mail.test.h4des.org -Accept requests for: This domain name (type below) -Public name: mail.test.h4des.org -Web listener ? h4des.org exchange -Select the method used by Forefront TMG to authenticate to the published Web server: No delegation, and client cannot authenticate directly -This rule applies to requests from the following user sets: All Authenticated Users -in den Properties von der Regel „owa“ muss unter Public Name die Webseite, unter der diese Regel erreichbar ist, mit den Angaben in dem Zertifikat uebereinstimmen (hierbei „mail.test.h4des.org“). Die Webseite ist auch nur ueber die dort gemachten Angaben erreichbar und nicht ueber die IP-Adresse des TMG oder anderen Namen die auf den TMG zeigen.

Das wars auch schon. Wenn der DNS von aussen bei mail.test.h4des.org auf den TMG zeigt und der TMG mal.test.h4des.org so aufloest, dass er die Exchange CAS Server erreicht, koennen wir nun schon OWA ueber den TMG als Proxy benutzen. Nun kommen wir aber zum interessanten. Zum "haerten" (ich mag das Wort "hardening" ja viel lieber) der Regel. Auch hier wieder in sehr kurz:

-Forefront TMG Management ? Forefront TMG (h4desTMG) ? Firewall Policy ? owa ? Rechtsklick ? Configure HTTP -General *Maximum headers length (bytes): 32768 (default war 32768) *Allow any payload length: deaktivieren (default war aktiviert) *Maximum payload length (bytes): 10485760 (fuer 10MB Anhaenge ueber OWA) *Maximum URL length (bytes): 10240 (default war 10240) *Maximum query length (bytes): 4096 (default war 10240) *Verify normalization: aktivieren (default war deaktiviert) *Block high bit characters: deaktivieren (default war deaktiviert) (denn sonst werden Umlaute blockiert und der Nutzer kann bei einer deutschen Version nicht einmal eMails schreiben, da die eMail im Ordner "Entwürfe" landet) *Block responses containing Windows executable content: aktivieren (default war deaktiviert) (dadurch kann der Nutzer ueber OWA bei keiner eMail S/MIME benutzer, der Zugriff auf S/MIME erfordert das Zugreifen auf eine .exe-Datei) -Methods *Allow only specified methods (default war Allow all methods) *Add... ? Method: BCOPY *Add... ? Method: BDELETE *Add... ? Method: BMOVE *Add... ? Method: BPROPPATCH *Add... ? Method: DELETE *Add... ? Method: GET *Add... ? Method: MKCOL *Add... ? Method: MOVE *Add... ? Method: POLL *Add... ? Method: POST *Add... ? Method: PROPFIND *Add... ? Method: PROPPATCH *Add... ? Method: SEARCH *Add... ? Method: SUBSCRIBE -Extensions *Block specified extensions (allow all others) *Add... ? Extension: .asax *Add... ? Extension: .ascs *Add... ? Extension: .bat *Add... ? Extension: .com *Add... ? Extension: .config *Add... ? Extension: .cs *Add... ? Extension: .csproj *Add... ? Extension: .dat *Add... ? Extension: .dll *Add... ? Extension: .exe (durch Sperrung von dieser Endung, kann z.B. nicht auf S/MIME Komponenten zugegriffen werden) *Add... ? Extension: .htr *Add... ? Extension: .htw *Add... ? Extension: .ida *Add... ? Extension: .idc *Add... ? Extension: .idq *Add... ? Extension: .ini *Add... ? Extension: .licx *Add... ? Extension: .log *Add... ? Extension: .pdb *Add... ? Extension: .pol *Add... ? Extension: .pritner *Add... ? Extension: .ps1 *Add... ? Extension: .resources *Add... ? Extension: .resx *Add... ? Extension: .shtm *Add... ? Extension: .shtml *Add... ? Extension: .stm *Add... ? Extension: .vb *Add... ? Extension: .vbproj *Add... ? Extension: .vbs *Add... ? Extension: .vsdisco *Add... ? Extension: .webinfo *Add... ? Extension: .xsd *Add... ? Extension: .xsx *Block requests containing ambiguous extensions: deaktivieren (default war deaktiviert) *je nach Anforderung die die Nutzer haben, muessen einige Dateiendungen erlaubt werden, damit sie Dateien ueber OWA herunterladen koennen -Signatures *Add... *Name: \ *Search in: Request URL *Signature \ *Add... *Name: ./ *Search in: Request URL *Signature ./ *Add... *Name: .. *Search in: Request URL *Signature ..

Diese Einstellungen habe ich jetzt einen Tag lang getestet und sie liefern gute Ergebnisse und fuer mich bisher keine Einschraenkungen.
[...read more...]

----------------------------------------------------------------

Was soll eigentlich das ganze hier?

Auf dieser Seite stelle ich FreeSoftware Projekte und Tutorials vor,
an denen ich arbeite oder gearbeitet habe.

Bis ich ein Projekt dokumentiert und auf dieser Seite
veroeffentlicht habe, kann es immer ein bisschen dauern.

Falls ihr Fragen zu irgendwelchen Projekten habt,
oder allgemein irgendeine Frage, schreibt sie mir einfach.

have phun... sqall