Ik ben (in een test omgeving) een exchange organistatie aan het opzetten. Ik ben benieuwd naar wat jullie mening is mbt verbinding van buitenaf en hoe je dit zou moeten beveiligen.
Ik wil natuurlijk dat gebruikers straks op een veilige manier via OMA/activesync en OWA op de hoogte kunnen blijven van al hun berichten, kalender en meer van die dingen (en dat dus vanaf het internet).
Het berichtenverkeer is opzich niet echt top-secret maar je wilt uiteraard niet dat de informatie op straat komt te liggen. Met dit in het achterhoofd vraag ik mij af of ik kan volstaan met "simpelweg" een certificaat op IIS zetten en vervolgens gewoon basic authentication aanzetten voor inkomende verzoeken. Natuurlijk moet ik wel zorgen dat de clients die gaan connecten het certificaat van mijn eigen root CA in hun trusted lijstje hebben staan.
Ik zie namelijk ook de optie in IIS dat je ook certificaten kan gebruiken om toegang te verlenen (dus echt authentication via certificates).
Zoals ik in mijn eerste opzet de boel gebruik zorgt er toch voor dat:
1. de client zeker weet dat ie met de juiste server lult
2. er een ssl verbinding wordt gebouwd waarna de usernaam en password (de basic authentication) versleuteld met de publickey over het lijntje gaat.(en dus niet in clear text)
3. aan de gegevens overdracht geen dingen veranderd zijn.
Omdat ik security nogal serieus neem wil ik graag weten of bovenstaand verhaal inderdaad klopt en of jullie van mening zijn dat gegeven de situatie dit een afdoende beveiliging is ? (ik heb het dan verder niet over front-end en back-end opstelling enzo...)
Tevens vraag ik mij af in welke gevallen je dan wel kiest om de certificaten te gebruiken om daadwerkelijk toegang te krijgen tot websites of virtual services ? Of is dat enkel in active directory situaties waarbij de client in het domein zit ?
Care to elaborate ??
Ik wil natuurlijk dat gebruikers straks op een veilige manier via OMA/activesync en OWA op de hoogte kunnen blijven van al hun berichten, kalender en meer van die dingen (en dat dus vanaf het internet).
Het berichtenverkeer is opzich niet echt top-secret maar je wilt uiteraard niet dat de informatie op straat komt te liggen. Met dit in het achterhoofd vraag ik mij af of ik kan volstaan met "simpelweg" een certificaat op IIS zetten en vervolgens gewoon basic authentication aanzetten voor inkomende verzoeken. Natuurlijk moet ik wel zorgen dat de clients die gaan connecten het certificaat van mijn eigen root CA in hun trusted lijstje hebben staan.
Ik zie namelijk ook de optie in IIS dat je ook certificaten kan gebruiken om toegang te verlenen (dus echt authentication via certificates).
Zoals ik in mijn eerste opzet de boel gebruik zorgt er toch voor dat:
1. de client zeker weet dat ie met de juiste server lult
2. er een ssl verbinding wordt gebouwd waarna de usernaam en password (de basic authentication) versleuteld met de publickey over het lijntje gaat.(en dus niet in clear text)
3. aan de gegevens overdracht geen dingen veranderd zijn.
Omdat ik security nogal serieus neem wil ik graag weten of bovenstaand verhaal inderdaad klopt en of jullie van mening zijn dat gegeven de situatie dit een afdoende beveiliging is ? (ik heb het dan verder niet over front-end en back-end opstelling enzo...)
Tevens vraag ik mij af in welke gevallen je dan wel kiest om de certificaten te gebruiken om daadwerkelijk toegang te krijgen tot websites of virtual services ? Of is dat enkel in active directory situaties waarbij de client in het domein zit ?
Care to elaborate ??
**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress
:strip_icc():strip_exif()/u/8430/logo.jpg?f=community){kind=logo}