[IIS 4.0] Outlook WebAcces achter firewall - Privacy en beveiliging

maandag 8 november 2004 10:11

Acties:

Topicstarter

Beste mensen,

Bij ons op het bedrijf is de Outlook Web Acces van Exchange 5.5 omstreden wat betreft de veiligheid. Ligt onze bedrijfsinformatie daadwerkelijk op straat?

Situatie:
Er draait een Windows NT4 (SP6) BackOffice IIS 4.0 Server achter een firewall (SpeedTouch 510i router). Hier op staan alleen de poorten 80 en 443 gemapt naar de server. Alle andere poorten staan op Stealth. Er is een echt SSL Certificaat geïnstalleerd en alle data van de WebAcces loopt dan ook over deze 128bits encrypted verbinding.

Questie
Uiteraard is bekend dat de verouderde versie van IIS vol zit met lekken en gaatjes. Is het ondanks de firewall en de beveiligde verbinding toch onveilig? Hoe makkelijk is het om binnen te komen en/of schade aan te richten via de 2 poorten?

Graag jullie mening hier over, alvast bedankt!

An assumption is the mother of all fuck-ups

maandag 8 november 2004 11:12

Acties:

Verwijderd

Veilig zat lijkt me, zeker met die 128bits encryptie...

maandag 8 november 2004 11:54

Acties:

RpR

Topicstarter

Verwijderd schreef op 08 november 2004 @ 11:12:
Veilig zat lijkt me, zeker met die 128bits encryptie...

Bedankt voor je mening! Nog andere profs met een mening/suggestie?

An assumption is the mother of all fuck-ups

maandag 8 november 2004 15:46

Acties:

Verwijderd

Professional Networking & Servers -> Beveiliging & Virussen

Veiligheid kan in een apart forum

dinsdag 9 november 2004 08:37

Acties:

RpR

Topicstarter

offtopic:
* Heel klein kickje...

Nog meer mensen die hier goede en/of kwade gedachtes over hebben?

An assumption is the mother of all fuck-ups

dinsdag 9 november 2004 09:04

Acties:

Verwijderd

IIS 4 is nou niet echt lekker veilig. Ik zou i.i.g. nog even de IIS lockdown tool gebruiken. Deze bezit een speciale security "template" voor OWA. Te vinden hier: http://www.microsoft.com/downloads/details.aspx?...

Daarnaast natuurlijk altijd de laatste updates en patches installeren (kan je nog wel eens vergeten zonder WAU): http://www.microsoft.com/ntserver/nts/downloads/default.asp

Als al het verkeer via poort 443 (dus SSL loopt) zou ik gewoon er ook voor zorgen dat je poort 80 afsluit, just to be sure.

Voor de rest effe googelen naar "hardening NT4 iis" en je komt nog wat tips, trucks en registry hacks tegen: http://ehampshire.com/computer/nt4.php3

[ Voor 7% gewijzigd door Verwijderd op 09-11-2004 09:05 ]

maandag 15 november 2004 10:39

Acties:

RpR

Topicstarter

@HPE:
Bedankt voor alle waardevolle tips!

Eén vraag nog; Op de server waar het om gaat draait OWA, IIS, Proxy 2.0 en een intranet. Na de LockDown tool te hebben gebruikt, zijn een x aantal (belangrijke) subwebs van het intranet niet meer te benaderen. Ik heb de ACL's vergeleken met subwebs die wel toegankelijk zijn, maar ik kan geen verschillen ontdekken. Ik heb tijdelijk de installatie even teruggedraait. Kun je helpen?

An assumption is the mother of all fuck-ups

maandag 15 november 2004 20:06

Acties:

Verwijderd

DjRp schreef op maandag 15 november 2004 @ 10:39:
Na de LockDown tool te hebben gebruikt, zijn een x aantal (belangrijke) subwebs van het intranet niet meer te benaderen. Ik heb de ACL's vergeleken met subwebs die wel toegankelijk zijn, maar ik kan geen verschillen ontdekken.

Dat kan wel, maar dan hebben we iets meer info nodig. Wat voor soort intranet subwebs heb je het hierover? Welke technieken (Asp pagina's, andere ISAPI filters bijvoorbeeld)

De lockdown tool past niet alleen de ACL's aan, maar doet veel meer:

* installeert de URLscan welke "gevaarlijke", maar ook veel gebruikte mogelijkheden afvangt en niet toelaat.
* verwijdert sommige IIS taken
* verwijderd onnodige script
* verwijderd onnodige mapping (.htw, .ida, .idq, .asp, .cer, .cdx, .asa, .htr, .idc, .shtm, .shtml, .stm en .printer)

Vooral de URLscan kan voor problemen zorgen in intranet situatie's waarin men geprobeerd heeft er een "rich application" van te maken.

Lees ook eens: http://www.securityfocus.com/infocus/1755. Let vooral op urlscan.ini en het log (Urlscan.log). Wellicht kan je hieruit zelf al concluderen waar het fout gaat.