Para um servidor Exchange voltado para a Internet, com todos os papéis em um, o que preciso liberar do firewall?

6

Como resultado de um recente teste de penetração, no qual não nos saímos bem, foi trazido à minha atenção que o nosso servidor Exchange 2010 SP3 não possui nenhum firewall, e é, portanto, completamente exposto à internet. Eu mesmo verifiquei os resultados e é realmente muito ruim. SMB, LDAP, registro remoto, RDP e todos os outros serviços padrão que você encontraria em um ambiente do Windows Active Directory são expostos à Internet através de nosso servidor Exchange.

Naturalmente, gostaria de consertar isso, e planejo fazer isso com o Firewall do Windows, mas no Googling, tudo que consegui encontrar no ponto de fontes oficiais é porta referências que parecem se aplicar ao tráfego interno do Exchange e a Nota de blog de tecnologia dizendo para não usar essas referências para configurar seus firewalls , porque a única configuração suportada entre servidores Exchange é o equivalente a uma regra ANY:ANY allow . : /

Considerando que usamos o Active Sync, OWA, IMAP, compartilhamento de agenda / catálogo de endereços, descoberta automática e acesso ao cliente do Outlook, alguém sabe quais regras de firewall são necessárias para um servidor do tipo tudo-em-um? enfrentando? (pontos de bônus na forma de uma pequena recompensa para quem tem uma fonte oficial de MS, também.)

No topo da minha cabeça, com muita experiência como administrador acidental do Exchange e segurança acidental de TI, eu criei a lista abaixo (que parece muito longa e também curto para mim), mas antes de eu ir e potencialmente quebrar e-mail para mil usuários whiny, eu realmente gostaria de alguma verificação do que eu estou planejando fazer.

TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
    
por HopelessN00b 17.12.2014 / 21:50

2 respostas

9

Isso parece mais correto para uma implementação totalmente aberta de todos os protocolos. Algumas sugestões:

A menos que você tenha clientes de e-mail, com uma justificativa comercial, que exijam tudo isso, limite-os a apenas 25, 80, 443. Não permita o acesso POP, que é uma senha em texto simples. Não permita o acesso SMTP do cliente, que é uma senha de texto simples. (Claro, para aceitar e-mails da Internet, você precisa do TCP 25 aberto.)

Qualquer pessoa que use um dispositivo móvel ou o Outlook em Qualquer Lugar usará o HTTPS para o Outlook em Qualquer Lugar ou o EWS / Activesync.

Se quiséssemos escrever um ensaio completo sobre segurança, você estaria aceitando e-mail para um registro MX que não faz parte do seu domínio, e seu servidor do Exchange aceitaria somente o TCP 25 desses / desses hosts. Você pode usar o Transporte de Borda ou um produto de terceiros ou um serviço hospedado.

    
por 17.12.2014 / 21:58
11

O que mfinni disse, exceto pelo fato de encaminharmos três portas para uma caixa Exchange all-in-one por trás do firewall:

25:  SMTP
80:  HTTP (redirect to OWA HTTPS)
443: HTTPS

Isso funciona bem para pessoas com Androids, iPhones, etc. Geralmente, as pessoas em casa usam o OWA ou seus telefones, de qualquer forma.

Editar: desde que você solicitou uma fonte da Microsoft, este é um link para um artigo do TechNet sobre firewalls e o SBS 2008, que possui uma configuração do Exchange tudo em um. Eles recomendam:

Service or Protocol     Port
SMTP e-mail             TCP 25
HTTP Web traffic        TCP 80
HTTPS Web traffic       TCP 443
SharePoint Services     TCP 987
VPN                     TCP 1723
Remote Desktop Protocol TCP 3389

Você claramente não precisa do Sharepoint, VPN ou RDP, que deixa 25, 80 e 443.

E aqui está um link para o SBS 2011, que tem o Exchange 2010. Mesmas portas (menos RDP).

    
por 17.12.2014 / 22:29