ISA 2006 und RPCoverHTTPS

19/06/2008 - 14:23 von Thomas Wallutis | Report spam
Hi,

folgende Ausgangssituation:

Ein Kunde hat in seinem Netzwerk einen Exchange 2003 Server. Er möchte
gerne ausgewàhlten Benutzern den Zugriff per RPCoverHTTPS ermöglichen.
Dabei soll der Zugriff aber nicht nur von der Kenntnis des
Benutzernamens und des Kennwortes abhàngen. In der DMZ befindet sich ein
ISA 2006 Standard Server, der eine Veröffentlichungsregel für
RPCoverHTTPS enthàlt. Die erste Authentifizierung erfolgt am ISA Server;
nur bei erfolgreicher Authentifizierung wird der Zugriff auf den
Exchangeserver freigegeben. Der Kunde hat einen eigenen Zertifikatsserver.

Der Kunde hat nun selbst ein bisschen rumprobiert und ist zu der
erkenntnis gekommen, dass ein Angreifer, selbst wenn er Benutzername und
Kennwort hat, selbst dann nicht wenn der Angreifer das Serverzertifikat
in seinen Rechner importiert.

Ich habe mir das Ganze heute mal angeschaut und bei mir tauchen nun
einige Fragen auf:

- kann ich Outlook für RPCoverHTTP(S) konfigurieren, auch wenn ich
vorher noch keine direkte Verbindung zum Server hatte?

- Outlook prüft scheinbar beim Zugriff auf den ISA Server dessen
Zertifikat und lehnt den Traffic ab, wenn er der Stammzertifizierungs-
stelle nicht vertraut. Kann ich diese Prüfung abschalten?

- auf den ersten Blick sieht das Ganze sicher aus, obwohl es màchtig
nach "Security through Obscurity" riecht. Was übersehe ich?

- habe ich wirklich dadurch einen Sicherheitsgewinn, dass kein
offizielles Zertifikat (Verisign etc.) genommen wird?

Irgendwie habe ich bei der ganzen Sache ein ungutes Gefühl, finde aber
den Haken nicht.

Ich wàre für hilfreiche Kommentare sehr dankbar.

Bis denn

Thomas
 

Lesen sie die antworten

#1 Jens Baier
19/06/2008 - 14:40 | Warnen spam
Hi,


Der Kunde hat nun selbst ein bisschen rumprobiert und ist zu der
erkenntnis gekommen, dass ein Angreifer, selbst wenn er Benutzername und
Kennwort hat, selbst dann nicht wenn der Angreifer das Serverzertifikat in
seinen Rechner importiert.



zu welcher Erkenntnis ist er gekommen?

- kann ich Outlook für RPCoverHTTP(S) konfigurieren, auch wenn ich vorher
noch keine direkte Verbindung zum Server hatte?



Ja

- Outlook prüft scheinbar beim Zugriff auf den ISA Server dessen
Zertifikat und lehnt den Traffic ab, wenn er der Stammzertifizierungs-
stelle nicht vertraut. Kann ich diese Prüfung abschalten?



die Pruefung ist integraler Bestandteil der Sicherheitsmassnahmen in einem
Netzwerk und auch hier bei RPCoverHTTPS und nein, ich denke das laesst sich
nicht abschalten. Das Zertifikat muss halt immer wegen der Validitaet gegen
die ausstellende CA geprueft werden und das ist auch gut so.

- auf den ersten Blick sieht das Ganze sicher aus, obwohl es màchtig nach
"Security through Obscurity" riecht. Was übersehe ich?



was denn? Das der Kunde ein eigenes Zertifikat verwendet?

- habe ich wirklich dadurch einen Sicherheitsgewinn, dass kein offizielles
Zertifikat (Verisign etc.) genommen wird?



nun gut, erstmal hat er das Root CA Zertifikat nicht, aber so einen
wirklichen Sicherheitsgewinn sehe ich nicht

Irgendwie habe ich bei der ganzen Sache ein ungutes Gefühl, finde aber den
Haken nicht.



der Haken ist der, dass jeder der RPCoverHTTPS machen will, erstmal das
RootCA Cert braucht. Kein Problem bei Domaenenclients, aber ein problem bei
nicht Domaenenclients. Die muessen das Cert auf einem anderen Wege bekommen
(Webseite oder Publishing).

Gruss Jens
www.nt-faq.de
www.blog.it-training-grote.de
www.it-training-grote.de

Ähnliche fragen