Exchange und die aktuelle Bedrohungslage
-
Moin zusammen,
bei den aktuellen Meldungen zum Thema MS Exchange kam mir der Gedanke den Zugriff von extern (OWA und EAS) bereits im HAProxy von einem Zertifikat abhängig zu machen. Ich nutze die Client Zertifikatsabfrage im HAProxy gerne um WEB Dienste zusätzlich zu sichern, was meines Erachtens auch gut funktioniert.
Bei OWA und konfiguriertem HAProxy war dies auch recht einfach. Die Funktion noch schnell von einem externen PC Browser überprüft, geht. Aber wie mache ich einem iPhone (Androide steht mir z.Z. nicht zur Verfügung) und im Besonderen dem iPhone Exchange Client klar dass er zusätzlich ein Clientzertifikat nutzen soll. Safari kann es auch nicht, ebenso Google Chrome und Firefox unter ios. Das Zertifikat ist auf dem iPhone importier und als Profil hinterlegt.
Hat hier schon jemand diesen Lösungsweg eingesetzt bzw. verworfen?
Danke
HornetX11 -
@hornetx11 Ich glaube kaum, dass das sinnvoll umsetzbar ist. Nicht nur der simple WebAccess von OWA läuft über 443 sondern auch einige andere Komponenten ziehen sich ja ihre Daten darüber. U.a. auch ActiveSync und Co. Wenn du denen plötzlich irgendwas vor die Nase setzt, dass ein Client Zert braucht, wirst du garantiert Probleme mit Outlook, Outlook Apps oder sonstwas bekommen, was via AS oder ähnliches auf die Schnittstelle zugreifen will. So einfach irgendeine zusätzliche Authentifikation zu ergänzen wird eher weniger funktionieren.
