Probleme mit grossen Anhängen bei ActiveSync und ReverseProxy
-
Guten Tag, liebe Forenmitglieder und insbesondere auch Mods,
auf der Seite http://singleuser.blogspot.hu/2013/05/exchange-owaoutlook-anywhere-proxy-with.html werden drei Probleme mit dem Reverse Proxy dargestellt sowie Lösungen aufgezeigt. Insbesondere das Erzwingen der SSL Version 3 (sslversion=3) hat in unserer Testumgebung das Problem mit grossen Dateianhängen gelöst. Sind diese Fehler bekannt? Wäre es nicht sinnvoll, diese Änderungen in die Distribution einfliessen zu lassen?
VG Werner
-
Hallo Werner,
Erstmal willkommen im Forum :)
Vielleicht ganz kurz vorab - ich weiß nicht ob dir das so genau klar ist: (Reverse) Proxy und/oder andere Pakete gehören nicht zum Standard Umfang von pfSense, sondern sind zusätzliche Addons, die separat gepflegt werden. Somit gehört auch Squid (von dem ich vermute, das du dich auf diesen beziehst) zu diesen externen Zusatzpaketen. Sinnvolle Anpassungen oder Erweiterungen sind somit einfacher nachzurüsten als ständig neue Images von pfSense zu releasen.Insofern ist dein erster Punkt richtig, wenn es sinnvolle Änderungen gibt, sollte/kann man diese in die Pakete einfließen lassen.
Zu den konkreten Punkten habe ich die Seite nun nicht genau verfolgt, da aber Squid ein Proxy allgemeiner Art ist, den man selbst konfigurieren muss, verstehe ich nicht genau, was hier an Änderungen in das Paket selbst einfließen sollen, zumal diese ja in den Optionen vorgenommen werden können? Ein "Erzwingen" von SSL v3 wird allerdings auf keinen Fall sinnvoll sein, noch als Default irgendwo einfließen, da SSLv2 und SSLv3 seit spätestens letztes Jahr mit Hearthbleed und Co. überall abgeschaltet sein sollten. Niemand sollte mehr eine SSL Verbindung mit einer Gegenstelle aufbauen, die nicht zumindest TLSv1 als Protokoll spricht oder schwache Cyper nutzt, denn dann kann man auch gleich unverschlüsselt arbeiten.
Da das Posting von 2013 ist kann man das sicher entschuldigen, die Einstellung heute vorzunehmen, würde ich aber keinesfalls empfehlen, selbst wenn sie das Problem umgehen mag. Eventuell lässt sich das auch anders lösen (allerdings ist mir das konkrete Problem nicht bekannt). Ich würde an der Stelle ggf. empfehlen, statt Squid es einmal mit HAProxy zu versuchen, der ebenfalls eine Einstellung für OWA/Exchange hat, vielleicht tritt das erwähnte Problem hier gar nicht erst auf ohne dass man die Sicherheit so absenken muss wie beschrieben?
Beste Grüße
-
Vielen Dank für die schnelle und ausführliche Antwort, deren Argumente ich zu 100% nachvollziehen kann.
Probleme mit den Dateianhängen ergeben sich bei Dateien > 10MB. Die Exchange Einstellungen sind entsprechend korrekt berücksichtigt. Die Dateien lassen sich dann per ActiveSync nicht herunterladen, geschweige denn öffnen.Ich werde aber gerne den Tipp befolgen, und es mit HAProxy versuchen.
Beste Grüße, Werner
-
Wäre schön wenn du uns auf dem Laufenden hältst! :)
Dadurch, dass es sich bei HAProxy auch um ein komplett anderes Produkt mit anderem Entwicklerteam und Fokus handelt, wäre es dir zu wünschen, dass das Problem sich vielleicht einfach damit in Luft auflöst ;)
Besten Gruß
Jens -
Jo, das mache ich gerne.
Das Problem mit Squid stellt sich konkret wie folgt dar:
Ich kann große Dateien (z.B. 18MB) auf einem iPad empfangen und öffnen, alles gut. Wenn ich sie weiterleiten will, bleibt die Mail mit dem Anhang im Ausgang hängen und es kommt irgendwann eine Fehlermeldung. Setze ich SSLVersion auf 3, funktioniert alles.
Habe alternativ HAProxy getestet, und es funktioniert alles auf Anhieb. Ist es ein echter Proxy oder "nur" Loadbalancer, so dass es vergleichbar ist mit einer NAT? Gibt es ein HowTo HAProxy / Exchange?
VG Werner
-
HAProxy ist - wie im Namen versteckt - beides. Ein Loadbalancer (HA) aber mit Proxy Fähigkeiten. Inzwischen steckt dieser unter der Haube sogar in mehreren kommerziell vertriebenen "Hardware"-Loadbalancern oder Proxies, deshalb hat das Projekt auch durchaus Bekanntheit und ist kein kleines Nieschenprodukt.
Ein Howto habe ich gerade nicht parat, aber einen etwas älteren Thread, in welchem auch Squid durch HaProxy getauscht wurde:
https://forum.pfsense.org/index.php?topic=73903.0
Ich hoffe das hilft dir weiter :)
-
In einer einfachen Konfiguration habe ich HAProxy ja im Testsystem bereits schnell zum laufen bekommen.
Den Thread habe ich mir angeschaut, da sind noch einige gute Tipps enthalten, insbesondere zu den ACL.
Die Loadbalancer Funktion von HAProxy benötige ich nicht, hier setzen wir eine interne Lösung von KEMP Technologies ein.
Mir geht es darum, die Exchange Funktionen (ActiveSync, OWA, etc.) sicher über das Internet verfügbar zu machen und nicht als "exposed host" per NAT.VG Werner
-
hier setzen wir eine interne Lösung von KEMP Technologies ein.
KEMP nutzt auf den Loadmastern bspw. ebenfalls HAproxy :)Aber ich bin gespannt, was du berichtest.
-
Das ist natürlich interessant und hätte man früher wissen müssen. Nunja.
Andere Frage: sehe ich das richtig, dass bei der squid-Proxy-Anmeldung die Anmeldedaten unverschlüsselt über's Netz gehen? Das wäre unschön, andereseites benötigen wir die Anmeldung, da wir verstärkt Terminalserver einsetzen. Wie ist das bei "professionellen" Fírewalls, z.B. Sophos?
VG Werner
-
Andere Frage: sehe ich das richtig, dass bei der squid-Proxy-Anmeldung die Anmeldedaten unverschlüsselt über's Netz gehen?
Wo siehst du was? :)Anmeldedaten gehen nur dann unverschlüsselt übers Netz, wenn die entsprechenden Backends o.ä. unverschlüsselt bereit gestellt werden, oder verstehe ich deine Frage falsch?
Beispiel: Zugriff extern über https://mail.domain.de/owa/…
wird intern weitergereicht via Proxy an http://exchange.domain.intern/owa/...Dann wird der Zugriff von extern bis zu deinem Proxy verschlüsselt, der Traffic auf der "internen Seite" jedoch nicht. Wenn der OWA Aufruf nicht via https statt findet, kann man auf dem WAN die Userdaten abgreifen, das ist korrekt, deshalb sollte der Zugriff zumindest bis zum Proxy via SSL statt finden.
Grüße
-
Entschuldige bitte, ich hab die Frage blöderweise nur halb formuliert und sie ist aus dem ursprünglichen Zusammenhang gerissen.
Es geht nicht um die Anmeldung an den OWA, sondern um die interne Anmeldung an den Proxy beim Browseraufruf durch den Anwender beim Surfen. Die Anmeldung soll per LDAP oder Radius Server gegen das AD erfolgen. Wenn ich das richtig sehe, gehen die Anmeldedaten sowohl vom Client zur pfsense also auch von der pfsense zum DC unverschlüsselt über das Netz, oder?
VG Werner
-
Ah also ein ganz anderes Anwendungsszenario des Proxies. Ja, die Anwendungsdaten werden dann wohl sehr wahrscheinlich (da intern) an den Proxy unverschlüsselt laufen, die Anmeldung des Proxies beim LDAP oder Radius kann aber je nach Aufruf auch via LDAP/S (also SSL verschlüsselt) ablaufen. Das hängt aber immer an der Implementation ab.
-
OK, danke! Weißt Du, ob das bei den teuren Kaufsystemen auch so ist? ZB. Sophos?
-
Das hängt immer von der Implementierung ab. Auch bei der pfSense. Man kann Proxy Zugriffe auch ohne Anmeldung transparent umleiten bspw. - oder die Anmeldung über entsprechende Ports. Aber untendrunter läuft bei den meisten - auch kommerziellen - Herstellern nichts anderes als die oftmals (gleiche / anders verpackte) Software. Wie bei den Kemp Loadbalancern bspw. HAProxy, wie bspw. Squid/Squidguard, Asterisk und wie sie alle heißen.
-
Hi zusammen,
bin gerade selbst mal auf das Problem gestossen, bei mir scheinen anhaenge ab 500kb dieses problem zu haben.
man findet leider nur wenig infos dazu…
Werner, kann du mal bitte umschreiben, wie die SSLVersion=3 im squid3 pkg erzwungen hast?Merci
@wgr:
Jo, das mache ich gerne.
Das Problem mit Squid stellt sich konkret wie folgt dar:
Ich kann große Dateien (z.B. 18MB) auf einem iPad empfangen und öffnen, alles gut. Wenn ich sie weiterleiten will, bleibt die Mail mit dem Anhang im Ausgang hängen und es kommt irgendwann eine Fehlermeldung. Setze ich SSLVersion auf 3, funktioniert alles.
Habe alternativ HAProxy getestet, und es funktioniert alles auf Anhieb. Ist es ein echter Proxy oder "nur" Loadbalancer, so dass es vergleichbar ist mit einer NAT? Gibt es ein HowTo HAProxy / Exchange?
VG Werner
-
@fron: ich kann nur weiterhin entschieden davon abraten, so etwas zu tun. Wir hatten nun in einem halben Jahr fast genauso viele Zwischenfälle mit SSL Sicherheitslücken und dann für solche Workarounds den Uraltkram wieder anzumachen, dann könnt ihr SSL wirklich sein lassen. Bitte implementiert es entweder richtig - oder seid ehrlich und macht es gar nicht. SSLv3 ist ähnlich wie PPTP bei VPN: heute wissentlich und belegbar gebrochen und als Klartext anzusehen.
Grüße
-
erstmal danke fuer die schnelle antwort.
reverse proxy mit squid3 war allerdings das erste was ich in bezug auf "Exchange veroeffentlichen mit pfSense" gefunden hatte.
wenn's da etwas besseres/sinnvolleres gibt, bin ich natuerlich offen.
-
Meines Wissens gibt es auch in HAProxy eine Einstellung für OWA/Exchange, wäre also auch eine Option das zu testen.
-
ok, nach langem suchen und probieren scheint HAProxy diese aufgabe jetzt uebernommen zu haben.
es gab aber keine vordefinierte Exchange optionen, oder ich habe sie nur nicht gefunden… genausowenig wie eine How-To....