Probleme mit grossen Anhängen bei ActiveSync und ReverseProxy
-
Das ist natürlich interessant und hätte man früher wissen müssen. Nunja.
Andere Frage: sehe ich das richtig, dass bei der squid-Proxy-Anmeldung die Anmeldedaten unverschlüsselt über's Netz gehen? Das wäre unschön, andereseites benötigen wir die Anmeldung, da wir verstärkt Terminalserver einsetzen. Wie ist das bei "professionellen" Fírewalls, z.B. Sophos?
VG Werner
-
Andere Frage: sehe ich das richtig, dass bei der squid-Proxy-Anmeldung die Anmeldedaten unverschlüsselt über's Netz gehen?
Wo siehst du was? :)Anmeldedaten gehen nur dann unverschlüsselt übers Netz, wenn die entsprechenden Backends o.ä. unverschlüsselt bereit gestellt werden, oder verstehe ich deine Frage falsch?
Beispiel: Zugriff extern über https://mail.domain.de/owa/…
wird intern weitergereicht via Proxy an http://exchange.domain.intern/owa/...Dann wird der Zugriff von extern bis zu deinem Proxy verschlüsselt, der Traffic auf der "internen Seite" jedoch nicht. Wenn der OWA Aufruf nicht via https statt findet, kann man auf dem WAN die Userdaten abgreifen, das ist korrekt, deshalb sollte der Zugriff zumindest bis zum Proxy via SSL statt finden.
Grüße
-
Entschuldige bitte, ich hab die Frage blöderweise nur halb formuliert und sie ist aus dem ursprünglichen Zusammenhang gerissen.
Es geht nicht um die Anmeldung an den OWA, sondern um die interne Anmeldung an den Proxy beim Browseraufruf durch den Anwender beim Surfen. Die Anmeldung soll per LDAP oder Radius Server gegen das AD erfolgen. Wenn ich das richtig sehe, gehen die Anmeldedaten sowohl vom Client zur pfsense also auch von der pfsense zum DC unverschlüsselt über das Netz, oder?
VG Werner
-
Ah also ein ganz anderes Anwendungsszenario des Proxies. Ja, die Anwendungsdaten werden dann wohl sehr wahrscheinlich (da intern) an den Proxy unverschlüsselt laufen, die Anmeldung des Proxies beim LDAP oder Radius kann aber je nach Aufruf auch via LDAP/S (also SSL verschlüsselt) ablaufen. Das hängt aber immer an der Implementation ab.
-
OK, danke! Weißt Du, ob das bei den teuren Kaufsystemen auch so ist? ZB. Sophos?
-
Das hängt immer von der Implementierung ab. Auch bei der pfSense. Man kann Proxy Zugriffe auch ohne Anmeldung transparent umleiten bspw. - oder die Anmeldung über entsprechende Ports. Aber untendrunter läuft bei den meisten - auch kommerziellen - Herstellern nichts anderes als die oftmals (gleiche / anders verpackte) Software. Wie bei den Kemp Loadbalancern bspw. HAProxy, wie bspw. Squid/Squidguard, Asterisk und wie sie alle heißen.
-
Hi zusammen,
bin gerade selbst mal auf das Problem gestossen, bei mir scheinen anhaenge ab 500kb dieses problem zu haben.
man findet leider nur wenig infos dazu…
Werner, kann du mal bitte umschreiben, wie die SSLVersion=3 im squid3 pkg erzwungen hast?Merci
@wgr:
Jo, das mache ich gerne.
Das Problem mit Squid stellt sich konkret wie folgt dar:
Ich kann große Dateien (z.B. 18MB) auf einem iPad empfangen und öffnen, alles gut. Wenn ich sie weiterleiten will, bleibt die Mail mit dem Anhang im Ausgang hängen und es kommt irgendwann eine Fehlermeldung. Setze ich SSLVersion auf 3, funktioniert alles.
Habe alternativ HAProxy getestet, und es funktioniert alles auf Anhieb. Ist es ein echter Proxy oder "nur" Loadbalancer, so dass es vergleichbar ist mit einer NAT? Gibt es ein HowTo HAProxy / Exchange?
VG Werner
-
@fron: ich kann nur weiterhin entschieden davon abraten, so etwas zu tun. Wir hatten nun in einem halben Jahr fast genauso viele Zwischenfälle mit SSL Sicherheitslücken und dann für solche Workarounds den Uraltkram wieder anzumachen, dann könnt ihr SSL wirklich sein lassen. Bitte implementiert es entweder richtig - oder seid ehrlich und macht es gar nicht. SSLv3 ist ähnlich wie PPTP bei VPN: heute wissentlich und belegbar gebrochen und als Klartext anzusehen.
Grüße
-
erstmal danke fuer die schnelle antwort.
reverse proxy mit squid3 war allerdings das erste was ich in bezug auf "Exchange veroeffentlichen mit pfSense" gefunden hatte.
wenn's da etwas besseres/sinnvolleres gibt, bin ich natuerlich offen.
-
Meines Wissens gibt es auch in HAProxy eine Einstellung für OWA/Exchange, wäre also auch eine Option das zu testen.
-
ok, nach langem suchen und probieren scheint HAProxy diese aufgabe jetzt uebernommen zu haben.
es gab aber keine vordefinierte Exchange optionen, oder ich habe sie nur nicht gefunden… genausowenig wie eine How-To....