Nach dem offiziellem aus für das Threat Mangement Gateway 2010 war lange Zeit nicht klar, wie die Veröffentlichung der Exchange & Lync Webdiensten geandhabt werden soll. Nun gibt es sogar zwei kostenlose Möglichkeiten:
IIS mit ARR und URL Rewrite
Windows Server 2012 mit Web Application Proxy
IIS mit ARR und URL Rewrite
Eine einfache und auch gute Möglichkeit für die Veröffentlichung ist die Proxy-Funktion im IIS, mit den Zusatzkomponenten Application Request Routing und URL Rewrite Modul. Die Installation kann sogar mit dem Web-Plattform Installer gemacht werden, so dass nicht ein Setup ausgeführt werden muss. Die Komponenten müssen dann nur noch konfiguriert werden.
Die Exchange Server 2013 Entwickler haben dazu ein gutes Tutorial erstellt:
Ich habe sehr gute Erfahrungen mit dieser Technik und kann diese Art der Veröffentlichung nur empfehlen. Unsere Exchange Server 2013 / Lync Server 2013 werden hierüber veröffentlicht und dies funktioniert absolut problemlos.
Windows Server 2012 R2 WAP
Zur Web Application Proxy Rolle im Windows Server 2012 R2 gibt es noch nicht so viele Informationen und Erfahrungeberichte. Auf jeden Fall soll auch diese Veröffentlichungsmethode eine gute Alternative zum TMG 2010 darstellen.
Im Sommer 2013 haben wir (ein mittelständisches Unternehmen) angefangen, unsere Infrastruktur umzustellen und benötigten hierfür die Unterstützung von Vodafone. Folgende Anpassungen sollte Vodafone für uns an der bestehenden Netzwerkinfrastruktur vornehmen:
PTR-Record für E-Mail Server anlegen
DHCP-Relay konfigurieren
Routing anpassen
Leitungskapazität erhöhen
Leitungskapazität
Bei uns kommt eine 200 mbit Glasfaserleitung im Haus an, wir benutzen aber aktuell nur 10 mbit. Vodafone hat vor Monaten den Auftrag erhalten, die Leitungskapazität auf 20 mbit zu erhöhen. Da es sich hierbei lediglich um eine Konfigurationsänderung handelt, da die Leitungskapatität ja bereits ausreichend ist, sollte das relativ schnell gehen. Uns wurden 2 – 4 Wochen zugesagt. Auch nach Monaten ist diese Anpassung nicht gemacht worden. Grade heute wurde mir gesagt, dass der eingescannte Auftrag wohl für die Buchhaltung nicht lesbar war und außerdem war wohl unser Rabatt falsch eigetragen, somit kann dies nicht erledigt werden. Das bedeutet, dass nach mehreren Monaten noch nie ein Auftrag für die Erhöhung bei Vodafon erstellt worden ist und hätte ich nicht schon tausend mal nachgefragt und um Eskalation gebeten, hätte es vermutlich nie einen gegebeten.
DHCP-Releay
Da die Filialen in der neuen Infrastruktur ihre IPs über den DHCP-Server am Hauptstandort erhalten sollten, sollte Vodafon ein DHCP-Relay auf ihren Routern konfigurieren. Das betrifft 3 Router, mit jeweils einem VLAN, was 3 Konsolen Befehle bedeutet. Auch nach mehreren Monaten wurde das nicht erledigt. Auch hier gibt es glaube ich nicht mal einen Auftrag.
PTR-Record
Damit unser neuer Exchange Server 2013 auch ordentlich E-Mails versenden kann, haben wir Vodafon eine Auftrag erteilt, einen PTR-Record für unsere öffentliche IP-Adresse von Vodafone anzulegen. Das Ganze hat mehrere Monate und unzählige Eskalationen gekostet, bis dieser endlich angelegt wurde. Versprochen wurde uns die Erledigung innerhalb einer Woche. Nach mehrmaligen Rückfragen stellte sich sogar nach Monaten raus, dass es hierfür nie einen offiziellen Auftrag gab (wurde vergessen?), sondern dann nach Monaten auf dem kurzen Dienstweg erledigt wurde.
Routing anpassen
Im Zuge der Migration haben wir auch unseren Core-Router und Proxy Server ausgetauscht und ein paar neue Netze erstellt. Da Vodafone unsere Standorte per Company Net verbindet, muss Vodafone die Anpassungen in ihren Routern vornehmen. Solange das nicht geschehen war, konnten wir unsere Filialen nicht umstellen. Auch hier hat Vodafone mehrere Monate gebraucht, bis diese Anpassungen durchgeführt wurden, obwohl nur 4 statische Routen in 3 Cisco Routern hinzugefügt werden mussten. Aufwand insgesamt unter 5 Minuten per Konsole. Diese Anpassung wurde auch erst nach der X Eskalation erledigt.
………………
Schon einige Wochen vorher, hatten wir über mehrere Wochen Abbrüche beim Telefonieren, so dass wir extrem eingeschränkt erreichbar waren. Nach vielen Wochen hin und her und der Schuldzuweisungen zwischen Telekom und Vodafone, wurde der Fehler dann in einem Bauteil in einer Vermittlungseinheit gefunden. Immer wieder wurde uns gemeldet, das Problem sei gelöst, was es aber nie war und immer wieder wurde das Ticket einfach geschlossen. Obwohl wir SLA-Verträge mit 24 h Stunden Reaktionzeit haben und dafür viel Geld bezahlen, ist nichts passiert und wir wurden immer wieder vertröstet und inkompetent behandelt.
Wir hatten die Verantwortlichen von Vodafone mehrmals persönlich bei uns im Haus und es wurde immer Besserung gelobt. Auch nach merheren Monaten ist hiervon nichts zu merken. Leider sitzen wir im Vertrag fest und kommen erst im mehreren Jahren raus, dann werden wir aber die Partnerschaft mit Vodafone kündigen. Nach diesen Erfahrungen kann ich nur jedem von einer Partnerschaft mit Vodafone abraten, da das Projekt sonst wohl „nie“ fertiggestellt werden wird. Mich hat dies schon soviel Zeit und Nerven gekostet und mein Projekt wurde dadurch extrem verzögert und ist bis heute nicht erledigt.
Vor diesen hier geschilderten Problemen gab es auch schon eine ähnliche Vorgeschichte, die ich aber an dieser Stelle aus Zeitgründen nicht erwähnen kann.
Um ein einheitliches Auftreten beim E-Mail Versand gewährleisten zu können, empfiehlt es sich, die Schriftart, Schriftfarbe, Schrifgröße usw. zentral zu konfigurieren.
Outlook Schrifteigenschaften festlegen
Da hierfür keine Konfiguration per Gruppenrichtlinie vorgesehen ist, muss ein bisschen getrickst werden. Dazu müssen einfach im eigenen Outlook die gewünschten Schrifteigenschaften definiert werden.
Wenn in diesem Dialog alles nötige eingestellt wurde, muss die eben getroffene Konfiguration aus der Registry extrahiert werden.
Schrifteigenenschaften aus Registry extrahieren
Die eben getroffenen Einstellungen befinden sich unter folgendem Registry-Pfad:
Für neue Nachrichten: ComposeFontComplex, ComposeFontSimple
Für Antworten/Weiterleiten: ReplyFontComplex, ReplyFontSimple
Für nur Textnachrichten: TextFontComplex, TextFontSimple
Die gewünschten Registry-Keys müssen nun exportiert und als *.reg gespeichert werden.
Gruppenrichtline erstellen
Erster Schritt
Als erstes muss folgende Eigenschaft per Gruppenrichtlinie ausgerollt werden: Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Microsoft Outlook 2013 -> E-Mail -> Outlook-Optionen -> E-Mail Format -> Briefpapier und Schriftarten -> Briefpapierschriftarten = Immer Schriftarten des Benutzers verwenden
Damit wird sichergestellt, dass der jeweilige Benutzer über die die Schriftart entscheidet und das evtl. vorhande Desgin nur eine sekundäre Rolle spielt.
Zweiter Schritt
Jetzt können die eben importierten Registry-Keys in die gleiche Gruppenrichtlinie importiert werden. Man kann es sich kompliziert machen und die Registry-Datei zu ADM-Datei konvertieren oder einfach die integrierte Funktion benutzen. Zu finden in der Editor Ansicht unter „Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Registrieung“
Die Palo Altp PA-500 kann noch viel mehr als eine „normale“ Firewall so kann:
Firewall
Web-Proxy mit Anti-Virus & Malware Scanner und URL-Kategorisierung
Secure Gateway
VPN
Application ID
Switch/Router
Die Firewall-Regeln werden dabei beispielsweise nicht nach Ports und Trust to Untrust konfiguriert, sondern es werden Anwendungen festgelegt, die zugelassen oder verboten werden. Da mittlerweile so gut wie alles über HTTPS getunnelt wird und somit das erkennen der Anwendung nicht möglich ist, geht der Hersteller hier einen anderen Weg. So ist es z.B. möglich, die Anwendung Facebook-Basic zuzulassen, aber Facebook-Games zu verbieten. Es stehen fast 2000 Anwendunge zur Konfiguration zur Verfügung.
Im Monitoring sieht man also nicht das HTTPS-Traffic auftaucht, sondern es werden Anwendungen wie Facebook, Teamviewer, Youtube, Skype, Active Direcotry und fast 2000 weitere Anwendungen sichtbar, die ständig geupdatet werden.
Ethernet-Ports
Die Ethernet-Ports der Palo Alto können in verschiedenen Betriebsmodi geschaltet werden:
Virtual Wire: Virtuelle Verbindung zwischen zwei Ports
Layer 2: Virtueller Switch
Layer 3: Router/Nat
Layer 2
Im Layer 2 kann der Port als virtueller Switch verwendet werden. Somit ist es beispielsweise möglich ein DMZ-Netzwerk einzurichten.
Layer 3
Der Layer 3 Modus setzt vorraus, dass die jeweiligen Ethernet-Ports in diesem Modus eine IP-Adresse zugeordnet bekommen. Diese IP-Adresse kann dann beispielsweise als Default-Gateway eingesetzt werden. Außerdem können zwei Ethernet-Ports im Layer 3 Modus in einem virtuellen Router kombiniert werden. Das eignet sich z.B. für das Routing zwischen Internet und internen Netzwerken, bei dem auch NAT möglich ist. Somit könnte man eine Art Proxy-Server aufsetzen und mit Policies verfeinern.
Virtueller Router
Wenn Ethernet-Ports im Layer 3 Modus konfiguriert wurden, können diese mit einem virtuellen Router verbunden werden. Damit dies in der Praxis funktioniert, müssen statische Routen konfiguriert werden.
Beispiel – Internet/Intern
Die statische Route muss mit folgender Netzwerk-Konfiguration erstellt werden:
Netzwerk: 0.0.0.0/0 Next Hop: Default-Gateway vom Provider
Auf heise.de wird vor einer Sicherheitslücke im Internet Explorer gewarnt. (Link) Microsoft empfiehlt bis dahin eine Lösung per Enhanced Mitigation Experience Toolkit v3.0 (EMET). Das Tool kann per MSI ausgerollt und per Gruppenrichtlinie konfiguriert werden. Damit können die in Windows 7 integrierten Schutz-Mechanismen für Prozesse konfiguriert werden. internet explorer emet
In der Registry aktivieren
Mit diesem Registry Eintrag kann man den Schutz für den Internet Explorer aktivieren. Das könnte man auch per GP ausrollen.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\EMET\Defaults]
"*\\Internet Explorer\\iexplore.exe"=""
Autorun des EMET Notify Utility deaktivieren
Beim Ausrollen wird das EMET Notify Utility in den Autostart installiert. Wenn man folgenden Pfad löscht, kann man das deaktivieren.