HOWTO: Exchange Reverse Proxy mit HTTPS Content Inspection (Ohne Access Portal)

1 Comment

Der nachfolgende Artikel beschreibt die Absicherung eines Microsoft Exchange Servers via einer Incoming Proxy Regel mit aktivierter HTTPS Content Inspection (Deep Packet Inspection).
Die Firewall Regel und die HTTPS Proxy Action beinhalten folgende Security Features der Total Security Suite: Intrusion Prevention, Gateway AV, Intelligent AV, Geolocation und den APT Blocker.

Bei dieser Vatiante findet KEINE Pre-Authentication statt, sollte eine Pre-Authentication gewünscht sein, siehe
HOWTO – Exchange-Server mittels Reverse-Proxy (Access Portal) und Pre-Authentication absichern
Voraussetzungen:

  • aktueller Exchange-Server >= 2013 SP1 (>> Kompatibilitätsmatrix)
  • gültiges Zertifikat (passendes SAN oder besser Wildcard)
  • <firma>.de, <mailserver>.<firma.de>, autodiscover.<firma.de> existieren beim Domain-Hoster und zeigen auf die ext. IP der WatchGuard (A-Record)
  • Für den vollen Security Umfang wird eine Total Security Suite benötigt

1. Zertifikat lmport

a) Import Zertifikat für “Proxy Server“ (PFX inkl. Zertifikatskette und private Key):
Firebox System Manager (FSM) -> View -> Certificates -> Import Certificate -> Proxy Server

b) Je nach Bedarf als “default” oder als “another” Proxy Server auswählen

2. HTTP Proxy Konfiguration

a) HTTP-Server.Standard Proxy klonen
(Policy Manager) -> Setup -> Actions -> Proxies

 

b) Request Methods

c) URL Paths
Je nachdem, welche Dienste genutzt werden, können die URLs unter URL Path eingetragen werden.
Wenn die URLs wie in der Anleitung übernommen wurden, können die Dienste, die nicht genutzt werden über Change View deaktiviert werden.

d) Gateway AV

e) APT Blocker

3. HTTPS Proxy Konfiguration

HTTPS-Server.Standard Proxy klonen und die Domain Name Rules anlegen
 (Policy Manager) -> Setup -> Actions -> Proxies

Die Rule Actions auf Inspect setzen und das importierte Proxy Server Zertifikat, sowie die zuvor erstellte HTTP-Proxy Action auswählen

4) SNAT Action und HTTPS-Proxy Regel anlegen

(Policy Manager) -> Setup -> Actions -> SNAT

4) Geolocation Konfiguration

 (Policy Manager) -> Subscription Services -> Geolocation

6) Intelligent AV aktivieren

 (Policy Manager) -> Subscription Services -> IntelligentAV
 

Fazit:

Ist die Konfiguration umgesetzt und erfolgreich getestet, ist der Mail-Server von Extern nur noch via Incoming Proxie mit HTTPS Content Inspection zu erreichen und man wird mit einem entsprechend hohem Schutzniveau belohnt.

Ein Kommentar zu “HOWTO: Exchange Reverse Proxy mit HTTPS Content Inspection (Ohne Access Portal)”

Leave a Reply

Your email address will not be published. Required fields are marked *