This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Securing OWA (Exchange2010)

Hi there!

I’ have two questions about securing exchange2010-owa.
The first question is:
I have a small enviroment where the exchange-server is installed on the domain-controller.
Is the system enough protected, when it’s always on an actual patch-level, all user-passwords are strong and the system is protected by the WAF?
Second question: Would it be a good idea to restrict the access to the owa to those users who have a client-certificate? And how do I do so?
The UTM is already reacheable over „security.example.net“ and the UTM has a selfsigned cert for this domain.

Ok, there is a third question: Is it possible to restrict the access on the exchange-webserver to OWA and prohibit browsing all others paths?

Thanks al lot… J.Kontny


This thread was automatically locked due to age.
Parents
  • @ Fulgan: Thank You very much for this explicit answer!
    Do you know wether I have a chance to restrict the owa-access to those userers who have a client-certificate from the utm?
  • @ Fulgan: Thank You very much for this explicit answer!
    Do you know wether I have a chance to restrict the owa-access to those userers who have a client-certificate from the utm?


    You have two ways to do that.

    First, on thing straight: you can't do it with the WAF. When it's enabled, it breaks the connection between the client and the server (it acts as a reverse proxy) and it never will have the necessary data to authenticate as the remote user any more.

    You have, therefore, two options.

    First, you can use the HTML5 VPN portal to prevent access to anyone who doesn't authenticate. The problem here is that, AFAIK, you can't use certificate-based authentication with the astaro user portal.

    The second option is to configure OWA for requiring X509 certificate authentication and then create a DNAT rule on the firewall for port 443. See this post for a simple walkthrough: How to enable certificate based authentication on Exchange 2010 | DR.MIRU's Blog (or just google it).

    Other gateway packages, like MS's own ISA/Forefront gateway server can authenticate users with X509 certificates against you AD and then forward the login info to OWA in the HTTP headers. That gets you a much tighter integration - and still allow your WAF to work with OWA - but the price tag isn't exactly the same either.

    That's all that comes to my mind regarding this. Perhaps someone has a better suggestion.
Reply
  • @ Fulgan: Thank You very much for this explicit answer!
    Do you know wether I have a chance to restrict the owa-access to those userers who have a client-certificate from the utm?


    You have two ways to do that.

    First, on thing straight: you can't do it with the WAF. When it's enabled, it breaks the connection between the client and the server (it acts as a reverse proxy) and it never will have the necessary data to authenticate as the remote user any more.

    You have, therefore, two options.

    First, you can use the HTML5 VPN portal to prevent access to anyone who doesn't authenticate. The problem here is that, AFAIK, you can't use certificate-based authentication with the astaro user portal.

    The second option is to configure OWA for requiring X509 certificate authentication and then create a DNAT rule on the firewall for port 443. See this post for a simple walkthrough: How to enable certificate based authentication on Exchange 2010 | DR.MIRU's Blog (or just google it).

    Other gateway packages, like MS's own ISA/Forefront gateway server can authenticate users with X509 certificates against you AD and then forward the login info to OWA in the HTTP headers. That gets you a much tighter integration - and still allow your WAF to work with OWA - but the price tag isn't exactly the same either.

    That's all that comes to my mind regarding this. Perhaps someone has a better suggestion.
Children
No Data