חיבור VPN ושרת Exchange

orendror

New member
חיבור VPN ושרת Exchange

למספר משתמשים מהאירגון יש את היכולת לפתוח מהבית את תיבת הדואר האירגונית שנמצאת על שרת Exchange 5.5 בתוך הרשת האירגונית דרך לקוח VPN של חברת צ'קפוינט.הפיירוול הוא NG Splat rw55 במצב רגיל משתמש חיצוני מבצע חיבור VPN מתחבר בהצלחה ופותח את האאוטלוק עם פרופיל לשרת ה exchange בו יושבת תיבת הדואר שלו. לאחרונה אני מקבל תלונות על כשל בפתיחת האאוטלוק עם ההודעה שהשרת אינו זמין, אציין שחיבור ה VPN עובר בהצלחה. הבדיקות העלו שיש צורך לפתוח פורט חדש לקבוצת ה VPN כדי ששרת ה exchange יהיה זמין, וכך עשיתי והבעיה נפתרה. לאחר שבוע שוב אותן בעיות, ושוב אני פותח פורט נוסף לקבוצת ה VPN. עד היום כבר פתחתי 6 פורטים נוספים וזה מתחיל להיות חשוד. החשד הראשוני הוא עידכונים אוטומטיים לאופיס. היתכן כי לאחר עידכון האאוטלוק מבקש פורט נוסף כדי שיפתח? זו רק השערה אך אשמח לקבל תאוריה אחרת או פתרון לבעיית הפורטים שמדי פעם אני צריך להוסיף. אורן
 

עדיג78

New member
על איזה פורטים מדובר

אתה בוחר איזה פורטים לפתוח? עוד קצת הסבר יכול לעזור... וגם , תעבור ל exchange 2003, ותפטר מכל ה VPNים האלה. (--- מעכשיו פרסומת---) אתה מוזמן ליצור איתי קשר, אנו נותנים exchange 2003 לעסקים חוסך המון זמן כסף ותחזוקה, והעובדים שלך יוכלו להתחבר בלי חארטות, בתוך ומחוץ למשרד.
 

orendror

New member
אז ככה

די כואב לי לעבוד עם Exchange 5.5 ובקרוב פלטפומת הרשת תשודרג ל 2003 דומיין ו Exchange (יהיה תקציב
)אך עד אז אני מקווה שהעניין יפתר. כן, אני קובע את הפורטים שיהיו פתוחים למשתמשים מול שרת הדואר. בכל פעם שיש בעיית התחברות מהאאוטלוק מהבית אני מוצא שעלי לפתוח פורט נוסף בפיירוול כדי לאפשר לתיבת הדואר להפתח. העובדים פותחים את תיבות הדואר מהבית באופן תקין עד שלאחר מספר ימים, לפעמים שבוע לפעמים יותר האאוטלוק מדווח שהשרת לא זמין. בלוגים של הפיירוול אני מזהה את הפורט שנחסם, מאפשר אותו לקבוצת ה VPN ושבו בנים לגבולם, ממשיכים לעבוד עוד שבוע שבועיים...ואז אני נאלץ לפתוח פורט נוסף. הפורטים שהוספתי לאחרונה הם 2161 2138 2280 רעיונות? אגב, עדיג78 , לא הבנתי את הקשר בין שימוש בשרת Exchange 2003 לזה שלא אזדקק Vpn CLIENTS תוכל להסביר? אורן
 

עדיג78

New member
פורטים ועוד

משהו מוזר לי. אם הלקוחות מרימים VPN מול המשרד, אין יותר משמעות לפורטים שהפיירוול חוסם, מכיון שכביכול המשתמשים בתוך ה LAN, אז צריך לברר מה הענינים. ולהערכתי הבעיה לא קשורה לאאוטלוק בכלל אלא לפיירוול ולVPN. נגיד, אם עכשיו לא עובד לך, וסתם תחליט לפתוח פורט 3432 , הדברים יתחילו לעבוד? איזה עוד הגדרות אתה עושה? exchange 2003 מאפשר מול outlook 2003 עבודה בטכנולוגיה שנקראת rpc over http שהמשמעות העיקרית שלה - אפשרות לעבוד עם אאוטלוק 2003 ישירות מול שרת exchange דרך האינטרנט ללא VPN. אשמח לעזור לך פרטנית במייל או במסרים.
 

orendror

New member
פורטים

המשתמשים פותחים VPN מול שרת הפיירוול (לא מול שרת ה Exchange), כלומר התקשורת מהבית לפיירוול מוצפנת. בפיירוול ישנו RULE שקובע את היעד ודרך אילו פורטים מותר להגיע ליעד שבמקרה זה הוא שרת ה Exchange. אני נידרש לפתוח פורט נוסף כאשר הדברים לא עובדים. זה בערך הסדר 1.משתמש מדווח לי שהאאוטלוק לא נפתח מהבית 2.אני עובר על הלוגים של הפיירוול ומזהה נסיון להגיע מאותו מחשב (בבית) לשרת ה Exchange דרך פורט שמעולם לא היה פתוח. הפיירוול עושה DROP 3.אני פותח את הפורט. 4.הכל תקין.
 

XTTz

New member
תנסה את המאמר הזה

http://support.microsoft.com/?kbid=270836
 

orendror

New member
תודה XTTz

קראתי את המאמר שלינקקת, פעלתי לפיו, קבעתי לשרת ה Exchange באילו פורטים להאזין לתקשורת TCP/IP. ביטלתי בחוק שבפיירוול את כל הפורטים שהיו פתוחים עד עתה ואיפשרתי רק את הפורטים שקבעתי בExchange ל TCP/IP וזה עובד. יתכן והגורם לבעיה, כפי ששיערת, הוא איתחולים של שרת ה Exchange ובכל פעם משתנה הפורט. כרגע הם קבועים על פי הגדרה, נחכה שבוע שבועיים ונצפה שהבעיה לא תשוב. אחלה, תודה! אורן
 

עדיג78

New member
מה שאתה מספר

זה לא הקמה של tunnel, (או שיש איתה בעיה) זה פתיחה של פורטים מהאינטרנט לתוך הרשת. המשמעות של vpn tunneling אמיתי הוא שכאשר משתמש זוהה על ידי הפיירוול , התקשורת בין הפיירוול למחשב מוצפנת, והמשתמש , מבחינת tcp/ip נמצא בתוך הLAN. לדעתי, אתה תגלה שיש לך בעיות כאלה לא רק מול ה exchange אלא גם מול מערכות אחרות שכנראה המשתמשים לא משתמשים בהן (גישה לקבצים / הדפסות / שרת SQL וכו'. או במילים אחרות, אין לי ממש תשובה טובה.
 

XTTz

New member
זה לא מדויק מה שאתה אומר

הבן אדם בעצמו אומר שיש חוק בפירוול שמאפשר להם רק לגשת לשרת דואר אז על איזה שרותי קבצים וSQL אתה מדבר? פשוט חייבים לקבע את הפורטים האילו כי בכל RESET הם משתנים
 

עדיג78

New member
אני מדבר על ההבדלים

שבין פתיחת פורטים בפיירוול ובין הצפנת מידע והקמת TUNNEL ב VPN ולמה בכל reset הם משתנים, ולמה כל פעם זה פורטים אחרים? ואלה פורטים שלמיטב ידיעתי לא קשורים בכלל ל exchange. וציינתי גם , בסוף, שאין לי תשובה ממש טובה בשבילו, כל הנושא נשמע הזוי למדי
 

XTTz

New member
תקרא כאן אולי תבין

Communication between Exchange Client computers and Exchange Server computers An Exchange Client computer on a LAN or WAN link uses remote procedure call (RPC) to communicate with an Exchange Server computer. The Exchange Server computer, an RPC- based application, uses TCP port 135, also referred to as the location service that helps RPC applications to query for the port number of a service. The Exchange Server computer monitors port 135 for client connections to the RPC endpoint mapper service. After a client connects to a socket, the Exchange Server computer allocates the client two random ports to use to communicate with the directory and the information store. The client does not communicate with other components of the Exchange Server computer. If security concerns for a network infrastructure require blocking of any ports other than the ones used, then the random assignment of ports for communication with the directory and the information store can become a roadblock. To avoid this, Exchange Server versions 4.0 and later allow you to statically allocate these ports. At this juncture, for successful communication between client and server, the firewall needs to be configured to allow TCP connections to port 135 and all statically allocated ports. If you need to monitor traffic for analysis, these are the ports to monitor.
 

טופי

New member
אתה מדבר על VPN טיפש

(הVPN, לא העלבות). כאשר יש לך VPN מתקדם (לדוגמת צ'קפוינט) אתה יכול להגדיר לכל משתמש אחרי שהוא התחבר לVPN, לאן הוא יכול או לא יכול להגיע. לדוגמא: לסיגל ממחלקת הנהלת החשבונות יש חיבור, ע"מ לקבל דואר בלבד. לצרנו, לסיגל יש וירוס על המחשב, סיגל התחברה. אם לסיגל היו פתוחים פורטים של נטביוס, היינו מתחילים לבכות. לסיגל מאופשר רק פורט 80 עבור OWA. מנהל הרשת שמח. קפיש? אומנם כאשר המשתמש נמצא בתוך האירגון אתה יודע איזה הגנות אתה מגן עליו, אבל כשמדובר מחיבורים שאתה לא מכיר את ההגנה עליהם עדיף לתת מינימום יכולות, בהתאם לצרכים.
 

עדיג78

New member
לא השיטה המועדפת עליי

אולי זה ענין של חינוך (לא אמא ואבא אלא המרצים בקורס, והנסיון בשטח) אבל אני תמיד מעדיף : יחידת ניהול אחת. אז אם התחלנו בהדגמות, בוא נפתח את זה קצת ... סיגל מהנהלת חשבונות (היא שווה? פנויה? מתמסרת בקלות?) לא מתחברת מהבית בשביל לקרוא מייל, היא מתחברת מהבית בשביל לעבור על דוחות כספיים ולהוציא מאזן בוחן. בשביל זה, היא צריכה (נניח) נטביוס בשביל להגיע לקבצי חשבשבת, ולהדפיס במדפסת של המשרד. אם החלטתי כבר לתת לסיגל להתחבר מהבית, אני אחיל על המחשב שלה את אותן מגבלות שאני מחיל על המחשב שלה במשרד. מנהל הרשת שמח כי הוא לא מקבל טלפון בעשר בלילה בחמש עשרה לחודש "אני צריכה להוציא מע"מ וזה מדפיס לי". הוירוס של המחשב של סיגל בבית זה הדבר האחרון שצריך להפחיד את מנהל הרשת, הוא יותר צריך לפחד מהדואר ספאם שמגיע לו בדרכים "כשרות" ומתחיל לשלוח לו מייל ישר מהתחנות לכל העולם. מסכים איתך שכל מקרה לגופו, ומסכים איתך שבאילוצים מסויימים, הייתי נוהג כך, אבל אני בכל זאת דוגל בשיטת ניהול ממקום אחד, AD זה כלי מספיק חזק בשביל לאפשר או לא לאפשר לסיגל לעשות ככה וככה דברים מהבית או מהמשרד, לפי שעות פעילות או לפי שם משתמש וכו'.
 

טופי

New member
אשמח אם תספר לי איך

אתה עושה הגבלות דרך הAD, על המחשב של סיגל שבבית בלי להכניס אותה לדומיין שלך. היא ניגשת לקבצים, היא מאמתת את עצמה, אבל היא לא חלק מהדומיין.
 

עדיג78

New member
היא חייבת לאמת את עצמה

מול הדומיין איכשהו. אם היא רוצה גישה למשאבי רשת (OWA לא נחשב כמובן), היא חייבת לאמת את עצמה. שיטות נפוצות: Windows VPN client RDP מול התחנה שלה במשרד או מול TS או, אם זו עבודה סדירה, לחבר את המחשב שלה בבית או הנייד לדומיין. -כשיש תקשורת, זה מסנכרן קבצי אופליין וכו, כשאין תקשורת, עבודה מקומית יש פתרונות, תחשוב על מחשבים ניידים, הם מחוברים לדומיין ומצליחים לעבוד גם כשאין להם תקשורת מול המשרד.
 

טופי

New member
אנחנו מדברים על דברים שונים.

אני מדבר על דבר כזה: הקבצים של סיגל נמצאים ב\\FS\Finance כאשר סיגל ניגשת לשם, היא צריכה להכניס שם וסיסמא, זה האימות שהיא נותנת. אבל אם לא הגבלת את התקשורת שלה, איך תמנע ממנה להעביר וירוסים שעוברים על פורטים שונים?
 

עדיג78

New member
בגדול

אם המחשב שלה בדומיין, זה אומר שהיא עושה לוגין לדומיין עוד לפני הגישה לתיקייה. זה אומר שבמחשב שלה יושב אנטי וירוס שמנוהל על ידי השרת במשרד. בנוסף, אני אומר שוב, שוירוסים שיש לה במחשב לא שונים מוירוסים שאני צריך להגן במילא במשרד, עובדים במשרד גם מורידים דברים מהאינטרנט, וגם מקבלים מיילים וכו'. המערכת צריכה להיות מוגנת בצורה כזו שאם יש וירוס ברשת הפנימית הוא יימצא וינוקה. הרי אם נתת לה גישה בנטביוס, והיא אמתה שם וסיסמא, אין לך מה לעשות נגד הוירוסים האלה שיעברו בנטביוס, אלא לדאוג שהמערכת תקינה, ושבאמת היא עושה רק מה שמותר לה. מה שאני אומר, זה שמשתמשים מרוחקים, אם הם צריכים רק OWA, שיעבדו HTTPS וזה מוצפן, ולא מכניסים אותם בכלל לרשת הפנימית, אבל אם הם צריכים עוד שרותים מהרשת, נטביוס, RDP, ואחרים, אז צריך להתיחס למערכת כפרוצה ולהיערך בהתאם. אין טעם להיות פריק של אבטחה ולהגן על הכל חוץ מנטביוס, אם נטביוס חייבים לפתוח ושם הסיכון שלך.
 

טופי

New member
אבל המחשב שלה לא בדומיין

המחשב שלה הותקן בבית, ע"י מישהו לא מוכר (טכנאי, ילד, וכו') ויש אלף ואחד מזיקים שעוברים דרך תקשורת. פתיחה של כל הפורטים למי שמתחבר בVPN היא פרקטיקה רעה, ולא מאובטחת. בכל מקרה צראיך לשים לב למי אתה נותן גישה למשאבים. לפעמים, (למרות שאני תומך נלהב של עבודה מהבית) חסכון של נסיעה לעבודה, ונוחות, יכולה לגרום להרס ולילות ללא שינה.
 

עדיג78

New member
מנהל רשת..

סע אליה הביתה, בדוק את המחשב שלה, חבר אותו לדומיין, ורק אז תן לה אישור להשתמש. או שאתה עובד נכון, או שאתה לא עובד נכון. ובקשר לדיון ביננו, הרי מדובר בשתי אסכולות, שתי שיטות פעולה, כל אחד חונך בצורה מסויימת, וכך הוא מנהל את רשתותיו... בוא נסכים שאנו לא מסכימים :)
 

antidot

New member
המממ

באמת נראה לך שזה אפשרי לחבר לAD מחשבים בחברה עם יותר מכמה מאות בודדים של משתמשים ? נראה לך שמנהל רשת שפוי ירצה לקחת את הסיכון של חיבור מחשבים שהוא לא בוטח בהם לאירגון ? ומה תעשה עם לקוחות עם מערכת הפעלה לא מייקרוסופטית ? חיבור לAD מכניס את הלקוח לתוך security boundary של AD וזה כשלעצמו צעד שאין לזלזל בחשיבותו. כבר הפנתי ל-NAP ו-Quarantine Services. מציע לך לעבור את התיעוד - יש שם מספיק הסברים על הסיכונים שצריך להתמודד איתם.
 
למעלה