Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5320 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reverse Proxy Solution

oradke
Hi!
A repeatedly asked feature of ASL is a reverse proxy. I, too, had to look for a solution in order to securely publish an Exchange server's OWA. The best solution I found is "Pound" (http://www.apsis.ch/pound), which works flawlessly so far. I was just curious whether some of you know this software and possibly any security risks it might have.
If pound is working as good as it seems to, maybe the Astaro people could consider implementing it into ASL. It's really easy to configure and would cover a very important feature. 

Oliver


This thread was automatically locked due to age.
Parents
  • 0
    Hello,

    I have to agree that Pound is a nice working, lightweight solution. I am running it in a high-traffic environment and haven't encountered any serious problem. I tried Apache2 in this setup and it just didn't make it, even with serious tweaking.
    AFAIK, there's no security risk involved, as long as you run version 1.6+.
  • 0 in reply to Marek
    Did any of you implement this on your ASL boxes?
  • 0 in reply to Tester100
    Unfortunately not. I use a dedicated PC (Suse Linux) for this.
  • 0 in reply to oradke
    Hi!

    I have some questions concerning the OWA:

    - why don't you publish it direct? What are the advantages of using a reverse proxy?

    - where does your exchange server stand? In your LAN or your DMZ?

    Right now I'm trying to figure out, where to put our new exchange server. In the DMZ for security reasons, or in the LAN for better implementing it into our active directory...

    My main concern is, that I would have to define a rule, that lets external users access our LAN...

    Maybe you could give me some hints on this!

    Thanx,
    Thorsten
  • 0 in reply to THoehne
    [ QUOTE ]
    Hi!

    I have some questions concerning the OWA:

    - why don't you publish it direct? What are the advantages of using a reverse proxy?

    - where does your exchange server stand? In your LAN or your DMZ?

    Right now I'm trying to figure out, where to put our new exchange server. In the DMZ for security reasons, or in the LAN for better implementing it into our active directory...

    My main concern is, that I would have to define a rule, that lets external users access our LAN...

    Maybe you could give me some hints on this!

    Thanx,
    Thorsten 

    [/ QUOTE ]
    I would put it on the DMA then simply forward netbios ports(including 445) and whatever other ports exchange needs tow ork via MASQ and packet filtering..[:)]  Then i would also turn on smtp and pop3 proxies as well.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to THoehne
    Well, that's exactly what I DON'T want to do - expose my Windows server to the internet! I want it in my secure LAN for active directory integration etc. I could use a front-end exchange server, but that's too much hassle. 
    Instead, I use the reverse proxy in the DMZ and use MASQ to open 80/443. Then I allow 80/443 traffic from the reverse proxy to the Exchange server.
  • 0 in reply to William Warren
    [ QUOTE ]
    I would put it on the DMA then simply forward netbios ports(including 445) and whatever other ports exchange needs tow ork via MASQ and packet filtering..[:)]  Then i would also turn on smtp and pop3 proxies as well. 

    [/ QUOTE ]

    Problem is, SMTP and POP-prxy work only from the inside to the outside. And if you direct port 80 directly to your server, you will have every script kiddy and every worm out there attacking your server with a good chance of crashing it, rendering your whole active directory domain useless.

    Oliver
  • 0 in reply to oradke
     [ QUOTE ]
     you will have every script kiddy and every worm out there attacking your server with a good chance of crashing it, rendering your whole active directory domain useless. 

    [/ QUOTE ] 

    Unfortunately, a proxy won't help with this unless you properly lock down the proxy ACL's or whatever.

    Besides, ASL 5's IPS should block known worms on http. It won't be able to filter SSL though. Neither will most proxies unless you put the SSL cert on the proxy server.

    Barry
  • 0 in reply to oradke
    OK, so you have an exchange server in your LAN and a reverse proxy in your DMZ.
    For this to work you have to create a rule, letting the reverse proxy connect to the exchange server on 80/443.
    Isn't that a security hole by definition? The DMZ isn't supposed to connect to the internal LAN, isn't it?
  • 0 in reply to THoehne
    THoehne, no matter how you look at it, there is going to have to be a connection allowed from DMZ to INT if you want to integrate Exchange with Active Directory.
    (either the proxy talks to INT Exchange server, or proxy talks to DMZ Exchange server which talks to INT AD server(s).)

    With a proxy, it shouldn't be a big risk, esp if the proxy isn't running Windows and if the firewall rules are setup right.

    Barry
Reply
  • 0 in reply to THoehne
    THoehne, no matter how you look at it, there is going to have to be a connection allowed from DMZ to INT if you want to integrate Exchange with Active Directory.
    (either the proxy talks to INT Exchange server, or proxy talks to DMZ Exchange server which talks to INT AD server(s).)

    With a proxy, it shouldn't be a big risk, esp if the proxy isn't running Windows and if the firewall rules are setup right.

    Barry
Children
No Data