RIM komt met virtuele Blackberry voor Windows Mobile

noem een ding dat een mda voorzien van blackberry connect niet kan en de blackberry zelf wel

Heb ik ergens gezegd dat er minder functionaliteit is ?
Al weet ik niet dat je deze devices ook kan beheren met je BB Console.

En hoe ga je secure binnenkomen op je netwerk ?

In het beste geval kan je een front-end server zetten in je DMZ omgeving, maar dan moeten er ook weer een heleboel poorten openstaan naar je back-end. Ik kan je vertellen dat dit vaak "not-done" is.

Je windows mobile device zit op het internet , dit is het verschil met BB die is niet geconnecteerd aan het internet.

Voor Active Sync je vergeet echter dat je je firewall open moet zetten voor inbound verkeer (Port 443). En dat is een groot security issue bij grote bedrijven. De applicatie draaid op IIS icm Exchange en AD. Nu kan je dit redelijk goed dicht timmeren met ISA2006, maar zonder dat moet je met DMZ's / Exchange-FE aan de slag. Iets wat je niet even 123 gedaan hebt.
Bij Blackberry heb je alleen maar Outbound verkeer, en securty technisch is dat veel veiliger. Eventueel voor extra veiligheid kan je een Blackberry router nog in je DMZ neer zetten, maar het blijft alleen maar Outbound verkeer.

Daarbij kan de BB ook via de BB server connecten naar je interne netwerk. Intranet enz enz is dan gewoon via je BB te bereiken

@mjtdevries

Wat overdreven ?
Dit is toch echt hoe het er in de werkelijkheid vaak aan toe gaat.

Grote bedrijven gebruiken dikwijls een mix van email server/appliances. Exchange is vaak de backend en smtp functionaliteit is vaak één of andere smtp appliance ironport of een sendmail server.

Security is helemaal niets om mee te lachen. Dat jij hier een andere kijk op hebt kan best.
BB is secure by design een Windows Mobile device die op het internet geconnecteerd is , is dat niet en zal je dus net zo moeten beveiligen als een laptop.

Wij hebben hier op het werk zowel BB als ActiveSync. We hebben hier FE's (ISA) die (voordat er ActiveSync was) gewoon webmail aanboden. En als je webmail hebt, heb je ook ActiveSync.

Kortom, ActiveSync was een kleine moeite. Voor BB moesten er extra servers (BB servers, SQL server) komen

Daarnaast is BB echt en hel om te beheren.

Aan de andere kant, de PDA's hebben weer extra software nodig voor encryptie (Avaria) en kunnen vrij makkelijk verkloot worden door de user.

@fewture

Gek dat jullie BB een hel vinden om te beheren. Dit is net DE reden dat we bb verkiezen boven windows mobile devices. Tijdens de 2 jaar dat we nu BB devices hebben, moet ik zeggen dat er nog nooit een problemen zijn geweest en wij dus ook geen extra werk hierdoor gekregen hebben.

Het kan natuurlijk zijn omdat we niet zo erg veel BB hebben (+-200).

@klakkie.57th

Je zit stapels dingen door mekaar te halen.
SMTP gateways hebben geen zier te maken met de mail functionaliteit van blackberry of windows Mobile.

Waar jij vandaan haalt dat ik security niet serieus neem is mij ook een raadsel.

Tenzij je denkt dat je active-sync via een DMZ en ISA server niet veilig kan krijgen. In dat geval heb JIJ nog een boel te leren.

En ja, een windows mobile device moet je (bijna) net zo beveiligen als een laptop. Maar dat geldt dus ook voor een virtuele blackberry applicatie bovenop windows mobile. Dus dat verhaal doet totaal niet ter zake voor deze discussie.

Ik haal niks door elkaar, ik antwoorde op jouw argument dat iedere grote Exchange Frontends heeft. Ik zeg gewoon dat het niet waar is tenzij je een firma van (+-100.000 werknemers klein noemt)
De SMTP wordt gerelayed via een smtp gateway (Ironport) naar de exchange servers.

Dus ... we hebben geen Exchange Frontend , dus ook geen ISA in de DMZ staat etc etc.. Hiervoor zijn verschillende redenen waaronder security zoals Rolfie ook al aanhaalde.

waarom ik zei dat je security niet serieus neemt wel je zei toch dit Wat een overdreven verhalen allemaal op mijn argumentatie als die van Rolfie.

Het gaat helemaal niet over wat jij als veilig beschouwd maar wel wat procedures voorschrijven. De interne audit heeft Active-sync by default als niet veilig genoeg omschreven en moet dus ge-encrypteerd worden wil je het mogen gebruiken. Als je dan over encryptie praat heb je wederom standaarden waaraan je, je moet houden en mag je niet zomaar effe kiezen van ik ga voor SSL met ISA etc etc.. Dit heeft niks met mijn kunde te maken (of dat van mijn collega's) maar wel voorschriften van lokale en internationale security officers.


Als je dit hierboven allemaal inbeschouwing neemt is BB dus een veel eenvoudigere oplossing omdat je BB devices enkel met Rim en je eigen server kunnen communiceren en hacking bijna onmogelijk is (ik denk zelfs niet). Je Windows Mobile device moet je helemaal dichttimmeren en dat is dus een stuk complexer dan je eigen bes server implemeneteren.

Daarom dat ik me dus afvraag hoe Blackberry de security gaat regelen op zo een Windows Mobile + BBemu. Indien ze dit voor mekaar krijgen is dit misschien wel een vervanger voor onze huidige BB-devices.

@klakkie.57th

Je haalt wel zeker dingen door mekaar. Namelijk de juiste termen voor servers.

Een Exchange Frontend (FE) is per definitie een OWA server en ook alleen maar een OWA server. (outlook web access)

Een SMTP gateway is per definitie nooit een Exchange Frontend server.

Als jij over een Exchange server als SMTP gateway in een DMZ wilt praten, dan is Frontend gewoon de verkeerde term daarvoor.

SMTP gateways zijn inderdaad zelden exchange bakken vanwege de blunders in Exchange 5.0 vééle jaren geleden.
Die reputatie raak je moeilijk kwijt. Een goed configureerde Exchange 2003 bak is echter hardstikke safe. (zowel interne als externe audits hebben dat bewezen)
Ik heb een paar van die zeer zeldzame Exchange 2003 gateways in een DMZ staan. (500.000 mails per dag)

Maar nogmaals: SMTP gateways hebben geen zak te maken met ActiveSync.
Als je nou niet eens weet hoe de datastromen lopen bij windows mobile, hoe kun je dan dingen lopen roepen over de security?

Verder over Exchange Frontends:
Je kan webmail gebruiken zonder Exchange FE server, maar dan connect iedereen rechtstreeks naar je mailbox server. En dat is voor zowel security als performance redenen geen goed idee.
Daarom zul je in iedere volwassen Exchange omgeving zien dat er een Exchange FE gebruikt wordt icm ISA.

En uiteraard gebruik je webmail alleen encrypted.
En dat betekent meteen dat je active-sync uiteraard ook alleen encrypted gebruikt.
Het verbaast me dat een interne audit dat bij jouw bedrijf dan moet aangeven en dat de admins het uit zichzelf al niet volkomen vanzelfsprekend vonden om die datastromen te encrypten.

Nogmaals. De handelingen die je op de exchange servers moet verrichten om de boel secure te krijgen zijn helemaal niet moeilijk of tijdrovend. Een goede exchange admin mag er zijn hand niet voor omdraaien.

En de handelingen die je moet verrichten om de windows mobile client secure te krijgen, zijn in beide gevallen hetzelfde. Dat kan Blackberry echt niet makkelijker maken dan het nu is. (Tenzij ze wellicht ALLE windows mobile mogelijkheden volledig uitschakelen, maar dat is niet te verkopen aan klanten)

@mjtdevries

Waar heb ik gezegd dat SMTP iets te maken heeft met Active sync ??

Voor mij is een frrontend server idd de server die in verbinding staat met het internet en dat is meestal toch echt wel de smtp gateway ....dus frontend.
Dat jij frontend enkel van uit exchange standpunt wil bekijken .. tja.

Daarenboven heb je volgens mij bij exchange 2003 enkel frontend en backend servers, dus is volgens mij die exchange smtp gateway die in verbinding staat met het internet per definitie een frontend server

blijkbaar zijn er nog mensen die front-end gebruiken op de manier dat ik het doe.
http://utcc.utoronto.ca/~...min/BridgingNatLimitation

Jij trekt nogal snel conclusies hoor dat ik niet weet hoe de datastromen lopen. . Zet je exchange bril af en lees dan nog een keertje wat ik geschreven heb.

Heb ik ergens beweerd dat je, je webmail niet moet encrypten ? Heb ik ergens beweerd dat wij dit niet doen ?
Ik zeg enkel dat jouw regels niet noodzakelijk de regels zijn waaraan ik me moet houden en de implementatie dus net iets moeilijker is dan jij misschien zou vermoeden.

En uiteraard gebruik je webmail alleen encrypted.
En dat betekent meteen dat je active-sync uiteraard ook alleen encrypted gebruikt.
Dit is voor ons niet voldoende. Je zal eerst nog eens een vpn-tunnel er omheen moeten bouwen, maw dubbele encryptie als je wil.

Je moet veel meer handelingen doen om een Windows Mobile zo secure te maken als een BB. Een BB is default helemaal encrypted een Windows Mobile Device niet en zal je dus third-party tool moeten installeren om zowel je intern geheugen als je extern geheugen te versleutelen (al kan WM6 misschien wat meer op dit gebied) Je BB device is niet zomaar benaderbaar , je Windows mobile device hangt gewoon op het internet. Verder is het beheer een stuk lastiger en moet je ook weer third-party tools aanspreken die allerhande registry hacks gaan toepassen om je Windows Mobile device op hetzelfde niveau te krijgen als je BB met standaard policies. Hoe zorg je er anders voor dat de gebruikers gewoon niet gaan surfen op het Windows Mobile Device ??

Voor mij is een frrontend server idd de server die in verbinding staat met het internet en dat is meestal toch echt wel de smtp gateway ....dus frontend.
Dat jij frontend enkel van uit exchange standpunt wil bekijken .. tja.

De discussie ging specifiek over een Exchange Frontend.

Doordat jij geen Exchange kennis hebt, en desondanks dat er toch over mee wilt praten, ga je vervolgens van de verkeerde conclusie uit dat het een smtp gateway is.
Maar dat is dus in de context van de discussie complete onzin.

Daarenboven heb je volgens mij bij exchange 2003 enkel frontend en backend servers, dus is volgens mij die exchange smtp gateway die in verbinding staat met het internet per definitie een frontend server

Nogmaals: Een Exchange Frontend server is alleen maar een OWA server.

De hele terminologie van frontend backend waar jij vanuit gaat is er helemaal niet in Exchange.
De term Frontend server is een specifieke term in Exchange waarmee je een dedicated OWA server aanduidt. (Een server waarbij het vinkje "FrontEnd server" is aangevinkt)

Dan kan jij wel fijn beweren dat jij er wat anders onder verstaat, maar dat is dan alleen maar dom.

Ik kan me best voorstellen dat de term verwarrend is als je geen Exchange kent, maar wees nou niet zo vreselijk eigenwijs en accepteer gewoon dat als iemand het over een "Exchange-FE" server heeft, dat ie dan een hele specifieke rol binnen exchange bedoeld.

Btw, je zou eens wat moeten opzoeken over dubbele encryptie. Het komt hier in discussies regelmatig terug, omdat het geen extra veiligheid geeft.

En wat betreft het windows mobile device.
Voor de zoveelste negeer je mijn opmerkingen daarover en klets je er omheen.
Een virtuele BB om een WM device is net zo kwetsbaar als het device zelf. Dus moet je op een WM device met een virtuele BB precies dezelfde beveiligingen aanbrengen als op een WM device zonder vituele BB.

Daarom is dat dus helemaal niet interessant in deze discussie. Ga daar nou eens inhoudelijk op in!


BTW je gebruikers verhinderen te surfen op een WM device is zóóóó 2006.
Dat bedoel ik overigens serieuzer dan het klinkt. Je klanten zullen gewoon gaan eisen dat ze dat wel kunnen. Het lijkt me sterk dat je dat nog lang kunt blijven vermijden.

Wat een overdreven verhalen allemaal.

Exchange is bedoeld voor grote bedrijven.
Daar is het vanzelfsprekend dat je een Exchange-FE gebruikt, en dat je een DMZ hebt met daarin een ISA reverse proxy.
En dat is echt allemaal niet zo moeilijk.

Als dat voor je gevoel niet secure genoeg te krijgen is, dan moet je als bedrijf maar helemaal geen internet verbinding gebruiken, want dan is alles te onveilig.

@mjtdevries

Ik vraag me dus inderdaad af hoe BB dit gaat oplossen. De reden voor de keuze van BB is dus security en makkelijk beheer.
Indien ze ervoor kunnen zorgen dat hun emu-BB net zo secure wordt als hun eigen BB oplossing dan is dit wel een leuke oplossing.
Dus hoe zie ik dit : BB devices zitten nu op hun eigen APN (als ik me niet vergis), indien ze nu ook gewoon Windows Mobile Devices toelaten kun je dus gewoon BB laten gebruiken via hun Windows Mobile zonder dat je je Windows mobile devices op het internet staan.

Makkelijk, veilig en je hoeft je BB infrastructuur niet aan te passen.

Indien dit niet zo werkt en je gewoon een extra applicatie op je device krijgt is er geen reden waarom wij zouden overstappen aangezien de security issues dan weer om de hoek komen kijken.

Jij kan wel staan beweren dat ik niks van exchange begrijp, maar dan heb je het echt verkeerd hoor, maar jij hebt duidelijk geen kaas gegeten van hoe het er in onze omgeving (exchange 2003 niet 2007) met security wordt omgesprongen.

dus internet access op je Windows Mobile device zo 2006 wel het is NOT Done, de eindgebruiker heeft dit niet te eisen en heeft gewoon richtlijnen te volgen. Als er internet toegang gegeven wordt zal het dus weer moeten lopen via onze corporate internet firewall/proxy server.....
en daar komt BB weer om de hoek want dat is precies hoe het werkt.

Nog effe over die Exchange-FE, dat woord heb jij gebruikt niet ik ... ik heb het over Front-end servers en dat gaat verder dan exchange of email.(zoals in je webapplicatie staan op een frontend server terwijl je database op de backend server staat).
Rolfie vertaalde het perfect , poort 443 naar je webserver is gewoon al niet aan de orde, dan hebben we het nog niet over het verkeer dat je moest regelen tussen je Exchange 2003 en je AD, dat dit hoogstwaarschijnlijk anders is in een exchnage 2007 omgeving ga ik niet betwisten.Ik wilde gewoon illustreren dat je best een exchange omgeving kan hebben draaien zonder Front-end setup en dat de enige mailserver die in verbinding staat met het internet zelfs geen exchange is terwijl jij zei "Exchange is bedoeld voor grote bedrijven.
Daar is het vanzelfsprekend dat je een Exchange-FE gebruikt. Welnu nogmaals wat jij als normaal omschrijft is bij ons omschreven als laten we zeggen "not so secure".

Kortom: de moraal van het verhaal is niet dat ik jou oplossing betwist maar jij die niet wil begrijpen dat dingen als security op een ander niveau beslist worden en onderhevig zijn aan standaarden en die standaarden gaan ver, nog net niet de kleur onderbroek die je aantrekt 's morgens maar zeker en vast welk merk/model/type van encryptie die je implementeerd en vooral hoe je het implementeerd.

Jij kan wel staan beweren dat ik niks van exchange begrijp, maar dan heb je het echt verkeerd hoor,

Ik beweer het niet alleen, ik constateer het gewoon.
Er mag wellicht bij jouw bedrijf Exchange worden gebruikt, maar het is voor iedere Exchange admin overduidelijk dat jij niet het minste geringste verstand van Exchange hebt.
En als je er geen verstand van hebt, dan moet je geen uitspraken doen over de mogelijkheden om het secure te krijgen. Dan ben je gewoon met fanboyisme bezig en daar schiet niemand hier wat mee op.

Nog effe over die Exchange-FE, dat woord heb jij gebruikt niet ik

Dat heb ik niet als eerste gebruikt. Lees de thread maar opnieuw. Ik reageer op iemand die Exchange-FE in de juiste context gebruikt. Ik reageer daar op.

Vervolgens reageer jij daarop met met jouw eigen definitie van Exchange frontend die nergens op slaat.

En vervolgens begin je een ellenlange discussie omdat je niet wilt toegeven dat je niet wist dat een Exchange FrontEnd server een specifiek type server is.

Men mensen zoals jou is gewoon niet te discussieren, dus daar ga ik bij deze dan ook niet mee verder.

Eén ding ben ik nog wel benieuw naar. Als het benaderen van je webserver via SSL over port 443 al te ontveilig is, dan ben ik benieuwd wat je dan wel een veilige benadering van je webserver vind. Geen enkele port openstellen? Dat is veiliger ja, maar als niemand 'm kan benaderen dan is ie een beetje zinloos geworden.
Een webserver die uit staat is inderdaad ontzettend veilig!

T'ja ik zit nog op exchange 2003, migreren naar 2007 wordt een hels gedoe alleen al de schema update, dus dat wordt toch effe wachten.

Dingen die ik mis.

- Software distribution tools
- Data encryption van het extern geheugen, liefst dezelfde als die nu gebruikt wordt voor de laptops/desktops
- Tool die makkelijk de registry hacks doet, om de boel van de eindgebruiker af te schermen.
- Antivirus
- Firewall (of zit dit ook in windows mobile 6)

WM5 en WM6 werken wat betreft push/pull op precies dezelfde wijze.

het werkt als volgt:
De WM client zet een http sessie op, maar vervolgens wordt er niets meer over verstuurd.
Doordat er echter een sessie actief is, weet de server wel hoe ie de client moet bereiken, en kan de client inseinen dat er een nieuwe mail is. De client haalt dan inderdaad de nieuwe mail binnen. De http sessie wordt niet verbroken.

Doordat er geen data over de http sessie gaat komt er op een gegeven moment echter een timeout. (bv 10 minuten). Op het moment dat die timeout plaats heeft gevonden zet die WM client een nieuwe sessie op.

De noticatie is dus push, het overhalen van de mail inderdaad pull.

Vanuit security oogpunt vind ik dit echt niet zo spannend. Het draait namelijk op een OWA server waar ook alles pull is.

Als je werkelijk zover wilt gaan dat dat een reden is om BB te gebruiken, dan moet je dus ook je webmail servers uitschakelen. En dan zijn er ook een héééééleboel ander applicaties die je eerst onderhanden moet nemen.
Ik denk dat je dan aardig je doel voorbij schiet.

@mjtdevries

Ik antwoord gewoon hier hoef je die hele boterham hogerop niet meer te lezen
Rolfie verwoordt het perfect, ik denk dat hij een collega moet zijn. Het is precies de manier waarop men hier in het bedrijf ook denkt en doet.

Aangezien Rolfie zijn standpunt wel duidelijk verwoord en ook aangeeft als hij ergens niet voldoende kennis van heeft om 100% zeker te zijn, kan hij absoluut geen collega van jou zijn...

De theorie is heel sympathiek. En voor zover het realistisch mogelijk is om te gebruiken moet je dat ook zeker doen. Maar vertel vervolgens eens hoe je met alleen push een webmail server wilt opzetten?

En aangezien je dat niet lukt, vertel dan eens waarom ik me dan zo druk moet maken over de pull technologie van WM terwijl dat op diezelfde webmail server draait die ook pull gebruikt.

En gebruikt BB ook alleen maar push techniek als je van het device een mail verstuurt? Hoe krijgt die BB server een notificatie van de client dat er een mailtje klaar staat om verstuurd te worden?