Zum Inhalt wechseln


Foto

Ports 1024 - 65535 aufmachen. Was passiert?


  • Bitte melde dich an um zu Antworten
47 Antworten in diesem Thema

#16 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 22. Juli 2003 - 11:13

Ideen hätte ich schon, ich kann's nur nicht testen (suche noch Tester ;) )
Eine neue Protokolldefinition erstellen, z.B FTP-Passive. Werte:
Port 21 TCP ausgehend, sekundäre Verbindung Ja, Ports 1024-20000 TCP ausgehend. Möglicherweise muss man auch noch eine zweite sekundäre Verbindung für 1024-20000 eingehend TCP hinzufügen, würde aber jetzt mal sagen, dass nicht.

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#17 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.097 Beiträge

 

Geschrieben 22. Juli 2003 - 11:26

jo ich test grad mal deinen Vorschlag..

Was genau ist da jetzt dann der Unterschied? Ich mein das mit den sekundären Verbindungen??

Heißt das, dass alles über den 21er läuft, wenn die Andwendung Daten anfordert und das trotzdem bekommt, wenn ein anderer Port genutzt wird?

Wie ist hierbei dann die Sicherheitslage?

#18 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.097 Beiträge

 

Geschrieben 22. Juli 2003 - 11:28

Ging weder nur mit ausgehenden Sekundärverbindungen noch mit beiden....
Langsam verlier ich die Lust an dem Teil...

#19 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.097 Beiträge

 

Geschrieben 22. Juli 2003 - 11:43

die paketfilter port 20 und 21 jeweils ein- und ausgehend sind ja standardmäßig vom system bei der installation erstellt worden...

wenn ich da in diesen ip-paketfiltern einen neuen filter erstelle, der alles aufmacht, dann geht das ganze ja..

lasse ich es so und erstelle ein neues richtlinienobjekt, sprich eine Protokolldefinition wie du sie mir angesagt hast, dann geht gar nichts... selbst wenn ich die sekundäre verbindung auf die max. anzahl der ports einstelle, geht gar nichts!

#20 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 22. Juli 2003 - 11:51

Hmm, Firewall und passiver Proxy ist ein echtes Problem. Wundert mich, dass die in der KB beschriebene Möglichkeit nicht funktioniert. Andere Frage: Welche Grupshield Version setzt du ein?

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#21 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.097 Beiträge

 

Geschrieben 22. Juli 2003 - 11:52

steht glaub ich schon mal weiter vorn...

ist version 5.2

#22 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.097 Beiträge

 

Geschrieben 22. Juli 2003 - 12:35

hat vielleicht irgendwer gute links für die erklärungen von ports im allgemeinen?

oder auch für den ISA-Server-2000....
hab bislang nämlich noch nichts brauchbares finden können.

#23 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 22. Juli 2003 - 15:45

Hallo Millhouse,

habe eine gute Nachricht (und eine nicht so gute).
Der ISA Server unterstützt von Haus aus passives FTP. Ich habe mir mir die TrialVersion von GroupShield downgeloaded und getestet, der Update klappt einwandfrei. Ich habe mich nochmal rückversichert: Das ist das normale Verhalten des ISA bei PASV.

Da fiel mir aber was ein. Du sagst, du hast es auf einem SBS. Ich nehme an, alles. DC, Exchange, ISA, Groupshield?
Wenn ja, musst du mit Paketfiltern für den ausgehenden Verkehr arbeiten , nicht mit Protokollregeln. Das hast du gemacht?

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#24 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.097 Beiträge

 

Geschrieben 22. Juli 2003 - 20:54

hab mir schon gedacht, dass es das mit den protokollregeln nicht sein kann... das hat bislang nie funktioniert.

aber was müsste ich dann bei den IP-Paketfiltern einstellen??

bislang ist alles fehlgeschlagen...

#25 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 22. Juli 2003 - 21:14

Ich befürchte, das ist die schlechte Nachricht, * sichräusper.
Da ist der ISA nicht ganz so komfortabel zu konfigurieren (außer ich habe einen Fehler gemacht).
Paketfilter in beide Richtung "Alle" zulassen. Du weisst, was das bedeutet....

Keine Möglichkeit, den ISA extra zu bauen, ist ja sowieso empfohlen. Ich weiss, SBS, aber...

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#26 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.097 Beiträge

 

Geschrieben 23. Juli 2003 - 04:16

heißt das jetzt, dass ich keine andere möglichkeit hab, als alle ports aufzumachen?

wie müsste ich vorgehen, um nen extra ISA aufzubauen?
bzw. was müsste ich überhaupt tun?

#27 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 23. Juli 2003 - 06:22

heißt das jetzt, dass ich keine andere möglichkeit hab, als alle ports aufzumachen

Nicht ganz, da gibt es noch die Möglichkeit, wie schon gesagt, den ISA auf einem eigenen Rechner aufzubauen, oder ein anderes Produkt, was nicht passiven ftp benutzt, einzusetzen. Und es besteht die Möglichkeit, dass ich die Einrichtung des passiven ftp auf dem ISA selber falsch gemacht habe.

wie müsste ich vorgehen, um nen extra ISA aufzubauen?
was wäre dann überhaupt der unterschied?

Im Prinzip braucht man einen Windows 2000 oder höher Server, ISA im integrierten Modus installieren, einrichten.

Der Unterschied ist der, dass man für den ausgehenden Verkehr mit Protokollregeln und Contentfiltern arbeiten kann, während bei allen Applikationen auf dem ISA selber man nur mit Paketfiltern arbeiten kann. Ausserdem ist es mir persönlich immer lieber, wenn auf einer Firewall keine Applikationen laufen. Ich habe zwar Vertrauen in das Produkt ISA, aber eine Fehlbedienung könnte einiges an Schaden anrichten. BEi einem separaten ISA wäre ein Schaden wohl deutlich begrenzter, wenn man es richtig aufbaut, würde der erstmal gegen Nichtigkeit tendieren.
Aber das stellt wieder einmal meine persönliche Meinung dar, wenn du noch andere dazu hörst, kommen wieder andere Meinungen bei rum.

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#28 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.097 Beiträge

 

Geschrieben 23. Juli 2003 - 06:30

ok, dazu mal ne überlegung...

wir haben noch einen zweiten server aufzubauen, dauert allerdings noch ein bisschen.

wird ein win2003 server.

müsste ich diesen dann als meinen Internetserver einrichten? Sprich, dass der komplette Internetverkehr vom SBS weggenommen wird (Proxy, Firewall) und auf den dann kommt?

mensch verdammt.. wenn ich das doch alles nur selber schon wüsste... dann müsst ich nicht ständig nach Informationen fragen... hoffentlich nervts net schon ;)

#29 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 23. Juli 2003 - 06:44

Ich weiss nicht, was auf dem 2003 Server dann alles laufen soll, aber grundsätzlich würde ich sagen ja, denn dafür wurde der ISA-Server entwickelt, wie jede andere Firewall auch (bin mir dabei aber des "SBS-Problems" durchaus bewusst).

Meine Empfehlung als Consultant wäre: für ISA eine separate Maschine, muss ja kein "fetter" Compaq-Server mit großem RAID und ewig überdimensioniertem Prozessor sein. Da reicht ja oftmals so eine Pizzabox mit zwei guten Netzwerkkarten und 512 MB RAM. Der ISA wird dann im intergrierten Modus (Proxy und Firewall) eingerichtet, ich mache das dann immer so, als einziger Server in einem eigenen Forest mit einer einseitigen Vertrauenstellung zur produktiven Domäne. Selbst wenn es jemand schaffen sollte, meinen ISA zu knacken (oder wenn ich ihn fehlkonfiguriert hätte), wäre er immer noch nicht in meiner Domäne.

Meine weitere Empfehlung für den Einsatz des ISA ist auch immer, eine Schulung zu besuchen, oder gut Zeit in ein Eigenstudium mit gutem Buch zum ISA investieren.

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#30 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.097 Beiträge

 

Geschrieben 23. Juli 2003 - 06:44

nachtrag:

dann hab ich aber wohl das problem, dass ich dem groupshield sagen muss, dass es den anderen server nutzen soll...

ich denke, das ist gar nicht so einfach, den internetverkehr auf nen anderen server umzulegen, da ich ja mein exchange auf dem einen hab und die mails per mx-eintrag von diesem direkt verwaltet werden...