Zum Inhalt wechseln


Foto

Ports 1024 - 65535 aufmachen. Was passiert?


  • Bitte melde dich an um zu Antworten
47 Antworten in diesem Thema

#31 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.092 Beiträge

 

Geschrieben 23. Juli 2003 - 06:46

Original geschrieben von grizzly999


Meine weitere Empfehlung für den Einsatz des ISA ist auch immer, eine Schulung zu besuchen, oder gut Zeit in ein Eigenstudium mit gutem Buch zum ISA investieren.

grizzly999



hat du da evtl. nen literaturtipp? die bücher von MS bezüglich SBS geben da ja nicht wirklich viel her...

#32 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.092 Beiträge

 

Geschrieben 23. Juli 2003 - 06:50

Original geschrieben von grizzly999
Ich weiss nicht, was auf dem 2003 Server dann alles laufen soll, aber grundsätzlich würde ich sagen ja, denn dafür wurde der ISA-Server entwickelt, wie jede andere Firewall auch (bin mir dabei aber des "SBS-Problems" durchaus bewusst).

Meine Empfehlung als Consultant wäre: für ISA eine separate Maschine, muss ja kein "fetter" Compaq-Server mit großem RAID und ewig überdimensioniertem Prozessor sein. Da reicht ja oftmals so eine Pizzabox mit zwei guten Netzwerkkarten und 512 MB RAM. Der ISA wird dann im intergrierten Modus (Proxy und Firewall) eingerichtet, ich mache das dann immer so, als einziger Server in einem eigenen Forest mit einer einseitigen Vertrauenstellung zur produktiven Domäne. Selbst wenn es jemand schaffen sollte, meinen ISA zu knacken (oder wenn ich ihn fehlkonfiguriert hätte), wäre er immer noch nicht in meiner Domäne.



Der Server wird lediglich als Datei- und Printserver genutzt und ist exakt gleich ausgestattet wie mein bald neuer. Sprich 3 GB RAM, 2 x 74 GB U320 SCSI-Platten, 2 x 2,4 GHz Xeon-Prozzi, 80 GB IDE Platte u. ASUS PR-DLS/533 Board...

einseitige Vertrauensstellung??
Also der SBS unterstützt keine Vertrauensstellung, das hab ich gestern schon probiert.. Müsste dann wohl dem 2003er sagen oder?
Was ist ein Forest?

ich merk schon... heftige überlegungen, die man da anstreben muss...............
mal sehen, was mein chef dazu sagt, wenn ich ihm das alles sage.. der ist ja immer noch davon überzeugt, dass wir von McAfee bzw. NAI den richtigen Tipp bekommen - ich glaub da mittlerweile ja überhaupt nicht mehr dran!

#33 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 23. Juli 2003 - 06:53

Für ISA gibt es nicht viele Bücher. Es gibt da :

- das Buch von Tom Shinder, ich habe es in Englisch, scheint es aber inzwischen in deutscher Übersetzung zu geben: link hier, da werden auch noch andere Bücher aufgezählt, kann ich aber nichts dazu sagen, habe nur das Shinder Buch:
http://www.msisafaq.....htm#3826609964

Dann wurde hier im Board noch folgendes Buch empfohlen:
http://www.amazon.de...6942189-7850421


Für manche Fragen, oder ich weiss nicht wie soll ich das jetzt einrichten, gibt es die wahrscheinlich beste Seite zu ISA im Internet mit vielen Anleitungen und Antworten auf Fragen:
www.isaserver.org

Grüße

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#34 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.092 Beiträge

 

Geschrieben 29. Januar 2004 - 06:44

Das Thema ist zwar schon alt, aber für mich wieder aktuell.

Ich habe gestern auf unserem neuen SBS2003 nochmal einen Test versucht und folgendes eingerichtet:

IP-Protokollregel für TCP
Richtung: Beide
Lokaler Port: Dynamisch
Remoteport: Fest
Remoteportnummer: 80

Ist das jetzt so in Ordnung oder muss ich da jetzt wieder befürchten, dass mein System relativ offen für Angriffe ist?

MiLLHouSe

#35 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 30. Januar 2004 - 13:14

Bei der Filterregel willst du ja nur den Webzugang nach draussen haben, demnach darfst du nur unter 'Richtung' nur ausgehend eintragen. Alles andere passt. Wenn beide Richtungen zugelassen werden, ist auch ein Zugriff von aussen auf den Webdienst des ISA möglich (sofern installiert).


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#36 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.092 Beiträge

 

Geschrieben 30. Januar 2004 - 13:39

Super, danke für die Antwort, auch wenn ich das jetzt leider erst am Montag testen kann...

#37 Saint

Saint

    Gast

  • 9 Beiträge

 

Geschrieben 04. März 2004 - 12:22

Für mich ist dieses Thema leider auch noch aktuell. :(
Alle Anfragen vom Server nach draussen auf einen Port umzubiegen halte ich auch nicht für sonderlich sinnvoll in Zeiten von Trojanern, die sich in IRC Channels anmelden und auf's Herrchen warten.

Hat keiner eine Idee wie man dediziert nur die Anfrage von Groupshield auf z.B. Port 21 umbiegen kann? :confused:
Irgendwie in Konfigrationsdateien von Groupshield rummanschen? Hinweise hab ich bis Dato leider nicht gefunden.

Ich finde das von NAI eigentlich ziemlich unglaublich, das es nicht möglich ist, einfach den Port fest zu legen. :suspect:
Kannst nix löten an der Holzkiste...

#38 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.092 Beiträge

 

Geschrieben 04. März 2004 - 13:16

Ich hab das mittlerweile hinbekommen, jetzt kann mein Groupshield endlich updates machen :D



Im ISA einen IP-Paketfilter anlegen

IP-Protokoll: TCP
Richtung: Ausgehend
Lokaler Port: Dynamisch
Remoteport: Fester Port
Remoteportnummer: 80

als Update-Server den HTTP einrichten, sonst geht's nicht. Über FTP hab ich es allerdings nicht hinbekommen...

#39 Saint

Saint

    Gast

  • 9 Beiträge

 

Geschrieben 04. März 2004 - 13:21

Auch wenn Du mich gleich erschlägst:
Ich hab keinen ISA Server am Start... :shock:
Kannst nix löten an der Holzkiste...

#40 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.092 Beiträge

 

Geschrieben 04. März 2004 - 13:23

Warum sollte ich dich erschlagen?

Was blockt dann bei dir die Verbindung?

#41 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.092 Beiträge

 

Geschrieben 04. März 2004 - 13:24

ach sorry, jetzt erst habe ich deinen ersten Post verstanden.... Hatte das mit dem ISA-Protokoll ja sogar schon einmal geschrieben. Sorry, dazu weiß ich leider keine Antwort.

#42 Saint

Saint

    Gast

  • 9 Beiträge

 

Geschrieben 04. März 2004 - 13:27

Original geschrieben von MiLLHouSe
Warum sollte ich dich erschlagen?

Was blockt dann bei dir die Verbindung?


Naja - weil Du eine Lösung hast, ich Sie aber nicht verwenden kann? :)

Eine Symantec Firewall/VPN 200.
Standardports 21/80/443 etc nach draussen sind freigegeben.
Incoming nur 1723 für VPN.
Der Rest wird weggeblockt.
Kannst nix löten an der Holzkiste...

#43 Saint

Saint

    Gast

  • 9 Beiträge

 

Geschrieben 04. März 2004 - 13:45

Original geschrieben von MiLLHouSe
als Update-Server den HTTP einrichten, sonst geht's nicht. Über FTP hab ich es allerdings nicht hinbekommen...


Darf ich Dich mal nach der HTTP Update Adresse fragen? Damit würde ich gerne noch ein bisschen probieren.
Oder meinst Du: http://www.networkas...nloads/updates/
?

Thx! :)
Kannst nix löten an der Holzkiste...

#44 MiLLHouSe

MiLLHouSe

    Board Veteran

  • 1.092 Beiträge

 

Geschrieben 04. März 2004 - 13:51

darfst du natürlich:

http://update.nai.co...s/CommonUpdater

so steht's bei mir in dem Autoupdate-Architect drin und so funktioniert es auch.

#45 Saint

Saint

    Gast

  • 9 Beiträge

 

Geschrieben 04. März 2004 - 14:14

Super! Vielen Dank! :)

Leider keinen Erfolg bis jetzt. Echt zum Mäuse melken. Das ist wirklich mehr als unproffessionell von NAI. :mad:
Kannst nix löten an der Holzkiste...