nerd 28 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 Es kommt hier halt auf die zu Schützende Umgebung an - da musst du unterscheiden.Wenn man wie Johannes im Bankenumfeld arbeitet macht dieser Weg sicher Sinn. Um einen einzelnen SBS-Server zu schützen, finde ich eine Gallerie von Firewalls aber überdimensioniert. Nicht umsonst bietet Trendmicro kombinierte Appliances für SMB und aufgeteilte einzelne Appliances für Großfirmen an. Nur so als Beispiel... LG Ich würde das Schutzbedürfniss nicht an der Anzahl Server fest machen. Wenn auf der Maschine wirklich unternehmenskritische Daten liegen, deren Verlust oder Veröffentlichung z. B. den Untergang der Firma zur Folge haben, dann kann ein richtiger FW Komplex schon sinnvoll oder angemessen sein. Die Abwägung sollte also immer sein: Kosten - Nutzen - Schutzbedürfniss Zitieren Link zu diesem Kommentar
MJG 10 Geschrieben 18. Oktober 2007 Autor Melden Teilen Geschrieben 18. Oktober 2007 thx für eure Antworten... würde das durchgehen was sagt ihr? bin offen für alles (ratschläge natürlich ;-) ) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 thx für eure Antworten... würde das durchgehen was sagt ihr? bin offen für alles (ratschläge natürlich ;-) ) Hi, ich würde folgendes ändern (wenn du es richtig gut machen möchtest!): - die Server in der DMZ sollten Dual Homed sein sprich eine NIC an die Externe FW und eine an die Interne (ohen aktives routing ;)) - Es sollte ein Switch für die externen NICs und eines für die internen NICs vorhanden sein. Am besten mit einer VLAN Trennung der DMZ Maschinen um eine Kommunikation unter den DMZ Maschinen zu verhindern. ... das ist mir mal auf den schnelle aufgefallen. Zitieren Link zu diesem Kommentar
MJG 10 Geschrieben 18. Oktober 2007 Autor Melden Teilen Geschrieben 18. Oktober 2007 Hi, ich würde folgendes ändern (wenn du es richtig gut machen möchtest!): - die Server in der DMZ sollten Dual Homed sein sprich eine NIC an die Externe FW und eine an die Interne (ohen aktives routing ;)) - Es sollte ein Switch für die externen NICs und eines für die internen NICs vorhanden sein. Am besten mit einer VLAN Trennung der DMZ Maschinen um eine Kommunikation unter den DMZ Maschinen zu verhindern. ... das ist mir mal auf den schnelle aufgefallen. so vielleicht? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 @Johannes Bzgl ISA: Da tust du aber MS unrecht - ist nicht mein Lieblingsprodukt (hat aber andere Gründe), hinsichtlich Sicherheit aber doch sehr, sehr solide. Warum? - Kaum oder keine (zumindest ISA 2006) Exploits oder Lücken vorhanden/bekannt. - Versucht man den Firewall Dienst zu beenden verrigelt sich das Ding erbahrmungslos und ohne Wiederkehr - jeglicher Netzwerkverkehr ist dann Sense. Da ist ein Kernel-Level Treiber der den Stack dicht macht. Ich hab mir so mal aus Lust & Laune und etwas Spieltrieb 'ne komplette ISA 2004 installation zerschossen. Sogar Recovery Console und Treiber deaktivieren/aktivieren brachten nix - und ich war Admin und hatte lokalen Zugriff, wohlgemerkt! Es gäbe das sicher noch ein paar andere Beispiele für - aber ich denke das ist doch eher was der in der Rubrik 'Vorurteil' und 'schlechtes Image' von Seiten MS & Sicherheit. cheers Velius P.S.: An jeder FW gibt's was zu härten, glaub's mir. Wer sich auf den Hersteller und eine 'Hardware' Firewall (was es schlicht nicht gibt) verlässt, na ja....:wink2: Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 so vielleicht? Ich würd wie gesagt auch zwei switche einsetzen um den extnen und internen verkehr zu trennen. VLans sind dafür nur eingeschränkt geeignet (weil umgehbar). Vlans würde ich nur innerhalb der DMZen einsetzen um diese gegeneinander abzuschotten. @Velius: Wie gesagt, ich sehe da auch nur potentielle Sicherheitsprobleme - bekannt sind mir keine. Durch die Tatsache, dass so viel auf der Maschine läuft würde ich das Risiko aber nicht eingehen und in meinem Umfeld auch nicht einsetzen. Die stärken vom ISA liegen da meiner Meinung nach an der inneren FW - dort kann man die zusätzlichen Funktionen gebrauchen und das Risiko ist deutlich geringer. ... wenn der ISA mal auf nem 2008 core läuft, dann schaue ich mir das ganze noch mal an ;) Gruß Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 19. Oktober 2007 Melden Teilen Geschrieben 19. Oktober 2007 @Velius: Wie gesagt, ich sehe da auch nur potentielle Sicherheitsprobleme - bekannt sind mir keine. Durch die Tatsache, dass so viel auf der Maschine läuft würde ich das Risiko aber nicht eingehen und in meinem Umfeld auch nicht einsetzen. Die stärken vom ISA liegen da meiner Meinung nach an der inneren FW - dort kann man die zusätzlichen Funktionen gebrauchen und das Risiko ist deutlich geringer. ... wenn der ISA mal auf nem 2008 core läuft, dann schaue ich mir das ganze noch mal an ;) Gruß Wird er nicht IMHO - Core ist für DNS, DHCP, ADDS usw. konzipiert, auch IIS soweit ich weiss - bei EX2007 ist bereits schon schluss. Ausserdem, egal wie sehr du den ISA härtest oder nicht härtest, der Kern der Geschichte ist der Firewall Dienst (die eigentliche Firewall), und da kann noch so viel Müll auf dem W2K3 Server laufen - solange du nicht am Dienst vorbei kommst und das Rule-Set nicht vermurkst ist seh ich wenigstens remote keine Chance an dem Ding vorbei zu kommen. Nimm dir schon mal vorher die Zeit zum reinschauen, es lohnt sich!;) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 19. Oktober 2007 Melden Teilen Geschrieben 19. Oktober 2007 Wird er nicht IMHO - Core ist für DNS, DHCP, ADDS usw. konzipiert, auch IIS soweit ich weiss - bei EX2007 ist bereits schon schluss. Ausserdem, egal wie sehr du den ISA härtest oder nicht härtest, der Kern der Geschichte ist der Firewall Dienst (die eigentliche Firewall), und da kann noch so viel Müll auf dem W2K3 Server laufen - solange du nicht am Dienst vorbei kommst und das Rule-Set nicht vermurkst ist seh ich wenigstens remote keine Chance an dem Ding vorbei zu kommen. wir haben offensichtlich unterschiedliche Ansätze - ich schieb das jetzt einfach mal auf das Umfeld in dem wir arbeiten. Über Details können wir uns ja mal bei nem Bier unterhalten ;) Nimm dir schon mal vorher die Zeit zum reinschauen, es lohnt sich!;) Hab ich schon oft genug - wie gesagt für die innere Firewall finde ich das Produkt recht gut. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 19. Oktober 2007 Melden Teilen Geschrieben 19. Oktober 2007 wir haben offensichtlich unterschiedliche Ansätze - ich schieb das jetzt einfach mal auf das Umfeld in dem wir arbeiten. Über Details können wir uns ja mal bei nem Bier unterhalten ;) Na das mit dem 'Müll' war stark überspitzt formuliert, sollte aber den Teil der Firewall und des Rulesets hervorheben. Egal was auf der Kiste läuft, im Regelfall verhält es sich so, wie das Ruleset es erlaubt - default wird bei ISA z.B. alles auf und von localhost geblockt (ausser 'Ausgehend' die selektierten Anwendungen - AD bei Integration, usw.). Also nix mit unnötigen Diensten und Anfälligkeiten. Und alles andere sind Fehler (buffer-overflows, etc.), welche dazu führen, dass sich das Ding von aussen komplett verriegelt... Ich komm aus dem Healthcare Sektor - glaub's mir, da knausert man auch nicht gerade mit regulatorischen Anforderungen, würde das aber gerne mal bei Gelegenheit und 'nem Bier weiter vertiefen.:D Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 19. Oktober 2007 Melden Teilen Geschrieben 19. Oktober 2007 Falls es interessieren sollte, hier noch ein paar Details zu meinen Ausführungen: Firewall Engine (Firewall Packet Engine)The Firewall Engine is a kernel-mode driver. (The driver name is fweng. The file name is fweng.sys). The Firewall Engine driver is called whenever network traffic arrives or leaves an ISA Server network interface and modifies it if necessary. No network traffic is sent if the Firewall Engine driver does not allow it. Note The Firewall Engine driver is the root of the firewall dependency tree. Stopping the Firewall Engine driver (by using net stop fweng /y at the command prompt) also stops the other firewall components, which opens the computer to all network traffic. In contrast, stopping the Firewall service (by using net stop fwsrv at the command prompt) places the ISA Server computer in lockdown mode and allows only a limited set of protocols to and from the ISA Server computer itself. The Firewall Engine driver hooks into the Windows networking protocol stack at two places. The first place is at a point early in packet processing, after the Internet Protocol security (IPsec) driver, but before any reassembly is done. This can be considered as a filter layer between layer 2 (Media Access Control) and layer 3 (Network). This hook into the Windows networking stack allows ISA Server 2006 to inspect traffic before it gets to the first layer (Network or layer 3) of the operating system’s TCP/IP protocol stack. Because of this low-level hook into the Windows networking stack, the driver protects the Windows TCP/IP protocol stack from attack. ISA Server 2006 Firewall Core Aus meiner Erfahrung kann ich aber sagen, dass man bei deaktiviertem Firewall Dienst (lockdown mode) gar nichts mehr ging - gut möglich, dass noch Layer2 (Arp/MAC) Funktionaltiät da war. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.