Jump to content

Ports 1024 - 65535 aufmachen. Was passiert?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Original geschrieben von grizzly999

Ich weiss nicht, was auf dem 2003 Server dann alles laufen soll, aber grundsätzlich würde ich sagen ja, denn dafür wurde der ISA-Server entwickelt, wie jede andere Firewall auch (bin mir dabei aber des "SBS-Problems" durchaus bewusst).

 

Meine Empfehlung als Consultant wäre: für ISA eine separate Maschine, muss ja kein "fetter" Compaq-Server mit großem RAID und ewig überdimensioniertem Prozessor sein. Da reicht ja oftmals so eine Pizzabox mit zwei guten Netzwerkkarten und 512 MB RAM. Der ISA wird dann im intergrierten Modus (Proxy und Firewall) eingerichtet, ich mache das dann immer so, als einziger Server in einem eigenen Forest mit einer einseitigen Vertrauenstellung zur produktiven Domäne. Selbst wenn es jemand schaffen sollte, meinen ISA zu knacken (oder wenn ich ihn fehlkonfiguriert hätte), wäre er immer noch nicht in meiner Domäne.

 

Der Server wird lediglich als Datei- und Printserver genutzt und ist exakt gleich ausgestattet wie mein bald neuer. Sprich 3 GB RAM, 2 x 74 GB U320 SCSI-Platten, 2 x 2,4 GHz Xeon-Prozzi, 80 GB IDE Platte u. ASUS PR-DLS/533 Board...

 

einseitige Vertrauensstellung??

Also der SBS unterstützt keine Vertrauensstellung, das hab ich gestern schon probiert.. Müsste dann wohl dem 2003er sagen oder?

Was ist ein Forest?

 

ich merk schon... heftige überlegungen, die man da anstreben muss...............

mal sehen, was mein chef dazu sagt, wenn ich ihm das alles sage.. der ist ja immer noch davon überzeugt, dass wir von McAfee bzw. NAI den richtigen Tipp bekommen - ich glaub da mittlerweile ja überhaupt nicht mehr dran!

Link zu diesem Kommentar

Für ISA gibt es nicht viele Bücher. Es gibt da :

 

- das Buch von Tom Shinder, ich habe es in Englisch, scheint es aber inzwischen in deutscher Übersetzung zu geben: link hier, da werden auch noch andere Bücher aufgezählt, kann ich aber nichts dazu sagen, habe nur das Shinder Buch:

http://www.msisafaq.de/Seiten/books.htm#3826609964

 

Dann wurde hier im Board noch folgendes Buch empfohlen:

http://www.amazon.de/exec/obidos/ASIN/3833004401/qid%3D/302-6942189-7850421

 

 

Für manche Fragen, oder ich weiss nicht wie soll ich das jetzt einrichten, gibt es die wahrscheinlich beste Seite zu ISA im Internet mit vielen Anleitungen und Antworten auf Fragen:

http://www.isaserver.org

 

Grüße

 

grizzly999

Link zu diesem Kommentar
  • 6 Monate später...

Das Thema ist zwar schon alt, aber für mich wieder aktuell.

 

Ich habe gestern auf unserem neuen SBS2003 nochmal einen Test versucht und folgendes eingerichtet:

 

IP-Protokollregel für TCP

Richtung: Beide

Lokaler Port: Dynamisch

Remoteport: Fest

Remoteportnummer: 80

 

Ist das jetzt so in Ordnung oder muss ich da jetzt wieder befürchten, dass mein System relativ offen für Angriffe ist?

 

MiLLHouSe

Link zu diesem Kommentar
  • 1 Monat später...

Für mich ist dieses Thema leider auch noch aktuell. :(

Alle Anfragen vom Server nach draussen auf einen Port umzubiegen halte ich auch nicht für sonderlich sinnvoll in Zeiten von Trojanern, die sich in IRC Channels anmelden und auf's Herrchen warten.

 

Hat keiner eine Idee wie man dediziert nur die Anfrage von Groupshield auf z.B. Port 21 umbiegen kann? :confused:

Irgendwie in Konfigrationsdateien von Groupshield rummanschen? Hinweise hab ich bis Dato leider nicht gefunden.

 

Ich finde das von NAI eigentlich ziemlich unglaublich, das es nicht möglich ist, einfach den Port fest zu legen. :suspect:

Link zu diesem Kommentar

Ich hab das mittlerweile hinbekommen, jetzt kann mein Groupshield endlich updates machen :D

 

 

 

Im ISA einen IP-Paketfilter anlegen

 

IP-Protokoll: TCP

Richtung: Ausgehend

Lokaler Port: Dynamisch

Remoteport: Fester Port

Remoteportnummer: 80

 

als Update-Server den HTTP einrichten, sonst geht's nicht. Über FTP hab ich es allerdings nicht hinbekommen...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...