ISA Server vs Router

[Skeeve 10]

Hi Leute,

 

in Anbetracht meiner meiner hohen Stromrechnung wäge ich gerade ab, ob ich wirklich einen ISA-Server brauche.

 

Folgende Situation:

Ein 2003 R2 64Bit Server mit Exchange 2007 läuft hinter eine Fritz!Box Fon WLAN. Dieser Server ist auch gleichzeitig DC und FileServer.

Es gibt als Clients nur mich und einen weiteren Rechner.

Der DSL-Anschluss verfügt über eine feste IP.

 

Anforderung:

Emailabgleich mit Laptop und/oder Handy (Active Sync, RPC over HTTPS)

Webmail (OWA) - evtl. auch mal Sharepointordner oder Freigaben per OWA

Emaileingang per SMTP(S)

 

Warum die Frage?

Nun, ich brauche keine Einschränkungen was den ausgehenden Traffic angeht. VPN brauche ich auch nicht unbedingt. Und nen Proxy ist auch nicht nötig.

Nachdem was ich gelesen habe schaut der ISA gar nicht in die Pakete hinein und verwirft keine Pakete, die nicht standardkonform sind.

 

Ich kann das nicht so recht glauben und wollte mir daher mal eure Meinung dazu anhören.

 

Bin für jede Anregung dankbar!

[BrainStorm 10]

Hallo Skeeve

Nachdem was ich gelesen habe schaut der ISA gar nicht in die Pakete hinein und verwirft keine Pakete, die nicht standardkonform sind.

 

Das stimmt so nicht, gerade weil der ISA das tut kann auch auf Applikationsebene gefiltert werden ;)

[Jim di Griz 13]

Ich betreibe einen ISA mit einer ähnlichen Umgebung dahinter und hab spass dran im 2ten bildschirm den ganzen tag zuzuguuggen was passiert :)

Ich finde ihn schon toll, allerdings etwas vereinfacht:

Beispiel:

Habe ich DNS Anfragen in ein Netz ohne Route gibt der ISA als Fehler ein Access denied aus (statt no route to host).

Ich haette mir da mehr details erwartet. einige Features sind etwas unklar gestrickt, speziell Perimeter Networks finde ich etwas unklar beschrieben.

Wenn du ein tool wie showtraffic mitlaufen laesst und vergleichst wirst du feststellen das der ISA halt immer nur neue Verbindungsversuche anzeigt, man aber kaum Überblick bekommt wer grad mit wem spricht.

Der Standardreport, der m.W. auch kaum geändert werden kann zeigt zwar dropped packets pro ip an, aber nicht wie und wo diese zustandekamen

Das fand ich persönlich etwas enttäuschend.

 

hm, merke grad am thema vorbei. ich bin auf der anderen seite ganz froh das Teil zu haben.

Nachdem selbst die Bundeswehr von conf...er verseucht wurde ist mir der schnelle blick aufs netztreiben richtig ans herz gewachsen :)

und für eine schnelle fehlersuche ist die vereinfachte anscht ideal. (bei mir ist der dc alleine in einem subnetz und 3 andere netze enthalten verschiedene betriebssysteme/Applikationsserver, es läuft also so gut wie alles ueber den ISA)

 

irgendwie...wenn du den isa schon verwendest muesstest du über das rpc-protokoll gestolpert sein.

da siehst du dann ganz klar das ISA über Applikationsfilter verfügt..... und wie schoen die Arbeit gerade mit RPC als Applikationsfilter sein kann (da haben aber UNIX Firewalls ageblich noch groessere Probleme)

[Skeeve 10]

@Brainstorm

Bist Du Dir sicher, dass das einen Sicherheitszugewinn bringt? Ist das nicht ausgehend in Kombination mit der Clientsoftware?

 

@Jim di Griz

Finde die Übersicht auch ausbaufähig. Aber für meinen konkreten Fall werte ich das als "brauchst Du nicht" :)

[BrainStorm 10]

@Brainstorm

Bist Du Dir sicher, dass das einen Sicherheitszugewinn bringt? Ist das nicht ausgehend in Kombination mit der Clientsoftware?

 

Was erwartest du den für einen Sicherheitsgewinn? Im Falle von z.B. OWA und Sharepoint mit einer Webveröffentlichung sicherlich, da der SSL Verkehr am ISA Server terminiert wird. Erst wenn ISA die Pakete als "sicher" empfindet gehts weiter ins interne Netz zu den betroffenen Services.

[Skeeve 10]

Ich möchte sicherstellen, dass niemand von extern Zugriff auf meine Daten erhält.

Meinem Verständnis nach erledigt sich der Bedarf für mich, wenn der ISA die Pakete auch nur wie die Fritzbox weiter leitet. Im Falle SSL lehnt der ISA die Verbindung ab, wenn keine korrekte Aushandlung zustande kommt. Das ist gut, aber ist das besser als wenn es der Exchange selbst macht?

 

Versteh mich nicht falsch, ich will den ISA nicht madig machen, ich überlege nur, ob ich mit ruhigem Gewissen meinen Exchangeserver mit einer eigenen externen Netzwerkkarte für die Ports 80,443,25,465 erreichbar machen kann, ohne meine Daten zu riskieren.

[Jim di Griz 13]

Was erwartest du den für einen Sicherheitsgewinn? Im Falle von z.B. OWA und Sharepoint mit einer Webveröffentlichung sicherlich, da der SSL Verkehr am ISA Server terminiert wird. Erst wenn ISA die Pakete als "sicher" empfindet gehts weiter ins interne Netz zu den betroffenen Services.

 

konfigurier das erstmal so das es sicher und stabil läuft.

Und dann bleiben 2 Fragen: waers mit einer anderen Firewall besser oder schneller gegangen und sind alle weiteren Ansprüche damit auch abgegolten.

Für so speziele MS-Lösungen ist sicher ISA die bessere Wahl. Dasselbe Szenario unter UNIX würde ich nicht mit einer ISA Firewall kombinieren.

Ich wuerde heute weder ein solches MS-Szenario noch dasselbe unter UNIX nur mit einem Router und oder nur mit den integrierten Firewalls benutzen.

Mag sein das es strom kostet. bei deinem Rechner kannst du auch eine kleine vmware mit ISA oder IP-COP machen (500mb ram) die allen netzverkehr annimmt. der host bekommt daten nur über eine vmware NIC und gut.

 

und wenn der Virus von innen kommt und sendet? das ist dann auch egal weil du es evtl. nie siehst.

 

der isa blockt traffic nach regeln. wenn nichts definiert ist an ausnahmen blockt er ALLES. wer immer gesagt hat der isa server schaue nicht in die pakete und würde alles durchlassen hat mit sicherheit nie mit einem gearbeitet.

Der ISA ist ausbaufähig, aber nicht schlecht an sich

Der Punkt ist: sieht der ISA Server alles?

Wenn Hacker XY anfängt dein Netz mit speziell gecrafteteten Paketen aufzumischen wird ISA vermutlich merken das was nicht stimmt.

für alles weitere ist dann eher eine Intrusion Detection zuständig, da ist der ISA Server schwach

[Skeeve 10]

An den ESXi von VMware habe ich bereits gedacht, aber da hieß es, dass man im Hinblick auf Firewalls die Finger davon lassen sollte.

[Jim di Griz 13]

 

Versteh mich nicht falsch, ich will den ISA nicht madig machen, ich überlege nur, ob ich mit ruhigem Gewissen meinen Exchangeserver mit einer eigenen externen Netzwerkkarte für die Ports 80,443,25,465 erreichbar machen kann, ohne meine Daten zu riskieren.

well, NOGO. port 80 offen ohne Schutz, DAS Internet-Einfallstor offen für die Welt ohne jede Kontrolle.

Viel Spass

[NorbertFe 1.838]

Ich möchte sicherstellen, dass niemand von extern Zugriff auf meine Daten erhält.

 

Aha, und du meinst, dass ein Route der auf einigen Ebenen tiefer agiert, bessere Sicherheit garantiert, als eine ziemlich aktuelle Firewall? ;)

 

Meinem Verständnis nach erledigt sich der Bedarf für mich, wenn der ISA die Pakete auch nur wie die Fritzbox weiter leitet.

 

Wer sagt, dass er das tut?

 

Im Falle SSL lehnt der ISA die Verbindung ab, wenn keine korrekte Aushandlung zustande kommt. Das ist gut, aber ist das besser als wenn es der Exchange selbst macht?

 

Nur mal zum Verständnis. Wenn der ISA eine Verbindung in dem Fall eine Verbindung blockt, kam noch keine Verbindung zu deinem Server mit deinen Daten zustande. Schau mal ganz oben in deine Anforderung.

Wenn der Exchange die Verbindung terminiert, rate mal, was mir dann eigentlich als pöser Hacker nur noch fehlt.

 

 

Versteh mich nicht falsch, ich will den ISA nicht madig machen, ich überlege nur, ob ich mit ruhigem Gewissen meinen Exchangeserver mit einer eigenen externen Netzwerkkarte für die Ports 80,443,25,465 erreichbar machen kann, ohne meine Daten zu riskieren.

 

Kannst du ruhigen Gewissens tun, wenn dir deine Daten nicht wichtig sind, und du gerne multihomed Server betreibst. Wie kann man zu so einer Überlegung kommen?

 

Bye

Norbert

[Skeeve 10]

Aha, und du meinst, dass ein Route der auf einigen Ebenen tiefer agiert, bessere Sicherheit garantiert, als eine ziemlich aktuelle Firewall?

 

Mit Sicherheit nicht, die Frage drehte sich um "wirklich notwendig"

 

Wer sagt, dass er das tut?

Weiss nicht mehr so genau, wie ich darauf komme. Vermutlich falsch geschlussfolgert aus irgend einem Forum

 

 

Nur mal zum Verständnis. Wenn der ISA eine Verbindung in dem Fall eine Verbindung blockt, kam noch keine Verbindung zu deinem Server mit deinen Daten zustande. Schau mal ganz oben in deine Anforderung.

Wenn der Exchange die Verbindung terminiert, rate mal, was mir dann eigentlich als pöser Hacker nur noch fehlt.

 

Das Konzept ist definitiv besser, aber unter "terminiert" verstehe ich blocken. Deine Aussage klingt für mich aber nach "Tor offen"!?

 

Kannst du ruhigen Gewissens tun, wenn dir deine Daten nicht wichtig sind, und du gerne multihomed Server betreibst. Wie kann man zu so einer Überlegung kommen?

 

Will ich auf keinen Fall. Und wie ich eingangs schrieb sind die Kosten Stein des Anstosses gewesen. Und beim SBS ist doch kein ISA dabei, oder?

 

Danke für die Beteiligung!

 

EDIT: SbS hat ja doch den ISA drin... Mein Fehler.

[NorbertFe 1.838]

Mit Sicherheit nicht, die Frage drehte sich um "wirklich notwendig"

 

Das hängt von deinen Sicherheitsvorstellungen ab.

 

Das Konzept ist definitiv besser, aber unter "terminiert" verstehe ich blocken. Deine Aussage klingt für mich aber nach "Tor offen"!?

 

Wenn du damit den Exchange meinst, dann ist das ja auch so. ;)

 

EDIT: SbS hat ja doch den ISA drin... Mein Fehler.

 

Nur der SBS 2003 Premium. Der SBS 2008 hat den nicht mehr enthalten, es sei denn man hatte den SBS 2003 Premium mit SA erworben.

 

bye

Norbert