ISA 2004: Loginsicherheit für HTTP DMZ

[Lanjunkie 10]

Hallo Leute habe mal wieder ne Fachfrage:

 

Hab ein internes Netz mit Domain in der zum Internet ein Proxyserver mit ISA2004 steht, dieser ist ebenfalls Teil der Domain da für den Webfilter nach draußen die Anmeldeinformationen darüber entscheiden was man sehen darf und was nicht.

Vor dem ISA Server hängt noch ein DSLRouter mit einer internen Firewall.

So nun soll eine Website extern freigegeben werden, aber nur für Mitarbeiter!

Kein anderer (Annonymer soll die HP angezeigt bekommen)

Dazu haben wir ne DMZ (mit dritter LAN Karte) erstellt und den Webserver da rein gepackt. Danach die Filterreglen im ISA festgelegt und im DSL Router alles nötige eingestellt.

Soweit so gut auf dem Webserver läuft IIS6.0 und ist nun auch von außen erreichbar.

 

Nun die Frage:

Damit nur User die Seite sehen die es sollen, haben wir im ISA Server für die DMZ Weiterleitung (Weblistner) eingestellt das eine Autentifizierung immer nötig ist und auf DIGEST Autentifizierung gestellt.

Funktioniert auch wunderbar, sobald man mit der URL kontakt auf nehmen will kommt ein Login Fenster. Hier muss man dann allerdings seinen Domänenlogin eingeben und weiter gehts. Funktioniert alles wie gewohlt.

Aus der DMZ gibts außer einem Port für eine SQL Verbindung keine weiteren Ports welche ins interne LAN gehen.

 

Allerdings stellen wir uns die Frage wie sicher das ganz ist. Immerhin muss man in dem Loginfenster seine Domainanmeldung eingeben.

Wie werden die Daten hier übertragen?? Immerhin ist es ja DIGEST, aber was heißt das? Werden die Daten des Loginfensters auch einfach per HTTP übertragen??

Wir verwenden zwar komplexe Passwörter, welche alle 30Tage geändert werden müssen. Aber wenn jemand die Daten erspäht könnte er damit was anfangen?? Der ISA läßt ja nur HTTP anfragen per Listner zum Webserver durch. Und im DSL Router sind außer diesem Port alle anderen dicht. Was meint ihr dazu?

:confused:

----------------- ------------ -----------------

- LAN (Domäne) - <--> - ISA 2004 - <--> - Router mit FW -- > Internet

----------------- ----- | ---- -----------------

|

|

Webserver in DMZ

[Stephan Betken 43]

Was meint ihr dazu?

Hallo Lanjunkie,

 

ich meine: grausig! ;)

Die Digest-Authentifizierung ist zwar sicher (Understanding ISA’s different Authentication types.), aber die restliche Übertragung nicht.

Ändere das mal so, dass HTTPS verwendet wird. Das folgende Beispiel behandelt zwar OWA, aber damit sollte man dennoch zurecht kommen. Configuring ISA to Redirect OWA Users to the Correct Directories and Protocols (Part 1)

Also 443 auf dem Router weiterleiten und Zertifikat nicht vergessen. Zugriff über HTTP sollte man nur für öffentliche Daten verwenden, aber nicht für unternehmensinterne Daten. :)