How To für OWA in der DMZ

[LukasB 10]

Ja, das kann Forefront TMG auch:

 

Forefront TMG (ISA Server) Product Team Blog : Exercising NIS with test signature

[LukasB 10]

Und da wir hier gerade beim Thema sind:

 

Exchange CAS in der DMZ? - Exchange, Security and Active Directory

[NorbertFe 2.283]

Isa ist ein Reverse Proxy, wie z.B. der Apache mit dem Proxymodul oder Squid auch sein kann. Eine WAF wie mod_security schaut zusätzlich noch die Http Pakete an und leitet sie nicht nur weiter. Wenn in einer Http Anfrage verdächtige Anforderungen stehen (z.B. SQL injection, XSS,...) kann die Anfrage verworfen werden.

 

Web Application Firewall ? Wikipedia

 

 

Bla.. ;)

Eine Web Application Firewall (WAF) ist eine Technologie, die Web-Anwendungen vor Angriffen über das HTTP-Protokoll schützen soll. Teilweise wird diese Technologie auch als Web Shield, Application-Level-Gateway (ALG) oder Application-Level-Firewall (ALF) bezeichnet

 

OK schauen wir mal:

http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/features.aspx

Multi-layer firewall

Provides three types of firewall functionality: packet filtering (also called circuit-layer), stateful filtering, and application layer filtering.

 

Application layer filtering

Provides deep content filtering through built-in application filters.

 

oder auch

 

SSL bridging support

To guard against embedded attacks in HTTP traffic, SSL bridging allows SSL protected packets to be decrypted by ISA Server 2006, inspected, and re-encrypted.

 

So ganz wird mir der Unterschied den du hier zu sehen scheint nicht klar.

 

Bye

Norbert

[Dukel 468]

Es geht ja nicht darum, dass ein ISA nicht sicher ist sondern das man das ganze mit anderen Mitteln mindestends genau so sicher machen kann.

[Stephan Betken 43]

Es geht ja nicht darum, dass ein ISA nicht sicher ist sondern das man das ganze mit anderen Mitteln mindestends genau so sicher machen kann.

Das las sich oben aber ganz anders.

Dafür gibts mod_security. Sowas hat dafür der ISA nicht an Bord (oder ist der mitlerweile auch WAF?).

Und zu mittlerweile: Das kann schon ISA 2000.

[BrainStorm 10]

Es geht ja nicht darum, dass ein ISA nicht sicher ist sondern das man das ganze mit anderen Mitteln mindestends genau so sicher machen kann.

 

Kannst du das irgendwie belegen? ISA 2006 ist zum Beispiel Common Criteria geprüft und zertifiziert. Über mod_security finde ich nichts dergleichen.

[Dukel 468]

Das las sich oben aber ganz anders.

 

Ich hatte expliziet den Teil von Norbert am Anfang zitiert:

Zur Not kanns aber auch ein Apache. Nur den muß man auch erstmal sicher konfiguriert bekommen.

 

Um nichts anderes ging es mir.

[Stephan Betken 43]

Um nichts anderes ging es mir.

Ah ja, dann hatte ich das wohl falsch verstanden...

Sowas hat dafür der ISA nicht an Bord (oder ist der mitlerweile auch WAF?).

...oder nicht? ;)

 

Aber ein Beleg für die Sicherheit einer Eigenbaulösung auf Apache mit mod-security würde mich natürlich auch interessieren.

[NorbertFe 2.283]

Ich hatte expliziet den Teil von Norbert am Anfang zitiert:

Zur Not kanns aber auch ein Apache. Nur den muß man auch erstmal sicher konfiguriert bekommen.

 

Um nichts anderes ging es mir.

 

Ja und genau meine Aussage steht doch erstmal noch im Raum. ;) Man (%admin%) muss einen Apache mit oder ohne mod_security erstmal so sicher konfiguriert bekommen, wie man das bspw. mit dem ISA 2006 oder TMG hinbekommt. Wo man zusätzlich sogar noch diverse Wizards dafür bekommt. Insofern verstehe ich deine Aussage nicht so ganz, denn auch ein Apache ohne mod_security wäre als reverseproxy immer noch sicherer (bei korrekter Konfig) als wenn man den CAS/FE in die DMZ packt, oder SSL direkt auf den Exchange im LAN leitet.

 

Bye

Norbert

[Dukel 468]

Mir ging es nur darum, dass man den ISA Server mit einem Apache oder Squid austauschen kann. Nicht mehr und nicht weniger. Wie komfortabel oder sonst was ist eine andere Frage.

[NorbertFe 2.283]

Off-Topic:
Nur damit das nicht ausartet: Was genau war denn an meiner Aussage anders zu verstehen? ;)

Bye
Norbert