LukasB 10 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Ja, das kann Forefront TMG auch: Forefront TMG (ISA Server) Product Team Blog : Exercising NIS with test signature Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Und da wir hier gerade beim Thema sind: Exchange CAS in der DMZ? - Exchange, Security and Active Directory Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Isa ist ein Reverse Proxy, wie z.B. der Apache mit dem Proxymodul oder Squid auch sein kann. Eine WAF wie mod_security schaut zusätzlich noch die Http Pakete an und leitet sie nicht nur weiter. Wenn in einer Http Anfrage verdächtige Anforderungen stehen (z.B. SQL injection, XSS,...) kann die Anfrage verworfen werden. Web Application Firewall ? Wikipedia Bla.. ;) Eine Web Application Firewall (WAF) ist eine Technologie, die Web-Anwendungen vor Angriffen über das HTTP-Protokoll schützen soll. Teilweise wird diese Technologie auch als Web Shield, Application-Level-Gateway (ALG) oder Application-Level-Firewall (ALF) bezeichnet OK schauen wir mal: http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/features.aspx Multi-layer firewall Provides three types of firewall functionality: packet filtering (also called circuit-layer), stateful filtering, and application layer filtering. Application layer filtering Provides deep content filtering through built-in application filters. oder auch SSL bridging support To guard against embedded attacks in HTTP traffic, SSL bridging allows SSL protected packets to be decrypted by ISA Server 2006, inspected, and re-encrypted. So ganz wird mir der Unterschied den du hier zu sehen scheint nicht klar. Bye Norbert Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Es geht ja nicht darum, dass ein ISA nicht sicher ist sondern das man das ganze mit anderen Mitteln mindestends genau so sicher machen kann. Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Es geht ja nicht darum, dass ein ISA nicht sicher ist sondern das man das ganze mit anderen Mitteln mindestends genau so sicher machen kann. Das las sich oben aber ganz anders. Dafür gibts mod_security. Sowas hat dafür der ISA nicht an Bord (oder ist der mitlerweile auch WAF?). Und zu mittlerweile: Das kann schon ISA 2000. Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Es geht ja nicht darum, dass ein ISA nicht sicher ist sondern das man das ganze mit anderen Mitteln mindestends genau so sicher machen kann. Kannst du das irgendwie belegen? ISA 2006 ist zum Beispiel Common Criteria geprüft und zertifiziert. Über mod_security finde ich nichts dergleichen. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Das las sich oben aber ganz anders. Ich hatte expliziet den Teil von Norbert am Anfang zitiert: Zur Not kanns aber auch ein Apache. Nur den muß man auch erstmal sicher konfiguriert bekommen. Um nichts anderes ging es mir. Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Um nichts anderes ging es mir. Ah ja, dann hatte ich das wohl falsch verstanden... Sowas hat dafür der ISA nicht an Bord (oder ist der mitlerweile auch WAF?)....oder nicht? ;) Aber ein Beleg für die Sicherheit einer Eigenbaulösung auf Apache mit mod-security würde mich natürlich auch interessieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Ich hatte expliziet den Teil von Norbert am Anfang zitiert:Zur Not kanns aber auch ein Apache. Nur den muß man auch erstmal sicher konfiguriert bekommen. Um nichts anderes ging es mir. Ja und genau meine Aussage steht doch erstmal noch im Raum. ;) Man (%admin%) muss einen Apache mit oder ohne mod_security erstmal so sicher konfiguriert bekommen, wie man das bspw. mit dem ISA 2006 oder TMG hinbekommt. Wo man zusätzlich sogar noch diverse Wizards dafür bekommt. Insofern verstehe ich deine Aussage nicht so ganz, denn auch ein Apache ohne mod_security wäre als reverseproxy immer noch sicherer (bei korrekter Konfig) als wenn man den CAS/FE in die DMZ packt, oder SSL direkt auf den Exchange im LAN leitet. Bye Norbert Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Mir ging es nur darum, dass man den ISA Server mit einem Apache oder Squid austauschen kann. Nicht mehr und nicht weniger. Wie komfortabel oder sonst was ist eine andere Frage. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 Off-Topic:Nur damit das nicht ausartet: Was genau war denn an meiner Aussage anders zu verstehen? ;) ByeNorbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.