Jump to content

Öffnen der Firewall für SUS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Moin, moin,

 

ich möchte einen SUS-Server installieren, unsere Firewall läßt jedoch keine Kommunikation mit dem Microsoft-Server zu. Die Telekom, die unsere Firewall administriert, behauptet, daß bei der Öffnung derselben eine gigantische Sicherheitslücke entsteht, über die "jeder Hacker" Zugriff auf unser Netz bekommt.

 

Stimmt das? Welche Ports müssen geöffnet werden? Welche Sicherheitsrisiken entstehen durch die partielle Öffnung der Firewall?

 

(bin ich in diesem Subforum richtig oder gehört das zum Backoffice Forum?)

 

Mfg

Link to comment

Hallo,

 

ich mag da jetzt falsch liegen, aber m. E. ist lediglich der Port 80 zu öffnen.

Unglaublich: ich habe gerade ein Update unseres SUS-Servers gemacht und dabei spaßeshalber den Netzwerkmonitor von W2k3 mitlaufen lassen. Das Log habe ich dann mal überflogen und danach *gelöscht* :cry: Aber beim Überfliegen ist mir außer Standardverkehr nichts ins Auge gesprungen.

 

Kann mich aber auch irren.

 

Es grüßt

 

MF

Link to comment

Das sehe ich genauso. Microsoft beschreibt in der knowledge base, wie man den SUS für die Kommuniktion über einen Proxy, z.B. ISA konfiguriert, also gehe ich von default Port 80 TCP aus.

 

Besser als der Netzwerkmonitor wäre wohl das Tool Ethereal in Verbindung mit WinPCap, das verwende ich unter Windows, wenn ich Traffic analysieren will.

 

Das Problem mit der Firewall ist eines, dessen Tragweite hier so nicht beleuchtet werden kann. Die Frage ist ja auch, ob die Microsoft Seite überhaupt angesurft werden kann...

 

Wenn Ihr den Internetzugriff allerdings über einen Proxy realisiert habt (was ich für sinnvoll halte), dann liegt's ggf. daran, dass der SUS einen Nutzernamen und ein Passwort für den Proxy braucht.

Link to comment
Original geschrieben von pandur

Wenn Ihr den Internetzugriff allerdings über einen Proxy realisiert habt (was ich für sinnvoll halte), dann liegt's ggf. daran, dass der SUS einen Nutzernamen und ein Passwort für den Proxy braucht.

 

Auch ein Nutzername und ein Passwort läßt sich in den Konfigurationsoptionen hinterlegen.

 

Was mich aber nervös macht ist der Dreiklang Telekom - Firewall - Administrieren

 

SCNR

 

Es grüßt

 

MF

Link to comment

Nee, nee, mach Dich mal nicht wegen der Magenta farbenen Firma irre. Ich habe in unserem Bereich jetzt einige Leute kennengelernt, die von der Firma kommen und die sind allesamt richtig gut. Ich habe nur meine Probleme mit dem 1st Level Support...

 

Aber die Technik die dahinter steckt und die Techniker, die sie betreiben, die machen das schon garnicht so schlecht. Auf jeden Fall sind sie besser als ihr Ruf.

 

Das soll den Thread jetzt aber nicht zu einer allgemeien Diskussion und einem Glaubenskrieg für oder wider die Telekom machen. ;-)

 

Dass man die Credentials entsprechend auch einträgt hatte ich jetzt vorausgesetzt...

Link to comment

Den Port 80 (http) macht man in dem Moment auf, in dem man seinen Anwendern Zugriff auf das Internet gestatten will.

Du hast recht, es gibt reichlich Möglichkeiten über diesen Port ****sinn anzustellen, aber das ist der Preis für einen Internetzugriff.

 

Man kann den Proxy sicherlich so konfigurieren, das er alle Anfragen verwirft, außer die für SUS nötigen, Fakt bleibt aber: Port 80 ist in dem Moment offen.

 

Die Frage nach der nötigen Sicherheit hängt stark von Deinem Arbeitgeber ab. MAD und BND haben sicherlich andere Ansprüche als Klötenklempers Glaserei.

 

Es grüßt

 

MF

Link to comment

Deine Frage ist nicht soo leicht zu beantworten.

 

Meine Meinung:

 

1. Ist es im Grundegenommen kein Problem, http über Port 80 ausgehen UND stateful zu erlauben. Schliesslich wollt Ihr ja alle im Netz surfen.

 

2. Gibt es mehrere Möglichkeiten einen Proxy zu konfigurieren, z.B. mit und ohne Nutzerkennungen, transparent oder nicht etc. Weiterhin gibt es da ja auch mehrere Produkte, die Unterschiedliche Möglichkeiten bieten.

 

Ein Sicherheitsrisiko sehe ich also nicht spontan, sondern erst im Bezug auf eine bestimmte Umgebung.

 

Solltest Du spezielle Fragen haben, kannst Du sie mir jederzeit gerne stellen.

 

Greets, Jens

Link to comment

Active X ist dann kein Problem, wenn man Filterfunktionen entsprechend konfiguriert. Und eine Firewall Lösung, die Active X filtern kann, der kann man mit Sicherheit auch sagen, dass das nur für eine Zieladresse geht. Wo ein Wille, da ein Weg.

Automatische Updates aufgrund der Sicherheit zu verhindern ist PARADOX.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...