PAT 10 Geschrieben 2. Oktober 2005 Melden Teilen Geschrieben 2. Oktober 2005 Hallo! :D Kann mir jemand sagen, ob ich beim ISA konfigurieren kann, dass eine bestimmen Software "freigeschaltet" werden kann? Zum Beispiel kann man bei den meisten Software-Firewalls (ja, ich weiss, ISA ist keine Software-Firewall), angeben, dass z.B. der Messenger vom ISA nicht geblockt wird. P.S. Ich hoffe, ich habe meine Frage verständlich ausgedrückt. Ich weiss nicht so recht, wie ich es anders erklären kann. Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 3. Oktober 2005 Melden Teilen Geschrieben 3. Oktober 2005 Hallo PAT, Kann mir jemand sagen, ob ich beim ISA konfigurieren kann, dass eine bestimmen Software "freigeschaltet" werden kann? ...dass z.B. der Messenger vom ISA nicht geblockt wird.Nur anhand der spezifischen Kommunikation. Die Anwendung selbst kann nicht überwacht werden. Das ginge ohnehin nur, wenn die Anwendung auf dem ISA selbst laufen würde. Den ISA setzt man aber imho am Besten als dedizierte Firewall ein.Im Übrigen wissen wir doch alle, dass auch die Anwendungsüberwachung nur eine Scheinsicherheit vorgaukelt, welche sich leicht aushebeln lässt. Gruß Steffen Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 3. Oktober 2005 Autor Melden Teilen Geschrieben 3. Oktober 2005 Hallo PAT, Nur anhand der spezifischen Kommunikation. Die Anwendung selbst kann nicht überwacht werden. Das ginge ohnehin nur, wenn die Anwendung auf dem ISA selbst laufen würde. Den ISA setzt man aber imho am Besten als dedizierte Firewall ein. Im Übrigen wissen wir doch alle, dass auch die Anwendungsüberwachung nur eine Scheinsicherheit vorgaukelt, welche sich leicht aushebeln lässt. Gruß Steffen Ja stimmt schon. Der ISA läuft bei mir auch auf getrennter HW. Ich habe aber hier z.B. das Problem, dass der MSN Messenger (7.0 bzw 7.5) zwar läuft, bestimmte Funktionen, wie z.B. die Videoübertragung, nicht funktionieren. Ich habe zwar ewig gesucht, welches Ports usw.ich freischalten muss, komm aber irgendwie auf keinen grünen Zweig. Jetzt wollte ich mal schauen, ob es überhaupt generell geht. Was meinst Du übrigens mit ]Nur anhand der spezifischen Kommunikation. Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 3. Oktober 2005 Melden Teilen Geschrieben 3. Oktober 2005 Was meinst Du übrigens mit "Nur anhand der spezifischen Kommunikation"Ich hatte Deine Frage so verstanden, dass Du wissen wolltest, ob der ISA ähnlich wie Zonealarm & Co für einzelne Anwendungen dynamisch Zugriffsregeln erstellen kann. Dies ist meines Wissens nicht möglich. Jedenfalls nicht bei Verwendung eines SecureNAT-Clients. Dort "sieht" der ISA schließlich nur den vom Client bzw. der darauf laufenden Applikation generierten Netzwerktraffic. Mit dem Firewallclient ist es hingegen nicht nur möglich, eine Benutzer-Authentifizierung für Nicht-Webprotokolle zu implementieren, sondern auch Informationen über den initiierenden Prozess an den ISA zu übermitteln und dort loggen. Das Regelwerk kann man hingegen trotzdem nicht applikationsabhängig gestalten. Zumindest verstehe ich >>diesen Artikel<< so. Ohnehin scheinst Du aber etwas anderes im Sinn zu haben: Ich habe aber hier z.B. das Problem, dass der MSN Messenger (7.0 bzw 7.5) zwar läuft, bestimmte Funktionen, wie z.B. die Videoübertragung, nicht funktionieren. Ich habe zwar ewig gesucht, welches Ports usw.ich freischalten muss, komm aber irgendwie auf keinen grünen Zweig.Na da hast Du "den Richtigen" gefragt. :shock: Ich nutze weder privat noch beruflich irgend welche Messenger - geschweige denn Videokonferencing. :o Wenn einer auf Arbeit mit diesem Wunsch kommt, dann jage ich ihn weg! :D Achtung jetzt wird's "dünn" :): Das Problem bei VOIP und Videoübertragungen ist meines Wissens die Komplexität und Dynamik der verwendeten Protokolle. Das Streaming erfolgt wohl über nachgelagerte Verbindungen, welche häufig von aussen initiiert werden und/oder wechselnde Ports bzw. Portbereiche verwenden. Dem ist mit einer auf der Transportschicht arbeitenden Firewall nicht beizukommen (jedenfalls nicht ohne diese bis zur Bedeutungslosigkeit zu durchlöchern). Man benötigt also spezielle Anwendungsfilter bzw. Application Level Gateways, welche - auf Layer 7 arbeitend - das verwendete Protokoll "verstehen", um entsprechend dynamisch auf deren Erfordernisse reagieren zu können. Im ISA2000 gab es bspw. einen sog. H.323 Gatekeeper. Hierüber lief dann z.B. Netmeeting. Der H.323 Gatekeeper ist im ISA2004 aber nicht mehr enthalten. Vermutlich weil der Trend zu SIP geht. Ein SIP-Filter bzw. SIP-Proxy ist aber ebenfalls nicht enthalten. :mad: Alles was ich bislang von MS zum Thema SIP & ISA 2004 erfahren habe ist, dass es (derzeit) keine Chance gibt.Viel Hoffnung kann ich Dir also nicht machen, dass Du das ans Laufen bekommst. Aber vielleicht hat ja jemand anderes davon mehr Ahnung als ich und liest hier mit... :wink2: Gruß Steffen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.