Jump to content

ISA Server 2004 oder Hardware Firewall


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen...

 

Ich muss in nächster Zeit ein Projekt realisieren wobei ich mich zwischen zwei Lösungen entscheiden muss. Ich bin mir aber noch nicht sicher welche "besser" wäre.

Variante 1:

Internet--> Modem--> Hardware FW (Pix501)-->Lokales Netz (mit diversen Clients und einem SBS Pre. Server)

Variante 2:

Internet --> Modem--> SBS Pre mit ISA 2004 Server als FW und Gateway --> Lokales Netz

 

Ist es von der Sicherheit her, empfehlenswert die erste Variante zu nehmen? Da ja bei der zweiten Variante, der Windows Server direkt im Internet steht und "direkt" angegriffen werden könnte. Wobei die ISA 2004 FW allenfalls durch Sicherheitslücken im Betriebssystem umgangen werden könnte? Weiter wäre da noch das ja der Windows Server ständig „online“ sein muss damit das Internet erreichbar wäre... Von den Kosten her wäre sicher Variante 2 die bessere.

 

Hat ev. jemand Testberichte oder Begründungen die meine Entscheidung erleichtern würde? Danke viel mals....

 

grusss

snowfake

Link to comment

Ich würde in diesem Fall immer die "Hardware Firewall" und hier ganz besonders die PIX o. ä., vorziehen:

 

1) Keine beweglichen Teile wie HD vorhanden, was nicht drin ist, kann nicht kaputt werden.

 

2) zumindest bei der PIX ist ein proprietäres Betriebssystem vorhanden, ist schon daher noch schwieriger zu hacken als eine gehärtete Unix/Linux basierende Firewallbox.

 

3) Spricht ja nichts dagegen, nach der PIX den ISA-Server zu betreiben bzw. den vom SBS zu aktivieren.

 

also so:

 

Internet --> Modem --> PIX --> SBS mit ISA aktiv --> Lokales Netz mit Clients

 

Ausserdem wird hier auch der strengste Sachverständige bei dieser Konfiguration (vorausgesetzt, alle Teile sind nach dem letzten Stand der Technik konfiguriert sind) sich ziemlich schwertun, Dir Teilschuld zuweisen, falls durch die PIX in das System eingedrungen werden kann.

 

Variante zwei bei Deiner Konfiguration: absolutes NoNo.

 

eventuell Variante drei:

 

Internet --> Modem --> eigenständ. ISA-Server --> Lokales Netz (und da drin den SBS)

 

Würd ich aber auch nicht machen, zumindest nicht ohne PIX davor. Oder ohne PIX, dafür mit Firewallbox oder Linux Firewall wie Astaro oder IPCop (wenn schon wenig kosten soll)

Link to comment

Ich stimme da Wurzerl's Schlussfolgerungen zu. Nimm eine HW-Firewall und bau dir danach dein lokales Netz u.U. mit ISA-Server auf. Der ISA-Server mag FW-Funktionen bieten, jedoch widerspricht der Einsatz eines ISA-Servers als äussere FW jeglichem FW-Konzept. Für die Absicherung eines LANs sollte immer eine dedizierte HW-FW eingesetzt werden.

Es wäre jetzt müssig alle Fachbücher zu zitieren... ;)

 

Joe

Link to comment
Für die Absicherung eines LANs sollte immer eine dedizierte HW-FW eingesetzt werden.

 

Ein normaler Windows Server, Stand alone, nicht Domain Member, mit ISA 2004 installiert (möglicherweise noch gehärtet), ist dediziert. Du wiedersprichst dir selbst

 

Verwendung im Computerumfeld

 

Ein dediziertes Gerät ist speziell dazu ausgelegt eine einzige, spezielle Aufgabe zu erfüllen. In der Computerwelt ist beispielsweise bei Computerspielen ein dedizierter Server nur dafür da, die Aktionen der Spieler zu koordinieren, die über ein Netzwerk mit diesem Server kommunizieren.

 

http://de.wikipedia.org/wiki/Dediziert

 

;) ;)

 

 

 

P.S.: Weltklasse Layer 7 Firewalls wie Firewall-1/VPN-1 (PIX ist blos Layer 4(!)) laufen auch als Software Firewall.

Link to comment
Ein normaler Windows Server, Stand alone, nicht Domain Member, mit ISA 2004 installiert (möglicherweise noch gehärtet), ist dediziert. Du wiedersprichst dir selbst

Wenn du mir einen Windows-Server zeigst, der keine Datei-/Druckerfreigaben, keine offene Ports und ähnliches hat... :D Und angesichts der wöchentlich erscheinenden Sicherheitslücken halte ich ein auf Windows basierendes System nicht als geeignet, eine Sicherheitsfunktion (Firewall) zu bieten. Dedizierte HW-Firewalls haben ein speziell dafür ausgelegtes Betriebssystem. Bis jetzt gibt es zum Glück noch keine WinCE basierende HW-Firewall. ;)

 

Gruss

 

Joe

Link to comment

Hallo Joe, nichts für ungut, aber ich lese da eine Menge EDV-Stammtisch-Parolen, aber nichts, was irgendwie sauber fundiert ist

 

Der ISA-Server mag FW-Funktionen bieten, jedoch widerspricht der Einsatz eines ISA-Servers als äussere FW jeglichem FW-Konzept. Für die Absicherung eines LANs sollte immer eine dedizierte HW-FW eingesetzt werden.

Quark. Für die Absicherung des LANs sollte immer verwendet werden, was sicher ist. Und das ist der ISA neben vielen anderen ebenso.

 

Wenn du mir einen Windows-Server zeigst, der keine Datei-/Druckerfreigaben, keine offene Ports und ähnliches hat...

Wenn du mir einen ISA zeigst, der ohne Zutun eines Admin irgendeinen dieser oder anderer Ports nach außen hin offen hat ...

 

Und angesichts der wöchentlich erscheinenden Sicherheitslücken halte ich ein auf Windows basierendes System nicht als geeignet, eine Sicherheitsfunktion (Firewall) zu bieten

Die meisten davon betreffen den IE. Du weißt wieviele in den letzten 3 Jahren den 2003 Server direkt betrafen? Bis letztes Jahr waren 4 oder 5.

 

Dedizierte HW-Firewalls haben ein speziell dafür ausgelegtes Betriebssystem

Sind RISC Systeme, ja, aber RISC steht nicht für risikofrei ;)

 

Aber da du ja Experte in HW Firewall bist, kannst du mir sicher so Pi mal Daumem sagen, wieviele Patches - und ich meine richtige Patches, also wegen Security - es in den letzten 3 Jahren für die Pix gab, oder Firewall-1 oder Watchguard oder oder oder..

Ok, Mehr oder weniger als für den 2003 Server :suspect:

Ansonsten frag mal einen HW-FW Profi (der sich vor der Antwort nicht drückt!)

 

So, und da setze ich an, und viele Sicherheitsexperten auch. Deine viel herbeigeschworenen Sicherheitslücken beim ISA mit Server 2003 drunter: Ich mache eine Wette, dass mehr als 95% dieser Server und ISA von den Patches her besser versorgt sind, als 95% aller HW-Firewalls.

Es sind derer (HW-FWs) viele viele viele auf der Welt im Einsatz, und es sind derer viele, die sie nicht bedienen können, geschweige denn patchen und auf dem Stand der (Sicherheits-)Dinge halten können.

Diese Firewalls, oftmals jahrelang nicht upgedatet oder gepatcht (weil ist ja CISCO und damit autom. sicher; bis ans Ende der Zeit :D ) stellen ein größeres Risiko da, als ein gepflegter ISA, und das sind die meisten. Und warum? Weil die für viele Admins einfacher zu bedienen sind (am besten mit Kurs), und weil da das Sicheheitsdenken gerade wegen MS-Produkt höher ist.

Dann bekomme ich mit dem ISA Server eine Firewall, deren Umfang nur von wenigen überboten wird, und zu diesem Preis-Leistungsverhältnis sowieso nicht. Ich rede hier nicht von popeligen Port-Filtern, ja lasse Port 80 rein und mache den Port da zu. Zu mehr reicht es bei den meisten anderen FW nicht, aber zum 10fachen Preis und mehr teilweise, da reicht es gleich.

Ich rede von einem Multi Layer Application Filtering, feinst einzustellen, bis zum geht nicht mehr (dabei geht es auch um Sicherheit ;) ), von Site-to-Site Tunnels und VPN-Clientunterstützung mit Quaranänefunktion wenn man will, einzurichten nach Anleitung im Internet, wo man bei anderen FWs den teueren Spezialisten kaufen darf, so man einen guten bekommt, und Sonderwünsche wie "Die VPN Clients müssen auch gleich auf die Branch-Offices zugreifen können", auweia, ich glaube, da müssen wir noch ein paar Stunden extra fakturieren für die Config ihrer HW-FW.

 

Das sind die Fakten, zumindest ein paar, aus Sicht der Sicherheit, der Bedienbarkeit und des Return of Invest.

 

Achja, ich weiss, wovon ich rede.

 

 

grizzly999

Link to comment

Variante 1:

Internet--> Modem--> Hardware FW (Pix501)-->Lokales Netz (mit diversen Clients und einem SBS Pre. Server)

Variante 2:

Internet --> Modem--> SBS Pre mit ISA 2004 Server als FW und Gateway --> Lokales Netz

 

Ist es von der Sicherheit her, empfehlenswert die erste Variante zu nehmen? Da ja bei der zweiten Variante, der Windows Server direkt im Internet steht und "direkt" angegriffen werden könnte. Wobei die ISA 2004 FW allenfalls durch Sicherheitslücken im Betriebssystem umgangen werden könnte? Weiter wäre da noch das ja der Windows Server ständig „online“ sein muss damit das Internet erreichbar wäre... Von den Kosten her wäre sicher Variante 2 die bessere.

 

 

Hallo snowfake,

 

selbst der Autor von "Microsoft Small Business Server 2003 - Das Handbuch" und diverse andere MS Cracks, weisen darauf hin, dass der Einsatz des ISA 200X direkt auf dem SBS falls direkt mit dem Internet verbunden, keine empfohlene Konfiguration ist. Wenn du einen Router (der evtl. UPNP beherrscht und natürlich eine Firewall an Board hat), vorschaltest, dann ja. Dieser Router wird (kann) durch den ISA, bzw. den SBS konfiguriert werden. Vorteil dieser Lösung ist, dass du weitere Sicherheitsfeatueres auf deinen ISA einbauen kannst. (z.B. GFI Download Security oder WLAN im Perimeter-Netzwerk).

 

IMHO gibt es für den SBS-Bereich weitaus bessere Lösungen als die PIX501. (Hoffentlich erschlagen mich jetzt die CISCO-Fans nicht …) z.B. HW-Firewalls die bereits Virenschutz am Gateway, VPN, IDS usw. können + unlimit User…. (und vor allem bezahlbar sind :wink2: )

 

Am Sichersten ist eine Kombination aus beiden, vorrausgestezt die Systeme sind sicher konfiguriert.

 

@velius:

Du hast Recht: ISA Server ist ´ne Top-FW aber direkt auf den SBS gibt es da schon gewisse Beschränkungen.

 

Grüsse

 

edit:

 

grizzly999 war schneller und ausführlicher :)

Link to comment
@velius:

Du hast Recht: ISA Server ist ´ne Top-FW aber direkt auf den SBS gibt es da schon gewisse Beschränkungen.

Ja, ISA auf einem SBS ist mit Sicherheit nicht die Idealkonfiguration (geht aber bei der PE nicht anders), und hat seine Ursachen vor allem darin, dass man auf einer FW nicht unbedingt einen DC laufen lassen sollte. Da muss man doch mächtig viele Ports öffnen und zusätzliche Dienste laufen lassen, die eigentlich nicht auf eine FW gehören.

 

grizzly999

Link to comment

Deine viel herbeigeschworenen Sicherheitslücken beim ISA mit Server 2003 drunter: Ich mache eine Wette, dass mehr als 95% dieser Server und ISA von den Patches her besser versorgt sind, als 95% aller HW-Firewalls.

Als kleines I-Tüpfelchen:

Vor allem lassen sich der Server 2003 und der ISA wunderbar und leicht mit dem WSUS (kostenlos) auf dem aktuellsten Stand halten.

Link to comment

@All

 

Ich habe scheinbar überlesen, dass das Ding auf einen SBS soll, ich sprach aber von einer stand-alone Config.

 

Wenn du mir einen Windows-Server zeigst, der keine Datei-/Druckerfreigaben, keine offene Ports und ähnliches hat... :D Und angesichts der wöchentlich erscheinenden Sicherheitslücken halte ich ein auf Windows basierendes System nicht als geeignet, eine Sicherheitsfunktion (Firewall) zu bieten. Dedizierte HW-Firewalls haben ein speziell dafür ausgelegtes Betriebssystem. Bis jetzt gibt es zum Glück noch keine WinCE basierende HW-Firewall. ;)

 

Gruss

 

Joe

 

 

Du kommst gar nicht erst auf das OS solange nicht Rules dafür gesetzt sind (analog Grizzly) . Der ISA hängt sich ziemlich heftig in den Stack rein; deaktivier mal die ISA Dienste beispielsweise und das Ding macht gar nix mehr netzwerktechnisch. Darüber gibt's auch einen MS Artikel:http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/securityhardeningguide.mspx

 

Lockdown Mode

 

A critical function of a firewall is to react to an attack. When an attack occurs, it may seem that the first line of defense is to disconnect from the Internet, isolating the compromised network from malicious outsiders. However, this is not the recommended approach. Although the attack must be handled, normal network connectivity must be resumed as quickly as possible, and the source of the attack must be identified.

The lockdown feature introduced with ISA Server 2004 combines the need for isolation with the need to stay connected. Whenever a situation occurs that causes the Microsoft Firewall service to shut down, ISA Server enters the lockdown mode. This occurs when:

• An event triggers the Firewall service to shut down. When you configure alert definitions, you decide which events will cause the Firewall service to shut down. Essentially, you configure when ISA Server enters lockdown mode.

• The Firewall service is manually shut down. If you become aware of malicious attacks, you can shut down the Firewall service, while configuring the ISA Server computer and the network to handle the attacks.

 

 

Abgesehen davon ist Firewall-1 NG55 auch bereits schon bei HFA (Hotfix Accumulator) 17. Gut, es sind nich alle fixes sicherheitsrelevant, aber trotzdem, auch da wird gepatcht. Und auch die lässt sich neben ihrem selbstgesrticktem RedHeat Linux 7.3 und Solaris auch auf Windows Platformen installieren. ;)

Link to comment
Ich rede von einem Multi Layer Application Filtering, feinst einzustellen, bis zum geht nicht mehr (dabei geht es auch um Sicherheit ), von Site-to-Site Tunnels und VPN-Clientunterstützung mit Quaranänefunktion wenn man will, einzurichten nach Anleitung im Internet, wo man bei anderen FWs den teueren Spezialisten kaufen darf, so man einen guten bekommt, und Sonderwünsche wie "Die VPN Clients müssen auch gleich auf die Branch-Offices zugreifen können", auweia, ich glaube, da müssen wir noch ein paar Stunden extra fakturieren für die Config ihrer HW-FW.

Naja, es scheint hier das falsche Forum zu sein um über die Sicherheit von einem ISA-Server basierend auf Windows x zu diskutieren. Ich geb euch völlig recht, dass man mit einem ISA-Server sehr feinkörnig Regeln aufstellen kann, die es so nur bei high-end HW-FWs in eingeschränktem Umfang gibt. Keine Frage. VPN-Unterstützung sehe ich heutzutage nicht mehr als Problem bei den HW-FWs, früher ja. Die Frage war aber doch ursprünglich:

Variante 1:

Internet--> Modem--> Hardware FW (Pix501)-->Lokales Netz (mit diversen Clients und einem SBS Pre. Server)

Variante 2:

Internet --> Modem--> SBS Pre mit ISA 2004 Server als FW und Gateway --> Lokales Netz

[...]

Ist es von der Sicherheit her, empfehlenswert die erste Variante zu nehmen?

Und hier muss man doch klar ja sagen, wobei ich nicht die eine oder andere HW-FW jetzt hier als besser oder schlechter darstellen will. Eventuell noch mit dem Zusatz eines ISA-Servers nach der HW-FW.

Genauso ist es z.B. nicht empfehlenswert eine SW-Firewall alleinig zur Absicherung eines Desktops zu nehmen. Jegliche auf einem PC basierende SW-FW ist der Versuch, auf einem nicht dafür gemachtem System (sowohl HW als auch SW) eine sicherheitsrelevante Funktion zu bieten. Sowohl HW als auch SW ist fehleranfällig (Festplatte-/Dateisystemfehler, Beeinträchtigungen durch parallel laufende Prozesse die nicht a priori für diese Konstellation geschrieben wurden, Virenbefall, ...).

Bitte betrachtet das ganze mal nicht von der MS(-Server) Seite sondern ganz nüchtern als Aussenstehender. Dann stimmt ihr doch sicher zu, dass eine dedizierte (für eine Funktion bereitgestellte) HW-FW sicherer ist, als eine auf einem nicht dafür entworfenem System aufgesetzten SW-Lösung. Unbetroffen davon ist grizzlys Aussage bzgl. der notwendigen Administration absolut richtig! Eine ungenügend administrierte HW-FW ist unsicherer als ein ISA-Server. Aber bitte: seit wann ist es einfacher, nur weil es von MS ist und eine bunte Oberfläche hat?

 

Bezüglich ROI sehe ich kein MS-Produkt nicht in der Lage mitzuhalten. Jedes OS, jede Applikation kommt nahezu jährlich mit einer Überarbeitung und die alte Version wird spätestens bei der übernächsten Version nicht mehr supportet. Als Systemverkäufer stehen wir gut da. Wir können sagen "Hey, du musst auf Version x updaten, weil du ab Tag y kein MS-Support mehr hast". Und die Geschichte mit dem kostenpflichtigen SBS Premium-Update unterstützt meine Aussage um so mehr. Bisher waren unsere Kunden immer zufriedener, wenn ein System dauerhaft gelaufen ist, auch wenn die Kosten anfänglich höher erschienen.

 

Gruss

 

Joe

Link to comment

Bitte betrachtet das ganze mal nicht von der MS(-Server) Seite sondern ganz nüchtern als Aussenstehender. Dann stimmt ihr doch sicher zu, dass eine dedizierte (für eine Funktion bereitgestellte) HW-FW sicherer ist, als eine auf einem nicht dafür entworfenem System aufgesetzten SW-Lösung.

 

 

Dein Einwand hat aber nicht das geringste mit "dediziert", oder gar mit der derunterliegenden Sicherheit zu tun. Die regelt nähmlich der ISA, und nicht das OS darunter. Mag sein, dass da noch Zeugs mitläuft, die nicht unbedingt diesen Zweck erfüllt (abgrenzen einer oder mehrerer sensibler Sicherheitszonen), aber das gehört zum A und O, dass man sich dieser Dinge annimmt (Datei und Druckfreigabe beispielsweise, trotzdem kann man sie auf dem ISA nicht benuten solange keine Rule besteht, die das explizit erlaubt).

 

BTW: Ich bin kein MS anbeter. Ich betrachte das bereits sachlich, denn bei uns läuft der ISA als back-end Firewall für Webpublishing, und das aus einem bestimmten Grund: Man kann damit bestens SSL Tunnel terminieren und neu aufbauen. Vorne steht etwas anderes, das aber auch wieder aus einem anderen Grund....

Link to comment

Hallo Joe, wie definierst Du eine Hardware-Firewall?

Betrachtet man es nüchtern, ist eine "Hardware-Firewall" auch nur eine Kiste (Rechner) auf dem ein Betriebssystem mit einer Firewall läuft. Vielleicht ein wenig kompakter verpackt und nicht so Klicki-Bunti wie bei Microsoft. Wobei ich auch schon ISA-Server in sehr kompakten Gehäusen gesehen habe.

Mit anderen Worten: Nimmst Du einen Server und läßt darauf zusätzlich nur den ISA laufen, hast Du auch eine "Hardware-Firewall". Und eine verdammt gute noch dazu.

 

Ich weiss nicht, woher Du Deine Ansichten hast. Vielleicht aus der Computer-Bild? :confused: :rolleyes:

Link to comment
Mit anderen Worten: Nimmst Du einen Server und läßt darauf zusätzlich nur den ISA laufen, hast Du auch eine "Hardware-Firewall". Und eine verdammt gute noch dazu.

Der Fehler am ISA-Server ist das zugrunde liegende Betriebssystem! Zeige mir ein Windows, auf dem nur und ich meine nur Dienste laufen, die ausschliesslich für den Betrieb des ISA-Servers als Firewall zuständig sind (von sonstigen Prozessen, installierten Treibern, usw. sehe ich mal noch ab). Das wäre ein erster Schritt. Aussagen zur Stabilität in diesem Fall kann man nicht treffen, da es sowas nicht gibt. NImmt man mal an, dass der ISA-Server fehlerfrei wäre, dann ist jeder unnötige Dienst, Prozess, usw. ein potentielles Sicherheitsloch.

Ich weiss nicht, woher Du Deine Ansichten hast. Vielleicht aus der Computer-Bild?

Der ist nicht schlecht... :D Wenn du die Computerbild gleich einer Vertiefungslinie in der Netzwerktechnik setzt, dann ja... :cool:

 

Ich verstehe durchaus, warum der ISA-Server hier derart populär ist und in dieser Weise eingesetzt wird. Nur schaut euch bitte mal die Frage oben im Thread an und beantwortet die mal unabhängig.

 

Joe

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...