Re: Firewall für Web Edition 2003

From: Joachim Meyer (joachim.me_at_gmx.de)
Date: 05/25/04

  • Next message: Daniel Melanchthon: "Re: VPN implementierung mit W2003!" 
    Date: Tue, 25 May 2004 19:17:15 +0100

    "Daniel Melanchthon" <melanchthon@gmx.de> wrote:
    > Joachim Meyer schrieb:
    >
    > >>Das ist nicht nur das Problem. Es gibt einfach zu lange offene
    > >>Probleme bei Windows, die nicht gefixed werden.
    > >
    > > Von welchen offenen Problemen redest du? Mir sind lediglich einige
    > > nicht behobene Bugs im Bereich IE bekannt, die im Serverbetrieb
    > > jedoch keine Rolle spielen.
    >
    > Das heisst aber nicht, dass es keine offenen Probleme gibt. Gerade
    > rausgekommen ist das MIME-Problem im Exchange, welches schon vor secs
    > Monaten an MS gemeldet wurde. Infos an die Allgemeinhait oder Patches
    > sind nicht in Sicht. Es wird nur eine Frage der Zeit sein, bis jemand
    > herausfindet, wie man den Buffer Overflow, der da anscheinend
    > auftritt, ausnutzen kann.

    Hmmm...hast du dazu einen Link? http://www.securityfocus.com spuckt
    dazu nix aus.

    > Es dauert einfach viel zu lange, bis relevante Patches rauskommen.
    > Weiterhin legen neue Patches machmal auch Systemfunktionen lahm
    > (siehe der SSL-Patch). Bei Rollup Hotfixes oder SPs werden auch
    > manchmal Patches einfach vergessen. Einfach mal ein Beispiel:
    >
    >
    http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/34355
    >
    > Ich halte es daher grundsätzlich nicht für ausreichend, auf dem
    > aktuellsten Patchlevel-Stand zu sein.

    Natürlich ist das nicht die einzige Massnahme, aber ein vernünftiges
    Patch Management-Konzept ist definitiv notwendig, und dazu gehören auch
    Test-Verfahren. Wenn es leider zu Problemen mit einem Patch kommt, muss
    man sich alternative Massnahmen überlegen.

    > Man sollte zusätzlichen Schutz vorsehen und diesen mit einem anderen
    > OS betreiben.

    Jein. Das hängt auch davon ab, welches Know-How vorhanden ist, so dass
    ein anderes OS bzw. Paketfilter nicht per se die sicherere Lösung sein
    muss. Siehe hierzu auch
    http://groups.google.de/groups?hl=de&lr=&ie=UTF-8&frame=right&th=4fd1672c570e9760&seekm=bgc25k%24bq8%241%40rznews2.rrze.uni-erlangen.de.

    > Auf Produktivsystemen kann man manchmal gar nicht alle Patches
    > einspielen. Wie z.B. auf Terminal Servern - da brache SP4 erstmal den
    > GAU. Oder Printservern: Seit SP3 kann man mit W2k keine deutschen
    > Umlaute auf Nadeldruckern ausdrucken. Und Druckereinstellungen lassen
    > sich nicht mehr speichern. Der Patch dagegen zerlegt den ganzen
    > Server. Ich kann das beliebig fortführen. Patchen allein ist also
    > nicht die Antwort.

    Nicht Patchen ist jedoch auch nicht die Antwort. Natürlich kann man
    nicht alle Konstellationen testen, aber das Risiko läßt sich doch
    deutlich reduzieren.

    > > Die Fundstellen sind in diesem Zusammenhang nicht relevant. Hier
    > > geht es ausschliesslich um den Betrieb als Server.
    >
    > Die Anfrage klang aber nicht nach: Wie installier ich ISA auf Windows
    > Web Edition, sondern eher nach: Reicht eine Desktop-Firewall aus?

    Eben. Ich wüßte auch nicht, wie ihm ISA Server helfen würde, seinen
    Host abzusichern. Aber auch bei einem Einsatz einer Desktop-Firewalls
    (was ich nicht machen würde) in diesem Szenario sind die Links nicht
    relevant.

    > > Ich glaube du kriegst da was durcheinander. Der OP sucht lediglich
    > > nach der geeigneten Massnahme, den Host abzusichern und dazu
    > > hattest du ihn mit den Links zu IPSec-Filtern ja auch schon auf die
    > > passende Lösung hingewiesen. Wie er seine Kiste netztechnisch
    > > absichern kann, ist etwas müssig zu diskutieren, weil da dazu Null
    > > Informationen über die Umgebung des OP hast.
    >
    > Die IPSec-Filter sind aber in ihrer Wirksamkeit auch beschränkt. Mein
    > Hinweis galt daher einer einfach zu implementierenden,
    > kostengünstigen Lösung (was der ISA nun wirklich nicht ist).

    Ich verstehe nicht, was du in diesem Zusammenhang mit "in der
    Wirksamkeit beschränkt" meinst. IPSec-Filter tun genau das was sie
    sollen: Angriffsfläche reduzieren.

    Gruss
    Joachim

  • Next message: Daniel Melanchthon: "Re: VPN implementierung mit W2003!"

    Relevant Pages

    • Re: problems with KB951746
      ... Shots in the dark ..do you have compression disabled in ISA? ... Browsing from the server directly through the external NIC. ... I doubt the patch, or SBS, is the problem here. ... If your firewall is not configured to allow DNS ...
      (microsoft.public.windows.server.sbs)
    • RE: OWA Access Problems
      ... >Once you apply this patch, ... >Temporary Compressed Files on the server and clear the ... the cache for ISA. ...
      (microsoft.public.windows.server.sbs)
    • RE: OWA Access Problems
      ... All of the users have to have the primary address for the server. ... you need the patch from ... client machines and if ISA is installed, you must delete the cache for ISA. ...
      (microsoft.public.windows.server.sbs)
    • Re: Exchange Spamer
      ... Wofür willst Du einen Patch? ... Der Exchange Server 200x ist von Haus aus per default Relaysicher. ... MVP ISA / Exchange Server ...
      (microsoft.public.de.german.backoffice.smallbiz)
    • RE: Sercond ISA on SBS Member Server
      ... ISA on a SBS member server. ... Without a good backup, it's difficult to have the server ... - This is often used for ISA server configuration recovery. ...
      (microsoft.public.windows.server.sbs)