Re: filtern des pptp tunnels

From: Philipp Snizek (sendMeLots.ofSpAm_at_toMYDomain.somewhere)
Date: 11/09/04 

Date: Tue, 9 Nov 2004 21:36:18 +0100

Hi Kai,

> > Ja richtig. Ein Pro erwartet, dass all die definierten Systempolicy
Rules
> > nicht vorhanden sind und läuft erstmal tierisch drein und fragt sich,
> > warum
> > dies und jenes möglich ist. Dann stellt man fest, dass die MS schon ein
> > Standardruleset drin hat (inkl ihrer Spyware tools - was nicht besonders
> > die
> > Vertrauenswürdigkeit steigert) und muss erst mal da durchkämpfen (denn
> > unübersichtlich ists ja noch dazu) um zu erfahren, was da überhaupt
schon
> > läuft. Das soll ne Firewall sein und kein Spielzeug! MS will im Security
> > Profimarkt ernst genommen werden? Dann sollten sie aber mit sowas ganz
> > schnell aufhören.
>
>
> Sehe es mal so... es gibt andere FWs auf dem Markt (auch Marktführer die
als
> "sehr sicher" gelten) die überhaupt keine Filterung anbieten was von der
> Firewall abgesendet werden darf. Wenn du mich fragst, dann sind
> Systempolicies eine Hilfe für den Admin um eine Entscheidung zu treffen
was
> du Firewall selbst machen darf. Die tatsache ob gewisse Policies
> eingeschaltet sein sollten oder auch nicht, ist wieder mal
> Geschmackssache... :-)

Jup. Meinen Geschmack triffts da nicht. Eher finde ich es verwirrend, weil
ich nicht von anfang an weiss, was gesetzt ist. Die einzige gesetzte Rule
sollte die default deny all sein.

> > Das meine ich. DOS complete.
>
> Ich denke mal das du ganz andere Probleme hast wenn es jemand schaft die
> Firewall remote abzuschießen?

Ja, müsste mir anhören, wie ich dazu komme solche Produktmängel in der
Evaluation nicht bereits schon erkannt zu haben. Aber wer produziert
heutzutage noch solche Software? Ich kenne nur eine Firma, die sich seit
Jahren zwischendurch Patzer erlaubt und sie den Endkunden testen lässt....

> > Schnell was anderes: Den Bernd Sailer fragte ich in Luzern, ob man per
NIC
> > filtern kann. Er meinte ja, aber bis heute konnte ich noch keine
> > entsprechenden Rules setzen.
>
> Was meinst du "genau" mit ob man per NIC filtern kann? Szenario plz... :-)

Naja, Dual homed gateway, LANIF, WANIF. Kann ich auf der LANIF filtern,
genauso, wie auf der WANIF? Ich hab mich offengestanden mit dem ISA noch
nicht tief genug befasst, resp. was ich sah fand ich teils gut, teils
schlecht. Ich frage mich einfach, wo der ISA filtert, wenn ich eine Rule
definiere, dass von LAN nach localhost z.B. kein RDP erlaubt ist.
Im allgemeinen hab ich mühe mit den MS begriffen, weil sie zum Teil nicht
einsichtlich sind, was gemeint ist. Meinen z.B. mit "External" unter
"Networks" gemeint? ist das 0.0.0.0/0 oder 0.0.0.0/0 ohne "Internal"? Unter
Eigenschaften kann mann das nicht einsehen. Meiner Meinung nach verbirgt die
Firewall einfach gewisse Informationen, die mich interessieren, damit ich
klar sehen kann wie das Produkt arbeitet.
Dann, unter "Localhost" steht, es würde den ISA Server Computer meinen. Was
genau bedeutet das? Ist das wie gewohnt 127.0.0.1 oder 127.0.0.1 && LAN_IP
&& WAN_IP? Darum ist mir auch nicht klar, auf welchen NICs der ISA filtert.
Zusätzlich verwirrt die Aussage, dass der ISA Proxy auf localhost
läuft...aehm...was heisst das? Wird der jetzt auf 127.0.0.1 angebunden oder
auf den LAN Adapter oder auf dem WAN Adapter? Oder auf allen und das Ruleset
sagt dann einfach "von Inet auf WAN_IF" keine Verbindungen auf die
Proxyports? Wäre das dann Bastelei komplett?
Dann schaue ich nach mit netstat -na und sehe meine Antwort weitgehendst
beantwortet. Verwirrend ist trotzdem, dass der Proxy auf dem LAN_IF hört.
Fein, dann ist "Localhost" also LAN_IF?
Und dann stelle ich mit netstat -na auch noch fest, dass tcp:1266 offen ist,
ein Port, den ich auf der WAN_IF selber nicht geöffnet habe. Ist trotzdem
offen. Warum? Systempolicy? Man begibt sich auf die Suche und wird nicht
fündig. Der Port ist einfach offen.
Das sind einfach Dinge, die ein ansich gut anmutendes Produkt (zumindest
viel viel reifer als der ISA2k) wieder mit einer Anzahl Minuspunkten
versieht, die aus meiner Sicht, hätte man die Sache klarer durchdacht, nicht
nötig wären. Oder dann habe ich das Prinzip des ISAs auf den ersten Blick
nicht verstanden? Ich glaube nicht.

> Da bin ich erst wieder nächste Woche... :-)

Dann schöne Grüsse nach Redmond :-)
Philipp

Relevant Pages

  • Re: isa 2004 initial setup
    ... Put a second NIC in that ISA firewall to get full firewall ... but otherwise the adapter does not respond. ...
    (microsoft.public.isa.configuration)
  • Re: CEICW fails - several errors
    ... The firewall isn't used when ISA is installed. ... On the WAN NIC of your server the DNS has to point to the LAN IP. ... I immediately checked and ISA Server ...
    (microsoft.public.windows.server.sbs)
  • RE: OWA page not displayed Outside
    ... Open ISA 2006 management console. ... Expand the server node and highlight 'Monitoring'. ... Click 'Configure Firewall Logging'. ... |> internal client as both the web proxy client and firewall client? ...
    (microsoft.public.windows.server.sbs)
  • Re: ISA Proxy Failure
    ... Objects (You can click Firewall Policy and then click Toolbox on the right ... If we could start the ISA service, let's recreate new certificate in the ... Microsoft CSS Online Newsgroup Support ... This newsgroup only focuses on SBS technical issues. ...
    (microsoft.public.windows.server.sbs)
  • RE: OWA page not displayed Outside
    ... Open the ISA Server management console, ... On the ISA Server computer, stop the Microsoft Firewall service. ...
    (microsoft.public.windows.server.sbs)
Loading