Re: ISA auf Webserver
- From: "Robert Gerster" <r.gerster@xxxxxx>
- Date: Sun, 13 Nov 2005 10:55:32 +0100
Hallo Jens.
Das nenne ich mal ne ausfürhrliche Erklärung.
>Waere das jetzt ein Checkpoint (anderer Firewallhersteller) Forum, wuerden
>wir das gar nicht diskutieren. Dort wuerde man nie auf die Idee kommen,
>zusaetzliche Komponenten auf einer Firewall zu installieren.
Kenn Checkpoint, habe sogar eine Testversion hier liegen.
Wenn ich die Mittel hätte. Weiter Maschine nur um den Webserver, ist ja
sonst nichts dahinter zuschützen und monatliche Mehrkosten beim Provider wie
die Maschine steht.
>Wenn man es professionell angehen moechte, wuerde man erst mal eine
>Bedarfs- und Risiko-Analyse machen und daraus dann einen SOLL-Zustand
>ermitteln und mit der entsprechenden Umsetzung beginnen!
>Das ist im Rahmen einer Newsgroup natuerlich nicht moeglich, deshalb gebe
>ich mal folgende Antwort!
Das erwarte ich auch gar nicht und würde auch zu weit führen
>Die erste Frage ist, was soll dieser Webserver machen? Wenn der
>ausschliesslich zur Beantwortung von Anfragen aus dem Inet dient, waere
>(Erste Moeglichkeit)ein ISA Server Front- Backfirewall Szenario denkbar in
>dessen echter DMZ der Webserver sitzt. Ist aber aufwaendig zu konfigurieren
>und kostet mehr.
Mehrer Internetseiten und 2 Foren, FTP-Zgriff.
>Zweite Moeglichkeit: Die "Poor Man's Firewall" also ein ISA Server mit drei
>NIC als Trihomed Firewall. Dabei bildet das dritte NIC die DMZ, die anderen
>NIC sind INTERN und ETXERN. Webserver haengt an der DMZ NIC.
(Ich vermisse die erste Möglichkeit.)
Klingt kompliziert
>Dritte Moeglichkeit: ISA als Edgefirewall und dann interner Webserver,
>welcher ueber den ISA veroeffentlicht wird.
Wie gesagt, möchte ich um gehen wenn keine zu grossen Einbusen bei der
Sicherheit.
>Vierte Moeglichkeit: Wenn man sich jetzt aber entscheidet, den ISA Server
>und den Webserver auf der gleichen Maschine aufzusetzen, dann bekommt der
>ISA Server zwei NIC und wird als Edge Firewall aufgesetzt und ueber ISA
>Moeglichkeiten veroeffentlicht.
So hatte ich mir das gedacht.
>Das erreichbare Schutzniveau bei 3 und 4 ist IMHO gleich. Ich persoenlich
>wuerde einen Webserver, welcher nur Anfragen fuer EXTERN beantwortet nicht
>auf dem ISA und nicht INTERN installieren.
Das klingt gut.
>Du kannst einen Webserver problemlos auf dem ISA installieren und mit ISA
>Funktionen schuetzen! SBS macht es ja vor, alles auf einer Maschine zu
>haben.
Deshalb.
>Als Risiken hast Du natuerlich eine weitere Komponente, die Du schuetzen
>musst, damit eine moegliche Fehlkonfiguration / Schwachstelle des IIS nicht
>zu einer Gesamtkompromittierung des Systems kommt. Je nachdem wie offen
>Dein Webserver wird (ASP, SSI usw. usw.) steigt natuerlich die Gefahr eines
>Exploits etc. Du solltest den Webserver dann so sicher machen, wie es geht!
Ist auch klar. Deshalb auch die Abschätzung.
>Die Hardware Firewall kannst Du behalten und als Screening Device
>einsetzen, was schon mal so grob was wegfiltert und die Arbeit ab Layer3/4
>dann ISA ueberlaesst!
Wäre zu überlegen.
>Noch was zum lesen:
>http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/publishingwebservers.mspx
Danke.
Wenn ich doch eine extra Maschine durch setzen kann, welche Performanz
müsste haben?
Danke für Deine Ausführungen.
Gruss Robert
.
- Follow-Ups:
- Re: ISA auf Webserver
- From: Jens Baier
- Re: ISA auf Webserver
- References:
- ISA auf Webserver
- From: Robert Gerster
- Re: ISA auf Webserver
- From: Jens Baier
- Re: ISA auf Webserver
- From: Robert Gerster
- Re: ISA auf Webserver
- From: Jens Baier
- ISA auf Webserver
- Prev by Date: Re: ISA auf Webserver
- Next by Date: Re: ISA auf Webserver
- Previous by thread: Re: ISA auf Webserver
- Next by thread: Re: ISA auf Webserver
- Index(es):
Relevant Pages
|
