Re: Netzschema
- From: "Claus" <cldd@xxxxxxxxxx>
- Date: Tue, 28 Nov 2006 21:59:59 +0100
Hi Andreas
Ich hatte es mal so wie du es vorschlägst.
hatte aber immer das gefühl/eindruck das alles zu offen war.
Claus
"Andreas Hecker" <and.hecker@xxxxxx> schrieb im Newsbeitrag
news:u5FWp3yEHHA.4132@xxxxxxxxxxxxxxxxxxxxxxx
Wenn du den SMTP Server in der DMZ zusätzlich auch als OWA Server
verwenden möchtest, bedeutet das zwangsläufig, dass du Exchange
installieren musst. Insofern braucht der DMZ Exchange auch entsprechende
Zugriffe auf das AD. Das bedeutet, dass du durch den ISA Server etliche
Kommunikationsverbindungen zu deiner Domain zulassen musst. Wenn ich nun
davon ausgehe, dass auf irgendeinem Weg dein OWA Server gehackt werden
sollte, dann kann der Eindringling ebensogut deine gesamte Domain
übernehmen, egal ob eine DMZ vorhanden ist oder nicht. Denke an das
Regelwerk, das nötig ist, um alleine den Intra-Domain-Traffic zu routen,
zusätzlich zu den SMTP und Publishing-Regeln. Fehler passieren dabei
leichter.
Stell doch deinen OWA Server in die Domain und publishe SMTP und OWA durch
den ISA Server. Wenn jetzt deinen OWA Server jemand hackt, dann macht das
auch keinen Unterschied, ihm gehört wahrscheinlich die komplette Domain!
Ich empfehle dir so wenig Regeln wie möglich und das Design so
durchsichtig wie möglich. Ich finde du machst dir mit der DMZ und dem
Exchange OWA Frontend das Leben nur unnötig schwer, ohne mehr Schutz zu
erreichen.
Ciao
Andreas Hecker
"Claus" <cldd@xxxxxxxxxx> schrieb im Newsbeitrag
news:up1nMwyEHHA.4608@xxxxxxxxxxxxxxxxxxxxxxx
Hi Jens,
Vorab Danke für deine Schnelle Info.
Du meinst das GW für die Clients. Ups fehler von mir, klar das die
Clients die IP von der Interen NIC vom ISA
als GW brauchen. Was meinst du mit " Was ist das fuer ein SMTP Server" ?
Der Smtp in der DMZ soll mein Mailrelay (Senden über Smarthost) werden
und auf dem soll noch das OWA vom Exchange Installiert werden.
Das die NIC von der DMZ kein GW braucht hab ich nicht gewusst.
Ich hatte diese config schon einmal zusammen gebaut aber ohne die DMZ und
den Exchange.
Ich wollte es so das der AD zwei NICs hat und das alle anfragen von den
Clients durch den AD gehen, der AD kam ins Internet
die Clients leider nicht, so wie ich herraus gefunden habe fehte mir die
Ständige Route für hin und zurück. Irgend wie hab ich das mit dem Routing
noch nicht ganz gefuttert.
Wie kommen die mails zum Exchange und wie kann der Exchange den smtp
nutzen.
Weil der ISA macht ja bei der Installtion alle NICs dicht. aber der smtp
und der ISA brauchen ja den zugriff auf den ADC richtig.?
ich hatte den ISA auch schon auf einer Maschine zusammen mit dem AD-DNS
usw. da muste ich eine zugriffsregel erstellen
die den Gesamten internen Datenverkehr von Intern und Localhost zulässt.
Gruss
Claus
"Jens Baier" <jensbaier@xxxxxxxxxxxx> schrieb im Newsbeitrag
news:7FDE57E0-ECBB-404F-8C99-FD9AFCB341AB@xxxxxxxxxxxxxxxx
Hi,
wollte mal wissen was die ISA Newsgemeinde von diesem Netzwerkaufbau
haltet.
OK, aber woher kommt das GW 192.168.2.40 auf einigen Rechnern? Das GW
muesste das interne Interface vom ISA sein also 192.168.1.30
Zum DMZ Design? Was ist das fuer ein SMTP Server? Welchen Zusammenhang
hat der mit dem Exchange? Ist der SMTP Server in der DMZ Dein Mailrelay?
Die DMZ Netzwerkkarte braucht kein Default Gateway. Windows unterstuetzt
nicht multiple DG.
Sonst soweit OK. Abhaengig vom Einsatzzweck und Deinem Schutzbeduerfnis
kann man damit anfangen?
War das die einzige Frage oder worum geht es konkret?
Gruss Jens
www.nt-faq.de
.
- Follow-Ups:
- Re: Netzschema
- From: Andreas Hecker
- Re: Netzschema
- References:
- Netzschema
- From: Claus
- Re: Netzschema
- From: Jens Baier
- Re: Netzschema
- From: Claus
- Re: Netzschema
- From: Andreas Hecker
- Netzschema
- Prev by Date: Re: Netzschema
- Next by Date: Re: Netzschema
- Previous by thread: Re: Netzschema
- Next by thread: Re: Netzschema
- Index(es):
Relevant Pages
|
