Re: Netzschema
- From: "Andreas Hecker" <and.hecker@xxxxxx>
- Date: Tue, 28 Nov 2006 22:22:10 +0100
Ich verstehe dein Gefühl, aber es ist absolut unnötig ein schlechtes Gefühl zu haben. Du hast nicht einen Sicherheitszugewinn. Es sind die selben Ports, die selben Protokolle, die selbe Firewall. Wir verfolgen seit ISA 2000 den Ansatz ohne DMZ und haben jeweils auf der Internet- als auch auf der LAN-Seite Snort Sensoren. Ich kann genau sehen was vorne und hinten ankommt. Das Gefühl ist wirklich nur ein Gefühl. Mittlerweilen bin ich sogar der Ansicht, dass sich sogar der von mir beschriebene Aufwand nicht mehr lohnt. Aktuell überlegen wir nur noch unsere Server mittels ISA Server zu schützen und die Clients durch Domain Isolation, also IPSec Policies, Virenscanner und Windows Firewall so zu konfigurieren, dass wir für Sie nur hinter einem NAT Router betreiben, und über ISA Server nur auf unsere Server loslassen. Der meiste Verkehr läuft doch heute sowieso über HTTPS, also was solls? (Ich gebe zu ich bin jetzt etwas abgeschweift). Analysiere das ganze noch einmal aus technischer Sicht und du wirst festellen, es gibt keinen tatsächlichen Grund für die DMZ und deinen SMTP/OWA Server, also handle nach einem gute alten Prinzip der EDV, KISS, keep it small and simple.
Ciao
Andreas Hecker
"Claus" <cldd@xxxxxxxxxx> schrieb im Newsbeitrag news:uOv1fAzEHHA.4952@xxxxxxxxxxxxxxxxxxxxxxx
Hi Andreas
Ich hatte es mal so wie du es vorschlägst.
hatte aber immer das gefühl/eindruck das alles zu offen war.
Claus
"Andreas Hecker" <and.hecker@xxxxxx> schrieb im Newsbeitrag news:u5FWp3yEHHA.4132@xxxxxxxxxxxxxxxxxxxxxxxWenn du den SMTP Server in der DMZ zusätzlich auch als OWA Server verwenden möchtest, bedeutet das zwangsläufig, dass du Exchange installieren musst. Insofern braucht der DMZ Exchange auch entsprechende Zugriffe auf das AD. Das bedeutet, dass du durch den ISA Server etliche Kommunikationsverbindungen zu deiner Domain zulassen musst. Wenn ich nun davon ausgehe, dass auf irgendeinem Weg dein OWA Server gehackt werden sollte, dann kann der Eindringling ebensogut deine gesamte Domain übernehmen, egal ob eine DMZ vorhanden ist oder nicht. Denke an das Regelwerk, das nötig ist, um alleine den Intra-Domain-Traffic zu routen, zusätzlich zu den SMTP und Publishing-Regeln. Fehler passieren dabei leichter.
Stell doch deinen OWA Server in die Domain und publishe SMTP und OWA durch den ISA Server. Wenn jetzt deinen OWA Server jemand hackt, dann macht das auch keinen Unterschied, ihm gehört wahrscheinlich die komplette Domain! Ich empfehle dir so wenig Regeln wie möglich und das Design so durchsichtig wie möglich. Ich finde du machst dir mit der DMZ und dem Exchange OWA Frontend das Leben nur unnötig schwer, ohne mehr Schutz zu erreichen.
Ciao
Andreas Hecker
"Claus" <cldd@xxxxxxxxxx> schrieb im Newsbeitrag news:up1nMwyEHHA.4608@xxxxxxxxxxxxxxxxxxxxxxxHi Jens,
Vorab Danke für deine Schnelle Info.
Du meinst das GW für die Clients. Ups fehler von mir, klar das die Clients die IP von der Interen NIC vom ISA
als GW brauchen. Was meinst du mit " Was ist das fuer ein SMTP Server" ?
Der Smtp in der DMZ soll mein Mailrelay (Senden über Smarthost) werden und auf dem soll noch das OWA vom Exchange Installiert werden.
Das die NIC von der DMZ kein GW braucht hab ich nicht gewusst.
Ich hatte diese config schon einmal zusammen gebaut aber ohne die DMZ und den Exchange.
Ich wollte es so das der AD zwei NICs hat und das alle anfragen von den Clients durch den AD gehen, der AD kam ins Internet
die Clients leider nicht, so wie ich herraus gefunden habe fehte mir die Ständige Route für hin und zurück. Irgend wie hab ich das mit dem Routing
noch nicht ganz gefuttert.
Wie kommen die mails zum Exchange und wie kann der Exchange den smtp nutzen.
Weil der ISA macht ja bei der Installtion alle NICs dicht. aber der smtp und der ISA brauchen ja den zugriff auf den ADC richtig.?
ich hatte den ISA auch schon auf einer Maschine zusammen mit dem AD-DNS usw. da muste ich eine zugriffsregel erstellen
die den Gesamten internen Datenverkehr von Intern und Localhost zulässt.
Gruss
Claus
"Jens Baier" <jensbaier@xxxxxxxxxxxx> schrieb im Newsbeitrag news:7FDE57E0-ECBB-404F-8C99-FD9AFCB341AB@xxxxxxxxxxxxxxxxHi,
wollte mal wissen was die ISA Newsgemeinde von diesem Netzwerkaufbau
haltet.
OK, aber woher kommt das GW 192.168.2.40 auf einigen Rechnern? Das GW muesste das interne Interface vom ISA sein also 192.168.1.30
Zum DMZ Design? Was ist das fuer ein SMTP Server? Welchen Zusammenhang hat der mit dem Exchange? Ist der SMTP Server in der DMZ Dein Mailrelay?
Die DMZ Netzwerkkarte braucht kein Default Gateway. Windows unterstuetzt nicht multiple DG.
Sonst soweit OK. Abhaengig vom Einsatzzweck und Deinem Schutzbeduerfnis kann man damit anfangen?
War das die einzige Frage oder worum geht es konkret?
Gruss Jens
www.nt-faq.de
.
- References:
- Netzschema
- From: Claus
- Re: Netzschema
- From: Jens Baier
- Re: Netzschema
- From: Claus
- Re: Netzschema
- From: Andreas Hecker
- Re: Netzschema
- From: Claus
- Netzschema
- Prev by Date: Re: Netzschema
- Next by Date: von ISA2000 auf ISA2006
- Previous by thread: Re: Netzschema
- Next by thread: Re: Netzschema
- Index(es):
Relevant Pages
|
