MiLLHouSe 15 Geschrieben 23. Juli 2003 Autor Melden Teilen Geschrieben 23. Juli 2003 Original geschrieben von grizzly999 Meine weitere Empfehlung für den Einsatz des ISA ist auch immer, eine Schulung zu besuchen, oder gut Zeit in ein Eigenstudium mit gutem Buch zum ISA investieren. grizzly999 hat du da evtl. nen literaturtipp? die bücher von MS bezüglich SBS geben da ja nicht wirklich viel her... Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 23. Juli 2003 Autor Melden Teilen Geschrieben 23. Juli 2003 Original geschrieben von grizzly999 Ich weiss nicht, was auf dem 2003 Server dann alles laufen soll, aber grundsätzlich würde ich sagen ja, denn dafür wurde der ISA-Server entwickelt, wie jede andere Firewall auch (bin mir dabei aber des "SBS-Problems" durchaus bewusst). Meine Empfehlung als Consultant wäre: für ISA eine separate Maschine, muss ja kein "fetter" Compaq-Server mit großem RAID und ewig überdimensioniertem Prozessor sein. Da reicht ja oftmals so eine Pizzabox mit zwei guten Netzwerkkarten und 512 MB RAM. Der ISA wird dann im intergrierten Modus (Proxy und Firewall) eingerichtet, ich mache das dann immer so, als einziger Server in einem eigenen Forest mit einer einseitigen Vertrauenstellung zur produktiven Domäne. Selbst wenn es jemand schaffen sollte, meinen ISA zu knacken (oder wenn ich ihn fehlkonfiguriert hätte), wäre er immer noch nicht in meiner Domäne. Der Server wird lediglich als Datei- und Printserver genutzt und ist exakt gleich ausgestattet wie mein bald neuer. Sprich 3 GB RAM, 2 x 74 GB U320 SCSI-Platten, 2 x 2,4 GHz Xeon-Prozzi, 80 GB IDE Platte u. ASUS PR-DLS/533 Board... einseitige Vertrauensstellung?? Also der SBS unterstützt keine Vertrauensstellung, das hab ich gestern schon probiert.. Müsste dann wohl dem 2003er sagen oder? Was ist ein Forest? ich merk schon... heftige überlegungen, die man da anstreben muss............... mal sehen, was mein chef dazu sagt, wenn ich ihm das alles sage.. der ist ja immer noch davon überzeugt, dass wir von McAfee bzw. NAI den richtigen Tipp bekommen - ich glaub da mittlerweile ja überhaupt nicht mehr dran! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 23. Juli 2003 Melden Teilen Geschrieben 23. Juli 2003 Für ISA gibt es nicht viele Bücher. Es gibt da : - das Buch von Tom Shinder, ich habe es in Englisch, scheint es aber inzwischen in deutscher Übersetzung zu geben: link hier, da werden auch noch andere Bücher aufgezählt, kann ich aber nichts dazu sagen, habe nur das Shinder Buch: http://www.msisafaq.de/Seiten/books.htm#3826609964 Dann wurde hier im Board noch folgendes Buch empfohlen: http://www.amazon.de/exec/obidos/ASIN/3833004401/qid%3D/302-6942189-7850421 Für manche Fragen, oder ich weiss nicht wie soll ich das jetzt einrichten, gibt es die wahrscheinlich beste Seite zu ISA im Internet mit vielen Anleitungen und Antworten auf Fragen: http://www.isaserver.org Grüße grizzly999 Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 29. Januar 2004 Autor Melden Teilen Geschrieben 29. Januar 2004 Das Thema ist zwar schon alt, aber für mich wieder aktuell. Ich habe gestern auf unserem neuen SBS2003 nochmal einen Test versucht und folgendes eingerichtet: IP-Protokollregel für TCP Richtung: Beide Lokaler Port: Dynamisch Remoteport: Fest Remoteportnummer: 80 Ist das jetzt so in Ordnung oder muss ich da jetzt wieder befürchten, dass mein System relativ offen für Angriffe ist? MiLLHouSe Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. Januar 2004 Melden Teilen Geschrieben 30. Januar 2004 Bei der Filterregel willst du ja nur den Webzugang nach draussen haben, demnach darfst du nur unter 'Richtung' nur ausgehend eintragen. Alles andere passt. Wenn beide Richtungen zugelassen werden, ist auch ein Zugriff von aussen auf den Webdienst des ISA möglich (sofern installiert). grizzly999 Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 30. Januar 2004 Autor Melden Teilen Geschrieben 30. Januar 2004 Super, danke für die Antwort, auch wenn ich das jetzt leider erst am Montag testen kann... Zitieren Link zu diesem Kommentar
Saint 10 Geschrieben 4. März 2004 Melden Teilen Geschrieben 4. März 2004 Für mich ist dieses Thema leider auch noch aktuell. :( Alle Anfragen vom Server nach draussen auf einen Port umzubiegen halte ich auch nicht für sonderlich sinnvoll in Zeiten von Trojanern, die sich in IRC Channels anmelden und auf's Herrchen warten. Hat keiner eine Idee wie man dediziert nur die Anfrage von Groupshield auf z.B. Port 21 umbiegen kann? Irgendwie in Konfigrationsdateien von Groupshield rummanschen? Hinweise hab ich bis Dato leider nicht gefunden. Ich finde das von NAI eigentlich ziemlich unglaublich, das es nicht möglich ist, einfach den Port fest zu legen. :suspect: Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 4. März 2004 Autor Melden Teilen Geschrieben 4. März 2004 Ich hab das mittlerweile hinbekommen, jetzt kann mein Groupshield endlich updates machen :D Im ISA einen IP-Paketfilter anlegen IP-Protokoll: TCP Richtung: Ausgehend Lokaler Port: Dynamisch Remoteport: Fester Port Remoteportnummer: 80 als Update-Server den HTTP einrichten, sonst geht's nicht. Über FTP hab ich es allerdings nicht hinbekommen... Zitieren Link zu diesem Kommentar
Saint 10 Geschrieben 4. März 2004 Melden Teilen Geschrieben 4. März 2004 Auch wenn Du mich gleich erschlägst: Ich hab keinen ISA Server am Start... :shock: Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 4. März 2004 Autor Melden Teilen Geschrieben 4. März 2004 Warum sollte ich dich erschlagen? Was blockt dann bei dir die Verbindung? Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 4. März 2004 Autor Melden Teilen Geschrieben 4. März 2004 ach sorry, jetzt erst habe ich deinen ersten Post verstanden.... Hatte das mit dem ISA-Protokoll ja sogar schon einmal geschrieben. Sorry, dazu weiß ich leider keine Antwort. Zitieren Link zu diesem Kommentar
Saint 10 Geschrieben 4. März 2004 Melden Teilen Geschrieben 4. März 2004 Original geschrieben von MiLLHouSe Warum sollte ich dich erschlagen? Was blockt dann bei dir die Verbindung? Naja - weil Du eine Lösung hast, ich Sie aber nicht verwenden kann? :) Eine Symantec Firewall/VPN 200. Standardports 21/80/443 etc nach draussen sind freigegeben. Incoming nur 1723 für VPN. Der Rest wird weggeblockt. Zitieren Link zu diesem Kommentar
Saint 10 Geschrieben 4. März 2004 Melden Teilen Geschrieben 4. März 2004 Original geschrieben von MiLLHouSe als Update-Server den HTTP einrichten, sonst geht's nicht. Über FTP hab ich es allerdings nicht hinbekommen... Darf ich Dich mal nach der HTTP Update Adresse fragen? Damit würde ich gerne noch ein bisschen probieren. Oder meinst Du: http://www.networkassociates.com/us/downloads/updates/ ? Thx! :) Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 4. März 2004 Autor Melden Teilen Geschrieben 4. März 2004 darfst du natürlich: http://update.nai.com/Products/CommonUpdater so steht's bei mir in dem Autoupdate-Architect drin und so funktioniert es auch. Zitieren Link zu diesem Kommentar
Saint 10 Geschrieben 4. März 2004 Melden Teilen Geschrieben 4. März 2004 Super! Vielen Dank! :) Leider keinen Erfolg bis jetzt. Echt zum Mäuse melken. Das ist wirklich mehr als unproffessionell von NAI. :mad: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.