Pinf 10 Geschrieben 24. Oktober 2007 Melden Teilen Geschrieben 24. Oktober 2007 Hi Leute! Kann man mit einem ISA Server Fernwartungstools die über Port 80 laufen filtern/loggen und die Verbindungen sperren? VG Pinf Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 24. Oktober 2007 Melden Teilen Geschrieben 24. Oktober 2007 Nein leider nicht. Es gibt aber trotzdem Möglichkeiten dieses zu unterbinden. Dieses aber sehr umständlich. Du könntest eine whitelist für SSL Verbindungen erstellen und dann dediziert Webseiten freischalten. Siehe auch The Evils of SSL Tunneling - Dr. Tom's ISA Server 2004 Firewall Blog Logmein.com and Gotomypc.com denial... Zitieren Link zu diesem Kommentar
Pinf 10 Geschrieben 24. Oktober 2007 Autor Melden Teilen Geschrieben 24. Oktober 2007 Hi und danke für die Links! Dann gibt es wahrscheinlich auch keine Erweiterung für den ISA um das zu bewerkstelligen? Kennt vielleicht jemand einen anderen Hersteller der eine solche Lösung bietet? Sollte preislich in etwa gleich zum ISA sein! Vielen Dank im Voraus! VG Pinf Zitieren Link zu diesem Kommentar
Kegol 10 Geschrieben 24. Oktober 2007 Melden Teilen Geschrieben 24. Oktober 2007 Hallo! Hm, mir fällt jetzt nur der Schulrouter von Time for Kids ein. Basierend auf den IPCop mit Cobian Filter Technologie werden unter anderen per White- und Blacklists Seiten freigegeben oder gesperrt. Schön einstellbar nach (Themen)Bereichen und Altersstufen. Der kostet allerdings wesentlich weniger als der ISA Server. :D Wir setzen den erfolgreich in unseren Schulen ein und ich bin am überlegen diesen als erste Firewall in unserer Verwaltung vor den ISA-Server zu schalten. Läuft auf einem handelsüblichen PC mit 2 GHz und 512 MB RAM mehr als schnell. Damit kann wesentlich einfacher und schneller das Netz im Bezug auf Internetseiten absolut dicht machen als mit dem ISA Server. Grüße Kegol Zitieren Link zu diesem Kommentar
Shandurai 10 Geschrieben 24. Oktober 2007 Melden Teilen Geschrieben 24. Oktober 2007 moin also über port 80, sprich http sollte das ganze nicht laufen... wenn dann doch, dann kannst du sicherlich mit dem isa diverse dinge filtern... http-methoden, mime-types, usw... die tools, die ich kenne, nutzen eine ssl-verschlüsselte verbindung über port 443 (sozusagen https, mehr oder weniger...). hier hast du keine chance, da der isa diesen ssl-tunnel nicht aufbrechen kann (ist schließlich sinn der verschlüsselung). daher kannst du auch nicht nach http-methoden oder mime-types filtern. hier würde nur eine zusatzsoftware, die ssl-inspection kann, helfen... aber vorsicht: teuer, nicht ganz einfach und euren rechtsbeistand fragen, bzw. auch mal den BR! grüße, andre Zitieren Link zu diesem Kommentar
XP-Fan 218 Geschrieben 24. Oktober 2007 Melden Teilen Geschrieben 24. Oktober 2007 Hi, ein anderer Ansatz wäre das Ausführen dieser Tools zu verbieten mittels Softwareeinschränkungen vom DC über GPO. Zitieren Link zu diesem Kommentar
Shandurai 10 Geschrieben 24. Oktober 2007 Melden Teilen Geschrieben 24. Oktober 2007 ein anderer Ansatz wäre das Ausführen dieser Tools zu verbieten mittelsSoftwareeinschränkungen vom DC über GPO. hmm meist laufen die im browser ab, sonst wäre das ein ansatz... ich gehe davon aus, dass pinf diese tools allgemein sperren will, also hat er scheinbar keinen überblick, welche und von wem diese alles genutzt werden. sonst hätte man noch urls sperren können... Zitieren Link zu diesem Kommentar
Pinf 10 Geschrieben 25. Oktober 2007 Autor Melden Teilen Geschrieben 25. Oktober 2007 Hallo und danke für die vielen Antworten! Generell benötigen die von mir gefürchteten getunnelten Tools keine Clientinstallation (bzw. keine Adminrechte), also wirds auch mit GPOs etwas schwierig. Ob URL-Sperren funktioniert weiß ich nicht, dazu müsste ich jetzt alle Fernwartungsprogramme testen und wissen wie jedes einzelne funktioniert - aber ich will alle sperren und generell nichts über 80 oder 443 haben was mit Web nichts zu tun hat. Es soll auf jeden Fall verhindert werden dass Mitarbeiter mit Aussenstehenden eine Verbindung aufbauen und jemand von aussen einen Desktop übernehmen kann. Dachte der ISA kriegt das hin, da in meinem schlauen Buch steht, dass ISA auch auf Anwendungsebene (Layer7) filtern kann. VG Bernd Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 25. Oktober 2007 Melden Teilen Geschrieben 25. Oktober 2007 Dachte der ISA kriegt das hin, da in meinem schlauen Buch steht, dass ISA auch auf Anwendungsebene (Layer7) filtern kann. Kann er auch, Du musst dann den HTTP Filter entsprechend konfigurieren. Dazu musst Du aber wissen, ob diese Tools entsprechende Signaturen z.B. im HTTP Header hinterlassen, oder ob sonstige Besonderheiten im Datenverkehr auftauchen. Christoph Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 25. Oktober 2007 Melden Teilen Geschrieben 25. Oktober 2007 Die meisten dieser Tools kommunizieren zunächst über Port 80, auch die, die dann auf SSL umswitchen, meistens mit einem POST Command. Mit einem Webfilter, der dieses Kommando blockt, kann man sehr viele rausfischen. Einige andere bekommt man mit einer Regel mit einem eigenen Webfilter weg, der Applikationen nicht zuläasst. Es wird vermutlich ein allerkleinster Rest (schätze ich im Bruchteil eines Promille-Bereich ein ) von exotischen Tools bleiben, die dann vmtl. noch funktionieren würden. Wenn du ganz sicher gehen wolltest, müsstest du mit Whitelists arbeiten. grizzly999 Zitieren Link zu diesem Kommentar
Pinf 10 Geschrieben 25. Oktober 2007 Autor Melden Teilen Geschrieben 25. Oktober 2007 OK! Danke nochmals für die vielen Antworten, das bringt mich schon ein ganzes Stück vorwärts. Werd mich dann in nächster Zeit mal mit dem HTTP-Filter beschäftigen. VG Pinf Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.