Disceptator 10 Geschrieben 25. Mai 2009 Melden Teilen Geschrieben 25. Mai 2009 Wir haben bei uns als frontfirewall eine pix, da diese gemietet ist und wir den Anbieter wechseln, kommt diese auch weg. Wir haben noch den ISA 2004 (Ist momentan backend firewall hinter der pix) der nun als einzige Firewall fungieren soll :/ Irgendwie ist mir der ISA als einzige Firewall nicht geheuer... Nun meine Fragen: Isa 2004 als Frontfirewall? Wer hat Isa als Unternehmensfirewall im Einsatz? Plupunkte / Minuspunkte? Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 26. Mai 2009 Melden Teilen Geschrieben 26. Mai 2009 ISA 2004 als Frontfirewall funktioniert prima, ich habe das bei einigen Kunden im Einsatz. Sofern Du Dienste aus deinem Netz veröffentlichst ist es natürlich besser mit Front-/Backend-Firewall zu arbeiten. Der ISA-Server ist so sicher wie er konfiguriert ist. :) Pluspunkte: Fügt sich prima in das AD ein (Berechtigungen etc.) Es gibt reichlich AV-und Anti-Spam-SW Du kannst den ISA virtuell prima testen Nachteil: Du hast bei verschiedener SW (s.o.) verschiedene Ansprechpartner, bei einer Black Box hast Du genau einen AP. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 26. Mai 2009 Melden Teilen Geschrieben 26. Mai 2009 Irgendwie ist mir der ISA als einzige Firewall nicht geheuer... Gibts dafür Gründe, oder nur weil er von MS ist? ;) Nun meine Fragen: Isa 2004 als Frontfirewall? Wer hat Isa als Unternehmensfirewall im Einsatz? Plupunkte / Minuspunkte? Hab den 2004 bei einigen im Einsatz, werden aber weniger, weil der 2006er doch ein paar Funktionen hat, die man ab und an braucht. Vorteile hast du die gleichen, die du auch als Backend-FW hast. Nachteile: Der ISA schickt ausgehend alles über seine primäre IP egal ob da noch 10 andere sind oder nicht. Das kann u.U. zu Problemen führen, solltet ihr sowas bisher genutzt haben. Sicherheitstechnisch hast du eher durch den Abbau der ersten Firewallstufe Verluste, als dadurch, dass der ISA jetzt die erste Stufe darstellt. ;) Bye Norbert Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 27. Mai 2009 Melden Teilen Geschrieben 27. Mai 2009 ... stellt sich mir die Frage, ob ihr die nötige Kompetenz zur Administration des Servers im Hause habt. Weiter Frage ich mich, ob Euer ISA - Server Domain - Member ist, oder ob er Stand - Alone betrieben wird. Mehrstufige Firewall-Konzepte sind i.d.R. mehr für größere Unternehmen geeignet, daher Frage ich mich, ob ihr entsprechendes Personal habt, dass sich entsprechend geschult und zertifiziert um den ISA - Server kümmert. Es kann ja schließlich nicht sein, dass ein gutes Produkt aufgrund mangelnder Kompetenz eine Ablösung erfährt - ohne Euch nahe treten zu wollen. LG BuzzeR Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 27. Mai 2009 Melden Teilen Geschrieben 27. Mai 2009 Hi, ein Rückschritt wäre der Abbau der PIX auf jeden Fall, da ihr offensichtlich das zweistuffige Firewall Layout damit aufgebt. Da ihr dieses derzeit fahrt, gehe ich mal davon aus, dass ihr die DMZ auch zwischen den beiden FWs aufgebaut habt (dual homed Server). Wenn ihr nun hin geht und das ganze über einen virtuel zweistuffigen ISA abwickelt, dann ist das auf jeden Fall ein deutliches Rückschritt. ... zudem muß ich zugeben, dass ich den ISA (egal in welcher Version) noch nie als Edge FW zum Internet hin eingesetzt habe. Ich mag zwar nahezu alle MS Produkte aber von einer FW die auf einem vollwertigen OS läuft, bin ich trotz hardening nicht überzeugt. Grundsätzlich wäre es jedoch wichtig zu wissen wie eure Umgebung aussieht sprich ob ihr auch Dienste zum Internet hin anbietet etc. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 28. Mai 2009 Melden Teilen Geschrieben 28. Mai 2009 bin ich trotz hardening nicht überzeugt. Was aber auch wieder nur ein "Bauchgefühl" ist, oder? ;) Mit Fehlkonfigurationen bekommst du ohne Probleme auch in eine Pix/ASA Löcher rein. ;) Grundsätzlich wäre es jedoch wichtig zu wissen wie eure Umgebung aussieht sprich ob ihr auch Dienste zum Internet hin anbietet etc. ACK. Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 28. Mai 2009 Melden Teilen Geschrieben 28. Mai 2009 Es kann ja schließlich nicht sein, dass ein gutes Produkt aufgrund mangelnderKompetenz eine Ablösung erfährt - ohne Euch nahe treten zu wollen. LG BuzzeR Warum kann das nicht sein? Wenn kein Know How vorhanden ist für ein Produkt gibt es meiner Meinung nach zwei Möglichkeiten. - Produkt ersetzen gegen ein technisch gleichwertiges (ausreichendes) Produkt, für das man Know How besitzt - Produkt behalten und Know How besorgen (aufbauen, einkaufen) Beides sind meiner Meinung nach legitime Methoden. Bye Norbert Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 29. Mai 2009 Melden Teilen Geschrieben 29. Mai 2009 Warum kann das nicht sein? Wenn kein Know How vorhanden ist für ein Produkt gibt es meiner Meinung nach zwei Möglichkeiten.- Produkt ersetzen gegen ein technisch gleichwertiges (ausreichendes) Produkt, für das man Know How besitzt - Produkt behalten und Know How besorgen (aufbauen, einkaufen) Beides sind meiner Meinung nach legitime Methoden. Bye Norbert Ich darf dem Norbert dahingehend zustimmen, dass bei einer vorhandenen Lösung entsprechend Know - How aufgebaut, oder eingekauft werden muss. Weiter ist der ISA -Server, unabhängig von seiner Version, aufgrund seiner Architektur sicherlich anfälliger für Fehlkonfiguration, jedoch ist ohnehin durch Penetrationstests in Intervallen zu belegen, dass das "Eisen" im Rahmen der Vorgaben als Sicher eingestuft werden kann. Hier stellt sich nun die Frage, was es für Vorgaben gibt?! Fehlkonfiguration ist ohnehin das Stichwort und Bauchgefühle hin, oder her, auch Sicherheit ist nur ein Gefühl und nicht wirklich messbar. Fakt ist, der ISA - Server ist bei entsprechender Konfiguration, im Rahmen eines Front-FW-Szenarios als "Safe" einzustufen. Ich habe sowohl den ISA, Juniper und Watchguard Produkte im Einsatz und darf mir auf Basis der durchgeführten Tests diese Meinung erlauben. LG BuzzeR Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 30. Mai 2009 Melden Teilen Geschrieben 30. Mai 2009 ... wobei ich noch hinzufügen würde, dass ich auch zu einer anderen Lösung tendieren würde, wenn ich die Wahl und die entsprechenden finanziellen Mittel hätte. ;) LG BuzzeR Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.