ISA 2004 als frontfirewall - Erfahungen?

[Disceptator 10]

Wir haben bei uns als frontfirewall eine pix, da diese gemietet ist und wir den Anbieter wechseln, kommt diese auch weg.

Wir haben noch den ISA 2004 (Ist momentan backend firewall hinter der pix) der nun als einzige Firewall fungieren soll :/

Irgendwie ist mir der ISA als einzige Firewall nicht geheuer...

 

Nun meine Fragen:

 

Isa 2004 als Frontfirewall?

Wer hat Isa als Unternehmensfirewall im Einsatz?

Plupunkte / Minuspunkte?

[djmaker 95]

ISA 2004 als Frontfirewall funktioniert prima, ich habe das bei einigen Kunden im Einsatz. Sofern Du Dienste aus deinem Netz veröffentlichst ist es natürlich besser mit Front-/Backend-Firewall zu arbeiten. Der ISA-Server ist so sicher wie er konfiguriert ist. :)

 

Pluspunkte:

 

Fügt sich prima in das AD ein (Berechtigungen etc.)

Es gibt reichlich AV-und Anti-Spam-SW

Du kannst den ISA virtuell prima testen

 

Nachteil:

 

Du hast bei verschiedener SW (s.o.) verschiedene Ansprechpartner, bei einer Black Box hast Du genau einen AP.

[NorbertFe 2.034]

Irgendwie ist mir der ISA als einzige Firewall nicht geheuer...

 

Gibts dafür Gründe, oder nur weil er von MS ist? ;)

 

Nun meine Fragen:

 

Isa 2004 als Frontfirewall?

Wer hat Isa als Unternehmensfirewall im Einsatz?

Plupunkte / Minuspunkte?

 

Hab den 2004 bei einigen im Einsatz, werden aber weniger, weil der 2006er doch ein paar Funktionen hat, die man ab und an braucht.

Vorteile hast du die gleichen, die du auch als Backend-FW hast.

Nachteile: Der ISA schickt ausgehend alles über seine primäre IP egal ob da noch 10 andere sind oder nicht. Das kann u.U. zu Problemen führen, solltet ihr sowas bisher genutzt haben.

Sicherheitstechnisch hast du eher durch den Abbau der ersten Firewallstufe Verluste, als dadurch, dass der ISA jetzt die erste Stufe darstellt. ;)

 

 

 

Bye

Norbert

[BuzzeR 10]

... stellt sich mir die Frage, ob ihr die nötige Kompetenz zur Administration des

Servers im Hause habt.

 

Weiter Frage ich mich, ob Euer ISA - Server Domain - Member ist, oder ob er

Stand - Alone betrieben wird.

 

Mehrstufige Firewall-Konzepte sind i.d.R. mehr für größere Unternehmen geeignet, daher Frage ich mich, ob ihr entsprechendes Personal habt, dass sich entsprechend geschult und zertifiziert um den ISA - Server kümmert.

 

Es kann ja schließlich nicht sein, dass ein gutes Produkt aufgrund mangelnder

Kompetenz eine Ablösung erfährt - ohne Euch nahe treten zu wollen.

 

LG

BuzzeR

[nerd 28]

Hi,

 

ein Rückschritt wäre der Abbau der PIX auf jeden Fall, da ihr offensichtlich das zweistuffige Firewall Layout damit aufgebt. Da ihr dieses derzeit fahrt, gehe ich mal davon aus, dass ihr die DMZ auch zwischen den beiden FWs aufgebaut habt (dual homed Server). Wenn ihr nun hin geht und das ganze über einen virtuel zweistuffigen ISA abwickelt, dann ist das auf jeden Fall ein deutliches Rückschritt.

 

... zudem muß ich zugeben, dass ich den ISA (egal in welcher Version) noch nie als Edge FW zum Internet hin eingesetzt habe. Ich mag zwar nahezu alle MS Produkte aber von einer FW die auf einem vollwertigen OS läuft, bin ich trotz hardening nicht überzeugt.

 

Grundsätzlich wäre es jedoch wichtig zu wissen wie eure Umgebung aussieht sprich ob ihr auch Dienste zum Internet hin anbietet etc.

[NorbertFe 2.034]

bin ich trotz hardening nicht überzeugt.

 

Was aber auch wieder nur ein "Bauchgefühl" ist, oder? ;) Mit Fehlkonfigurationen bekommst du ohne Probleme auch in eine Pix/ASA Löcher rein. ;)

 

Grundsätzlich wäre es jedoch wichtig zu wissen wie eure Umgebung aussieht sprich ob ihr auch Dienste zum Internet hin anbietet etc.

 

ACK.

 

Bye

Norbert

[NorbertFe 2.034]

Es kann ja schließlich nicht sein, dass ein gutes Produkt aufgrund mangelnder

Kompetenz eine Ablösung erfährt - ohne Euch nahe treten zu wollen.

 

LG

BuzzeR

 

Warum kann das nicht sein? Wenn kein Know How vorhanden ist für ein Produkt gibt es meiner Meinung nach zwei Möglichkeiten.

- Produkt ersetzen gegen ein technisch gleichwertiges (ausreichendes) Produkt, für das man Know How besitzt

- Produkt behalten und Know How besorgen (aufbauen, einkaufen)

 

Beides sind meiner Meinung nach legitime Methoden.

 

Bye

Norbert

[BuzzeR 10]

Warum kann das nicht sein? Wenn kein Know How vorhanden ist für ein Produkt gibt es meiner Meinung nach zwei Möglichkeiten.

- Produkt ersetzen gegen ein technisch gleichwertiges (ausreichendes) Produkt, für das man Know How besitzt

- Produkt behalten und Know How besorgen (aufbauen, einkaufen)

 

Beides sind meiner Meinung nach legitime Methoden.

 

Bye

Norbert

 

Ich darf dem Norbert dahingehend zustimmen, dass bei einer vorhandenen

Lösung entsprechend Know - How aufgebaut, oder eingekauft werden muss.

 

Weiter ist der ISA -Server, unabhängig von seiner Version, aufgrund seiner

Architektur sicherlich anfälliger für Fehlkonfiguration, jedoch ist ohnehin

durch Penetrationstests in Intervallen zu belegen, dass das "Eisen" im

Rahmen der Vorgaben als Sicher eingestuft werden kann.

 

Hier stellt sich nun die Frage, was es für Vorgaben gibt?!

 

Fehlkonfiguration ist ohnehin das Stichwort und Bauchgefühle hin, oder her,

auch Sicherheit ist nur ein Gefühl und nicht wirklich messbar.

 

Fakt ist, der ISA - Server ist bei entsprechender Konfiguration, im Rahmen

eines Front-FW-Szenarios als "Safe" einzustufen. Ich habe sowohl den ISA,

Juniper und Watchguard Produkte im Einsatz und darf mir auf Basis der

durchgeführten Tests diese Meinung erlauben.

 

LG

BuzzeR

[BuzzeR 10]

... wobei ich noch hinzufügen würde, dass ich auch zu einer anderen Lösung tendieren würde, wenn ich die Wahl und die entsprechenden finanziellen Mittel hätte. ;)

 

LG

BuzzeR