Jump to content

How To für OWA in der DMZ

nic7575

Von nic7575
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NorbertFe Grand Master

NorbertFe   2.016

Geschrieben
Geschrieben
Isa ist ein Reverse Proxy, wie z.B. der Apache mit dem Proxymodul oder Squid auch sein kann. Eine WAF wie mod_security schaut zusätzlich noch die Http Pakete an und leitet sie nicht nur weiter. Wenn in einer Http Anfrage verdächtige Anforderungen stehen (z.B. SQL injection, XSS,...) kann die Anfrage verworfen werden.

 

Web Application Firewall ? Wikipedia

 

 

Bla.. ;)

Eine Web Application Firewall (WAF) ist eine Technologie, die Web-Anwendungen vor Angriffen über das HTTP-Protokoll schützen soll. Teilweise wird diese Technologie auch als Web Shield, Application-Level-Gateway (ALG) oder Application-Level-Firewall (ALF) bezeichnet

 

OK schauen wir mal:

http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/features.aspx

Multi-layer firewall

Provides three types of firewall functionality: packet filtering (also called circuit-layer), stateful filtering, and application layer filtering.

 

Application layer filtering

Provides deep content filtering through built-in application filters.

 

oder auch

 

SSL bridging support

To guard against embedded attacks in HTTP traffic, SSL bridging allows SSL protected packets to be decrypted by ISA Server 2006, inspected, and re-encrypted.

 

So ganz wird mir der Unterschied den du hier zu sehen scheint nicht klar.

 

Bye

Norbert

Link zu diesem Kommentar
Stephan Betken Grand Master

Stephan Betken   43

Geschrieben
Geschrieben
Es geht ja nicht darum, dass ein ISA nicht sicher ist sondern das man das ganze mit anderen Mitteln mindestends genau so sicher machen kann.

Das las sich oben aber ganz anders.

Dafür gibts mod_security. Sowas hat dafür der ISA nicht an Bord (oder ist der mitlerweile auch WAF?).

Und zu mittlerweile: Das kann schon ISA 2000.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.016

Geschrieben
Geschrieben
Ich hatte expliziet den Teil von Norbert am Anfang zitiert:

Zur Not kanns aber auch ein Apache. Nur den muß man auch erstmal sicher konfiguriert bekommen.

 

Um nichts anderes ging es mir.

 

Ja und genau meine Aussage steht doch erstmal noch im Raum. ;) Man (%admin%) muss einen Apache mit oder ohne mod_security erstmal so sicher konfiguriert bekommen, wie man das bspw. mit dem ISA 2006 oder TMG hinbekommt. Wo man zusätzlich sogar noch diverse Wizards dafür bekommt. Insofern verstehe ich deine Aussage nicht so ganz, denn auch ein Apache ohne mod_security wäre als reverseproxy immer noch sicherer (bei korrekter Konfig) als wenn man den CAS/FE in die DMZ packt, oder SSL direkt auf den Exchange im LAN leitet.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...