KeinPlan 10 Geschrieben 31. Januar 2004 Melden Teilen Geschrieben 31. Januar 2004 Hallo Board, da bin ich mal wieder mit einer Frage. Ihr seid mein letzter Ausweg. Soll am Montag in der Arbeit eine VPN Lösung liefern. Wir haben einen ISA Server direkt an einer 2MBit Leitung angeschlossen. In dem ISA Server stecken noch 3 zusätzliche Netzwerkkarten. Eine geht auf unseren LAN Switch, die anderen Beiden sind noch nicht angeschlossen, stehen aber jeweils mit DMZ1 und DMZ2 in der Netzwerkumgebung (sind so vom Installator genannt worden). Nun kenn ich mich überhaupt nicht mit dem ISA Server aus. Nun gut, um ehrlich zu sein, kenn ich mich mit Firewallsystemen im allgemeinen nicht sehr gut aus :( Was meint man überhaupt mit DMZ? Ich weiß, das heißt demilitarisierte Zone. Heißt das nun, dass Rechner, die dort angschlossen sind besonders geschützt sind? Aber mein eigentliches Problem. Wir wollen es Leuten von außen ermöglichen, auf das gesamte (!!!) Firmennetz zu kommen. Sprich, File, Datenbank, Mail usw. einfach alles. Habe deshalb einen 2k Server mit VPN eingerichtet und mal ausprobiert. Nur sicher ist die Lösung bestimmt nicht. Die Standleitung kommt zu uns ins Haus. Da hab ich einen kleinen Switch genommen und jeweils den ISA und den VPN angeschlossen. Der ISA hat ne öffentliche IP und der VPN auch. Auf der anderen Seite geht es dann vom ISA und vom VPN in den LAN Switch. Gehen tut das. Aber ich habe mir dch jetzt da selbst ein Loch gebaut, oder? Die IP die zum ISA geht ist gut geschützt (denk ich) aber über den Weg der VPN IP hab ich doch jetzt Sicherheitslöcher? Viel wohler wäre mir bei der Sache, wenn ich nur den ISA mit einem Fuss in der Öffentlichkeit hätte und der geht wiederum ins LAN. Dort (also hinter dem ISA) steht dann der VPN. Am ISA müsste ich dann nur den Port 1723 öffnen und auf den VPN laufen lassen. Das wäre doch wesentlich sicherer, oder? Und wenn ja, wie konfiguriert man den ISA, dass neben den bereits geöffneten Ports noch der 1723 geöffnet und weitergeleitet wird? Und zwar so, das am ISA nichts der anderen Dinge beeinträchtigt wird. Danke für Eure Hilfe Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. Februar 2004 Melden Teilen Geschrieben 1. Februar 2004 Folgendes, und fühle dich jetzt nicht persönlich angegangen: Soll am Montag in der Arbeit eine VPN Lösung liefern. Wir haben einen ISA Server direkt..... Nun kenn ich mich überhaupt nicht mit dem ISA Server aus.........Was meint man überhaupt mit DMZ Da verstehe ich was nicht: du hast keine Ahnung von Firewalls, insbesondere nicht von ISA, aber willst/sollst eine ISA-Lösung vorstellen?! Mag ja sein, dass Chef sagte, du machst das, aber dann solltest du ihm klar machen, dass es hier um Sicherheit geht und ISA kein buntes-klicki-ein-ahnungsloser-kann-sich-eine Firewall-bauen ist. Ich kenne mich mit ISA sehr gut aus, aber ich werde in diesem Thread nicht einen fachlichen Buchstaben machen, denn dem was ich dir schreiben könnte würdest du größtenteils wahrscheinlich gar nicht folgen können. Also vergiss das Vorhaben, gehe morgen hin und lege die Karten auf den Tisch, mit bester Empfehlung von grizzly999. grizzly999 Zitieren Link zu diesem Kommentar
KeinPlan 10 Geschrieben 1. Februar 2004 Autor Melden Teilen Geschrieben 1. Februar 2004 Guten Morgen grizzly999, danke für Deine Antwort und nein, ich fühl mich nicht angegangen. Sagte ja bereits das ich im Firewall Sektor noch ziemliche defiziete habe. Bisher hab ich mich immer auf kleine Hardwarefirewalls verlassen, bei denen ich halt einen Port zu nem Rechner geleitet habe und das wars. Vermutlich hab ich mich gestern etwas falsch ausgedrückt. Nicht der ISA soll den VPN Server spielen, sondern ein eigenständiger PC mit 2k Server und installiertem RRAS. Der funktioniert soweit auch wunderbar. Rein zum Testen hab ich den einfach mal parallel zum ISA Server gestellt. Damit meine ich, Standleitung kommt ins Haus und von dort hab ich den Switch gehängt, davon geht ein Port auf den ISA (der ne öffentliche IP hat) und ein anderer Port des Switch auf meinen 2k Server RRAS (auch mit öffentlicher IP) auf der anderen Seite treffen sich die beiden Server dann wieder im LAN Switch der Firma. Meine Befürchtung ist halt jetzt, dass ich Hackern usw. Tür und Tor geöffnet habe. Die öffentliche IP, die am ISA gebunden ist, ist sicher. Davon geh ich aus, weil ich denke, der, der das Ding konfiguriert hat wusste, was er tut. Aber die andere öffentliche, die auf dem 2k Server RRAS ist macht doch alles auf. Aus dem Grund dachte ich mir, ich bau den VPN Server wieder von der öffentlichen Seite weg und schließ ihn hinter dem ISA Server an. Wenn ich das aber mache muss ich doch am ISA Server den Port 1723 dann auf den VPN Server umleiten, oder? Jedenfalls erscheint mir das wesentlich sicherer als die andere Lösung. Die Frage DMZ ist ne reine Verständnisfrage. Hab hier über suchen zwar ein bisschen was drüber gefunden. Aber nicht wirklich einfach mal ne simple Erklärung, was damit gemeint ist. Wir wollen in der Firma auch nicht unbedingt am Montag das realisiert haben. Cheffe will nur mal die Situation erklärt bekommen und wer weiß, vielleicht geht das Ganze ja dann doch schon am Montag. Wäre toll. Danke und Gruß Markus Zitieren Link zu diesem Kommentar
KeinPlan 10 Geschrieben 1. Februar 2004 Autor Melden Teilen Geschrieben 1. Februar 2004 So, jetzt hab ich mein Vorhaben mal gezeichnet. Alles was ich halt nun wissen möchte ist, wie man dem ISA sagt, wenn 1723 Anfragen vom Internet kommen sollen die auf 10.0.0.2 gehen. Den Rest übernimmt dann der VPN Server. Und das mit dem DMZ wäre noch ne super Sache, was man da eigentlich anschließen sollte und was es damit auf sich hat. Vielen 1000 Dank Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 1. Februar 2004 Melden Teilen Geschrieben 1. Februar 2004 Hi, also, so gut kenn ich mich jetzt mit dem ISA auch nicht aus. Aber der ISA ist doch auch 'nur' ne Firewall. Vielleicht mit mehr Einstellmöglichkeiten, aber im Prinzip. Guck halt einfach mal die Menüs durch. Da gibt es doch bestimmt nen Punkt, wo Du Ports aufmachen kannst und dann forwarden. Für VPN muss Pass Through gehen, dass heißt, die ein und ausgehenden VPN Pakete müssen unverändert zum und vom VPN Server gehen. Denke mal, dass so ein gigantisches Produkt trotz geöffnetem Port noch filtert. Wahrscheinlich musst Du speziell auf dem Port 1723 dann noch den Filter abstellen. Hab Dir nur geschrieben was Du beachten musst. Das wie am 'ISA' weiß ich auch nicht Gruß Roland Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.