Öffnen der Firewall für SUS

[geologist 10]

Moin, moin,

 

ich möchte einen SUS-Server installieren, unsere Firewall läßt jedoch keine Kommunikation mit dem Microsoft-Server zu. Die Telekom, die unsere Firewall administriert, behauptet, daß bei der Öffnung derselben eine gigantische Sicherheitslücke entsteht, über die "jeder Hacker" Zugriff auf unser Netz bekommt.

 

Stimmt das? Welche Ports müssen geöffnet werden? Welche Sicherheitsrisiken entstehen durch die partielle Öffnung der Firewall?

 

(bin ich in diesem Subforum richtig oder gehört das zum Backoffice Forum?)

 

Mfg

[mfrank 10]

Hallo,

 

ich mag da jetzt falsch liegen, aber m. E. ist lediglich der Port 80 zu öffnen.

Unglaublich: ich habe gerade ein Update unseres SUS-Servers gemacht und dabei spaßeshalber den Netzwerkmonitor von W2k3 mitlaufen lassen. Das Log habe ich dann mal überflogen und danach *gelöscht* Aber beim Überfliegen ist mir außer Standardverkehr nichts ins Auge gesprungen.

 

Kann mich aber auch irren.

 

Es grüßt

 

MF

[pandur 10]

Das sehe ich genauso. Microsoft beschreibt in der knowledge base, wie man den SUS für die Kommuniktion über einen Proxy, z.B. ISA konfiguriert, also gehe ich von default Port 80 TCP aus.

 

Besser als der Netzwerkmonitor wäre wohl das Tool Ethereal in Verbindung mit WinPCap, das verwende ich unter Windows, wenn ich Traffic analysieren will.

 

Das Problem mit der Firewall ist eines, dessen Tragweite hier so nicht beleuchtet werden kann. Die Frage ist ja auch, ob die Microsoft Seite überhaupt angesurft werden kann...

 

Wenn Ihr den Internetzugriff allerdings über einen Proxy realisiert habt (was ich für sinnvoll halte), dann liegt's ggf. daran, dass der SUS einen Nutzernamen und ein Passwort für den Proxy braucht.

[mfrank 10]

Original geschrieben von pandur

Wenn Ihr den Internetzugriff allerdings über einen Proxy realisiert habt (was ich für sinnvoll halte), dann liegt's ggf. daran, dass der SUS einen Nutzernamen und ein Passwort für den Proxy braucht.

 

Auch ein Nutzername und ein Passwort läßt sich in den Konfigurationsoptionen hinterlegen.

 

Was mich aber nervös macht ist der Dreiklang Telekom - Firewall - Administrieren

 

SCNR

 

Es grüßt

 

MF

[pandur 10]

Nee, nee, mach Dich mal nicht wegen der Magenta farbenen Firma irre. Ich habe in unserem Bereich jetzt einige Leute kennengelernt, die von der Firma kommen und die sind allesamt richtig gut. Ich habe nur meine Probleme mit dem 1st Level Support...

 

Aber die Technik die dahinter steckt und die Techniker, die sie betreiben, die machen das schon garnicht so schlecht. Auf jeden Fall sind sie besser als ihr Ruf.

 

Das soll den Thread jetzt aber nicht zu einer allgemeien Diskussion und einem Glaubenskrieg für oder wider die Telekom machen. ;-)

 

Dass man die Credentials entsprechend auch einträgt hatte ich jetzt vorausgesetzt...

[mfrank 10]

Telekom-Bashing ist ein Reflex. Ähnlich wie manche Leute einfach auf eine Spinne draufhauen *müssen*, sobald Sie sie nur sehen... :D

 

Ehrliche Entschuldigung an alle Telekomler, die hier mitlesen.

 

Es grüßt

 

MF

[geologist 10]

Moin,

 

eine Frage eines interessierten Laien:

 

Den Port 80 macht man ja ungerne auf. Kann man über einen Proxy steuern, daß hierüber nur die Kommunikation mit dem Microsoft SUS-Server genehmigt wird? Ansonsten wäre das Sicherheitsrisiko doch zu groß (oder doch nicht?)

 

MfG

[mfrank 10]

Den Port 80 (http) macht man in dem Moment auf, in dem man seinen Anwendern Zugriff auf das Internet gestatten will.

Du hast recht, es gibt reichlich Möglichkeiten über diesen Port ****sinn anzustellen, aber das ist der Preis für einen Internetzugriff.

 

Man kann den Proxy sicherlich so konfigurieren, das er alle Anfragen verwirft, außer die für SUS nötigen, Fakt bleibt aber: Port 80 ist in dem Moment offen.

 

Die Frage nach der nötigen Sicherheit hängt stark von Deinem Arbeitgeber ab. MAD und BND haben sicherlich andere Ansprüche als Klötenklempers Glaserei.

 

Es grüßt

 

MF

[pandur 10]

Deine Frage ist nicht soo leicht zu beantworten.

 

Meine Meinung:

 

1. Ist es im Grundegenommen kein Problem, http über Port 80 ausgehen UND stateful zu erlauben. Schliesslich wollt Ihr ja alle im Netz surfen.

 

2. Gibt es mehrere Möglichkeiten einen Proxy zu konfigurieren, z.B. mit und ohne Nutzerkennungen, transparent oder nicht etc. Weiterhin gibt es da ja auch mehrere Produkte, die Unterschiedliche Möglichkeiten bieten.

 

Ein Sicherheitsrisiko sehe ich also nicht spontan, sondern erst im Bezug auf eine bestimmte Umgebung.

 

Solltest Du spezielle Fragen haben, kannst Du sie mir jederzeit gerne stellen.

 

Greets, Jens

[x86-64 10]

so unrecht hat der techniker gar nicht damit der sus sever sycronisert muss man activex an der firewall durchlassen was auf jeden fall eine sicherheitslücke ist

[geologist 10]

N'Abend x86-64,

 

kann man das mit ActiveX irgendwo nachlesen? Für eine Quelle wäre ich sehr dankbar!

 

MfG

[pandur 10]

Active X ist dann kein Problem, wenn man Filterfunktionen entsprechend konfiguriert. Und eine Firewall Lösung, die Active X filtern kann, der kann man mit Sicherheit auch sagen, dass das nur für eine Zieladresse geht. Wo ein Wille, da ein Weg.

Automatische Updates aufgrund der Sicherheit zu verhindern ist PARADOX.

[x86-64 10]

ja hab jetzt kein link hatte aber genau des gleiche problem. Hab dann gegooglet und da stand dannn das man activex aktivieren muss als hab ich mich auf unsere watchguard aufgeschalten und des dort deaktiviert und dann ging es

[geologist 10]

Moin, moin

 

vielen Dank, das muß reichen an Infos.

 

MfG