Jump to content

Öffnen der Firewall für SUS

geologist

Von geologist
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

geologist Community Regular

geologist   10

Geschrieben
Geschrieben

Moin, moin,

 

ich möchte einen SUS-Server installieren, unsere Firewall läßt jedoch keine Kommunikation mit dem Microsoft-Server zu. Die Telekom, die unsere Firewall administriert, behauptet, daß bei der Öffnung derselben eine gigantische Sicherheitslücke entsteht, über die "jeder Hacker" Zugriff auf unser Netz bekommt.

 

Stimmt das? Welche Ports müssen geöffnet werden? Welche Sicherheitsrisiken entstehen durch die partielle Öffnung der Firewall?

 

(bin ich in diesem Subforum richtig oder gehört das zum Backoffice Forum?)

 

Mfg

mfrank Rising Star

mfrank   10

Geschrieben
Geschrieben

Hallo,

 

ich mag da jetzt falsch liegen, aber m. E. ist lediglich der Port 80 zu öffnen.

Unglaublich: ich habe gerade ein Update unseres SUS-Servers gemacht und dabei spaßeshalber den Netzwerkmonitor von W2k3 mitlaufen lassen. Das Log habe ich dann mal überflogen und danach *gelöscht* :cry: Aber beim Überfliegen ist mir außer Standardverkehr nichts ins Auge gesprungen.

 

Kann mich aber auch irren.

 

Es grüßt

 

MF

pandur Rising Star

pandur   10

Geschrieben
Geschrieben

Das sehe ich genauso. Microsoft beschreibt in der knowledge base, wie man den SUS für die Kommuniktion über einen Proxy, z.B. ISA konfiguriert, also gehe ich von default Port 80 TCP aus.

 

Besser als der Netzwerkmonitor wäre wohl das Tool Ethereal in Verbindung mit WinPCap, das verwende ich unter Windows, wenn ich Traffic analysieren will.

 

Das Problem mit der Firewall ist eines, dessen Tragweite hier so nicht beleuchtet werden kann. Die Frage ist ja auch, ob die Microsoft Seite überhaupt angesurft werden kann...

 

Wenn Ihr den Internetzugriff allerdings über einen Proxy realisiert habt (was ich für sinnvoll halte), dann liegt's ggf. daran, dass der SUS einen Nutzernamen und ein Passwort für den Proxy braucht.

mfrank Rising Star

mfrank   10

Geschrieben
Geschrieben
Original geschrieben von pandur

Wenn Ihr den Internetzugriff allerdings über einen Proxy realisiert habt (was ich für sinnvoll halte), dann liegt's ggf. daran, dass der SUS einen Nutzernamen und ein Passwort für den Proxy braucht.

 

Auch ein Nutzername und ein Passwort läßt sich in den Konfigurationsoptionen hinterlegen.

 

Was mich aber nervös macht ist der Dreiklang Telekom - Firewall - Administrieren

 

SCNR

 

Es grüßt

 

MF

pandur Rising Star

pandur   10

Geschrieben
Geschrieben

Nee, nee, mach Dich mal nicht wegen der Magenta farbenen Firma irre. Ich habe in unserem Bereich jetzt einige Leute kennengelernt, die von der Firma kommen und die sind allesamt richtig gut. Ich habe nur meine Probleme mit dem 1st Level Support...

 

Aber die Technik die dahinter steckt und die Techniker, die sie betreiben, die machen das schon garnicht so schlecht. Auf jeden Fall sind sie besser als ihr Ruf.

 

Das soll den Thread jetzt aber nicht zu einer allgemeien Diskussion und einem Glaubenskrieg für oder wider die Telekom machen. ;-)

 

Dass man die Credentials entsprechend auch einträgt hatte ich jetzt vorausgesetzt...

geologist Community Regular

geologist   10

Geschrieben
  • Autor
Geschrieben

Moin,

 

eine Frage eines interessierten Laien:

 

Den Port 80 macht man ja ungerne auf. Kann man über einen Proxy steuern, daß hierüber nur die Kommunikation mit dem Microsoft SUS-Server genehmigt wird? Ansonsten wäre das Sicherheitsrisiko doch zu groß (oder doch nicht?)

 

MfG

mfrank Rising Star

mfrank   10

Geschrieben
Geschrieben

Den Port 80 (http) macht man in dem Moment auf, in dem man seinen Anwendern Zugriff auf das Internet gestatten will.

Du hast recht, es gibt reichlich Möglichkeiten über diesen Port ****sinn anzustellen, aber das ist der Preis für einen Internetzugriff.

 

Man kann den Proxy sicherlich so konfigurieren, das er alle Anfragen verwirft, außer die für SUS nötigen, Fakt bleibt aber: Port 80 ist in dem Moment offen.

 

Die Frage nach der nötigen Sicherheit hängt stark von Deinem Arbeitgeber ab. MAD und BND haben sicherlich andere Ansprüche als Klötenklempers Glaserei.

 

Es grüßt

 

MF

pandur Rising Star

pandur   10

Geschrieben
Geschrieben

Deine Frage ist nicht soo leicht zu beantworten.

 

Meine Meinung:

 

1. Ist es im Grundegenommen kein Problem, http über Port 80 ausgehen UND stateful zu erlauben. Schliesslich wollt Ihr ja alle im Netz surfen.

 

2. Gibt es mehrere Möglichkeiten einen Proxy zu konfigurieren, z.B. mit und ohne Nutzerkennungen, transparent oder nicht etc. Weiterhin gibt es da ja auch mehrere Produkte, die Unterschiedliche Möglichkeiten bieten.

 

Ein Sicherheitsrisiko sehe ich also nicht spontan, sondern erst im Bezug auf eine bestimmte Umgebung.

 

Solltest Du spezielle Fragen haben, kannst Du sie mir jederzeit gerne stellen.

 

Greets, Jens

pandur Rising Star

pandur   10

Geschrieben
Geschrieben

Active X ist dann kein Problem, wenn man Filterfunktionen entsprechend konfiguriert. Und eine Firewall Lösung, die Active X filtern kann, der kann man mit Sicherheit auch sagen, dass das nur für eine Zieladresse geht. Wo ein Wille, da ein Weg.

Automatische Updates aufgrund der Sicherheit zu verhindern ist PARADOX.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...