Netzplanung mit ISA 2004

[Zearom 10]

Hallöchen,

 

ich wende mich diesmal mit einem Netzwerkentwurf an dieses Fachkundige Forum.

 

Ist-Situation:

Zur Zeit habe ich einen Windows 2003 Server (DHCP, DNS, AD) auf dem VMWARE inkl. einer IPCOP-Distribution als Firewall Lösung läuft. Momentan gibt es 2 Netzwerke einmal das Interne Netz (Kabelgebunden) und als eigenständiges Netz das WLAN, zwischen beiden Netzen befindet sich der Server und routet halt entsprechend. Das läuft prinzipiell recht gut.

 

Problem:

Aufgrund von Hard- und Softwareproblemchen möchte ich den Server neu aufsetzen, gleichzeitig bekommt er ein RAID5 und ein Bandlaufwerk zur Sicherung verpasst. Des Weiteren bin ich mit der Netzverteilung nicht zufrieden. Vom WLAN her kann man komplett auf das Kabelgebundene Netzwerk zugreifen. Da sich ab und zu fremde Laptops einwählen ist das für mich eine eher suboptimale Lösung. Weiterhin verbraucht die Hardwareemulation von VMware ja auch "ein bisschen" Ressourcen, außerdem wird die Netzwerkkonfiguration schnell unübersichtlich.

 

Meine Lösung.

Server wird komplett neu aufgesetzt, das aktive Directory wird vom alten übernommen (soweit ist das ja auch kein Problem). Strikter soll zwischen den einzelnen Netzwerken getrennt werden. Damit meine ich, das WLAN darf nur auf bestimmte Ports des Internen (kabelgebundenen) Netzers zugreifen. Des Weiteren möchte ich ein Netzwerk integrieren in welches man sich über VPN verbinden kann. Dieses Netz darf ebenfalls nur auf ein paar Ports des Internen Netzes sowie des WLANs zugreifen. Realisiert soll diese Sicherheit mit einem ISA 2004 in der Standard Edition. Auf dem Server soll soll noch ein Exchange 2003 Platzfinden. WLAN und VPN sollten auf diesen Exchange nur via OWA kommen. Direkt sollte das OWA nicht erreichbar sein.

 

Meine Problemchen:

Ich habe in einer VMware Maschine dieses Szenario mal versucht nachzubilden. Bin da allerdings auf ein Problemchen gestoßen, das ich bisher nicht lösen konnte:

Das Interne Netz soll natürlich via NAT aufs Internet ohne Restriktionen zugreifen können. Da der ISA per default erstmal alles verbietet, müsste ich nun jedes einzelne Protokoll freigeben (Funktion nennt sich im ISA wohl "SecureNAT"). Da die Clients des Internen Netzes eher vertrauenswürdig sind, sollten sie prinzipiell alles nutzen dürfen. Ist das technisch möglich? Die Restriktionen sollten eigentlich "nur" für das WLAN und das VPN-Netz gelten.

 

Wäre toll, wenn ihr mir da kurz weiterhelfen könnt. Ich habe mir msisafaq.de und isaserver.org mal angeschaut nur irgendwie nicht wirklich etwas verwertbares gefunden, kann auch gut sein das ich es übersehen habe, wobei ich schon recht intensiv versucht habe es zu recherchieren. Habt ihr evtl noch weitere gute seiten zum Thema ISA 2004 in euren Favoriten? Lohnt sich evtl. das ein oder andere „Büchlein“? Wäre für Tipps wirklich dankbar.

 

'Aufgrund von Hardware und Softwareproblemchen muss ich diese Maschine neu aufsetzen und bekommt gleichzeitig ein nettes RAID 5 Array verpasst um Daten sicherer speichern zu können.

[Zearom 10]

ich schieb ja meine Posts ja nur ungerne nach oben, nur ich hab das gefühl den Post wohl zur falschen zeit erstellt zu haben ;)

 

ich sehen gerade der letzte satz kann man getrost ignorieren. den hatte ich irgendwo aus dem text wieder herausgestrichen... naja edittime ist wohl vorrüber.

[Christoph35 10]

Hi, Morpheus,

 

ich habe mir gerade dieses Buch zugelegt und gerade angefangen darin zu lesen. Shinder ist der "ISA-Server-Papst" und betreibt ja auch ISAServer.org mit.

Das Training-Kit zur ISAServer 2004 Prüfung habe ich auch mir schon mal angeschaut.

 

Ich würde an deiner Stelle nur das verkabelte Netz als internes Netz definieren und das WLAN als weiteres Netz (mit NAT). VPN wird mit entsprechender Konfiguration des ISA als VPN Server auch als Netz definiert.

 

Vom verkabelten Netz ins WLAN könntest du ja dann eine Regel definieren, die allen ausgehenden Verkehr (im engl. ISA: all outbound traffic) erlaubt (spart dir, in dieser Richtung jedes einzelne Protokoll freigeben zu müssen). Wenn WLAN Rechner auf Ressourcen im verkabelten Netz zugreifen müssen, kannst du das über entsprechende Server/Web-Publishing regeln konfigurieren.

 

Sonst schreib doch noch mal genauer, was du vorhast.

 

Christoph

[Dirk_privat 10]

Hi

 

Die Funktion SecureNat bedeutet nur, daß Du den Firewall Client installiert hast, Du kannst genauso mit WebProxy (IE Einstellungen) in´s Internet. Natürlich macht es Sinn für alles eine Regel zu erstellen was Du freischalten möchtest. Du kannst natürlich auch alle Protokolle in eine Regel packen, das wird aber schnell unübersichtlich. Allzuviel Regeln sind es ja normalerweise nicht (HTTP, HTTPS, FTP) und das war´s dann auch bald mal.

 

Dein WLAN kannst Du als ein separates Netz packen, damit Du einzele Ports/Regeln definieren kannst. Das würde ich auch so machen.

 

Gruß

Dirk

[Zearom 10]

okay, vielen dank für die Tipps und Infos. Ich hab das gestern abend bzw. gestern nacht mal angewendet, mit einem durchaus guten ergebniss, genauso wie ich es haben wollte.

 

was mich jetzt noch beschäftigt ist, wie ich den VPN-Clients ein anderes Subnet "unterschieben" kann. Momentan werden sie von RRAS Server einfach mit IP-Adressen aus dem Internen netz versorgt. Aber da kann ich mein win2003 wieder befragen, die beiden ISA-Bücher kommen leider erst am wochenende.

 

vielen dank euch beiden.

[Christoph35 10]

Die Funktion SecureNat bedeutet nur, daß Du den Firewall Client installiert hast, ...

 

Korrektur: SecureNat bedeutet, dass das Default-gateway des Clients entweder der ISA Server selbst ist oder über Router zum ISA-Server führt und eben nicht unbedingt ein FW-Client installiert ist.

 

So stehts in jedem Buch, dass ich bisher zum ISA gelesen habe...

 

Christoph