Zum Inhalt springen

2K3 - IAS / Radius Server hinter Cisco PIX


Empfohlene Beiträge

Geschrieben

Hallo. Möchte demnächst ein Netzwerk ausbauen und wollte das Konzept einfach nochmals bestätigen lassen.

Es geht um diese Netzwerkinfrastruktur (Natürlich habe ich einiges weggelassen):

my.php?image=iashinterciscorouter1oh4.jpg

Nun möchte ich eben die RAS Einwahl auf einer Hardware als Radius Client und Server realisieren. Meine Frage(n) nun:

1. Sollte ich das ganze nicht lieber in einer DMZ realisieren, in der noch eine zusätzliche Firewall "hinter" (Auf der Seite des internen Netzwerks) dem IAS Server vorhanden ist oder reicht die Sicherheit aus?

my.php?image=iashinterciscorouterineyl6.jpg

2. Bezogen auf die DMZ: Würde es auch Sinn machen einen "ISA" Server direkt auf dem IAS Server aufzusetzen um so eine DMZ zu kreieren (Um sich so eine Hardware zu sparen)?

3. MUSS in diesem Fall der Router die Fähigkeit der Weiterleitung an einen Radius Server besitzen (So wie es WLAN Radius Clients beispielsweise tun) oder könnte ich das ganze auch anderweitig realisieren? Z.B. indem der IAS Server auch die Radius Client Funktion auf der Internetseite mit Routing und RAS übernimmt und ich den Cisco Router stattdessen als interne Firewall für die DMZ aufstellen, so dass also letztendlich der IAS (Radius Client und Server) Server auch als ISA Server fungiert und dennoch eine DMZ vorhanden ist, da mir nur diese Hardware für diesen Zweck zur Verfügung steht.

my.php?image=iasalsauchisaundciscorots4.jpg

Ich freue mich auf euere Vorschläge und bedanke mich gleichzeitig.

Geschrieben

Eine Firewall ist aus Sicherheitsgruenden nie Mitglied einer Domaene.

Nicht umsonst hat der ISA 2006 eine zusaetzliche LDAP-Anbindung ans AD, ohne Mitglied der Domaene zu sein.

Ueber RADIUS (IAS) ist es mit dem ISA 2004 auch moeglich, User am AD zu authentifizieren.

Ein Konzept mit zwei Firewalls unterschiedlicher Hersteller ist vom Ansatz her sicherer als eine Firewall.

Auch wenn der ISA Server 2004/2006 als ziemlich sicher gilt.

Geschrieben

Dann muss der ISA in der Domaene sein.

Ein RRAS ohne Radius funktioniert nur innerhalb einer Domaene.

Du brauchst Radius bzw. LDAP (AD) auf einem alleinstehendem ISA-Server, um auf die Domaene im internen Netz zuzugreifen.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...