Reve Geschrieben 6. Januar 2006 Teilen Geschrieben 6. Januar 2006 Hey Leute Ich plane zur Prüfung (FiSi) einen ISA 2004 für unser Firmennetzwerk aufzusetzen und zu konfigurieren. Da ich den ISA selbst noch nie angefasst habe, ist es schwer für mich, eine Terminierung aufzustellen. Folgende Schritte hatte ich mir für die anstehenden 35 Stunden gedacht: Installation und Grundkonfiguration des ISA 2004Festlegen bestimmter Regeln zur Sperrung aller Websites bis auf ein paar ausgewählte für einen Teil der Clients im Netz (Ist dies überhaupt möglich ?)Einrichten des Proxy-CachesKonfiguration der FirewallGgf. noch Bereitstellung eines VPN Zuganges von Aussen auf das komplette Netz ( Je nachdem ob der Zeitliche Ansatz für die ersten Punkte zu kurz ausfällt ) Meint Ihr, die von mir geplanten Aufgaben passen in die gegebenen 35 Stunden ? Mir wurde gesagt, ISA sei ein zweischneidiges Thema. Oft viel zu groß oder zu klein geplant. Gruß Reve Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
tizeka Geschrieben 6. Januar 2006 Teilen Geschrieben 6. Januar 2006 Stell dir die Aufgabe neu! Was willst du erreichen? Netzwerk Absicher(Paketfilter oder Proxy), oder Netze verbinden (VPN), oder beides. Nimm das dann als Aufgabe und in deiner Projektphase wirst du dann den ISA nehmen aus Gründen die du für richtig hälst! (s. Evaluierung) Der Gund für dein Projekt sollte klar gestekt sein! Ich denke auch einen ISA Server kann man bis zum abwinken durchnehmen. Aber wenn du davon überhaupt nicht kennst würde ich vorsichtig sein ... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Reve Geschrieben 6. Januar 2006 Autor Teilen Geschrieben 6. Januar 2006 Mein Ziel ist es, einen internen Teil des Netzes vom WAN abzutrennen. Ausnahmen sind diverse Seiten. Ausserdem soll gleichzeitig eine Firewalllösung in unserem Betrieb eingeführt werden. Die Idee mit dem VPN kam mir nur, weil momentan schon ein Routing und RAS Server auf unserem DC konfiguriert ist. Mit dem ISA - Server selbst habe ich noch nicht gearbeitet. Ich persönlich habe für eigene zwecke meist die Mandrake Linux SNF verwendet. Das heisst, in den Funktionalitäten der einzelnen ISA Module bin ich schon ein wenig firm. Nur eben auf Basis von Windows nicht. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 6. Januar 2006 Teilen Geschrieben 6. Januar 2006 Mein Ziel ist es, einen internen Teil des Netzes vom WAN abzutrennen. Ausnahmen sind diverse Seiten. Warum nur einen Teil abtrennen? Also mußt Du eine DMZ realisieren? Die Idee mit dem VPN kam mir nur, weil momentan schon ein Routing und RAS Server auf unserem DC konfiguriert ist. RAS auf nem DC ist in 99 % aler Szenarien wahnsinnig - wer denkt sich so einen Mist aus? Ein RAS sollte immer speziel gehärtet sein... Mit dem ISA - Server selbst habe ich noch nicht gearbeitet. Ich persönlich habe für eigene zwecke meist die Mandrake Linux SNF verwendet. Das heisst, in den Funktionalitäten der einzelnen ISA Module bin ich schon ein wenig firm. Nur eben auf Basis von Windows nicht. Dann realisier das ganze doch auf Linux-Basis, die User kannste dir da auch per Kerberos aus dem AD ziehen (AD ist ja nichts weiter als LDAP), der Proxy macht ein Squid und Firewall per Iptables. Wenn Du fit bist noch nen IDS oder IPS auf Basis Snort-inline drauf, das ganze abhärten. Alternative wäre eine speziell für solche Zecke entwickelte Distribution wie IPCop oder Moonwall... mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
timmi-bonn Geschrieben 6. Januar 2006 Teilen Geschrieben 6. Januar 2006 Mein Ziel ist es, einen internen Teil des Netzes vom WAN abzutrennen. Nein, das ist nicht Dein Ziel! Das ist eine Möglichkeit, Dein Ziel zu erreichen. Dein eigentliches Ziel ist die Verbesserung der Sicherheit. Und da solltest Du auch ansetzen mit der Evaluierung. Dann hast Du viel mehr Möglichkeiten, Deine Fachkompetenz auf dem (selben) Wege zur Lösung unter Beweis zu stellen. gruss, timmi Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Reve Geschrieben 7. Januar 2006 Autor Teilen Geschrieben 7. Januar 2006 Also gut.. Mein Ziel ist die Verbesserung der Sicherheit unseres internen LAN's unter Verwendung des Microsoft ISA 2004 bei Einsatz folgender Möglichkeiten: - Installation und Grundkonfiguration des ISA 2004 - Abschottung des Intranets inklusive Einrichtung einer DMZ (Büro Marktleitung und Buchhaltung) - Einrichten einer Firewall zum Schutze des Netzwerkes vor Bedrohungen von Aussen Meint Ihr, diese 3 Punkte lassen sich Inklusive Hardwareumstellung und Doku in 35 Stunden absolvieren ? Zu unserem DC mit VPN Zugang: Musste sein, da die VPN Funktion unseres LanCom Routers bereits in Verwendung ist (VPN-Tunnel zu einem weiteren Hagebaumarkt, der unsere Warenwirtschaft als 2. Mandant mitbenutzt), nur ein 2003 Server in unserem Betrieb in Verwendung ist und der Chef sich mit neuer Hardware sehr schwer tut. (Gesichtspunkt: Unkosten) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 7. Januar 2006 Teilen Geschrieben 7. Januar 2006 - Abschottung des Intranets inklusive Einrichtung einer DMZ (Büro Marktleitung und Buchhaltung) Ein Arbeitsplatzrechner hat nichts in einer DMZ verloren. Ist generell nicht so schlau den Arbeitgeber zu nennen... mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
tizeka Geschrieben 8. Januar 2006 Teilen Geschrieben 8. Januar 2006 Also gut.. Mein Ziel ist die Verbesserung der Sicherheit unseres internen LAN's unter Verwendung des Microsoft ISA 2004 bei Einsatz folgender Möglichkeiten: - Installation und Grundkonfiguration des ISA 2004 - Abschottung des Intranets inklusive Einrichtung einer DMZ (Büro Marktleitung und Buchhaltung) - Einrichten einer Firewall zum Schutze des Netzwerkes vor Bedrohungen von Aussen Meint Ihr, diese 3 Punkte lassen sich Inklusive Hardwareumstellung und Doku in 35 Stunden absolvieren ? Zu unserem DC mit VPN Zugang: Musste sein, da die VPN Funktion unseres LanCom Routers bereits in Verwendung ist (VPN-Tunnel zu einem weiteren Hagebaumarkt, der unsere Warenwirtschaft als 2. Mandant mitbenutzt), nur ein 2003 Server in unserem Betrieb in Verwendung ist und der Chef sich mit neuer Hardware sehr schwer tut. (Gesichtspunkt: Unkosten) Ich helf mal auf die Sprünge: Einfaches Beispiel: Von meiner Firma xy wurde ich beauftragst, die Sicherheit in unserem Netzwerk durch Einsatz von Proxyserver und Firewall zu erhöhen. Den ISA-Server lässt du weg und baust ihn dann in das Projekt als Evaluierung ein! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 8. Januar 2006 Teilen Geschrieben 8. Januar 2006 Da ich den ISA selbst noch nie angefasst habe Nimm etwas, was Du bereits kennst. Du wirst keine Zeit finden, Dich - in einem auf 35 h angesetzten Projekt - erst in den ISA Server einzuarbeiten. Auch wenn der ISA Server 2004 im Vgl. zum Vorgaenger ISA 2000 Server besser administrierbar ist, muessen Grundlagen (Protokolle, Netzadressierung, Firewallarchitekturen, Serververoeffentlichung mit ISA, Webserververoeffentlichung mit ISA, ISA-Clients, RAS, Routing, VPN mit PPTP, VPN mit L2TP/IPsec, VPN mit IPsec im Tunnelmodus, Client-to-Server-VPN, Site-to-Site-VPN, Forward-Proxy, Reverse-Proxy, LAT, LDT, WPAD ...) bekannt sein. Die Projektdoku soll nicht zeigen, dass Du ein Setup und eine GUI durchklickern kannst, sondern Deine Eigenleistungen - Entscheidungen warum etwas gemacht wurde - erkennen lassen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 8. Januar 2006 Teilen Geschrieben 8. Januar 2006 Da kann ich Hades nur zustimmen! Die ISAS sind wie jede AllInOne Appliance superkomplex und wenn man nicht durchblickt läßt man zwangsläufig Löcher in der Config. Halte von diesen AllInOne Dingern eh nichts und wenn dann lieber nen IPCop oder ähnliches... mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.