2
Windows 2003 SBS ISA und VPN
Hallo Alle
Ich habe einen windows 2003 SBS server mit ISA Server für eine kleine Firma installiert.
Ich möchte jetzt VPN einrichten. Der Server ist direkt von aussen erreichbar mit eigenem Public IP. Meine Frage: Kann der ISA server zur Sicherheit der VPN connections beitragen?
Wenn JA was und wie soll man der ISA Server dafür konfigurieren?
Danke für eure Hilfe
Ciao
Sailor
Ich habe einen windows 2003 SBS server mit ISA Server für eine kleine Firma installiert.
Ich möchte jetzt VPN einrichten. Der Server ist direkt von aussen erreichbar mit eigenem Public IP. Meine Frage: Kann der ISA server zur Sicherheit der VPN connections beitragen?
Wenn JA was und wie soll man der ISA Server dafür konfigurieren?
Danke für eure Hilfe
Ciao
Sailor
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 49540
Url: https://administrator.de/contentid/49540
Printed on: April 20, 2024 at 01:04 o'clock
2 Comments
Latest comment
Hallo zusammen,
Da es ein SBS ist, nehme ich mal an, dass er so den ein oder anderen durchaus auch sensiblen Dienst im Firmennetz anbietet. Also kein Server, der lediglich für die Internetverbindung und VPN genutzt werden soll.
Was heißt "direkt von außen erreichbar"? Exposed host? Port forwarding? Welche Dienste bietet der Server im Internet an? WWW? FTP? SMTP/POP3? Oder vielleicht was exotisches?
Sei es wie es sei. Das ist ein grober Fehler im Sicherheitskonzept. Du lässt auf dem internen Server auch Dienste laufen, die von Unbekannten genutzt werden. Und dann auch noch unter Windoze. Das lädt ja geradezu zum hacken ein. ;)
Ich würde das Problem mit Hardware erschlagen:
Router mit echtem DMZ-Port, der VPN-Tunnel aufbauen kann.
An den DMZ-Port kommt ein Server, der die Dienste auch nach außen anbietet. Du musst dann im internen DNS die Zone mit der lokalen IP aus dem anderen Netz auflösen.
Die VPN-Tunnel werden direkt im Router konfiguriert. Das hat unter anderem den Vorteil, dass man echtes VPN machen kann und nicht via NAT. Für weitere Informationen empfehle ich einmal den Wikipedia-Artikel zu VPN und NAT und Google.
Im lokalen Netz hinter Router und Firewall steht dann der Server, der die internen Dienste anbietet. Also sowas wie Kundendatenbank, Buchhaltung etc. Lass sowas nie auf einer Maschine laufen, die irgendwie von außen erreichbar ist außer via VPN.
Und das ist auch der Grund, warum der VPN-Tunnel nicht von dieser Maschine aus aufgebaut werden sollte. Denn damit ist sie ja wieder direkt von außen für jedermann erreichbar.
Solche Router sind nicht ganz billig und die gibt es auch nicht bei Geiz-Ist-Geil & Co. Ich selbst verwende für solche Zwecke immer Lancom. Es gibt sie aber auch von Bintec oder Cisco.
hth
Liebe Grüße
Erik
Hallo Alle
Ich habe einen windows 2003 SBS server mit
ISA Server für eine kleine Firma
installiert.
Ich habe einen windows 2003 SBS server mit
ISA Server für eine kleine Firma
installiert.
Da es ein SBS ist, nehme ich mal an, dass er so den ein oder anderen durchaus auch sensiblen Dienst im Firmennetz anbietet. Also kein Server, der lediglich für die Internetverbindung und VPN genutzt werden soll.
Ich möchte jetzt VPN einrichten. Der
Server ist direkt von aussen erreichbar mit
eigenem Public IP.
Server ist direkt von aussen erreichbar mit
eigenem Public IP.
Was heißt "direkt von außen erreichbar"? Exposed host? Port forwarding? Welche Dienste bietet der Server im Internet an? WWW? FTP? SMTP/POP3? Oder vielleicht was exotisches?
Sei es wie es sei. Das ist ein grober Fehler im Sicherheitskonzept. Du lässt auf dem internen Server auch Dienste laufen, die von Unbekannten genutzt werden. Und dann auch noch unter Windoze. Das lädt ja geradezu zum hacken ein. ;)
Ich würde das Problem mit Hardware erschlagen:
Router mit echtem DMZ-Port, der VPN-Tunnel aufbauen kann.
An den DMZ-Port kommt ein Server, der die Dienste auch nach außen anbietet. Du musst dann im internen DNS die Zone mit der lokalen IP aus dem anderen Netz auflösen.
Die VPN-Tunnel werden direkt im Router konfiguriert. Das hat unter anderem den Vorteil, dass man echtes VPN machen kann und nicht via NAT. Für weitere Informationen empfehle ich einmal den Wikipedia-Artikel zu VPN und NAT und Google.
Im lokalen Netz hinter Router und Firewall steht dann der Server, der die internen Dienste anbietet. Also sowas wie Kundendatenbank, Buchhaltung etc. Lass sowas nie auf einer Maschine laufen, die irgendwie von außen erreichbar ist außer via VPN.
Und das ist auch der Grund, warum der VPN-Tunnel nicht von dieser Maschine aus aufgebaut werden sollte. Denn damit ist sie ja wieder direkt von außen für jedermann erreichbar.
Solche Router sind nicht ganz billig und die gibt es auch nicht bei Geiz-Ist-Geil & Co. Ich selbst verwende für solche Zwecke immer Lancom. Es gibt sie aber auch von Bintec oder Cisco.
hth
Liebe Grüße
Erik
Hi Erik
Danke fuer deine Erklaerungen.
Ich muss noch besser detaillieren.
Der Server hat 2 NW Karten. Die eine ist fuer die Interne Network (192.168...) und die Zweite ist mit dem public IP zu einem Router gebunden der unserem Provider gehört.
Da der Router alles durch lässt (warum auch immer) habe ich mir gedacht dass der ISA Server als Firewall dienen konnte und notfalls die Security der VPN connection gewärleisten kann. Das war meine Frage.
Danke für eure Hilfe.
Ciao
Sailor
Danke fuer deine Erklaerungen.
Ich muss noch besser detaillieren.
Der Server hat 2 NW Karten. Die eine ist fuer die Interne Network (192.168...) und die Zweite ist mit dem public IP zu einem Router gebunden der unserem Provider gehört.
Da der Router alles durch lässt (warum auch immer) habe ich mir gedacht dass der ISA Server als Firewall dienen konnte und notfalls die Security der VPN connection gewärleisten kann. Das war meine Frage.
Danke für eure Hilfe.
Ciao
Sailor
