ISA-Server mit 2 NICs/1 Router

  • #1
R

RouvenE

Bekanntes Mitglied
Themenersteller
Dabei seit
02.09.2007
Beiträge
46
Reaktionspunkte
0
Hallo,

Ich habe mal eine (merkwuerdige) Frage:
Momentan ist mein Server (W2003 Server R2), auf dem DHCP laeuft inkl. DNS-Server, direkt mit dem Internet-Router (Fritzbox) verbunden. Die Clients (Vista Business und XP Pro) sind via WLAN ebenfalls mit denselben Router verbunden.
Die NAT-Firewall des Routers ist natuerlich aktiviert, die Firewall des Servers jedoch macht staendig Aerger.
Deshalb moechte ich den Aufbau aendern, zwecks Absicherung.

Ich denke, dass der ISA-Server die beste Variante ist, um das Netzwerk zu sichern.
Nun frage ich mich, ob es ueberhaupt moeglich ist, den ISA-Server auf W2003 laufen zu lassen (als Firewall), wenn der Server zwar 2 Netzwerkkarten hat, aber lediglich 1 Router vorhanden ist.

Normalerweise waere der Aufbau doch:
DSL-Anschluss->Modemrouter->externe Server-NIC
[ISA-Server]
Die Clients wuerden dann per (zweiten) WLAN-Router auf die interne Server-NIC zugreifen

Ist die Trennung zwischen internem und externen Netz mit einem Router moeglich ?

Danke.
 
  • #2
RouvenE schrieb:
[...]Ich denke, dass der ISA-Server die beste Variante ist, um das Netzwerk zu sichern.[...]
Zum Vergrößern anklicken....
Falsch gedacht - jeder sicherheitsbewusste Admin wird dir sagen, das ein Windows-System zum Absichern eines Netzwerks nicht geeignet ist. Stell ne Linux-Firewall hin (z.B. IPCop) oder ne SecurityAppliance, aber um Gottes Willen keinen ISA-Server - den nimmt man nur, wenn man keine andere Möglichkeit hat (zumal für den Betrieb des ISA-Servers die Clients angepasst werden und man hinterher ohne Neuinstallation der Clients nicht mehr vom ISA-Server loskommt).
 
  • #3
Ich moechte mir nicht noch einen Server hinstellen muessen. Leider habe ich auch noch von Linux zu wenig Ahnung.
Eine SecurityAppliance ist ein Hardwaregeraet ? Was kostet soetwas ?
Und das Geraet dient als Hardwarefirewall ?

Rein theoretisch: Waere ein ISA-Server mit einem Router und 2 NICs realisierbar ?
 
  • #4
Falsch gedacht - jeder sicherheitsbewusste Admin wird dir sagen, das ein Windows-System zum Absichern eines Netzwerks nicht geeignet ist ...
Zum Vergrößern anklicken....

Das würde ich so nicht behaupten. Der ISA Server ist ein Produkt, womit man (bei korrekter Konfiguration) sein Netz sehr gut absichern kann!
Da heute in fast allen Fällen immer noch ein Router vor dem ISA Server steht (mit Router meine ich keine FritzBox sondern Geräte von Cisco & Co.), hat man hier schon ein hohes Sicherheitslevel erreicht, da die Router von Hause aus zusätzliche Sicherheitsfeatures mitbringen.

... zumal für den Betrieb des ISA-Servers die Clients angepasst werden und man hinterher ohne Neuinstallation der Clients nicht mehr vom ISA-Server loskommt).
Zum Vergrößern anklicken....

Sorry, doch diese Aussage ist fachlich falsch. Der Einsatz des ISA Clients ist nicht unbedinngt nötig, was widerum die LAN-seitige Sicherheit nicht veringert.
 
  • #5
Ok, ich moechte nun auch beim Windows System bleiben.

Nun frage ich mich, wie ich das Sicherheitsproblem loesen kann, ohne dabei allzuviel neue Geraete betreiben zu muessen, da es im Privatumfeld laeuft.

Ein ISA-Server ist demnach nur mit 2 NICs im Server einsetzbar ?

Waere es nicht auch sinnvoll, sich zB einen Netgear-WLAN-Firewallrouter zu kaufen, der direkt zwischen DSL-Anschluss und Server angeschlossen wird. An dessen geswitchte Ports wiederum werden die Clients angeschlossen und erfolgt der WLAN-Zugriff der WLAN-Clients.

Oder, waere folgendes sicherer:
DSL-Anschluss->Firewall-Router->externe Server-NIC (externe Ebene)
[dazwischen ISA-Server]
interne Server-NIC->WLAN-Router->Clients (interne Ebene)

Eine Art Firewall-Geraet, welches zwischen DSL-Anschluss und WLAN-Router kaeme, gibt es nicht, oder ? Das waere naemlich ein Traum.
 
  • #6
Da du vom privaten Bereich redest würde ich die Variante

DSL Anschluss -> Router mit Firewall -> externe Karte ISA Server

nehmen. Ich halte diese Konfiguration, gerade für privat, vollkommend ausreichend (wenn nicht sogar schon übertrieben).
 
  • #7
Ja, sicher.... NUR:

Wenn DSL->Firewall-Router->externe Server-NIC... wo kommen nun die Clients ins Netzwerk ?
Demnach muesste der Server wiederum eine interne NIC haben, an dem ein weiterer WLAN-Router angeschlossen ist, ueber den dann wieder die Clients auf den Server und somit auf das Internet zugreifen koennen.

Somit muesste ich 2 Router haben.

Oder koennte ich den Server mit nur einer NIC betreiben, an der ein Firewall-Router haengt, ueber den alle Clients auf das Internet zugreifen ?

Dieses habe ich momentan ja so... nur eben frage ich mich, ob die Fritzbox hier genuegend Schutz bietet.
Oder bietet zB der Netgear Firewallrouter mehr Schutz als das AVM-Derivat ?
 
  • #8
snake99 schrieb:
[...]
Das würde ich so nicht behaupten. Der ISA Server ist ein Produkt, womit man (bei korrekter Konfiguration) sein Netz sehr gut absichern kann!
Da heute in fast allen Fällen immer noch ein Router vor dem ISA Server steht (mit Router meine ich keine FritzBox sondern Geräte von Cisco & Co.), hat man hier schon ein hohes Sicherheitslevel erreicht, da die Router von Hause aus zusätzliche Sicherheitsfeatures mitbringen.[...]
Zum Vergrößern anklicken....
*rotfl*
Wie widerspreche ich mir in zwei Sätzen selbst?
Wenn ich nen Router vor mein Netz hänge -und wenns der billigste 0815-Router ist- ist mein Netz damit vor externen Angriffen geschützt, dann brauch ich keinen ISA-Server mehr.

[...]Der Einsatz des ISA Clients ist nicht unbedinngt nötig[...]
Zum Vergrößern anklicken....
Ach nein?
Dann versuch mal ne Internetverbindung durch den Proxy des ISA-Servers aufzubauen, ohne den Client installiert zu haben bzw. versuche mal, die Berechtigungen für den Internetzugriff ohne Installation des Clients innerhalb eines Netzes durchzusetzen. In beiden Fällen leider unmöglich, davon abgesehen beeinträchtigt der ISA-Client in keinster Weise die Sicherheit des Netzes, er ist aber einfach nur lästig, da er sich nicht vollständig deinstallieren lässt.

Und was Cisco & Co. betrifft: Vergiss es, die kochen auch nur mit Wasser, die einen mehr, die anderen weniger. Sinn einer Security-Appliance ist z.B. das Einrichten einer DMZ direkt auf dem Router, die Zuweisung von Ports zu bestimmten Netzwerkbereichen etc. Auch die Unterscheidung SUA/FullNat gehört dazu, die interne Sicherheit des Netzes hat damit null zu tun. Weitere Pluspunkte bei guten Appliances ist die Möglichkeit, IPSEC/VPN zu terminieren, was billige Router nicht können.
 
  • #9
... Wenn ich nen Router vor mein Netz hänge -und wenns der billigste 0815-Router ist- ist mein Netz damit vor externen Angriffen geschützt, dann brauch ich keinen ISA-Server mehr ...
Zum Vergrößern anklicken....

Diese Aussage ist von fachlicher Seite her falsch. Richtig ist, dass ein Router viel für die Sicherheit einer Infrastruktur tun kann und einige Angriffe abfängt, doch ein Router alleine schützt noch lange keine Infrastruktur aussreichend.

... Dann versuch mal ne Internetverbindung durch den Proxy des ISA-Servers aufzubauen, ohne den Client installiert zu haben bzw. versuche mal, die Berechtigungen für den Internetzugriff ohne Installation des Clients innerhalb eines Netzes durchzusetzen. In beiden Fällen leider unmöglich, davon abgesehen beeinträchtigt der ISA-Client in keinster Weise die Sicherheit des Netzes, er ist aber einfach nur lästig, da er sich nicht vollständig deinstallieren lässt ...
Zum Vergrößern anklicken....

Ich kann auch die richtigen Einstellungen bezüglich der Internetverbindung via GPO's steuern.
Berechtigungen über den Internetzugriff können bei vorhandenem AD über Gruppenzugehörigkeit geregelt werden.

@Rouven

Ich denke, dass dieses Szenario für deine Infrastruktur vollkommen okay sein sollte:

Oder, waere folgendes sicherer:
DSL-Anschluss->Firewall-Router->externe Server-NIC (externe Ebene)
[dazwischen ISA-Server]
interne Server-NIC->WLAN-Router->Clients (interne Ebene)
Zum Vergrößern anklicken....
 
  • #10
snake99 schrieb:
... Wenn ich nen Router vor mein Netz hänge -und wenns der billigste 0815-Router ist- ist mein Netz damit vor externen Angriffen geschützt, dann brauch ich keinen ISA-Server mehr ...
Zum Vergrößern anklicken....

Diese Aussage ist von fachlicher Seite her falsch. Richtig ist, dass ein Router viel für die Sicherheit einer Infrastruktur tun kann und einige Angriffe abfängt, doch ein Router alleine schützt noch lange keine Infrastruktur aussreichend.[...]
Zum Vergrößern anklicken....
Interessante These - ich weiss ja nicht, welche Router du einsetzt, aber sobald ich einen Router vor mein Netz stelle, prallen alle Angriffe von aussen, für die ein Windows-System anfällig ist, am Router ab (zumindest solange kein Portforwarding aktiv ist). Setze ich nen ISA-Server ein, mache ich ausgerechnet ein Betriebssystem für die Sicherheit verantwortlich, das wöchentlich neue Lücken aufweist, für die meist Exploits im Netz unterwegs sind, bevor man sich in Redmond genötig sieht, Patches zur Verfügung zu stellen.

Was das hier betrifft:
Oder, waere folgendes sicherer:
DSL-Anschluss->Firewall-Router->externe Server-NIC (externe Ebene)
[dazwischen ISA-Server]
interne Server-NIC->WLAN-Router->Clients (interne Ebene)
Zum Vergrößern anklicken....
Doppeltes Routing, prima Idee. Macht mit NAT bestimmt Spass. :-\
 
  • #11
@twoday
Ich rede nicht davon einen ISA Server direkt mit dem Internet zu verbinden, sondern ihn hinter einen Router zu stellen. Was das Thema Sicherheit und Microsoft angeht denke ich nicht, dass wir das jetzt hier diskutieren sollten. Wäre Microsoft wirklich so schlecht wie es einige Experten meinen, dann glaube ich nicht, dass sie mit 98% WELTWEITER Marktführer wären ...

... Doppeltes Routing, prima Idee. Macht mit NAT bestimmt Spass. ...
Zum Vergrößern anklicken....

Macht es auch wenn man weis wie zu routen ist.
 
  • #12
Ok, mal zu meiner eigentlichen Frage bitte zurueck...

Bei dem von Euch zitierten von mir vorgeschlagenen Weg muss ich aber 2 Router betreiben, einen an der internen und einen an der externen Server-NIC.

Nun moechte ich aber moeglichst nur 1 Router installieren.

Frage daher: Wie sollte der Aufbau aussehen und ist dieser mit der Fritzbox realisierbar ? Manche Clients greifen zwingend per WLAN zu, ist dabei zu bedenken... sollte man die Fritzbox tauschen oder ist ein Netgear Firewallrouter auch nicht sicherer ? Denn, eine Fritzbox hat doch auch eine (NAT-) Firewall.
 
  • #13
Ich würde es so machen:

Verbinde die externe Netzwerkkarte mit dem DSL Router. Die interne Netzwerkkarte verbindest du mit dem LAN. Wichtig ist, dass beide Netze unterscheidliche IP Adressbereiche haben und du ein Routing zwischen den Netzen einrichtest. Im Internet gibt es dazu zahlreiche Beispiele wie man es mit Hilfe von Routing / RAS macht ... Hintergrund ist der, dass der ISA Server 2 unterscheidliche IP Adressbereiche braucht um seinen Job nachzukommen.

Damit die WLAN Clients weiter mit dem LAN kommunizieren können, würde ich ins LAN einen kleinen AP installieren. Diese Geräte gibt es bereits für wenig Geld (aber geringer Sicherheit) von D-Link. Wenn du etwas hochwertigeres möchtest, kann ich dir ein AP von Zyxel empfehlen.

Ich möchte an dieser Stelle nochmal erwähnen, dass dieser Netzaufbau nur ein Beispiel von mehreren möglichen ist. Ich persönlich würde für den privaten Bereich diesen Aufbau nicht betreiben, da er einfach zu unwirtschaftlich ist. Hinzukommt, dass eine Menge an Backgroundwissen benötigt wird. Einen ISA Server sowie einen W2k3 Server konfiguriert man nicht mal eben zwischendurch ...
 
  • #14
Ja, danke.

Nur, genau dieser Aufbau bedingt ja 2 Geraete, 1 Router und einen AP/Router.
Ich moechte moeglichst nur mit einem Router arbeiten, auf den auch die WLAN-Clients zugreifen. Aber ich denke, das wird wohl nicht moeglich sein.

Unwirtschaftlich, du meinst, weil man einen Server betreiben muesste? Der Server laeuft in jedem Fall sowieso, 18 Stunden pro Tag.
 
  • #15
18 Stunden? Sorry, aber ein Server sollte 24/7/365 online sein und nicht nur 18 Stunden am Tag :) Wofür braucht man sonst einen Server? :)
Bezüglich der WLAN Konfiguration brauchst du auf jeden Fall einen weiteren AP, sonst klappt es nicht.

Zum Thema Wirtschaftlichkeit:
Bedenke dass ein Server (ich meine einen richtigen Server und keinen zweckentfremdeten PC) zusätzlich Strom braucht. Selbst bei einer 5 köpfigen Familie würde ich keinen Grund sehen, einen Server zu betreiben. Ich denke, dass auch hier ein NAS vollkommend ausreichend wäre ...
 
  • #16
Hi,
eine Firewall sollte auch eine Firewall sein und nicht noch weitere Funktionen haben. Ist jedenfalls meine Meinung. Aber hast du mal über eine Virtualisierung nachgedacht ?

Ein PC mit 2 Netzwerkkarten und als BS z.B. Win XP. VMWare oder ähnliches als Virtualisierungssoftware. Als Virtuelle Maschinen werden dann der W2k3 Server und eine dedizierte Firewall (z.B. ISA Serverer oder IPCop) erstellt.

Vorteil, du hast nur einen PC. Die Datensicherung des Servers wird zum Kinderspiel. Die Firewall ist eigenständig.

Nachteile sind ISDN Karten werden von der Virtualisierungssoftware meines Wissen nach nicht unterstützt und USB läuft nur mit 1.0. Mein Server macht aber nur Server und benötigt keine ISDN-Karte und auf USB kann ich auch verzichten.

Die Serielleschnittstelle wird unterstüzt und meine alte Eumex 404 PC hatte ich Testweise angeschlossen und sie funktionierte.
 
  • #17
Die Idee ist gut.

Nur, muss wahrscheinlich der Server enorm leistungsfaehige Hardware haben ?

Ich koennte auf dem Server VMWare laufen lassen, 1x Windows Home Server, 1xIPcop (gibt es nur fuer Linux, oder?).
Wie leistungsfaehig muesste die Hardware sein ? VMWare wuerde unter Windows Home Server gestartet werden ?


Problematisch: Ich brauche am Server zwingend USB 2.0 ! Aber das wuerde Windows doch unterstuetzen ?

VMWare ist doch kein eigenstaendiges Betriebssystem ?
 
  • #18
Ich habe zum testen ein System mit 1GB Arbeitsspeicher (minimum) und einen Celeron 2400. Ideal wären 2GB und eine flotte Intel oder AMD CPU. Habe das Ganze auch auf einem P4 2,4GHz mit 2GB RAM getestet. Lief bei mir wunderbar.

Also bei mir ging es um folgende Situation.

Ich habe einen WWW und FTP-Server der ständig am Internet sein muss (dank Telekom ist ständig ein dehnbarer Begriff).
Natürlich habe ich auch noch weiter Systeme die das Internet nutzen. Alles hängt an einem 4-Port Router. Die Ports werden schön brav auf den WWW FTP-Server geleitet und alles funktioniert prima. Leider kommt so das Thema Sicherheit etwas zu kurz.

Also müsste zwischen dem Server und dem Lokalen Netz eine Firewall. So kann man wohl meinen Server sabotieren aber nicht mehr so einfach ins LAN gelangen.

Also habe ich mir folgendes System gebaut:
Betriebssystem: Windows XP und VMWare
Mein Server wurde als VM installiert genauso wie die Firewall.

Und da ich es sowieso nicht besser erklären kann hier eine ausführliche Anleitung:
 
  • #19
@RouvenE

Ich weis langsam echt nicht mehr mehr was das ganze hier soll.
Wir haben dir bereits eine fertige professionelle Lösung präsentiert, jetzt soll die wieder hinfällig sein? ...

PS: Auf einen Windows Home Server kann man keine Software installieren. Er ist ein vorkonfigurierter Server für den Home Bereich und nicht mit einem richtigen Windows Server zu verwechseln.
 
  • #20
Ich kenne jetzt deine Konfiguration, aber der Zweck ist mir noch nicht verständlich. Für welche Aufgaben soll der Server eigentlich eingesetzt werden ?

Ich meine, ein Windows 2003 Server ist für die private Nutzung etwas übertrieben. Das Teil kostet ja theoretisch richtig Geld !
 
Thema:

ISA-Server mit 2 NICs/1 Router

ANGEBOTE & SPONSOREN

Neueste Beiträge

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.965
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben