Hilfe
Neues Thema
Antworten
Hallo zusammen,
wir haben zur Zeit in der Schule Projektwoche. Die Schule verwendet als Firewall eine M0n0wall.
Unser Lehrer meint nun, da die ISA Server Lizenz vorhanden sei, sollten wir diese Installieren. Weiß jemand, ob diese Firewall sicherer ist oder sind die beiden von der Sicherheit her gleich? Was hab ich beim ISA-Server denn noch für Vorteile? Oder nur Nachteile (Schnellerer Rechner ist erfoderlich, Teures Windows [okay Lizenz is ja da]...)
Würde mich freuen, wenn mir jemand helfen könnte
Danke
Jan
Seite 1 von 1
M0n0wall Oder Isa Server
#1
bonescraper 
geschrieben 24. November 2006 - 08:52
Nach oben
#2
Doppelwinkel
geschrieben 24. November 2006 - 08:59
Der ISA Server hat einige Features mehr, die der m0n0wall fehlen, und er ist relativ leicht zu verstehen, da er ein relativ einheitliches Konzept besitzt. Give it a try. Bekanntermaßen funktionieren - eine richtige Konfiguration vorausgesetzt - alle Sachen beim ISA immer zuverlässig/auf Anhieb, so dass schneller erfolge herbeigezaubert werden (Gerade wenn ihr z.B. mit VPN was machen wollt, gibts bei einer *NIX Firewall dan eher so "aha" erlebnisse weil man irgendwas vergessen oder das manual nicht richtig gelesen/verstanden hat hat 
). *NIX Firewalls sind zwar prinzipiell nicht schlechter, jedoch erfordern sie halt etwas mehr Vorwissen und Arbeitsaufwand bis sie die gleiche Arbeit verrichten.
Kleiner Tipp am Rande: Der ISA Server zeigt nicht alle seine Regeln in der Übersicht an (z.B. welche Kommunikation direkt zum ISA erlaubt ist wie anpingen, RDP etc. - wenn Du ihn remote installierst darf nur der PC von welchem Du ihn aus installiert hast per RDP drauf zugreifen bis Du die regel anpasst
). Rechtsklick auf "Firewall Policy" -> "Edit System Policy" bzw. gibts dort unter "View" auch die Option "Show System Policy Rules".
). *NIX Firewalls sind zwar prinzipiell nicht schlechter, jedoch erfordern sie halt etwas mehr Vorwissen und Arbeitsaufwand bis sie die gleiche Arbeit verrichten.Kleiner Tipp am Rande: Der ISA Server zeigt nicht alle seine Regeln in der Übersicht an (z.B. welche Kommunikation direkt zum ISA erlaubt ist wie anpingen, RDP etc. - wenn Du ihn remote installierst darf nur der PC von welchem Du ihn aus installiert hast per RDP drauf zugreifen bis Du die regel anpasst
). Rechtsklick auf "Firewall Policy" -> "Edit System Policy" bzw. gibts dort unter "View" auch die Option "Show System Policy Rules".
Dieser Beitrag wurde von Doppelwinkel bearbeitet: 24. November 2006 - 09:03
#3
bonescraper
geschrieben 24. November 2006 - 09:32
Danke dir erstmal für deine Antwort! Kannst Du evtl. noch ein paar sicherheitstechnische Vorteile/Nachteile nennen?
Das ist eigentlich der Hauptgrund, weßhalb wir umrüsten wollten!
Gruß Jan
Das ist eigentlich der Hauptgrund, weßhalb wir umrüsten wollten!
Gruß Jan
#4
Doppelwinkel
geschrieben 24. November 2006 - 22:54
Ich glaube das schenkt sich nix. Jede Firewall ist nur so sicher, wie ihr Admin sie konfiguriert hat. ISA ist auf alle Fälle managebarer. Per Default gibt es eine Deny All Regel, an der sollte man festhalten, und wirklich nur das erlauben was man braucht. D.h. Finger weg von "Allow All" Regeln. Internetzugang bekommen z.B. nur bestimmte Rechner/Server und authorisierte Benutzer (wenn ihr ein Active Directory habt können sie sich z.B. sehr bequem am Proxy authentifizieren), und auch nur für bestimmte Protokolle. Für VPN gilt das gleiche. Wirklich immer nur das, was zwingen nötig ist.
LG
LG
Dieser Beitrag wurde von Doppelwinkel bearbeitet: 24. November 2006 - 22:55
#5
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.533
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 24. November 2006 - 23:02
Wobei ISA Server halt auf einem Windows läuft. Das Windows ordentlich abzusichern, den TCP/IP-Stack zu härten etc... dafür ist dann die Verwaltung idR etwas einfacher und übersichtlicher.
Wie üblich gilt aber: Never change a running system. Die Firewall mit m0n0wall läuft doch wunderbar, also warum mit neuen Systemen rumexperimentieren?
Wie üblich gilt aber: Never change a running system. Die Firewall mit m0n0wall läuft doch wunderbar, also warum mit neuen Systemen rumexperimentieren?
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#6
Doppelwinkel
geschrieben 25. November 2006 - 11:01
Weil er Projektwoche hat und was lernen will?
Und wie gesagt haben beide ihre Vorzüge - man sollte sich beides mal angesehen haben. Sinnvollerweise erst das, was man leichter versteht, danach kann man sich dann an die "Advanced" Sachen ranmachen.
Und wie gesagt haben beide ihre Vorzüge - man sollte sich beides mal angesehen haben. Sinnvollerweise erst das, was man leichter versteht, danach kann man sich dann an die "Advanced" Sachen ranmachen
.
Dieser Beitrag wurde von Doppelwinkel bearbeitet: 25. November 2006 - 11:02
#7
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.533
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 25. November 2006 - 13:08
Dann soll er einen zweiten Rechner nehmen, dort den ISA-Server fahren, das ganze im Parallelbetrieb testen und dan entscheiden, ob er tatsächlich migrieren will.
Einfach mal so das komplette System zu ersetzen ist 'ne saublöde Idee.
Einfach mal so das komplette System zu ersetzen ist 'ne saublöde Idee.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#8
bonescraper
geschrieben 26. November 2006 - 14:12
also wir werden erstmal parallel zur m0n0wall einen ISA Server einrichten udnd dann entscheiden ob wir die m0n0wall ersetzen. Aber es wird wohl darauf hinauslaufen! Habt dank für eure Antworten! 
Nächste Woche gehts dann los. Ich werde dann mal hier berichten! Wer sonst noch irgendwelche Tipps hat gerne posten!
Nächste Woche gehts dann los. Ich werde dann mal hier berichten! Wer sonst noch irgendwelche Tipps hat gerne posten!
#9
Doppelwinkel
geschrieben 26. November 2006 - 21:59
Leider bin ich die ganze nächste Woche ausser Landes, so dass ich leider den Prozess nicht mitverfolgen und gegebenenfalls die Senftube aufmachen kann. Ich wünsche euch aber auf jeden Fall viel Erfolg und verweise dabei noch auf www.isaserver.org als Informationsquelle (bei Howtos bitte beachten: der ISA Server 2000 unterscheidet sich erheblich vom 2004/2006er, wohingegen 2004/2006 annähernd identisch sind).
LG
Uwe
LG
Uwe
Dieser Beitrag wurde von Doppelwinkel bearbeitet: 26. November 2006 - 22:00
Thema verteilen:
Seite 1 von 1