2K3 - IAS / Radius Server hinter Cisco PIX

[Rumak18]

Hallo. Möchte demnächst ein Netzwerk ausbauen und wollte das Konzept einfach nochmals bestätigen lassen.

Es geht um diese Netzwerkinfrastruktur (Natürlich habe ich einiges weggelassen):

Nun möchte ich eben die RAS Einwahl auf einer Hardware als Radius Client und Server realisieren. Meine Frage(n) nun:

1. Sollte ich das ganze nicht lieber in einer DMZ realisieren, in der noch eine zusätzliche Firewall "hinter" (Auf der Seite des internen Netzwerks) dem IAS Server vorhanden ist oder reicht die Sicherheit aus?

2. Bezogen auf die DMZ: Würde es auch Sinn machen einen "ISA" Server direkt auf dem IAS Server aufzusetzen um so eine DMZ zu kreieren (Um sich so eine Hardware zu sparen)?

3. MUSS in diesem Fall der Router die Fähigkeit der Weiterleitung an einen Radius Server besitzen (So wie es WLAN Radius Clients beispielsweise tun) oder könnte ich das ganze auch anderweitig realisieren? Z.B. indem der IAS Server auch die Radius Client Funktion auf der Internetseite mit Routing und RAS übernimmt und ich den Cisco Router stattdessen als interne Firewall für die DMZ aufstellen, so dass also letztendlich der IAS (Radius Client und Server) Server auch als ISA Server fungiert und dennoch eine DMZ vorhanden ist, da mir nur diese Hardware für diesen Zweck zur Verfügung steht.

Ich freue mich auf euere Vorschläge und bedanke mich gleichzeitig.

[runningback81]

Schmeiß die Pix raus und nimm nur den ISA Server als Firewall.

ISA Server in die Domäne und schon brauchste auch den IAS Server nicht mehr.

Ju

[Gast]

@ runningback: Das heisst, du willst ein Windows-Netzwerk ohne DMZ offen ans Netz hängen?

[runningback81]

Wenn du jetzt eine DMZ zwischen einer ersten und einer zweiten Firewall meinst dann Ja.

Warum auch nicht??

Wenn man mit der Firewall umgehen kann, ist das kein Problem.

Ju

[hades]

Eine Firewall ist aus Sicherheitsgruenden nie Mitglied einer Domaene.

Nicht umsonst hat der ISA 2006 eine zusaetzliche LDAP-Anbindung ans AD, ohne Mitglied der Domaene zu sein.

Ueber RADIUS (IAS) ist es mit dem ISA 2004 auch moeglich, User am AD zu authentifizieren.

Ein Konzept mit zwei Firewalls unterschiedlicher Hersteller ist vom Ansatz her sicherer als eine Firewall.

Auch wenn der ISA Server 2004/2006 als ziemlich sicher gilt.

[runningback81]

stimmt zusätzlich kann man LDAP anbinden.

Microsft selber sagt aber das man ISA Server in die Domäne einbinden soll/kann.

vgl. msisafaq

[hades]

Microsft selber sagt aber das man ISA Server in die Domäne einbinden soll/kann.

Ja, weil die grosse Ausnahme -der SBS- das so hat und dementsprechend unterstuetzt werden muss.

[Rumak18]

OK. Aber wie wäre das ganze ohne Radius zu realisieren und mit ISA sowohl als Firewall (Externe Anbindung) als auch mit RRAS Dienst zur Authentifizierung?

[hades]

Dann muss der ISA in der Domaene sein.

Ein RRAS ohne Radius funktioniert nur innerhalb einer Domaene.

Du brauchst Radius bzw. LDAP (AD) auf einem alleinstehendem ISA-Server, um auf die Domaene im internen Netz zuzugreifen.

[Rumak18]

Wie ist das mit LDAP zu realisieren? Bei Radius müsste ja der IAS Dienst installiert werden richtig?

[hades]

Radius-Server = Microsoft IAS

LDAP (AD)

kurz:

Du musst neben einem oder mehreren LDAP-Servern auch Authentifizierungsdaten zum Zugriff aufs AD angeben. Geht nur ab ISA 2006.

lang:

siehe OWA mit LDAP

[Rumak18]

OK, aber wie wäre das mit einer DMZ zu lösen?