Zum Inhalt springen

Projekt: ISA 2004

Reve

Von Reve
in Abschlussprojekte

 Teilen

Empfohlene Beiträge

Reve

Reve

Geschrieben
Geschrieben

Hey Leute

Ich plane zur Prüfung (FiSi) einen ISA 2004 für unser Firmennetzwerk aufzusetzen und zu konfigurieren. Da ich den ISA selbst noch nie angefasst habe, ist es schwer für mich, eine Terminierung aufzustellen. Folgende Schritte hatte ich mir für die anstehenden 35 Stunden gedacht:

  1. Installation und Grundkonfiguration des ISA 2004
  2. Festlegen bestimmter Regeln zur Sperrung aller Websites bis auf ein paar ausgewählte für einen Teil der Clients im Netz (Ist dies überhaupt möglich ?)
  3. Einrichten des Proxy-Caches
  4. Konfiguration der Firewall
  5. Ggf. noch Bereitstellung eines VPN Zuganges von Aussen auf das komplette Netz ( Je nachdem ob der Zeitliche Ansatz für die ersten Punkte zu kurz ausfällt )

Meint Ihr, die von mir geplanten Aufgaben passen in die gegebenen 35 Stunden ? Mir wurde gesagt, ISA sei ein zweischneidiges Thema. Oft viel zu groß oder zu klein geplant.

Gruß

Reve

Link zu diesem Kommentar
Auf anderen Seiten teilen
tizeka

tizeka

Geschrieben
Geschrieben

Stell dir die Aufgabe neu!

Was willst du erreichen? Netzwerk Absicher(Paketfilter oder Proxy), oder Netze verbinden (VPN), oder beides. Nimm das dann als Aufgabe und in deiner Projektphase wirst du dann den ISA nehmen aus Gründen die du für richtig hälst! (s. Evaluierung)

Der Gund für dein Projekt sollte klar gestekt sein! Ich denke auch einen ISA Server kann man bis zum abwinken durchnehmen. Aber wenn du davon überhaupt nicht kennst würde ich vorsichtig sein ...

Link zu diesem Kommentar
Auf anderen Seiten teilen
Reve

Reve

Geschrieben
  • Autor
Geschrieben

Mein Ziel ist es, einen internen Teil des Netzes vom WAN abzutrennen. Ausnahmen sind diverse Seiten. Ausserdem soll gleichzeitig eine Firewalllösung in unserem Betrieb eingeführt werden. Die Idee mit dem VPN kam mir nur, weil momentan schon ein Routing und RAS Server auf unserem DC konfiguriert ist.

Mit dem ISA - Server selbst habe ich noch nicht gearbeitet. Ich persönlich habe für eigene zwecke meist die Mandrake Linux SNF verwendet. Das heisst, in den Funktionalitäten der einzelnen ISA Module bin ich schon ein wenig firm. Nur eben auf Basis von Windows nicht.

Link zu diesem Kommentar
Auf anderen Seiten teilen
cane

cane

Geschrieben
Geschrieben
Mein Ziel ist es, einen internen Teil des Netzes vom WAN abzutrennen. Ausnahmen sind diverse Seiten.

Warum nur einen Teil abtrennen? Also mußt Du eine DMZ realisieren?

Die Idee mit dem VPN kam mir nur, weil momentan schon ein Routing und RAS Server auf unserem DC konfiguriert ist.

RAS auf nem DC ist in 99 % aler Szenarien wahnsinnig - wer denkt sich so einen Mist aus? Ein RAS sollte immer speziel gehärtet sein...

Mit dem ISA - Server selbst habe ich noch nicht gearbeitet. Ich persönlich habe für eigene zwecke meist die Mandrake Linux SNF verwendet. Das heisst, in den Funktionalitäten der einzelnen ISA Module bin ich schon ein wenig firm. Nur eben auf Basis von Windows nicht.

Dann realisier das ganze doch auf Linux-Basis, die User kannste dir da auch per Kerberos aus dem AD ziehen (AD ist ja nichts weiter als LDAP), der Proxy macht ein Squid und Firewall per Iptables.

Wenn Du fit bist noch nen IDS oder IPS auf Basis Snort-inline drauf, das ganze abhärten.

Alternative wäre eine speziell für solche Zecke entwickelte Distribution wie IPCop oder Moonwall...

mfg

cane

Link zu diesem Kommentar
Auf anderen Seiten teilen
timmi-bonn

timmi-bonn

Geschrieben
Geschrieben
Mein Ziel ist es, einen internen Teil des Netzes vom WAN abzutrennen.

Nein, das ist nicht Dein Ziel! ;) Das ist eine Möglichkeit, Dein Ziel zu erreichen. Dein eigentliches Ziel ist die Verbesserung der Sicherheit. Und da solltest Du auch ansetzen mit der Evaluierung. Dann hast Du viel mehr Möglichkeiten, Deine Fachkompetenz auf dem (selben) Wege zur Lösung unter Beweis zu stellen.

gruss, timmi

Link zu diesem Kommentar
Auf anderen Seiten teilen
Reve

Reve

Geschrieben
  • Autor
Geschrieben

Also gut..

Mein Ziel ist die Verbesserung der Sicherheit unseres internen LAN's unter Verwendung des Microsoft ISA 2004 bei Einsatz folgender Möglichkeiten:

- Installation und Grundkonfiguration des ISA 2004

- Abschottung des Intranets inklusive Einrichtung einer DMZ (Büro Marktleitung und Buchhaltung)

- Einrichten einer Firewall zum Schutze des Netzwerkes vor Bedrohungen von Aussen

Meint Ihr, diese 3 Punkte lassen sich Inklusive Hardwareumstellung und Doku in 35 Stunden absolvieren ?

Zu unserem DC mit VPN Zugang:

Musste sein, da die VPN Funktion unseres LanCom Routers bereits in Verwendung ist (VPN-Tunnel zu einem weiteren Hagebaumarkt, der unsere Warenwirtschaft als 2. Mandant mitbenutzt), nur ein 2003 Server in unserem Betrieb in Verwendung ist und der Chef sich mit neuer Hardware sehr schwer tut. (Gesichtspunkt: Unkosten)

Link zu diesem Kommentar
Auf anderen Seiten teilen
tizeka

tizeka

Geschrieben
Geschrieben
Also gut..

Mein Ziel ist die Verbesserung der Sicherheit unseres internen LAN's unter Verwendung des Microsoft ISA 2004 bei Einsatz folgender Möglichkeiten:

- Installation und Grundkonfiguration des ISA 2004

- Abschottung des Intranets inklusive Einrichtung einer DMZ (Büro Marktleitung und Buchhaltung)

- Einrichten einer Firewall zum Schutze des Netzwerkes vor Bedrohungen von Aussen

Meint Ihr, diese 3 Punkte lassen sich Inklusive Hardwareumstellung und Doku in 35 Stunden absolvieren ?

Zu unserem DC mit VPN Zugang:

Musste sein, da die VPN Funktion unseres LanCom Routers bereits in Verwendung ist (VPN-Tunnel zu einem weiteren Hagebaumarkt, der unsere Warenwirtschaft als 2. Mandant mitbenutzt), nur ein 2003 Server in unserem Betrieb in Verwendung ist und der Chef sich mit neuer Hardware sehr schwer tut. (Gesichtspunkt: Unkosten)

Ich helf mal auf die Sprünge:

Einfaches Beispiel: Von meiner Firma xy wurde ich beauftragst, die Sicherheit in unserem Netzwerk durch Einsatz von Proxyserver und Firewall zu erhöhen.

Den ISA-Server lässt du weg und baust ihn dann in das Projekt als Evaluierung ein!

Link zu diesem Kommentar
Auf anderen Seiten teilen
hades

hades

Geschrieben
Geschrieben
Da ich den ISA selbst noch nie angefasst habe

Nimm etwas, was Du bereits kennst.

Du wirst keine Zeit finden, Dich - in einem auf 35 h angesetzten Projekt - erst in den ISA Server einzuarbeiten.

Auch wenn der ISA Server 2004 im Vgl. zum Vorgaenger ISA 2000 Server besser administrierbar ist, muessen Grundlagen (Protokolle, Netzadressierung, Firewallarchitekturen, Serververoeffentlichung mit ISA, Webserververoeffentlichung mit ISA, ISA-Clients, RAS, Routing, VPN mit PPTP, VPN mit L2TP/IPsec, VPN mit IPsec im Tunnelmodus, Client-to-Server-VPN, Site-to-Site-VPN, Forward-Proxy, Reverse-Proxy, LAT, LDT, WPAD ...) bekannt sein.

Die Projektdoku soll nicht zeigen, dass Du ein Setup und eine GUI durchklickern kannst, sondern Deine Eigenleistungen - Entscheidungen warum etwas gemacht wurde - erkennen lassen.

Link zu diesem Kommentar
Auf anderen Seiten teilen
cane

cane

Geschrieben
Geschrieben

Da kann ich Hades nur zustimmen!

Die ISAS sind wie jede AllInOne Appliance superkomplex und wenn man nicht durchblickt läßt man zwangsläufig Löcher in der Config.

Halte von diesen AllInOne Dingern eh nichts und wenn dann lieber nen IPCop oder ähnliches...

mfg

cane

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...