Re: Firewall konzept

(Wolfgang Kueter) 23.03.08 in /de/comp/security/firewall:

Rainer Zocholl wrote:

Warum nicht wenigstens so:

|
|
+-----------+
| Microsoft |
| Proxy |------------LAN----Arbeitsplätze
| Server |
+-----------+
|
|
|
|
+-------------+
| MS Exchange |
+-------------+


Oder so:

|
|
+-----------+
| Microsoft |
| Proxy |
| Server |
+-----------+
|
|
+-------------+
| MS Exchange |
+-------------+
|
|
+-------------+
| Paket filter|
+-------------+
|
------------LAN----Arbeitsplätze

Frag denjenigen, der die Architektur vorgeschlagen hat.

Sinngemäss: "MS sagt das ist gut so", "das machen alle so",
"Noch nie ist -unseren- Installationen was passiert", siehe auch
andere Antworten.

Funktioniert das bei MS inzwischen so wie bei gewissen Sekten,
bei denen man auch teuere Schulungen besuchen muss und die Welt danach
nur noch in rosa und pink aus eine Tunnel völig kritiklos ggü. der
Guru-Aussagen heraus sieht...?


In Deinem Schema hast Du keine(n) Domaincontroller eingezeichnet,
sowas will ein Exchange aber haben (es sei denn, der Exchange macht
selbst den PDC)
und mit dem PDC unterhält sich der Exchange dann auch gerne um
Userlisten, Passworte etc. von dort zu bekommen.

Auch wenn also der Exchange in einer DMZ steht steht,
brauchst man also Verbindungen von der DMZ ins LAN,

Ja. Aber das wäre ein genau bekannter dezidierter Rechner (in der DMZ)
der genau auf einen anderen dezidierten Rechner (in LAN) zugreift.
Theoretisch könnte man das über ein separates Segment machen.

Bringt natürlich nicht wirklich was, denn wenn der Rechner in der
DMZ gefallen ist, wird man den PDC im LAN noch schneller rooten können...

Aber: Ist das eine akzeptable Philosopie? "Jede Firewall (ausser
300cm Stahlboton zwischen Stecker und Dose)ist knackbar, also
brauchen wir uns keine Mühe zugeben."?

Und:
Warum kann der Domain Controller seine Daten nicht in die DMZ auf
einen Mirror pushen?

Wird natürlich immer aufwändiger, logo.



es sei denn, Du willst auf die Annehmlichkeiten in
MS-Netzen wie single-sign-on verzichten.

Ich weiss nicht, ob das ein Nachteil wäre ;-), wenn man sieht wie
fahrlässig viele User mit ihren eingloggten PC umgehen...
(Screen saver: Ja, aber schicke "Pipes" (Die einzige Zeit in der
die Rechner viel Strom aufnehmen ist die Mittagspause: Da rendern die
PC alle die super tollen Screensaver...), aber mit Passwort? das nervt
doch nur!)
Und vielen User ist nicht klar, das sie auch an anderen PCs arbeiten könnten.
Sie glauben, sie melden sich bei "ihrem" PC an, in sofern sei es auch nicht
schlimm, wenn andere ihr Outlook-Passwort kennen: Das BIOS Passwort
ist ja anders und sie kommen ja nie an der Rechner...argl...


Ich würde zwar auch immer davon abraten, zu einem Exchange direkte
Verbindungen aus dem bösen Internet zuzulassen (selbst dann, wenn der
Exchange in der DMZ steht), also immer ein Mail-Relay vorschalten,

ACK, eben.

Aber $USER wollen auf "ihre" Postfächer zugreifen können.
Mail forwarding zu einem 2. IMAP server und webmail-zugriff hat sich
nicht wirklich durchgesetzt: Immerhin muss der Wbmailer ja anders bedient
werden, man hat nicht alle (alten) Emails im Zugriff und die Speicherkapazät
des IMAP Servers ist limitiert, und, naklar,
man braucht ein weiteres User/Passwort-Paar!" (Vom OTP mal ganz abgesehen...)
Da ist es doch -für den $USER- doch einfacher wenn sich sein PDA
mittels Zertificat anmeldet und er seine Maildaten so nahezu so sieht
wie er sie "in door" sieht. Zu $USER gehört natürlich auch Cheffe...
(dem die Consultante alles "glaubhaft" erzählen wird, ja sogar wo möglich
vor dem Unterstellen von "unbegründeter Paranoier" nicht zurückschreckt...)

Rainer

--
Transparency International definiert Korruption als
Missbrauch von anvertrauter Macht zum privaten Nutzen oder Vorteil. [...]
Corruption is operationally defined as the misuse of entrusted power for
private gain. [...]
.

Relevant Pages

  • RE: Webserver on a DMZ still needed?
    ... Certainly your suggestion to have a email server in a DMZ but still have ... having the exchange server on the internal LAN with only the smtp ports ... Talking of the financial cost of setup by the book vs the security cost ...
    (Security-Basics)
  • RE: Webserver on a DMZ still needed?
    ... OWA server. ... Webserver on a DMZ still needed? ... It is still recommended to have your exchange box (and any other outward ... to interact securely with the Domain Controller on the secure subnet? ...
    (Security-Basics)
  • Re: Netzschema
    ... Wenn du den SMTP Server in der DMZ zusätzlich auch als OWA Server verwenden möchtest, bedeutet das zwangsläufig, dass du Exchange installieren musst. ... Insofern braucht der DMZ Exchange auch entsprechende Zugriffe auf das AD. ... Denke an das Regelwerk, das nötig ist, um alleine den Intra-Domain-Traffic zu routen, zusätzlich zu den SMTP und Publishing-Regeln. ...
    (microsoft.public.de.german.isaserver)
  • Re: Netzschema
    ... Insofern braucht der DMZ Exchange auch entsprechende ... dass du durch den ISA Server etliche ... Stell doch deinen OWA Server in die Domain und publishe SMTP und OWA durch ...
    (microsoft.public.de.german.isaserver)
  • Re: Exchange, OWA and SBS2003
    ... I'm planning to run SBS 2003 and I would like the server to host ... My hope is to have SBS host my exchange server with about 10 ... I have a 3Com OfficeConnect firewall box with a DMZ ...
    (microsoft.public.windows.server.sbs)