Microsoft ISA Server 2006

Das passende Firewall-Konzept

05.01.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Peter Schmitz

Microsoft platziert seine Standard-Edition ISA Server im Marktsegment für kleine und mittelständische Unternehmen. Anstelle mehrerer Geräte oder Software für Firewall, Web-Proxy und VPN-Client zu kaufen erhält der Kunde ein Gesamtpaket. Wir zeigen Ihnen, wo ein ISA Server im Sicherheitskonzept Ihres Unternehmens seinen Platz findet.

Eine Firewall dient zur Filterung von unerwünschtem Datenverkehr. Neben dieser Basisfunktion als Paketfilter, sollte eine moderne Firewall nicht nur den Datenverkehr nach Inhalt, sondern auch die Konsistenz des Datenpakets überwachen und analysieren können. Zwecks komfortablen Managements sollte eine intelligente und über Regeln basierende Konfiguration Ziel jeder Firewallapplikation sein.

Um es vorweg zu nehmen: Der ISA Server 2006 erfüllt diese Anforderungen. Wie der ISA Server 2004 soll der aktuelle Server auch eine „Common Criteria-Zertifizierung“ (EAL4+, Evaluation Assurance Level) erhalten.

Proxy-Server für schnelleres Surfen

Als zusätzliches Feature neben der Firewall bietet Microsoft beim ISA Server das Cachen von Webzugriffen an. Dieser Proxy-Server speichert Zugriffe auf Webseiten in eine Datei, damit bei erneutem Aufrufen des Web-Inhalts kein Zugriff ins Internet mehr notwendig ist. Ein Proxy-Server erhöht demnach die Zugriffperformance und spart Bandbreite auf der Internetleitung. Neben dieser Kostenersparnis hat der Proxy-Server einen zweiten Vorteil: Der Proxy-Serverdienst geht an Stelle des Clientcomputers ins Internet. Es besteht also kein direkter Zugang der Clientcomputer ins Internet.

Die Hauptziele von ISA Server sind also:

  • Das Veröffentlichen von Servern (Web-, Mail-, DNS-Server, usw.)
  • Schutz der Webzugriffe (Clientcomputer greifen sicher auf das Internet zu)
  • Sicheres Gateway zu Außenstellen oder Filialen über ein VPN (Virtual Private Network)

Die kleinste Lösung

Die „einfachste Lösung“ mit dem ISA Server das Intranet gegenüber dem Internet zu schützen, ist die Verwendung von Windows Server 2003 und ISA Server 2006. Wenn der Server eine entsprechende ADSL/SDSL-Karte erhält, entfällt der Erwerb eines dedizierten Routers. Empfehlenswert bei dieser Konfiguration ist die Aktivierung des Microsoft Update Services, um das Windows-ISA-Gespann immer Up-to-date zu halten. Für die kostengünstige Lösung können Admins für ihr Systm die „Standard“-Editionen beider Produkte verwenden.

Eine Besonderheit von ISA Server 2006 (und teilweise auch seiner Vorgänger) ist die Verwendung von Gateways. Das Gateway wird zum Veröffentlichen von Servern aus dem Intranet benutzt, was zum Beispiel gut mit dem Microsoft Exchange Server funktioniert. Ohne, dass dieser auf dem Firewallserver installiert werden muss, reicht das Gateway den Datenverkehr des Exchange Servers weiter. Das Exchange-Gateway unterstützt alle gängigen Protokolle, wie SMTP, POP3, NNTP, IMAP und HTTP. Eine kleine bis mittelständische Firma benötigt demnach nur einen Exchange Server hinter der Firewall, um den vollständigen Mailverkehr auszuführen. Auch die externen Mitarbeiter können Dank des Gateways sicher auf Ihre Postfächer zugreifen. Vorausgesetzt, es wurde vorher eine verschlüsselte Kommunikation vom Client zum Server eingerichtet.

Einfacher Schutz mit einer Edgefirewall

Der Schutz mit nur einer Firewall hat einige Nachteile. Unter der Annahme, dass es kein „bombensicheres“ System gibt, kann der Ausfall eines Servers unter Umständen einen hohen Schaden verursachen. Ein weiterer Nachteil dieses Szenarios liegt in der Konfiguration. Das interne Netzwerk kann nur als ganze Einheit abgesichert werden.

DMZ als Lösung

Abhilfe schafft die Absicherung mit einer demilitarisierten Zone (DMZ), die auch Perimeternetzwerk oder Umkreisnetzwerk genannt wird. In dieser Anordnung sind die unmittelbar auf das Internet zugreifenden Server abgekoppelt. Sollte es einem Angreifer gelingen, einer dieser Server zu hacken, liegt der Schaden „nur“ bei dem betreffenden Server oder dem Perimeternetzwerk. Jedes Perimeternetzwerk (DMZ) kann differenziert konfiguriert werden. Selbstverständlich kann auch hier die Gateway-Technologie verwendet werden. Innerhalb der DMZ können – je nach Anforderung – DNS Server, Exchange Server, SQL-Server, Web-Server mit SharePoint Applikationen oder andere Microsoft Server platziert werden.

Aber auch hinsichtlich der verwendeten Netzwerkkomponenten hat man mehr Spielraum. Die Geräte mit xDSL Router haben in den letzten Jahren einen großen Fortschritt gemacht: Die meisten Geräte haben eine integrierte Firewall, die auch den Inhalt filtern und analysieren kann. Selbstverständlich sind Firewall- und Routergerät auch zu trennen. Es existieren ebenfalls Geräte, die sichere VPN-Tunnel unterstützen. Diese erhöhte Sicherheit schlägt sich allerdings in den Kosten nieder. Das gilt sowohl für die Hard- und Software als auch für die Einarbeitung in andere VPN oder Firewallsysteme. Firmen sollten hier überlegen, ob sie die Wartung der äußeren Firewall/Router in externe Hände geben, um so die Kosten für – beispielsweise – einen geschulten Cisco-Administrator zu sparen.

Isolation als Sicherheits-Aspekt

Bei der Planung muss geklärt werden, ob der Computer mit dem ISA Server Mitglied der Domäne oder ein eigenständiger Server sein soll. Der eigenständige Server, der bei Microsoft Mitglied einer beliebigen Arbeitsgruppe ist, kann nicht über Active Directory administriert werden. Auch „Active Directory-integrierte“ Applikationen sind nicht möglich. Der Vorteil dieser Isolation ist in der Sicherheit zu sehen. Wird der Server gehackt, ist die Microsoft Domäne nicht involviert. Je nach Sicherheitsempfinden kann nun geplant werden. Eine denkbare Kombination wäre eine DMZ mit einem inneren Windows ISA Server als Backfirewall, der Mitglied der Domäne ist und einer äußeren Firewall eines anderen Herstellers.

DMZ im Vergleich zur einfachen Lösung

Eine DMZ kann aus zwei ISA Servern oder zwei unterschiedlichen Firewall-Technologien bestehen. Werden zwei ISA Server verwendet, sollte der im Internet liegende Server besonders isoliert sein. Beide Firewalls sind hintereinander geschaltet und müssen getrennt voneinander administriert werden. Der Verwaltungsaufwand ist daher hoch. Zwischen den Firewalls können Computergeräte mit diversen Servern platziert werden. Der Einsatz einer DMZ hat eine verbesserte Sicherheit gegenüber einem Modell ohne DMZ.

ISA Editionen

Wird ein großer Datendurchsatz oder eine hohe Ausfallsicherheit benötigt, muss man auf die Enterprise-Editionen zurückgreifen. Diese Editionen schlagen mit einem wesentlich höheren Anschaffungspreis zu Buche und setzen entsprechende Hardware voraus. Das Argument für eine bestimmte Edition ist demnach auch die Ausfallsicherheit.

Bei der Planung von Betriebssystem und ISA Server sind folgende Aspekte zu beachten:

  • Das Betriebssystem muss ein Windows Server 2003 ab Service Pack 1 sein.
  • Aktuell gibt es nur einen 32-Bit ISA Server. Daraus folgt, dass zurzeit nur ein 32-Bit Windows Server 2003 verwendet werden darf.
  • Der Windows Server 2003 darf nicht Domänenmitglied einer NT-Domäne sein.

Weiterhin sind folgende Unterschiede zwischen den Editionen zu beachten:

  • Der „Straßenpreis“ Preis pro Prozessor liegt bei der Standard-Edition bei ca. € 1.250,- und bei der Enterprise-Edition bei ca. € 5.500,-. Zusätzlich kommt jeweils die Anschaffung einer entsprechenden Windows Server 2003-Lizenz.
  • Die Standard-Edition unterstützt bis zu 4 CPUs und 2 GB RAM. Bei der Enterprise-Edition gibt es kein Limit.
  • Die Standard-Edition unterstützt einen einzelnen Cache auf dem Server. Bei der Enterprise-Edition wird ein Array verwendet, d. h. es können über das CARP (Cache Array Routing Protocol) unbegrenzt Caches eingerichtet werden.
  • Die Standard-Edition unterstützt kein Network Load Balancing (NLB).
  • Bei der Enterprise-Edition verwenden Array und Richtlinien (Policies) den Modus “Active Directory Application Mode” (ADAM).

Aus den Unterschieden lässt sich erkennen: Die Standard-Edition ist für kleine und mittelständische Unternehmen geeignet, währenddessen die Enterprise-Edition große Unternehmen zur Zielgruppe hat.

Anforderungen und Kapazitätsplanung

Je nach Anforderung wird die Kapazitätsplanung unterschiedlich ausfallen. Bei der Beurteilung, welche Hardware eingesetzt werden soll, sind neben den bereits schon beschrieben Features für die Standard- und Enterprise-Edition folgende Aspekte zu berücksichtigen:

  • Anzahl der Prozessoren
  • Arbeitsspeicher, Anzahl der Festplatten und Netzwerk-Adapter
  • Bandbreite für die Internetverbindung
  • Benutzerverhalten (Webzugriffe, VPN, usw.)

Eine mögliche Konfiguration für eine Standard-Edition wäre laut Microsoft ein Server mit einem Pentium 4 (2,0-3,0 GHz) Prozessor, 512 MByte RAM Speicher und einer herkömmlicher Ausstattung. Dieser Server würde zu einer Internetverbindung bis zu 25 MBit/s passen. Hierbei hat Microsoft eine deaktivierte Webzwischenspeicherung angenommen. Für die Praxis sollte der Server einen Speicher von 1 GByte besitzen, um immer ein paar Bytes in Reserve zu haben.

Fazit

Der Microsoft ISA Server stellt eine sinnvolle Kombination aus Firewall und Proxy Server dar. Insbesondere die Möglichkeit Gateways zu internen Mail-, Datenbank- oder Webservern zu erstellen ist ein Pluspunkt des Produkts. Wer mehr Sicherheit möchte, sollte eine demilitarisierten Zone (DMZ) mit dem ISA Server einsetzen. Aufgrund der Leistungen des Gesamtpakets eignet sich die Standardversion für kleine und mittelständische Unternehmen. Zu bemängeln sind die zurzeit fehlenden 64-Bit Editionen.

Wie sich der ISA Server in der Praxis schlägt und was es beim Unternehmenseinsatz der Software zu beachten gilt, lesen Sie in unserem Artikel „Microsoft ISA Server 2006: Optimaler Einsatz im Unternehmen“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2001644 / Netzwerk-Security-Devices)