Exchange und Firewalls
Seite 5/6
VPN
Virtuelle private Netzwerke sind mit der Verbreitung des Internets eine günstige und universelle Möglichkeit, einen sicheren verschlüsselten Zugriff auf das interne LAN einer Firma zu erhalten. Hier gibt es aber trotzt IPSEC keinen richtig gemeinsamen Nenner aller Hersteller, so dass hierbei immer das passende Paar Server und Client genutzt werden sollte. Wer ein VPN mit Microsoft Mitteln realisieren will, konnte das seit 1996 schon mit PPTP nutzen und mit Windows 2000 auch mit IPSec L2TP. Über diesen Weg erhält der Client einen sicheren transparenten Zugriff auf das interne LAN und damit auch den Exchange Server.
Es bleibt nun freigestellt, wie der Anwender nun als quasi "interner Benutzer" arbeitet. Suchen Sie sich einen der vielen Outlook Clients aus
NAT-Router als Firewall
|
|
Eigentlich ist ein Router mit NAT keine richtige Firewall, aber gerade mit DSL oder in kleineren Firmen eine gängige Praxis der Anbindung ist. Damit mit dieser Konfiguration die oben beschriebenen Funktionen überhaupt anbieten kann, muss die externe Seite eine feste IP-Adresse haben. Ohne diese Adresse ist ein Zugriff per VPN oder OWA nicht sinnvoll möglich. Auch der Verbindungsaufbau seitens des Providers muss möglich sein, wenn es sich um eine Wählverbindung handelt. In diesem Falls muss der Router alle zutreffenden Ports (25, 80, 443 etc.) nach innen auf das entsprechend System umlenken. VPN wird aber mit NAT meist nicht funktionieren. Eventuell bietet der Router selbst VPN-Funktionen. Ein SMTP-Proxy haben aber die wenigsten Router eingebaut, da dies einen Zwischenspeicher für die Nachrichten erfordert. |
MS-Proxy / MS ISA-Server als Firewall
|
|
Microsoft Proxy ServerDer Proxy Server von Microsoft kann nicht als richtige Firewall heutzutage durchgehen. Es ist eher ein Postfilter mit Proxy, d.h. verhindert recht zuverlässig den Zugriff auf gesperrt Ports und erlaubt den Zugriff von innen nach draußen über Proxyserver. für die Funktionen VPN, OWA sind die Funktionen des Proxy Server mit einem installierten IIS und RAS-Dienst durchaus ausreichend gewesen. für die Nutzung eines SMTP-Relays kann der Dienst des NT Option Pack genutzt werden, oder ein anderes Produkt. |
Microsoft ISA-ServerDer ISA-Server ist mehr als nur eine Weiterentwicklung des Proxy Servers, sondern ist basierend auf Windows 2000 und den Funktionen eine ausgewachsene Firewall, welche für fast alle Belange einer mittleren und kleineren Firma ausreichend ist. In Verbindung mit dem Active Directory sollte damit auch eine Enterpriselösung zu schaffen sein. Die Zeit wird zeigen, inwieweit der ISA-Server den Angriffen in Bezug auf Sicherheit und Stabilität gewachsen ist. |
Weitere Links zum Thema ISA-Server:
- Configuring an Inbound and Outbound SMTP Relay to Complement ISA 2004
Firewall Protection für Exchange Servers
http://www.ISAserver.org/pages/article.asp?id=1223 - OWA mit ISA und SSL
- Sichere Exchange Veröffentlichung mit ISA Server 2004
http://blogs.technet.com/mkalbe/archive/2005/09/09/ALF_firewall_exchange2003.aspx - "Application Layer Firewall protection für Exchange Server 2003 with ISA
Server 2004"
http://www.Microsoft.com/technet/prodtechnol/isa/2004/plan/firewall-exchange2003.mspx - Plädoyer für ISA-Server als Domain Member
http://isaserver.org/tutorials/Debunking-Myth-that-ISA-Firewall-Should-Not-Domain-Member.html
Checkpoint und Exchange
Exchange würden wir intern aufstellen mit einem sicheren SMTP Relay in der DMZ. Zusätzlich bietet sich bei dieser Konfiguration die Anbindung der Niederlassung per VPN an, d.h. die sichere Kopplung von Exchange Servern über das Internet.
Bitte haben Sie Verständnis dafür, dass ich hier keine FAQ oder "HowTo" für die Installation und Konfiguration einer Checkpoint FW-1 poste. Jede Anleitung wäre mehr falsch als Richtig und um eine umfassende Abhandlung zu schreiben, würden hundert Seiten nicht reichen und die würden Sie dann auch nicht lesen. Zudem ist Sicherheit weniger eine Frage des Produkts, sondern mehr der Konzeption, Konfiguration und Aktualität. Wir können aber zusammen mit ihnen eine Firewall entwerfen, installieren, dokumentieren und prüfen und warten.
