Exchange 2000 Installationsanleitung
Seite 5/6
Proxy oder ISA-Server - die kleine Firewall für ihre System
Nachdem wir nun vom Server eine IP-Verbindung zum Internet automatisch herstellen lassen können und auch die Namensauflösung per DNS über unseren DNS-Server funktioniert nun. Damit sind die Fundamente gelegt, um Exchange zu installieren. Aber ehe wir und daran machen, möchten wir nun den Zugang für die Computer der Anwender im internen Netzwerk zum Internet ermöglichen. Da wir intern private Adressen (192.168.1.xxx) verwenden, ist kein direkter Zugang von intern nach außen und zurück möglich.
Proxy, ISA oder NAT
Für diese Funktion wird im Paket aktuell der Microsoft Proxy Server 2.0 mitgeliefert, der später durch den ISA-Server ersetzt werden darf. Der Proxy Server 2.0 ist schon lange auf dem Markt und auch von uns bei Kunden und im eigenen Netzwerk produktiv und sehr zuverlässig im Einsatz. Allerdings ist die Integration als ISAPI-DLL in den aktiven Webserver nicht mehr aktuell und für den Betrieb auf Windows 2000 sind zusätzliche Anpassungen notwendig. Wenn Sie kein Profi hier sind, werden Sie einige Flüche ausstoßen. Daher rate ich Ihnen dazu nicht mehr den Proxy Server 2.0 einzusetzen und entweder auf den ISA-Server zu warten und in der Zwischenzeit einen der vielen freien Proxyserver (z.B. Sambar, Janaserver oder andere) einzusetzen, welche weniger tief in den Webserver eingreifen.
Alternativ könnten Sie das Protokoll "NAT" auf dem Server aktivieren und auch damit nahezu jeden Datenverkehr umsetzen. Sie haben dann später weniger Probleme bei der Installation des ISA-Servers. NAT konfigurieren Sie mit Routing und RAS und funktioniert mit der bisherigen Installation, denn ihre PCs wissen dank der früheren Einstellungen (DHCP-Server liefert DNS, WINS, Gateway) schon alles.
Filtern rein und raus
Nun funktioniert alles, aber Sie werden vielleicht feststellen, dass die Internetverbindung sehr oft aufgebaut wird. Ursache ist, dass jedes Programm, welches eine Adresse außerhalb von 192.168.1.x erreichen will, das auch versuchen kann und Windows 2000 das Internet anwählt. Lösen können Sie dies nur, indem Sie den Verursache ausfindig machen. Sie können mit Routing und RAS sehr feine Filter (ausgehend und eingehend) einstellen. Leider werden wir das auch machen müssen, um die Verbindungsaufbauten zu reduzieren oder aus NAT verzichten und mit dem ISA-Server weiter machen. Zur Eingrenzung könnten Sie mit dem Netzwerkmonitor des Servers die Pakete analysieren, aber ohne entsprechendes Know-how sollten sie den Bösewicht einkreisen: Schalten Sie erst alle PCs aus und schauen Sie dann, was passiert. Dann schalten Sie nach und nach einen ein und warten einige Zeit (15 Minuten je PC ist schon sinnvoll), ob dieser PC oder eine Software darauf Ursache ist. Einige Programme wie GetRight, Gozilla, Opera etc. haben die Angewohnheit, immer mal wieder Werbebanner zu holen. Sie wissen ja nicht, dass wir eine Wählverbindung haben. Auch ein Virenscanner sollten Sie auf allen PCs haben, um Trojaner zu blockieren.
Selbst wenn Sie später den ISA-Server haben, werden Sie NAT weiterhin für nicht "Proxy-taugliche Protokolle" einsetzen müssen, d.h. Ihnen der Zugriff per Webbrowser nicht reicht. Allerdings können Sie mit dem ISA-Server sehr viel besser Filtern.
Firewall mit ISA-Server oder Router
Der ISA-Server wird sehr viel leistungsfähiger sein im bezug auf Filter und Schutzmechanismen. Nur kann ich ihnen bei dem gestiegenen Sicherheitsbedürfnis nur dringend dazu raten, entsprechende Unterstützung beizuholen. Gerade wenn Sie, wie in kleinen Umgebungen üblich, die Funktionalität von Dateiserver und Internetzugang auf einem System konzentrieren. Der Weg vom Internet zu ihren Daten ist dann wirklich sehr kurz.
Nebenbei: Sie haben daran gedacht, ihre Schritte auch aufzuschreiben?. Sie sollten Rufnummer, DNS-Server und alle anderen Einstellungen einfach mit protokollieren. Es muss nicht schön sein. Ein Fachmann kann aber so schnell ihre Schritte und Konfiguration ermitteln, auch wenn der Server nicht mehr laufen sollte.
Allerdings wird es hier schon schwer, bei normalen PC-Lieferanten das Know-how für eine angepasste Installation zu finden. Allerdings ist ein ISA-Server mit der Standardinstallation schon recht passend für ein einfaches Umfeld.