ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Voraussetzungen
Standard-Installation
Array-Installation
Automatische Suche
ISA auf Windows Server 2003
Einrichtungsleitfaden
ISA 2000 SP2
Deinstallation

 

Einrichtungsleitfaden

  • Sie möchten einen ISA Server installieren?
  • Sie sind sich über die einzelnen Schritte bis zur grundsätzlichen Fertigstellung nicht im klaren?
  • Sie wissen nicht, was Sie alles beachten müssen?

Zuerst sollten Sie sich überlegen, wofür der ISA eingesetzt werden soll. Meist sollte in diesem Zusammenhang gleich ein möglichst umfassendes Sicherheitskonzept ausgearbeitet werden, denn alleine durch den Einsatz eines ISA Servers hat man noch lange keine Sicherheit. Der ISA sollte lediglich Bestandteil eines Firewallkonzepts sein. Eine Firewall ist genau genommen kein Produkt sondern eine Strategie.

Was gehört zu einem Sicherheitskonzept?

  • Informieren Sie sich, wie viele Internetzugänge in der Firma vorhanden sind. Vergessen Sie dabei nicht die Möglichkeit, dass sich ggfs. Clients (Notebooks!) per eigener ISDN-Karte oder Analogmodem parallel zur LAN-Verbindung ins Internet einwählen könnten. Dies stellt ein hohes Sicherheitsrisiko dar, wird jedoch gerne übersehen. Genauso populär sind mittlerweile WLAN-Zugänge (gerne die eines benachbarten Unternehmens ohne Zugangskontrolle).
  • Wie sieht es mit dem physischen Zugang zum Rechenzentrum aus? Sind alle Arbeitsplatzrechner gegen einfachen Diebstahl gesichert? Wenn die Server frei zugänglich sind und/oder die Arbeitsplatzrechner (auch Notebooks) "einfach" mitgenommen werden können ist das ebenfalls ein hohes Sicherheitsrisiko.
  • Wie sieht es mit den Benutzerrechten aus? Ach so, bei Ihnen ist jeder Administrator - das erleichtert alles und macht Berechtigungen auf Fileebene unnötig. Prima.
  • Machen Sie sich Gedanken, wer wann was im Internet darf. Ist es sinnvoll, dass alle Server z.B. uneingeschränkten http-Zugriff haben? Merke: Jeder bekommt so wenig Rechte wie möglich und so viel wie nötig.
  • Sollen interne Anwendungen (z.B. Intranet oder OWA) von außen zugänglich sein?
  • Sind die Daten (auch Offlinedateien) auf den Workstations (vor allem auf den Notebooks) verschlüsselt?
  • ...

Sie sehen also, es gehört etwas mehr dazu als nur einen ISA Server zu installieren um Ihr Netz einigermaßen abzusichern. Pauschalisieren kann man allerdings nichts; es hängt immer von den individuellen Gegebenheiten und Anforderungen/Ansprüchen ab. Es soll hier ja auch nur ein kleiner Denkanstoß gegeben werden.

Wenn Sie vor der Planung des ISA Server stehen, sollten Sie folgende Punkte beachten:

  • lesen Sie die Datei isastart.htm, die sich im \isa Verzeichnis auf der ISA Server CD befindet. Hier finden Sie eine Menge an vorbereitenden Informationen.
  • überlegen Sie, an welcher Stelle im Netz der ISA eingesetzt werden soll. Müssen ggfs. Netzwerkumstrukturierungen vorgenommen werden?
  • Soll der ISA nur als Webproxy oder auch als Firewalllösung eingesetzt werden? Davon ist z.B. abhängig, ob Sie eine oder zwei Netzwerkkarten benötigen.
  • Wie ist der ISA Server an das Internet angebunden? Verfügen Sie über eine Standleitung mit öffentlichen IP-Adressen oder müssen Sie eine Einwählverbindung (ISDN, dsl) verwenden? Wie ist der Abrechnungstarif?
  • Wer darf wann was?
  • Auf welcher Hardware soll der ISA installiert werden? Wird der Windows Server noch für andere Zwecke verwendet?
  • Soll nur ein ISA Server im Unternehmen verwendet werden oder wird ein Array benötigt?
  • Machen Sie sich mit den Grundlagen des ISA vertraut. Speziell wichtig sind u.a. folgende Themen:
  • Wenn Sie noch mehr wissen möchten, beschaffen Sie sich das ein oder andere Buch.

Grundsätzlich empfehle ich, den ISA Server auf einem dedizierten Windows Server 2003 als Domänenmitglied zu installieren und keine weiteren Dienste (bis auf ggfs. den SMTP-Dienst zwecks SMTP-Filterung oder Mailrelay) zu verwenden. Der ISA sollte kein Domänencontroller sein; es gibt dafür auch keinen sinnvollen Anwendungsfall.

Installieren Sie den Server je nach Bedarf in einem der drei Betriebsmodi. Stellen Sie zuvor sicher, dass das Betriebssystem optimal vorbereitet ist und sie alle Netzwerkparameter richtig konfiguriert haben. Hinweise dazu erhalten Sie z.B. in einer der folgenden Anleitungen:

Vergessen Sie nicht, die aktuellen Servicepacks und Hotfixe einzuspielen!

Wenn Sie diesen Schritt hinter sich haben sollten Sie sich nicht wundern, dass erstmal nahezu jeglicher Verkehr von und zum Internet geblockt wird. Was? Bei Ihnen geht dennoch alles....hm...dann sollten Sie nochmals die Grundlagen durcharbeiten; dann ist ein Konzeptfehler vorhanden :-)

Als nächstes können Sie z.B. Clientadresssätze, Zielsätze und nicht vorhandene Protokolldefinitionen definieren, die benötigen Sie nämlich alle später bei den Zugriffsregeln. Wenn Sie planen, einen internen Webserver per SSL zu veröffentlichen, ist jetzt auch der ideale Zeitpunkt, das Zertifikat am ISA zu importieren und den ISA für SSL Anfragen einzurichten.

Erstellen Sie nun Protokollregeln für Ihre Clients. Beachten Sie hierbei, dass es sich anbietet nur bestimmten Clientsets den Zugriff zu erlauben. Auch wenn es auf den ersten Blick vielleicht überflüssig erscheint - denken Sie aber daran: Jeder bekommt so wenig Rechte wie möglich und so viel wie nötig. Hilfe bei diesem Schritt erhalten Sie u.a. hier: Zugriff für Clients

Anschließend können Sie (wenn gewünscht) Ihre internen Server veröffentlichen. In der Regel werden Sie Ihren Exchange-Server von außen zugänglich machen wollen, damit Mails zugestellt werden können. Ebenso beliebt ist der Outlook Web Access. Weitere Infos dazu finden Sie u.a. hier:

Wenn bis hierher alles geklappt hat (gratuliere!) und die grundsätzlichen Funktionen nach Ihren Wünschen zufrieden stellend vorhanden sind (prima!) können Sie sich noch mit folgenden Themen beschäftigen:

 

Stand: Friday, 28. August 2009/DR.

Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Wednesday, 08. February 2012 / Dieter Rauscher