ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Cache aktivieren
Cache aktivieren ohne SP1
Eindringversuchserkennung
Cachemodus
Ziel nicht cachen
Proxyeinstellungen per GPO
Socket Pooling W2k3
DNS Auflösung
Inhaltsdownload
Zertifikate
Webauthentifizierung
RADIUS und ISA 2004
SMTP Anwendungsfilter
Netzwerk definieren
Webverkettung
IP Optionen
Netzwerkkonfiguration
Automatische Suche
DMZ

 

ISA Server 2004 – Mehrfachnetzwerke - Besonderheiten - Von Marc Grote


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server  2004

 

Einleitung

 

In meinem ersten Artikel habe ich gezeigt, wie man ein Netzwerk mit ISA Server 2004 definiert. Dieser Artikel beschreibt Besonderheiten der Netzwerkkonfiguration. Schwerpunkt dieses Artikels ist die Beschreibung von typischen Konfigurationsfehlern, Erklärung der Beziehung zwischen ISA Server und Routingtabellen, sowie einiger Tipps aus der Praxis.

 

Basis für diesen Artikel ist ein ISA Server 2004 Standard mit vier Netzwerkkarten auf einem Windows Server 2003 Standard.

 

Erklärung der Netzwerke:

  • DMZ = Netzwerk für die demilitarisierte Zone

  • WAN = Verbindung zum Internet

  • LAN = Das interne Netzwerk

  • WLAN = Spezielles Netzwerksegment für die WLAN Accesspoint Anbindung.

 

Wie ein Netzwerk konfiguriert wird, lesen Sie bitte hier. Für weitere Informationen zur Einrichtung einer Firewallrichtlinie finden Sie hier.

Zur Auffrischung: Die Konfiguration eines Netzwerkes erfordert folgende Schritte:

  • Erstellen des neuen Netzwerkes und Angabe des Netzwerkbereiches

  • Erstellen einer Netzwerkregel welche die verbundenen Netzwerke festlegt und den Typ ROUTE oder NAT festlegt.

  • Erstellen einer Firewallrichtlinie welche den Zugriff zwischen den Netzwerken regelt.

Nach der Installation von ISA Server sind fünf Netzwerke konfiguriert
 

Intern
 

Bei dem internen Netzwerk handelt es sich um die IP-Adressbereiche des internen Netzwerkes. ISA Server sieht dieses Netzwerk als vertrauenswürdig (mit Ausnahmen - Stichwort: Systemrichtlinie), aber auch als schutzwürdig an. Die IP-Adressbereiche des Netzwerkobjektes intern müssen mit der Windows Routingtabelle für das interne Interface übereinstimmen.
 

Externes Standardnetzwerk

 

Das externe Standardnetzwerk beinhaltet alle IP-Adressen, die nicht ausdrücklich zu einem anderen Netzwerk gehören. Nach der Installation beinhaltet das externe Standardnetzwerk alle Adressen, die nicht im internen Netzwerk enthalten sind, die IP-Adresse des lokalen Hostnetzwerks (127.0.0.1) und die IP-Adressen aller anderen Netzwerkadapter des ISA Server-Computers.

Das externe Standardnetzwerk gilt als NICHT  vertrauenswürdiges Netzwerk. Daher wird das Netzwerkverhältnis zum externen Standardnetzwerk in der Regel als NAT (Network Address Translation) konfiguriert. Dadurch können Clients des Quellnetzwerks auf externe Standardzielnetzwerke zugreifen, das externe Standardnetzwerk jedoch nicht auf das Quellnetzwerk
 

Lokaler Host

 

Dieses Netzwerk steht für den ISA Server-Computer. Das lokale Hostnetzwerk kann NICHT geändert oder gelöscht werden.
 

VPN-Clients

 

Dieses Netzwerk umfasst die Adressen der derzeit verbundenen Clients. Der Bereich der möglichen Adressen wird bei der Konfiguration der VPN-Eigenschaften festgelegt. Das VPN-Clientnetzwerk kann nicht gelöscht werden.

 

Quarantänen-VPN-Clients

 

Zu diesem Netzwerk gehören die Adressen von VPN-Clients, die noch nicht aus der Quarantäne entlassen wurden. Das Quarantänen-VPN-Clientnetzwerk kann nicht gelöscht werden.

 

Netzwerkvorlagen

 

ISA Server enthält Netzwerkvorlagen, die häufig vorkommende Netzwerktopologien abbilden. Mithilfe der Netzwerkvorlagen konfigurieren Sie die Firewallrichtlinien für den Datenverkehr zwischen den Netzwerken. Die Verwendung von Netzwerkvorlagen ist nicht zwingend vorgeschrieben. Ein erfahrener Administrator kann die Netzwerke/Netzwerkregeln und Firewallrichtlinien auch per Hand konfigurieren.

 

ISA Server 2004 enthält die folgenden Netzwerkvorlagen (Auszug aus der Online Hilfe leicht modifiziert):

Edgefirewall

 

Bei dieser Vorlage wird eine Netzwerktopologie angenommen, bei der sich ISA Server an der äußeren Schnittstelle des Netzwerks, dem so genannten Perimeter, befindet. Ein Netzwerkadapter ist hierbei mit dem internen Netzwerk verbunden. Der andere Netzwerkadapter verfügt hingegen über eine Verbindung mit einem externen Netzwerk (Internet). Bei Auswahl dieser Vorlage können Sie den gesamten ausgehenden Datenverkehr zulassen oder den ausgehenden Datenverkehr einschränken, so dass nur der Webzugriff gestattet wird. Eine Edgefirewall gilt nicht als sicherste Firewall Lösung, weil ein Angreifer nur eine Firewall überwinden muß. 

 

3-Abschnitt-Umkreisnetzwerk - (Trihomed Firewall)

 

Bei dieser Vorlage wird eine Netzwerktopologie angenommen, bei der ISA Server mit dem internen Netzwerk, dem externen Netzwerk und einem Umkreisnetzwerk (auch als DMZ, demilitarisierte Zone oder abgeschirmtes Subnetz bezeichnet) verbunden ist. Eine Trihomed Firewall ist eine Firewall mit drei Netzwerkkarten und wird häufig auch als Poor Man's Firewall bezeichnet.
 

Frontfirewall-Netzwerkvorlage

 

Bei dieser Vorlage wird eine Netzwerktopologie angenommen, bei der sich ISA Server an der äußeren Schnittstelle eines Netzwerks befindet und zum Schutz des internen Netzwerks ein weiterer Firewall am Back-End konfiguriert ist.
 

Backfirewall-Netzwerkvorlage

 

Bei dieser Vorlage wird eine Netzwerktopologie angenommen, bei der ISA Server an der Schnittstelle zwischen einem Umkreisnetzwerk und dem internen Netzwerk eingesetzt wird und zum Schutz des internen Netzwerks am Back-End ein weiterer Firewall konfiguriert ist. Weitere Informationen finden Sie unter Backfirewall-Netzwerkvorlage.
 

Einzelner Netzwerkadapter

 

Bei dieser Vorlage wird eine Netzwerkkonfiguration mit einem einzelnen Netzwerkadapter angenommen, der sich innerhalb eines Umkreis- oder Firmennetzwerks befindet. In dieser Konfiguration dient ISA Server als Webproxy- und Cacheserver.  Diese Netzwerkvorlage entspricht in etwa der Installation eines ISA Server 2000 im Cache Mode.

 

 

Hintereinander angeordnete Netzwerke
 

Sehr häufig stellt sich auch die Frage, wie der ISA Server konfiguriert werden muss, wenn sich die Netzwerke hintereinander angeordnet befinden, dass heißt, sich hinter dem ISA Server weitere Netzwerke als das interne Netzwerk befinden.

 

Bei einer Konfiguration hintereinander angeordneter Netzwerke verfügt ein Netzwerkadapter über Routen zu einem fremden Netzwerk. In den meisten Fällen unterstützt ISA Server derartige Konfigurationen nicht, wobei jedoch folgende Ausnahmen gelten:

  • Ein IPSec-Tunnel der zwischen zwei Standorten besteht.

  • Das vordefinierte externe Netzwerk kann sich hinter dem als Standardgateway dienenden Netzwerkadapter befinden.

  • Quarantänen-VPN-Clients können niemals direkt mit einem Netzwerk verbunden sein.

Angenommen, ein Netzwerkadapter mit der Adresse 10.0.0.1 ist das Standardgateway. Außerdem verfügt dieser Netzwerkadapter über Routen zu den Adressen ...
10.X.X.X und

30.X.X.X,

wobei keine Routen (in keinem Netzwerkadapter) für die Adressen 20.X.X.X vorhanden sind. Weiterhin wird in diesem Szenario davon ausgegangen, dass Sie zwei Netzwerke eingerichtet haben:
Netzwerk A: 10.0.0.0–10.255.255.255
Netzwerk B: 30.0.0.0–30.255.255.255
Es sind keine Routen für die Netzwerkadressen im Bereich 20.0.0.0–20.255.255.255 definiert, daher werden diese als Teil des externen Standardnetzwerks angesehen.

 

Das externe Standardnetzwerk wird als "hinter Netzwerk A befindlich" angesehen, da der Adapter von Netzwerk A eine Route zum externen Standardnetzwerk besitzt, jedoch diesem Netzwerk nicht zugeordnet ist. (Die Adresse des Adapters gehört nicht zum externen Netzwerk.)
Netzwerk B befindet sich dieser Definition nach ebenfalls hinter Netzwerk A. Allerdings ist Netzwerk B nicht das externe Standardnetzwerk. ISA Server betrachtet dies jedoch als eine fehlerhafte Konfiguration und das Netzwerk wird vorübergehend getrennt.
 

Zur Konfiguration von ISA Server werden die beiden Routen (zu 10.X.X.X und 30.X.X.X) in einem einzelnen Netzwerk zusammengefasst. ISA Server kann diese beiden Adressbereiche nicht als eindeutige Netzwerke auffassen, da beide demselben Netzwerkadapter zugeordnet sind.
 

ISA Server Fehlermeldung "ISA Server hat Routen über den Adapter "XXXXX" ermittelt, die mit dem Netzwerkelement, dem dieser Adapter angehört, nicht übereinstimmen."

 

Auf diese Fehlermeldung suchen viele Administratoren seit Erscheinen des ISA Server 2004 in den Newsgroups eine Antwort zur Lösung des Problems. Aus diesem Anlass sollen hierzu einige klärende Worte gesagt werden.

 

Das (korrekt konfigurierte) interne Netzwerk in diesem Artikel ist wie folgt definiert:

 

 

Das interne Netzwerkinterface am ISA hat folgende Konfiguration:

 

 

ISA Server versucht bei der Ermittlung des Netzwerkobjektes einen Netzwerkadapter zu finden, der eine IP-Adresse aus diesem Netzwerkbereich hat.

ISA Server ermittelt diese Informationen anhand der Windows 2003 Routingtabelle.

Achten Sie in diesem Beispiel auf die Schnittstelle 192.168.2.1. Es folgt ein Auszug der Windows 2003 Routingtabelle.

 

 

Von Bedeutung für den ISA Server ist hier nur die Route ...

 

192.168.2.0  255.255.255.0  192.168.2.1  192.168.2.1

 

Bei den anderen Routen handelt es sich um Multicast / Broadcast Adressen und müssen nicht berücksichtigt werden.

Erläuterung der anderen Routen:
0.0.0.0 ist die Default Route           
127.0.0 ist die Loopback-Adresse
192.168.2.0 ist die Netzwerk-Route für das Netzwerk 150.3.0
192.168.2.1 (255.255.255.255) ist die Host-Route des lokalen Hosts
192.168.2.255 
ist die Subnetz-Broadcast-Adresse
224.0.0.0
ist für das Multicasting
255.255.255.255 ist für die limitierte Broadcast-Adresse

 

Die oben beschriebene Fehlermeldung tritt dann auf, wenn Routen nicht mit dem internen Netzwerkobjekt übereinstimmen oder der IP-Adressbereich des internen Netzwerkobjektes nicht richtig definiert wurde. Ein falsch konfiguriertes Netzwerk kann dazu führen, dass ISA Server das Netzwerk nicht schützen kann weil Adressbereiche falsch interpretiert werden.

 

Eine detaillierte Erklärung zu diesem Thema finden Sie hier.

 

Trihomed DMZ Beispiel

Zum Abschluss dieses Artikels ein Beispiel einer ISA Server 2004 Konfiguration mit der Netzwerkvorlage 3-Abschnitt Umkreisnetzwerk.

Die folgenden Grafiken sollen Ihnen einen Überblick über die Flexibilität des ISA Servers in Bezug auf die Multinetwork-Funktionalitäten geben.

Sie sehen hier ein Netzwerk mit dem Namen Umkreis, welches das Umkreisnetzwerk, auch DMZ genannt, darstellt.


 

Die Netzwerkregel ist auf NAT für interne Kommunikation mit dem Umkreisnetzwerk und ROUTE vom Umkreisnetzwerk mit EXTERN konfiguriert.

 

 

Für das neu erstellte Netzwerk wird basierend auf der gewählten Einstellung des Wizard eine entsprechende Firewallrichtlinie erstellt.

 

 

 

 

Stand: Friday, 28. August 2009/MG. http://www.it-training-grote.de


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher