Hei

Jobber med å få ferdig installasjonen ab MS SBS 2003 Premium. Skal installere CRM 3.0, men må få ferdig installasjon av all nødv. software på serveren først.

MÅ ISA Server installeres i det det hele tatt? Kunden har en lokal firewall selv i ruter.

Hva må evt. åpnes i eksisterende firewall for å synke med QTek telefoner?

Kjell

Hei Kjell!

Hvis kunden din er så helding at de har kjørt en SBS 2003 Preium synes jeg absolutt at du bør installere ISA Server. Du trenger da to nettverskort i SBS Serveren. Det er en meget god løsning å sette en ruter foran det eksterne nettverkskortet. Du får da en DMZ mellom ruteren og det eksterne nettverskort på ISA Serveren. Ruteren skal da ha den eksterne IP adressen. Bak ruteren kommer så det eksterne nettverskortet på SBS Serveren. Den skal da ha en fast IP adresse som ekskluderes fra Ruterens DHCP pool. Switsch / hubb må du sette i det interne nettverskortet for så å koble PCer og lignende i den. Når du setter en ruter foran ISA Serveren får du en meget bra og sikker løsning. Brannmuren i ruteren vil ta av fra alle mulige atacks fra internett og ikke belaste SBS Serveren dvs ISA Serveren med dette. ISA Serveren vil automatisk konfigureres av ICW. Du må imidlertid selv konfigurere ruteren.

Når det gjelder Qteck så vil denne følge OWA. Det har således ingen konsekvenser utover at du må publisere OWA og Mobile når du kjører ICW. Hvis kunden planlegger og bruke Mobile 5.0 trenger du eksternt sertifikat. Det vil ikke være godt nok med selvgenerert. Du bør da sjekke opp linken nedenfor. Alle sertifikater kan ikke nødvendigvis brukes.:

Du bør absolutt ta en titt på følgende artikler i forumet:

1) En plan for innstilling av ekstern DNS Server:

Artikler/tabid/53/ctl/ArticleView/mid/378/articleId/7/En-plan-for-innstilling-av-ekstern-DNS-Server.aspx

2) To nettverkskort, statisk IP adresse, ISA Server, Ruter:

Artikler/tabid/53/ctl/ArticleView/mid/378/articleId/10/Default.aspx

3) Brannmur - hvilke porter bruker SBS for inngående kommunikasjon:

 Artikler/tabid/53/ctl/ArticleView/mid/378/articleId/6/Default.aspx

4) Hvilken informasjon trenger du for å kjøre ICW:

Artikler/tabid/53/ctl/ArticleView/mid/378/articleId/5/Hvilken-informasjon-trenger-du-for--kjre-ICW.aspx

 

5) Sertifikater som er godkjent for Mobile 5.0

https://partner.microsoft.com/global/40027352?PS=95000124

Tusen takk for raskt og utfyllende svar på spørsmålet mitt.
Dette var over all forventning.

Serveren har to nettverkskort og jeg kommer nok til å gjøre som du anbefaler Dag Ståle.

Hører om stadig flere som installerer MS SBS og som vil ha Windows Mobile funksjonalitet mot telefon, så dette er nok et lukrativt marked for oss med små IT Bedrifter.

Ellers vil jeg gi dere som har dratt i gang dette forumet en honnør. Kjempebra initiativ!

Kjell

Hei.

Er det noen spesiell grunn til at det anbefales å ha to lokalnettverk etter hverandre?

//SNS

Hei!

Et godt og tilbakevendende spørsmål. En full utredning av dette spørsmålet vil jeg ikke forsøke meg på. På den annen side vil jeg dekke noen sentrale punkter.

 

Tar utgangspunktet i en SBS Server med to NICs med en brannmur i front (to brannmurer etter hverandre) og at det brukes port forwarding fra den første brannmuren til den neste i SBS Serveren. I et slikt oppsett vil fordelen være at den første brannmuren vil avvise alle forespørsler fra internett for porter som ikke er forwarded til brannmuren på SBS Serveren. Av den grunn må ikke SBS Serveren benytte sin prosessor på å avvise forespørsler fra internett, men kan konsentrere seg om å behandle forespørsler som blir overført fra den første brannmuren. For øvrig kan jeg ikke se noen fordeler i denne konstruksjonen ut over at dersom SBS Serveren skulle være nede så kan PCer kobles i den fremste brannmuren for å få internett.

 

Når risiko skal vurderes er det nærliggende å se på antallet åpne porter som er åpne mot internett. To brannmurer etter hverandre kan organiseres slik at den fremste brannmuren ikke har noen åpne porter utover e-mail (SMTP), og at det er brannmur nr 2 to som har åpne porter. I en slik konfigurasjon må vi først autentiserer oss mor den første brannmuren første brannmuren og når vi så slipper i gjennom kan vi kalle på tjenester via åpne porter i brannmur nr 2. Denne konstruksjonen kan for eks bruke VPN (eventuelt med RADIUS) for å lippe i gjennom den første brannmuren. For deretter å kalle på den eller de tjenestene som ønskes. På denne måten kan man altså kontrollere på forhånd hvem som får slippe til på nettverket, og man oppnår en redusert risiko.  

 

I Microsoft (Accelerated Solusjons) standard løsning anses det å være en fordel å benytte en hardware brannmur. Dette begrunnes ikke med kvaliteten på brannmuren men med det forhold at den er lettere og konfigurere, og av den grunn mindre mulighet for feil. På den annen side er det ingen tvil om at ISA Server er en betydelig bedre brannmur en gjennomsnittlig billig basic firewall.

 

For min del konfigurerer jeg alltid to brannmurer etter hverandre dersom SBS Serveren er utstyrt med to nettverskort, hvis det ikke er tungsveiende grunner til å gjøre noe annet. Fortrinnsvis anbefaler jeg SBS Server Premium på grunn av ISA Server men også SQL Server. Dette varierer med kundenes behov, men jeg synes personlig at SBS Premium er det beste produktet. Dette i særdeles het når alternativet er å benytte en simpel brannmur levert at en ISP for de kunden ikke er villig til å bruke 10.000 kr på en noe bedre brannmur i tillegg til kjøpet av SBS Premium.

 

Tom Shinder på isaserver.org har skrevet en god artikkel som diskuterer overstående problemstillinger. Denne artikkelen finner du her.

Hei.

Godt poeng med ekstra lag sikkerhet i forhånd til port forwarding. At det besparer CPU tid på SBS server er ett dårlig argument da de aller fleste nettverk i dag har en router som vil droppe forespørsler fra nettverk. Er vel i ytterst få tilfeller at en SBS server vil stå eksponert direkte mot internett. Prismessig så vil det selvfølgelig lønne seg å konfigurere opp en Pentium 3 (eller noe annet gammel hw) med ISA brannmur kontra å kjøpe en solid hardware brannmur.

Men blir litt "security through obscurity" med to brannmurer. To enheter som router trafikk vil også gi flere mulige feilkilder for brukere på nettverket. Har aldri satt opp ett nettverk med ISA server selv, så jeg skal ikke påstå at jeg har noe særlig erfaring med den type server

Takker for link til atikkel og litt innsyn i design av nettverk med ISA server.

//SNS

Rett en skriveleif i forrige innlegg.

"At det besparer CPU tid på SBS server er ett dårlig argument da de aller fleste nettverk i dag har en router som vil droppe uønskede forespørsler fra internett".

//SNS

Hei igjen, kan forresten legge til litt.
I den senere tid har ISPer begynt å levere svært dårlige brannmurer. Jeg har fra telenor stødt på brannmurer som ikke støtter VPN (dvs PPTP). En videre brannmurer hvor telnet må brukes for konfigurering i det webgrensesnitt ikke eksisterer. I slike tilfeller ser jeg det som en klar fordel å sette denne typen brannmurer i bridge mode og benytte ISA Server direkte mot internett.

Når det gjelder to brannmurer etter hverandre, er jeg for tiden på en kunde som krever stor sikkerhet. Dette innebærer at ingen porter utover SMTP får ligge åpent mot internett. Denne typen av krav stilles typisk fra Datatilsynet. I denne sammenhengen skal det nevnes at det er et større antall avdelingskontorer som skal kommunisere mot server. Vi benytter derfor ruter til ruter VPN med sertifikater. Dette blokerer en hver tredje part fra å kunne kontakte nettverket eller nå åpne porter i brannmur nummer to. Det må da installeres VPN software på Bærbare PCer som skal kommunisere med Server paralelt med et sertifikat. På denne måten oppnås preautentisering, godkjenning av maskiner som skal knyttes opp mot nettverket og en langt høyere sikkerhet. I dette tilfellet kan alså løsningen godkjennes av Datatilsynet i det tre forhold må eksistere; kun godkjente maskiner kan knytte seg til nettet, bruker navn, passord og til slutt et minimum av porter som står åpne mot internett.

Jeg har interessert meg noe denne gangen for denne saken. Hadde en lang samtale med teknikere på Zyzel om dette. Det man må være klar over et at de fleste SMB rutere ikke utfører pakke inspeksjoner eller lignende når man foretar portforwarding til fra ruter til SBS Server. Dette rammer 1 NIC SBS Servere særlig hardt! Det som kommer fra internett treffer da SBS Serveren direkte uten utførte kontroller av ruter. Dette vil imidlertid variere noe fra ruter til ruter. For eks når det gjelder ZyWall UTM rutere så vil disse kunne utføre intrusion detection selv om porter er forwardet. Det gjelder imidlertid ikke de fleste andre. Derfor er en fordel avheng av hvilken ruter man har å benytte to NICs. Dersom en ikke har Premium SBS vil det i alle fall utføres visse kontroller i RRAS, for eks pakke inspesjoner. Dersom man har ISA Server flytter vi oss inn i en helt annen dimensjon. Inspeksjoner av forwardede porter vil inspiseres og nattes. En rekke kontroller på innkommende data vil utføres. Man kan forenklet si at ISA er MS Software aware. Det fører for langt og dette kan det sies mye om. Jeg anbefaler derfor på det sterkeste å benytte to NIC dersom man har muligheten til dette.