enrg, 27.3.2008 22:26:
-clip-
Mä en lähde edes selittämään erittäin lyhennetysti näitä rautalankaa vääntämällä kun voit puuttua jokaiseen pieneen seikkaan tajuamatta isompaa kokonaisuutta.
Suosittelen lukemista: http://www.isaserver.org/articles/2004tales.html - joka oikeastaan antaa vastauksen kaikkeen mitä ihmettelit ja ziljoonaan muuhun asiaan myös.
taas ihan ufo väite.. Kerro miksei voi suojata kunnolla jos tuo RPC over HTTP perustuu sertifikaatteihin? Mitä parannusta ISA serveri tähän tuo?
...ja varsinkin, kun sun Mikkisofta teknologian tuntemus on tällä tasolla on meidän aika vaikee näistä asioista keskustella. Lyhyesti - RPC over HTTP tekniikalla (Exchangen kanssa) ei ole mitään tekemistä sertifikaatti pohjaiseen authentikointiin.
http://technet.microsoft.com/en-us/library/aa995784(EXCHG.65).aspx
http://www.securityfocus.com/infocus/1807
Sitten sä kokoajan vähättelet ISA:n kykyä authentikoida käyttäjiä AD:ta hyödyntämällä joka on todella iso etu muihin kilpailijoihin nähden joka tuo lukemattoman määrän erillaisia ominaisuuksia tarkempaan verkon liikenteen valvontaan ja estoon (tämä on oleellinen osa "DZM is death" ajatuksen kannalta).
Mitä muuten tapahtuu myös jos esim. rautamuurin läpi menee SSL tunneloitu yhteys weppi palvelimelle? Silloin rautamuuri ei näe liikenteen sisälle mitenkään eikä se osaa edes tehdä alkeellista liikenteen analysointia. ISA Serveri osaa toimia proxynä niin, että käyttäjä kuvittelee juttelevansa suoraan weppi palvelimen kanssa, mutta jutteletkin SSL tunnelin kautta ISA Serveriin ja ISA Serveri uudestaan SSL tunneloi liikenteen siitä sitten weppi palvelimelle... kuinka monta rautamuuria osaa näinkin oleellisen featuren?
Hinnan suhteen, ISA on luokassaan selkeästi rautamuureja halvempi oli sitten laskentakaava mikä tahansa. Enkä muutenkaan rupea juupas eipäs väittelemään ennen, kun oikeasti luet ylläolevat artikkelit läpi. Jos siitä jää jotain epäselvää niin katsotaan silloin uudestaan.
...ja lopuksi rautalankaa vääntämällä, mikään rautamuuri ei analysoi niin "syvällisesti" liikennettä kuin ISA Serveri. Ennemminkin pitäisi ihmetellä, että miten HC rautapurkki faneja vielä riittää, kun softa pohjaisten muurien ominaisuus on kiistaton verrattuna rautapurkkeihin.
Ei, ei todellakaan ole mitään hätää vielä
edit: niin tuo DMZ juttu joka varsinkin vanhalle IT porukalle on itsestään selvyys, niin jo 2004 aikoihin Steve Riley julisti kovaan ääneen, että DMZ alueita ei enää tarvita. Tämä aiha on erittäin laaja eikä tietenkään noin yksiselitteinen, mutta kun selvästi koko idea ja konsepti ei ole tiedossa niin suosittelen katsomista (ja tämän implemetoimiseen ISA Server on ainoa tuote joka pystyy siihen, älä kysy tarkkoja kaavoja, kun minulla ei ole niitä - ehkä netistä löytyy Steve R:n materiaalia missä myös selitetään mitä työkaluja käytetään ja miten):
http://edge.technet.com/Media/Steve-Riley-talks-security/
...ja tosi yksinkertaistettuna tuo ISA:n kanssa:
http://blogs.technet.com/rhalbheer/archive/2008/02/28/securing-my-infrastructure-firewall.aspx
