{"id":29,"date":"2008-07-23T20:57:01","date_gmt":"2008-07-23T18:57:01","guid":{"rendered":"http:\/\/www.ewig-drohendes-versagen.de\/?p=29"},"modified":"2012-11-12T19:46:17","modified_gmt":"2012-11-12T18:46:17","slug":"ssl-vpn-isa-2006-iag-secureguard-iag800-appliance","status":"publish","type":"post","link":"https:\/\/www.ewig-drohendes-versagen.de\/?p=29","title":{"rendered":"SSL VPN -> ISA 2006 \/ IAG 2007 -> SecureGuard IAG800 Appliance"},"content":{"rendered":"\n<!-- google_ad_section_start -->\n<p>So nun habe ich f\u00fcr unsere Firma eine nette Teststellung einer IAG Appliance von SecureGuard besorgt. Genau gesagt eine <a href=\"http:\/\/www.secureguard.at\/\" target=\"_blank\">IAG800<\/a>. Also flugs ausgepackt und was soll ich sagen &#8211; ein 1HE Intel BareBone (sch\u00e4tze ich mal) mit einem SecureGuard Aufkleber \ud83d\ude42<br \/>\nDas ganze kommt auf 2x250GB 3,5&#8243; Platten daher welche im Raid 1 laufen.<br \/>\nAls Bootloader kommt ein Linux zum Einsatz, mit welchem man z.B. die Recovery Funktionen nutzen kann.<br \/>\nAuf der Maschine l\u00e4uft ein englischer Windows 2003 R2 standard Server zusammen mit einem ebenfalls englischen Internet Security &amp; Acceleration Server 2006 standard und der Wahle Intelligent Application Gateway 2007 Server Installation.<br \/>\nDie beiliegende Doku bestand aus zwei Quick Installation Guides zum IAG und zum ISA. Auf Anfrage war aber auch noch eine detaillierte IAG Beschreibung zu haben.<\/p>\n<p><!--more--><\/p>\n<p>Von SecureGuard bekommt man ein ganz nettes Webinterface \u00fcber welches sich eigentlich alle ISA Funktionen administrieren lassen und das sogar in Deutsch :).<br \/>\nIch pers\u00f6nlich bin aber doch eher der ISA MMC User &#8211; und das ist auch kein Problem.<\/p>\n<p>Zum IAG \/ SSL VPN &#8211; dem eigentlichen Grund der Teststellung&#8230;<br \/>\nAlle wichtigen Funktionen wie:<br \/>\nDatei Explorer \u00fcber Browser<br \/>\nOWA Tunnel zum Exchange<br \/>\nRDP Sitzungen zu verschiedenen Server<br \/>\neinem ordin\u00e4ren VPN Tunnel \u00fcber HTTPS<br \/>\nund<br \/>\nmappen von Laufwerken \u00fcber jenen VPN Tunnel<br \/>\nist alles vorhanden und l\u00e4sst sich problemlos auf lokale, LDAP oder AD Gruppen beschr\u00e4nken.<br \/>\nSingel Sign On geht nat\u00fcrlich auch \u00fcberall hin.<\/p>\n<p>Ein weiteres cooles Feature ist, dass man Infos vom Client abfragen kann und \u00fcber diese Anwendungen deaktivieren kann, wenn der Virenscanner nicht aktuell ist oder die lokale Firewall nicht l\u00e4uft sowie vieles mehr. Entweder man blendet die Verkn\u00fcpfung aus und der Client wei\u00df garnicht das es sie gibt oder sie wird inaktiv und dem User wird eine Meldung angezeigt, was er falsch gemacht hat.<\/p>\n<p>So und nun schreibe ich mal warum wir uns jetzt doch kein IAG holen \ud83d\ude42<br \/>\nLeider funktionieren alle oben genannten Funktionen nur 100% wenn man 2000 oder XP als OS sein eigen nennt. In unserer IT Abteilung \/ Firma arbeitet aber doch schon der eine oder andere mit einem Vista.<br \/>\nUnd das f\u00fchrt trotz IAG SP1 und ISA SP1 zu einigen reproduzierbaren Fehlern.<br \/>\nz.B.<br \/>\nmappen von Laufwerken geht nicht -&gt; &#8222;Dieses OS wird nicht unterst\u00fctzt&#8220;<br \/>\nRDP Sitzungen starten nicht mit dem richtigen Ziel<br \/>\nDer VPN Client l\u00e4uft bei 30% meiner Vista Testclients nicht sauber (auch auf meinem Lapi *heul*)<br \/>\nDas IAG Plugin generiert (logischerweise) einen Haufen Firewallregeln im ISA<br \/>\nLeider loggt der ISA die Usernamen bei SSL VPN Sessions nicht mit<br \/>\nUnd wenn ich den Usern erlaube den VPN Client zu verwenden kann ich im ISA\/IAG nicht reglementieren welche Ziele\/Ressourcen im intern Netz genutzt werden sollen. Entweder alles oder garnix.<\/p>\n<p>Im Endeffekt w\u00fcrde ich sagen das vor allem der letzte Punkt und das Vista Problem den Ausschlag gegeben haben doch kein IAG zu nehmen. Vom stolzen Preis reden wir hier mal nicht -&gt; mit 4 Netzwerkports, 4GB Ram und 3 Jahre NBD Onsite Support immerhin knapp 6000 EUR netto.<\/p>\n<p>Nun wird ein ganz ordin\u00e4rer Dell PowerEdge 2950 Rechnenknecht mit einem losen ISA 2k6 sein Werk tun m\u00fcssen \ud83d\ude42 Und das ganze ist auch noch 2k g\u00fcnstiger als ein IAG800 und immerhin 1k5 als ein ISA800 von SecureGuard. Und wenn es dann doch mal SSL VPN sein muss, tut es auch eine kleine <a href=\"http:\/\/www.sonicwall.com\/\" target=\"_blank\">SonicWall<\/a> am DMZ Port \ud83d\ude42 da haben wie immer noch 800 EUR gespart und mein Vista geht auch :).<\/p>\n\n<!-- google_ad_section_end -->\n","protected":false},"excerpt":{"rendered":"<p>So nun habe ich f\u00fcr unsere Firma eine nette Teststellung einer IAG Appliance von SecureGuard besorgt. Genau gesagt eine IAG800. Also flugs ausgepackt und was soll ich sagen &#8211; ein 1HE Intel BareBone (sch\u00e4tze ich mal) mit einem SecureGuard Aufkleber \ud83d\ude42 Das ganze kommt auf 2x250GB 3,5&#8243; Platten daher welche im Raid 1 laufen. Als [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"enabled":false},"version":2}},"categories":[16],"tags":[27,26],"class_list":["post-29","post","type-post","status-publish","format-standard","hentry","category-edv-probleme","tag-isa","tag-windows"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/peux2-t","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.ewig-drohendes-versagen.de\/index.php?rest_route=\/wp\/v2\/posts\/29","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ewig-drohendes-versagen.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ewig-drohendes-versagen.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ewig-drohendes-versagen.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ewig-drohendes-versagen.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=29"}],"version-history":[{"count":0,"href":"https:\/\/www.ewig-drohendes-versagen.de\/index.php?rest_route=\/wp\/v2\/posts\/29\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.ewig-drohendes-versagen.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=29"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ewig-drohendes-versagen.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=29"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ewig-drohendes-versagen.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=29"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}