Saturday, April 7, 2007

Firewall configureren voor SBS 2003

Als je Small Business Server koopt in de Premium versie dan krijg je ook ISA 2004, een gebruiksvriendelijke proxyserver en firewall. Wanneer je server voorzien is van twee netwerkkaarten profiteer je van de integratie van de onderdelen van SBS 2003, dat zie je aan alle firewallrules die de verschillende wizards al voor je hebben aangemaakt.

Toch zie je in de praktijk vaak een ander scenario: een server met 1 NIC en een modem/firewall die voor de internetverbinding zorgt. Wanneer je nu de Configure E-mail and Internet Connection-wizard (CEICW) draait dan wordt je er op gewezen dat je de router of firewall moet configureren. Dit houdt in dat je bepaalde poorten moet openen om inkomend verkeer naar de server toe te staan. Dit heet portforwarding, meer info over dit onderwerk vind je hier of hier.

Wanneer je router of firewall het UPnP protocol ondersteunt kun je dit ook door SBS laten doen, maar dat raad ik af. Hier kom ik nog op terug. Welke poorten heb je nu nodig en welke kun je dicht laten? Een overzicht per poort:

E-mail: TCP 25
Poort 25 wordt gebruikt om mail te ontvangen per SMTP. Wanneer je voor het ophalen van mail uitsluitend POP gebruikt hoef je deze poort niet te forwarden.

Webserver: TCP 80 en 443
Poort 80 is HTTP verkeer en poort 443 voor HTTPS, versleuteld verkeer wat gebruik maakt van SSL. Deze poorten heb je nodig voor de volgende diensten:
Outlook Web Access, om je mailbox te benaderen van buiten, kan alleen over HTTPS
Server performance and usage reports, uitgebreide informatie over de status en het gebruik van de server, kan over HTTP of HTTPS
Business Website (wwwroot), om de interne website ook beschikbaar te maken van buiten
Outlook over HTTP(S), het alternatief voor OWA: gebruik de volledige versie van Outlook over HTTP of het versleutelde HTTPS.

Sharepoint: TCP 444
Poort 444 wordt gebruikt voor versleuteld, HTTPS verkeer naar de interne Windows Sharepoint Services site. Ook sites die je hebt aangemaakt onder Companyweb worden zo beschikbaar van buitenaf.

Remote Web Workplace: TCP 4125 en 443
Met RWW kun je onder andere OWA benaderen, je eigen werkplek overnemen met RDP, de Sharepoint-site gebruiken en de Connection Manager dowloaden.

VPN: TCP 1723
Deze poort is nodig om inkomende VPN-verbindingen toe te staan.

Terminal Services: TCP 3389
Is nodig wanneer je het bureablad van de server over wilt nemen via RDP. Let op: normaal gesproken is dit niet nodig en kun je 3389 gewoon dicht laten staan. Gebruik liever Remote Web Workplace.

FTP: 21
Om je server ook ftp te laten aanbieden moet je dit eerst installeren, in de praktijk zal dat niet zo vaak voorkomen.

Zoals ik al zei kun je de configuratie ook aan CEICW overlaten, er zijn twee redenen om dit niet te doen. Ten eerste is het belangrijk om goed te begrijpen hoe je firewall geconfigureerd is, je doet dit namelijk niet elke dag en wilt graag zeker weten dat het veilig is. Ten tweede zet de CEICW standaard ook poort 21 en 80 open, in de praktijk is dit maar zelden nodig en veel veiliger om ze dicht te laten staan.

Wanneer je nu toch de CEICW gebruikt om de firewall te laten configureren, log dan nadien in op de beheerpagina van de firewall en controleer de instellingen.

Succes!

No comments: