Zum Inhalt wechseln


Foto

Kleines LAN ans I-Net anbinden - Hardwarefirewall?


  • Bitte melde dich an um zu Antworten
38 Antworten in diesem Thema

#1 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 11. August 2007 - 13:33

Hallo,

ich möchte gerne das Netzwerk eines kleinen Unternehmens mit 11 Clients (alle XP Pro) und 1 Server( Windows 2000 Server) ans I-Net anbinden.

Auf dem Server läuft eine ERP-Lösung, die mit der Firebird Datenbank arbeitet. Sonst wird nur Microsoft Office 2003 eingesetzt.

Der Chef möchte gerne von zu Hause aus, an seiner Arbeitsstation arbeiten.
Außerdem soll jeder Mitarbeiter eine eigene E-Mail Adresse erhalten. Das Surfen im Internet soll völlig unterbunden werden.

Jetzt stellt sich mir die Frage, nach der Sicherheit. Hierzu würde ich gerne eure Meinungen hören. Im Moment denke ich, dass eine Hardwarefirewall genau das richtige wäre.
Ich habe nur begrenzte Kenntnisse in Sachen Linux, sodass ich etwas selbstgebautes wie IPCOP nicht verwenden möchte.

Aber welche? Ich habe schon ordentlich das Forum durchstöbert.
Ich habe mir bereits den Netgear FVX538, sowie die Cisco PIX 501 etwas näher angesehen.
Preislich wären beide voll im Rahmen des Machbaren. Beide wären in der Lage mittels VPN Client eine Verbindung ins LAN herzustellen. Kann man eine solche Verbindng als sicher bezeichnen? Reicht diese Konstellation aus um das Netz abzusichern oder müssen zwingend weitere Massnahmen ergriffen werden (DMZ, ISA)?
Die Konfiguration des Cisco ist wohl deutlich schwieriger als beim Netgear.

Würde mich freuen wenn ihr mal eure Meinungen posten würdet. Mich würde besonders interessieren ob eine HW-Firewall ausreicht.

Danke im Voraus.

mfg
Alforno

#2 holzingerr

holzingerr

    Registered User

  • 9 Beiträge

 

Geschrieben 11. August 2007 - 14:47

Ich bin der Meinung das hier ne Hardwarefirewall genau das richtige wäre!

Persönlich kann ich Fortinet empfehlen!

Da könntest nach belieben Dienste zulassen oder sperren.
VPN fähig! (per kostenlosem Software VPN cleint kann auch zugegriffen werden)
Virenschutz usw. is auch integriert.

Dein Chef könnte dann per RDP zugreifen!

mfg

#3 Beeboop

Beeboop

    Member

  • 142 Beiträge

 

Geschrieben 11. August 2007 - 19:00

Hallo,
hier meine Meinung dazu:
ich möchte gerne das Netzwerk eines kleinen Unternehmens mit 11 Clients (alle XP Pro) und 1 Server( Windows 2000 Server) ans I-Net anbinden. -> Öffentliche IP besorgen, je nach Anbieter nichts oder bis zu 20 € im Monat.
Warum -> wegen der Firewall und dem Zugriff von extern.

Jeder eine E-Mail Adresse -> ja, aber wie soll sie heißen.
Habt ihr eine Internetdomain?
Wenn ja, dann habt ihr doch eine Domain für die E-Mailadressen.
Wenn nicht, registriert euch eine z.B. bei Strato mit firma.de
Dort könnt ihr dann per Pop3 die E-Mails für jeden Mitarbeiter abrufen.

Oder eigenen Mailserver im Netz.
Exchange? Hmm ist doch wohl dann am Anfang zuviel oder nicht?
Kostenlosen Mailsverver -> Mercury, ist übersichtlicher als Exchange
reicht normal auch aus.

Denn Mailserver so vom Internet erreichbar?
Braucht er nur, wenn er die Mails direkt empfangen soll, wenn er sie wie der Exchange per Pop3-Connector abholt, braucht er das nicht!

Dann Virenschutz im Netzwerke !!!!!!!!!!!!!!!!!!!WICHTIG!!!!!!!!!!!

Chef von zu Hause per VPN-Client, wichtig, damit Verbindung verschlüsselt.
Oder Routing und Ras aktivieren, über die Firewall die Ports freischalten und VPN auf dem Rechner des Chefs einrichten.

Greift er dann per Terminalclient zu oder nur direkt auf die ERP-Lösung, welche ein Frontend hat, das man übers Internet erreicht.

Nicht weil wir sie verkaufen, aber Watchguard Firebox oder Sonicwall TZ 170 mit Useranzahl 20 und dementsprechenden VPN-Clients würde ich empfehlen, kosten so ca. 500 €.

Noch ein Tipp, ich würde auf den W2K3 SBS umsteigen, dort hast du alles incl. Exchange usw. und brauchst nicht noch extra Software kaufen.

Dort bei Routing und Ras aufpassen, google mal nach nat.sys, Böse Falle.
Bis denn
Wolfgang

Ana bahdde kahua macha lib

#4 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.221 Beiträge

 

Geschrieben 11. August 2007 - 19:20

Hast du dir dazu schon mal den SBS Server angesehen. der kann alle deine Probleme, inklusive Firewall (per ISA Server) adressieren.
Wenn du auf einer Hardwarefirewall bestehst (was ich nachvollziehen kann) würde ich dir eine Netscreen/Juniper empfehlen. das sind gute Appliances für kleines Geld.
Never argue with an idíot, they drag you down to their level and beat you with experience!

#5 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 11. August 2007 - 22:26

Hallo,

ich danke euch für die Antworten. Also eine Internetdomain ist vorhanden und ebenfalls ein DSL-Anschluss mit fester IP.

Ich denke auch das ein SBS genau das richtige wäre. Kann mir jemand zu den Kosten eine Hausnummer nennen? Ich möchte gerne auf eine Hardwarefirewall setzen, weil ich denke, das eben auch der ISA nur was taugt, wenn er richtig konfiguriert ist. Sicherlich gilt das gleiche auch für die HW-Firewall aber die Einrichtung eines ISA traue ich mir zur Zeit nicht zu. Zumindest nicht wenn ich weiterhin ruhig schlafen möchte.

Mich würde aber weiterhin interessieren, ob die Absicherung durch eine HW-Firewall ausreicht.

Also:
Internet------>HW-Firewall------>Switch-----Server+Clients

Leider hat niemand etwas zu den von mir favorisierten HW geschrieben.
Muss ich daraus schließen, das die nichts taugen?

Greift er dann per Terminalclient zu oder nur direkt auf die ERP-Lösung, welche ein Frontend hat, das man übers Internet erreicht.
Wie meinst du das? Ich stelle mir das so vor, das der Chef sich von seinem privat Client per VPN Client ins Netz einwählt und dann an seinem standardmäßigen Desktop arbeiten kann, als würde er an seinem Schreibtisch sitzen.
Macht man das dann per Remotedesktop? Alternativen?

Würde mich freuen wenn ihr euch nochmal zu Wort melden würdet.

mfg
Alforno

#6 Beeboop

Beeboop

    Member

  • 142 Beiträge

 

Geschrieben 11. August 2007 - 23:00

Hallo,
Kosten SBS ca. 400 € ohne Steuer
Kommen dann noch 10 CAL hinzu -> keine Ahnung
Warum 10 CAL?
11 User -> 5 sind beim Server dabei, 6 bleiben über, es gibt aber nur 5er Pakete.

Die Firewall scheint in Ordnung zu sein, es geht dabei auch um die Einrichtung; wir verkaufen andere; will hier keine Werbung machen!
Cisco ist zum umständlich.

RDP auf dem SBS geht nur 2x!
Den kannst du nur im Verwaltungsmodus fahren, da sind nicht mehr als 2 User/Administratoren zugelassen.

Terminalclient/RDP per VPN?
Ja, dann ist die Verbindung verschlüsselt.

Ich meinte damit, das z.B. die ERP Lösung per Webbrowser erreichbar ist, dann würde ich VPN einrichten und zu Hause greift der Chef per Browser über die VPN-Verbindung dann darauf zu.
Bis denn
Wolfgang

Ana bahdde kahua macha lib

#7 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 11. August 2007 - 23:15

@beeboop

danke für die schnelle Anwort.

Es gibt für die ERP auch ein Modul, welches mir das bedienen über den Browser ermöglicht, dieses müsste aber vorher erworben werden. Leider sind die Kosten ziemlich heftig, sodass ich nicht denke das in naher Zukunft durchzukriegen.

Was meinst du damit: Terminalclient/RDP per VPN?
Das ist mir nicht klar, das Wort Terminalclient macht mich etwas stutzig. Ich möchte keinen TS aufsetzen.

Ich dachte ich stelle eine vpn Verbindung her und erhalte dann aus meinem LAN eine IP, also so als würde ich direkt im LAN hängen. Jetzt stellt sich mir aber die Frage wie ich nun an meinen Desktop komme. Kann ich dann trotz der bestehenden VPN Verbindung eine Remotedesktopverbindung auf den Client des Chef starten?

Das habe ich noch nicht so ganz verstanden. Es ist doch wichtig, dass die Verbindung verschlüsselt ist, oder nicht.

Meinst du also das der Netgear für meine Bedürfnisse ausreichend ist? Ich denke einfach das ich solch ein Gerät besser konfigurieren kann als beispielsweise einen ISA oder eine Linux Kiste.

Freue mich auf konstruktive Antworten.

mfg
Alforno

#8 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.221 Beiträge

 

Geschrieben 12. August 2007 - 05:54

11 User -> 5 sind beim Server dabei, 6 bleiben über, es gibt aber nur 5er Pakete.


Das ist so nicht richtig! in Volumenlizenzverträgen (open) können die CALs in beliebigen Stückzahlen gekauft werden.

RDP auf dem SBS geht nur 2x!
Den kannst du nur im Verwaltungsmodus fahren, da sind nicht mehr als 2 User/Administratoren zugelassen.


Das was du hier machst ist ein Aufruf zum Lizenzversto?. Die beiden RDP Zugriffe beim SBS sind AUSSCHLIE?LICH für administrativr Zwecke zugelassen! Dass der Chef arbeiten kann hat nichts mit Administration zu tun.

Wenn RDP zum Arbeiten genutzt werden soll mus ein weiterer Server als TS her!
Never argue with an idíot, they drag you down to their level and beat you with experience!

#9 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 12. August 2007 - 07:43

Da tun sich ja jetzt ganz neue Probleme auf. Wenn ich dich richtig verstehe, ist ein TS zwingend erforderlich um a) remote zu arbeiten und B) die Lizenzrechte nicht zu verletzen?
Also einen TS möchte ich nicht aufsetzen, erstens habe ich davon keine Ahnung und zweitens ist die Hardware dafür wohl auch ne Nummer zu schwach.

Kann mir denn trotzdem nochmal jemand bestätigen oder eben nicht, dass die Idee mit der Hardwarefirewall als sinnige Lösung für diese Konfiguration anzusehen ist.

Ich habe hier noch einen SMC 7004abr stehen, der derzeit die Internetverbindung aufbaut, da sind vier Laptops angebunden, damit die Mitarbeiter ihre E-Mails abrufen können.

Könnte man den vielleicht noch sinnvoll in meine angedachte Konfiguration integrieren, Stichwort DMZ. Ist das sinnvoll oder schwachsinnig.
Kann man beide Router auch hintereinander betreieben, bringt das eine erhöhten Sicherheitsfaktor oder auch ne Schnapsidee.


Freue mich auf Antworten.

mfg
Alforno

#10 Beeboop

Beeboop

    Member

  • 142 Beiträge

 

Geschrieben 12. August 2007 - 23:10

Hallo,
ja Hardwarefirewall ist immer gut. Welche du nimmst, liegt an dir selber, du hast ja schon eine, warum also eine kaufen, außer du kommt mit der nicht klar.

@Dr. Melzer
Danke für die Infos, man lernt nie aus deshalb lese ich ja hier und versuche Fragen zu beantworten.

Warum aber erst nachdem der Fehler gemacht wurde und nicht vorher, die Frage war doch klar formuliert?
Bis denn
Wolfgang

Ana bahdde kahua macha lib

#11 Beeboop

Beeboop

    Member

  • 142 Beiträge

 

Geschrieben 12. August 2007 - 23:15

Hallo,
da Dr. Melzer ja gesagt hat, du müßtest ein Terminalserver haben, hat sich das Argument : Es gibt für die ERP auch ein Modul, welches mir das bedienen über den Browser ermöglicht, dieses müsste aber vorher erworben werden. Leider sind die Kosten ziemlich heftig, sodass ich nicht denke das in naher Zukunft durchzukriegen. -> doch wohl in Luft aufgelöst.
Dein Chef will arbeiten, aber bitte kein Geld ausgeben!
Es ist doch so, das dein Chef damit arbeiten will, also soll er es doch auch bezahlen, entweder Terminalserver; ist gar nicht so schwer; oder das Webfrontend.
Bis denn
Wolfgang

Ana bahdde kahua macha lib

#12 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 13. August 2007 - 06:42

Hallo,

der SMC ist bereits im Einsatz, ich denke aber nicht das der ausreicht um das Netz effektiv zu schützen. Der SMC unterstützt zwar VPN Passtrough aber dann müsste ich den VPN auf dem Server aufsetzen und der Server würde mit einem Bein im Netz hängen.

Da ist mir dann eine Lösung mit HW-Firewall die auch als VPN Endpunkt dient lieber.

Kann der Chef denn jetzt per rdp arbeiten ohne das ich nen ts aufsetze und mir teure ts-cals zulege? Habe ich das richtig verstanden, dass er dann als Admin im Netz unterwegs wäre? Das möchte ich auf keinen Fall, der ist nämlich etwas 'experimentierfreudig' ohne Rücksicht auf Verluste.

Kann jemand nochmal was zu meiner Idee sagen, die zwei Router hintereinander zu schalten.
I-Net---->SMC--->FVX538---->Switch-->Server+Clients
Erhöht man damit die Sicherheit oder ist das völliger Schwachsinn?

Würde mich freuen, wenn ihr mir bei meinen Fragen nochmal etwas unter die Arme greift.

Danke im Voraus.

mfg
Alforno

#13 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 13. August 2007 - 07:54

Hi,

also zu dem Aufbau von Firewalls inkl. DMZ habe ich hier schon mal was geschrieben: Windows Server How-To Guides: Firewall Szenarien - ServerHowTo.de (eher allgemein - aber gut als Grundlage). Welchen Aufbau man wählt ist immer eine Frage der zu schützenden Daten. Wenn euer Unternehmen an der IT "hängt" dann sollte man beim Aufbau von externen Verbindungen sicher stellen, dass die VPN Verbindung in einer RAS DMZ terminiert wird. Mailserver die durch einen MX Eintrag direkt extern erreichbar sind gehören in eine weitere (wohlgemerkt richtige) DMZ.

Zu dem Thema RDP: Es ist nur erlaubt die RDP Verbindungen des Clients und des Servers für Administrative Zwecke zu verwenden. Das benutzen einer Anwendung zählt da sicherlich nicht dazu!

Neben der RDP over VPN Lösung könntest du als kostengünstige alternative deinem Chef die notwendige Clientsoftware auf seinem privaten Rechner installieren dann kann er diese über VPN ganz normal verwenden als wäre er im office. Eine weitere Möglichkeit wäre es deinem Chefe einen Laptop zu geben. Mit diesem könnte er dann ebenfalls über VPN ganz normal arbeiten.

Allgemein: Firewalls sollte man nur dann konfigurieren wenn man das auch kann! Wenn du das noch nicht gemacht hast, dann würde ich dir empfehlen zuerst eine entsprechende Schulung zu besuchen oder einen externen zur Hilfe zu rufen. Dieser könnte dich ggf. auch bei der Auswahl der "richtigen" Hardware unterstützen...

Gruß

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#14 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 13. August 2007 - 08:39

@Johannes

Danke für die schnelle Antwort.

Du schreibst:
dass die VPN Verbindung in einer RAS DMZ terminiert wird
Kannst du das etwas detaillierter beschreiben? Ist mir nicht klar, wie muss ich mir das vorstelllen?

Ich denke ich installiere auf dem Privat Rechner ne zweite XP Version aussschließlich zum Arbeiten im Firmennetz. VPN Verbindung und dann die Clientsoftware der ERP Lösung installieren, dann sollte das klappen.

Die Fernwartung kann ich dann per RDP machen.
Damit wäre das Thema TS vorerst auf Eis.

Deine Aussage mit dem Router kann ich nachvollziehen. Das ist ja auch der Grund warum ich gerne eine HW-Firewall einsetzen möchte. Ich habe mir gestern mal das Handbuch des FVX538 durchgelesen. An der ein oder anderen Stelle müsste ich mir sicherlich nochmal Rat holen aber im Großen und Ganzen denke ich, dass ich das hinbekomme.

Vielleicht hilft da ja auch der ein oder andere aus dem Forum.

Ich bin mir nur einfach unsicher, ob ich, für meine Bedürfnisse die richtige Firewall wähle.
Ich möchte im LAN vorerst das surfen völlig unterbinden. Gerne würde ich aber Mailverkehr zulassen.

Ich wäre ja nicht der Erste der auf diese Weise sein Firmennetz ans I-Net anbinden möchte. Aber ruhig schlafen möchte ich weiterhin.

mfg
Alforno

#15 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 13. August 2007 - 08:50

@Johannes

Danke für die schnelle Antwort.

Du schreibst:
dass die VPN Verbindung in einer RAS DMZ terminiert wird
Kannst du das etwas detaillierter beschreiben? Ist mir nicht klar, wie muss ich mir das vorstelllen?


Hi,

hab leider gerade kein Visio da, sonst hätte ich es dir schnell aufgezeichnet... ;)

Die Aufgabe einer DMZ ist i. d. R. eine Verbindung von aussen (via Firewall) entgegen zu nehmen, zu terminieren und in Richtung des LAN (via Firewall) neu aufzubauen. Die Server sollten dafür BTW natürlich auch dual homed sein sprich eine NIC für die Firwall nach aussen und eine NIC für die Firewall nach innen...

... schau dir mal das oben verlinkte HowTo an - da sollten einige Fragen geklärt werden.

Gruß

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!