Zum Inhalt wechseln


Foto

Kleines LAN ans I-Net anbinden - Hardwarefirewall?


  • Bitte melde dich an um zu Antworten
38 Antworten in diesem Thema

#16 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 13. August 2007 - 09:00

Danke.

Ja habe ich mir angesehen.

Jetzt stellt sich mir aber die Frage was soll ich in die DMZ hängen? Den ganzen Server und die Clients dann hinter den zweiten Router?
Gehen wir mal davon aus ich entscheide mich für den SBS. Würde man den dann in die DMZ setzen? Damit würde sich die Sicherheit doch nur für die Clients erhöhen oder verstehe ich das falsch?

Oder würde dann der Router als VPN Endpunkt entfallen und ich nehme die Boardmittel vom 2003 Server?

Wenn ich mir dein HowTo ansehe, dann würde ich mit meiner angedachten Konfiguration wohl nicht über Szenario 1 hinaus kommen. Nen Webserver brauchen wir nicht.
Also doch ne DMZ?

Ruhig schlafen möchte ich schon gerne.

Schöne Grüße
Alforno

#17 Frederik

Frederik

    Member

  • 156 Beiträge

 

Geschrieben 13. August 2007 - 09:12

Auf jedenfall solltest du nen W2k3SBS dort migrieren!
Da hast du denn wie schon gesagt alle nötigen Windows Produkte integriert (Exchange bei der Basic und mit MS SQL Server bei Premium) Um die 10 cals kommst du leider nicht drum rum wenn du dich für SBS Lösung entscheidest.

Zusätzlich kann ich dir eine gute UTM/Firewall von Draytek ans Herz legen! Ich spreche hier von einem neuen Produkt der Firma Draytek der neue UTM nennt sich 5300 und bietet genau das was du sichst.

Er soll 50-100 VPN Tunnel haben.
Hatt eine gute Firewall integriert.
Bietet otf Anti-Viren und Anti-Spam schutz E-Mail und Inet traffic.
du kannst auch den I-net zugang begrenzen. Bis auf den Server, damit du E-Mails empfangen kannst.


Des weiteren würde ich vorschlagen normale Pop Postfächer für den Kunden bereit zu stellen und diese dann mit dem Tool POPCON abzurufen. Den Exchange PopConnector kann ich nicht empfehlen! Dieser ruft nur min. im 15 Munten Intervall ab.

Also Clients + Server --->Switch--->Draytek 5300.

Dann sollte es alles laufen und das Netz ist sicher!

Gruss Frederik
MCP, MCDST, MCSA

Das Gehirn einer Computers sitzt ca. 70 cm vor dem Bildeschirm :D

#18 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 13. August 2007 - 09:14

Hi,

die wirklichen Profiszenarien kannst du nur mit entsprechendem Hardwareaufwand zur Verfügung stellen. Da du offensichtlich nur einen Server zur Verfügung hast wird dir wohl nichts anderes übrig bleiben als Szenario 1 zu wählen. In die DMZ darf dein Server in diesem Fall auf keinen Fall - sonst steht er bei SoHo Firewalls ungeschützt dort herum.

Ein pragmatischer Aufbau wäre wohl eine richitge Firwall anzuschaffen (welches Modell auch immer) welche direkt als VPN Endpunkt fungieren kann. Der Server dahinter (vermutlich DC, Fileserver etc) bekommt zusätzlich noch einen Exchange welcher über den pop3 Connector eMails von eurem provider abholt. Damit wird keine direkte Verbindung von der Firewall auf den Server weiter geleitet... Da ich Auditor im Bankenumfeld bin dreht sich mir dabei zwar immer noch der Magen um, aber für "normale" Unternehmen reicht das vermutlich an Sicherheit aus ;-)

Viele Grüße

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#19 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 13. August 2007 - 09:42

Danke euch beiden für die Antworten.

@frederik
ich habe gerade nach dem vigor 5300 gegoogelt aber nicht wirklich was passendes gefunden. Meinst du vielleicht den vigor pro 5500? Der spielt aber preislich auch in einer anderen Liga als der FVX538 oder Cisco PIX.

Bei dem SMC den wir hier haben, kann ich nur die Firewall ein- oder ausschalten. Sonst lassen sich wohl keine Regeln erstellen:D

Bei dem FVX und der Cisco sieht das ja schon anders aus.
Was unterscheidet denn nun diese Typen voneinander bezogen auf die Sicherheit?

Nehmen wir mal an ich unterbinde Internet und Mail Vekehr fürs Erste und richte lediglich den VPN Server auf meiner HW-Firewall als Endpunkt ein.

Was wäre daran dann unsicher oder ein Sicherheitsrisiko?

mfg
Alforno

#20 Frederik

Frederik

    Member

  • 156 Beiträge

 

Geschrieben 13. August 2007 - 12:34

Danke euch beiden für die Antworten.

@frederik
ich habe gerade nach dem vigor 5300 gegoogelt aber nicht wirklich was passendes gefunden. Meinst du vielleicht den vigor pro 5500? Der spielt aber preislich auch in einer anderen Liga als der FVX538 oder Cisco PIX.


Nein ich meine tatsächlich den 5300. Das ist die abgespeckte Version des 5500 und liegt Preislich bei ca. 160 Euro + Mwst.

Ich werd mich mal mit Draytek in Verbindung setzten und dir dann Infos zukommen lassen.

Gruss Frederik
MCP, MCDST, MCSA

Das Gehirn einer Computers sitzt ca. 70 cm vor dem Bildeschirm :D

#21 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 13. August 2007 - 17:14

@frederik
Danke für deine Mühe.

Wie gesagt den 5300 finde ich nirgends, weder bei google noch auf der Herstellerseite.
Der Draytek hat aber keinen zusätzlichen VPN Client. Das heißt man kann die Windows Bordmittel verwenden, um eine VPN Verbindung herzustellen.

Preislich ist das ja völlig im rahmen, taugt die denn auch was? ;)

mfg
Alforno

#22 Frederik

Frederik

    Member

  • 156 Beiträge

 

Geschrieben 13. August 2007 - 18:01

Du kannst die Draytek entweder mit IPSec VPN Client oder mit den Windows Mitteiln nutzen. Alles eine Einstellungssache!

Ich habe heute leider keinen mehr bei Draytek erreicht. Versuche es morgen nochmal um die Infos zu bekommen.
MCP, MCDST, MCSA

Das Gehirn einer Computers sitzt ca. 70 cm vor dem Bildeschirm :D

#23 franky Z

franky Z

    Newbie

  • 29 Beiträge

 

Geschrieben 14. August 2007 - 12:28

Jetzt stellt sich mir die Frage, nach der Sicherheit. Hierzu würde ich gerne eure Meinungen hören. Im Moment denke ich, dass eine Hardwarefirewall genau das richtige wäre.
Ich habe nur begrenzte Kenntnisse in Sachen Linux, sodass ich etwas selbstgebautes wie IPCOP nicht verwenden möchte.

Auch wenn du das bereits ausgeschlossen hast, für IPCOP benötigst du NULL Linux Kenntnisse, die Konfiguration/Überwachung funktioniert ausschliesslich über das grafische Webinterface. Die Installation läuft auch über eine grafische Oberfläche und geht supereinfach. An der Kommandozeile muss man NICHTS machen. Mit dem BlockOutTraffic Add-On kannst du auch alle ausgehenden Verbindungen blocken und nur explizite Verbindungen nach draussen zulassen. Alles übersichtlich und einfach, kann mir nicht vorstellen, dass eine gekaufte Firewall einfacher zu konfigurieren ist.

#24 franky Z

franky Z

    Newbie

  • 29 Beiträge

 

Geschrieben 14. August 2007 - 12:46

Ich stelle mir das so vor, das der Chef sich von seinem privat Client per VPN Client ins Netz einwählt und dann an seinem standardmäßigen Desktop arbeiten kann, als würde er an seinem Schreibtisch sitzen.
Macht man das dann per Remotedesktop? Alternativen?

Ich komme darauf nochmal zurück weil das ein bisschen untergegangen ist denke ich. Das ist problemlos möglich und ist keine Lizenzverletzung, weil die Terminalsitzung ja nicht zum Server sondern direkt zum Client geht. TS-Lizenzen braucht man dafür nicht.

#25 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 14. August 2007 - 16:50

@franky Z

Klingt ja ziemlich interessant. Wleche Anforderunge an die Hardware? Ich hab hier noch nen Haufen alter Kisten stehen. Kannst mir nochmal nen Tipp geben, wo ich mich informieren kann. Welche Distribution soll ich denn nehmen? Suse?

Kann ich mich denn auch mit Windows Boardmitteln mit dem Teil verbinden?

Nen Versuch ist es ja Wert.

Danke.

mfg
Alforno

#26 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 14. August 2007 - 17:03

Ich komme darauf nochmal zurück weil das ein bisschen untergegangen ist denke ich. Das ist problemlos möglich und ist keine Lizenzverletzung, weil die Terminalsitzung ja nicht zum Server sondern direkt zum Client geht. TS-Lizenzen braucht man dafür nicht.


Hi,

das ist leider falsch. Die RDP Sessions bei Windows dürfen nur zu Support und Administration verwendet werden.

Gruß

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#27 Alforno

Alforno

    Member

  • 153 Beiträge

 

Geschrieben 14. August 2007 - 17:48

Ich wollte es sowieso so machen, dass er auf seinem privat Rechner auf dem desktop einfach eine Verknüpfung bekommt, mit der sich die ERP-Software starten lässt.

Wenn er sich zusätzlich noch an die Domäne anmelden soll, dann mache ich das direkt im Anmeldebildschirm über dfü? Ist das korrekt? Dann bekommt der Rechner ne IP aus dem lokalen Firmennetz und verhält sich somit als würde er direkt am Switch im Büro hängen? Habe ich das so richtig verstanden.

Danke euch für eure Mühe.

mfg
Alforno

#28 franky Z

franky Z

    Newbie

  • 29 Beiträge

 

Geschrieben 14. August 2007 - 17:51

Hi,

das ist leider falsch. Die RDP Sessions bei Windows dürfen nur zu Support und Administration verwendet werden.

Gruß

So, hast du dafür auch eine Quelle? In der Hilfe zu Remotedesktop heißt es:

Übersicht über Remotedesktop
Remotedesktop unter Windows XP Professional ermöglicht Ihnen den Zugriff auf eine Windows-Sitzung, die auf Ihrem Computer ausgeführt wird, während Sie an einem anderen Computer arbeiten. Das bedeutet beispielsweise, dass Sie von zu Hause aus eine Verbindung zum Computer an Ihrer Arbeitsstelle herstellen können. Dadurch erhalten Sie Zugriff auf alle Anwendungen, Dateien und Netzwerkressourcen, so als ob Sie sich an Ihrem Computer im Büro befänden. Sie können an Ihrer Arbeitsstelle Programme geöffnet lassen. Wenn Sie nach Hause kommen, wird Ihr Desktop der Arbeitsstelle auf Ihrem Computer zu Hause angezeigt, und dieselben Programme sind geöffnet.

und weiter:

Remotedesktop ermöglicht eine Reihe von Szenarios, wie die Folgenden:

Arbeiten zu Hause - Zugriff auf laufende Arbeiten auf Ihrem Computer im Büro von zu Hause aus, einschließlich uneingeschränktem Zugriff auf alle lokalen Geräte und alle Remotegeräte.
Zusammenarbeit - Nehmen Sie Ihren Desktop mit ins Büro eines Kollegen, um Code zu debuggen, eine Microsoft PowerPoint-Diapräsentation zu aktualisieren, oder die Rechtschreibung eines Dokuments zu überprüfen.

Von "nur zu Support und Administration" kann ich da nichts finden.

#29 franky Z

franky Z

    Newbie

  • 29 Beiträge

 

Geschrieben 14. August 2007 - 18:23

Klingt ja ziemlich interessant. Wleche Anforderunge an die Hardware? Ich hab hier noch nen Haufen alter Kisten stehen. Kannst mir nochmal nen Tipp geben, wo ich mich informieren kann. Welche Distribution soll ich denn nehmen? Suse?
Kann ich mich denn auch mit Windows Boardmitteln mit dem Teil verbinden?

Homepage: IPCop.org :: The bad packets stop here!
Eine Linux-Distribution braucht man dafür nicht, ist alles komplett. Du kannst dir unter Downloads die Datei "ipcop-1.4.16-install-cd.i386.iso" downladen, dann z.B. mit Nero ("Image brennen") das Image auf CD brennen. Dann einfach von der CD booten und den Installations-Anweisungen folgen.
Unter "Documentation" findest du eigentlich alles, auch eine "Quick Start Guide". Ich würde einen alten PC ab 400MHz nehmen und eine Platte mit ca 20GB, es reicht aber auch weniger, und ja, die Konfiguration geht dann über Browser von Windows aus wie bei einem SOHO-Router. Tastatur und Monitor brauchst du an dem FW-Rechner nur bei der ersten Installation. Die Add-Ons werden auch über Browser installiert, wenn du ausgehende Verbindungen einschränken willst, brauchst du das BlockOutTraffic Add-On.

#30 franky Z

franky Z

    Newbie

  • 29 Beiträge

 

Geschrieben 14. August 2007 - 19:04

Ich wollte es sowieso so machen, dass er auf seinem privat Rechner auf dem desktop einfach eine Verknüpfung bekommt, mit der sich die ERP-Software starten lässt.

Wenn die Anwendung nur wenig Traffic benötigt geht das.

Wenn er sich zusätzlich noch an die Domäne anmelden soll, dann mache ich das direkt im Anmeldebildschirm über dfü? Ist das korrekt? Dann bekommt der Rechner ne IP aus dem lokalen Firmennetz und verhält sich somit als würde er direkt am Switch im Büro hängen?

Die IP aus dem Firmennetz bekommt er bei VPN immer (physikalische Verbindung). Mit der DFÜ-Option kann man sich dann direkt an der Domäne anmelden (logische Anmeldung, ist meistens nicht nötig). Wie du schon beschreibst, verhält sich der Client so als wenn er direkt am Switch hängen würde wenn der VPN-Endpunkt sich im Firmennetz befindet. Weil das natürlich ein gewisses Risiko ist, hat Johannes vorgeschlagen, die VPN Verbindung in einer RAS DMZ enden zu lassen (ausserhalb des Firmennetzwerks) und von da aus z.B. nur bestimmte Ports in das Firmennetzwerk freizuschalten. Konsequenterweise darf man dann aber auch keine Notebooks einfach ans Firmennetz anstöpseln, wenn sie von ausserhalb zurückkommen. Ich würde die erste Option nehmen (direkt ins Netz) und VPN mit Windows-Bordmitteln machen, allerdings sollten die Passwörter regelmässig geändert werden und einigermassen sicher sein, ausserdem sollte die Antivirussoftware auf den Clients die sich verbinden regelmässig gecheckt werden.

Grüße,
Frank