pete.db

Hallo nochmal, kann mir ggf. jemand eine Hardwareempfehlung für ein Layer 3 Switch geben? Ein Cisco muss es ja nicht unbedingt sein... thx vorab

Hallo. Wäre hier nicht das beste, neben den vorhandenen Netzen ein neues, vernünftiges Netz aufzubauen und die Systeme nach und nach in das neue Netz zu migrieren? Oder ist das generell nicht möglich? Wozu laufen denn die zweiten PCs bei den 10 Mitarbeitern? Im Zweifel würde ich jedem MA einen Haupt-PC hinstellen und die weiteren Systeme in virtuellen Maschinen auf den Haupt-PCs abbilden (VMware Server und VMware Converter macht im null komma nix aus den Systemen vernünftige VMs...und das kostenlos). Grüße pete

Servus! Schau mal hier: http://www.mcseboard.de/off-topic-18/linux-firewall-virenscanner-spamfilter-76781.html IPCop haben wir auch als quasi Failover im Einsatz. Kann ne Menge und in Verbindung mit dem Copfilter hört sich das schon recht gut an. Den Copfilter habe ich allerdings noch nciht im Einsatz gesehen. IPCop jedenfalls lässt sich sehr einfach einrichten und komfortabel administrieren. Probier es einfach mal aus. Mit smoothwall und endian hab ich keine Erfahrung. Alternative zu IPCop kann m0n0wall sein. Grüße pete – Noch was vergessen: Den Mailserver würde ich separat laufen lassen. Hat auf so einem System eigentlich nichts zu suchen... so long...

Hallo, habe euch ein Bild beigelegt. Das System mit den drei roten Fragezeichen ist das, um das es sich hier dreht. Inzwischen tendiere ich schon sehr zu einem L3-Switch. Habt ihr zusätzlich ggf. noch Empfehlungen für die Paketfilter? PS: der Großteil der von außen erreichbaren Server steht in der DMZ. Dort bieten wir DNS, Mail, WWW, FTP nach außen an. Zusätzlich noch OWA und Sharepoint vom internen Netz, bald dann wohl auch noch Terminal Services. Grüße

Hallo, danke euch erst mal für eure Antworten. - unsere Switches können kein Layer 3. Leider. Dies wäre aber sicher nicht schlecht für den Einsatz. Alles, was dann noch in Sachen Firewall-Funktionalitäten benötigt wird, könnte man ja noch dahinter in Richtung DMZ setzen (Bsp. Proxy o.ä.) - IPCop & m0n0wall: schade. Gibt es hier nciht vielleicht auch eine Art Live-System, welches auf diesen zweck ausgerichtet ist? Wäre doch nicht so verkehrt. kann aber wahrscheinlich eh jedes Knoppix. Müsste ja nur Routing & vielleciht Paketfilterung sein. PS: habe gar nicht beschrieben, an welchem Punkt das System eingesetzt werden soll. Also, ich möchte vom Internet aus eine zweistufige DMZ haben. Dort drin soll ein ISA Server stehen (wegen proxy, Terminalserver Gateway, Weiterleitung für Exchange & Sharepoint etc). Dahinter möchte ich das besagte System stellen, um von da aus mit verschiedenen Netzen arbeiten zu können. Dieses System könnte ja eigentlich somit auch die zweite Firewall in der zweistufigen DMZ sein, oder was denkt ihr? Grüße pete

Hallo, ich möchte unser Netz in ein paar Subnetze unterteilen, z.B. für die Aufteilung in Buchhaltung, Entwicklung, Test etc. Dazu suche ich ein System, welches diese Netze voneinander trennt und verbindet ;). Habe an so etwas wie m0n0wall oder ipcop gedacht. Meine Frage dazu: Was für ein System würdet ihr mir empfehlen? Ich möchte nicht unbedingt viel Geld für eine Cisco oder ähnliches ausgeben. Stelle mir eher einen "normalen Server" mit min. 4 NICs vor und einem entsprechenden System drauf. Wie würdet ihr so was realisieren? Stichworte VLANs, Layer3 Switch etc. Bin für jede Hilfe dankbar... pete

Hallo Mr. Oizo, bin momentan noch im Urlaub, daher die lange Reaktionszeit ;). Jedenfalls erstmal vielen Dank für deinen Post und deine Mühe...ich werde es in der nächsten Woche gleich mal ausprobieren und dann berichten. Danke dir... Pete

Hmm, scheint wohl irgendwie auch nicht einleuchtender zu sein als mein erster Post :( Könnt ihr mir alternativ verraten wie ihr die Kommunikation zwischen den interfaces regelt? Ich habe ein extern, ein intern und eine dmz. nat von intern nach extern, von intern in die dmz und von der dmz nach extern. dann statics von extern nach intern, von extern in die dmz und von der dmz nach intern...

Hallo zusammen, da mein letzter Post anscheinend etwas unklar ausgedrückt war, versuche ich hier noch mal eine andere Problembeschreibung, diesmal mit Config im Gepäck. Ich muss an meiner ASA5510 Sec+ einem Server in der DMZ Zugriff aiuf einen Server im internen Netz geben. Mit der beiliegenden Config läuft Verkehr von der dmz in das interne Netz nur wenn ich ACL (CRYPTOACL) vom nat0-Statement am internen Netz (nat (intern) 0 access-list CRYPTOACL) um folgendes erweitere: ACL*1 access-list CRYPTOACL permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 Erst dann läuft überhaupt irgendwelcher Verkehr von der DMZ in das interne Netz. Wenn ich das weglasse, egal wo ich statics und acls setze, läuft nichts von der dmz nach intern. Die erste Frage wäre also, wieso muss ich das hier platzieren und geht das auch anders? Das nat 0 -Statement ist doch eigentlich nur für das VPN. Wenn ich den o.g. Eintrag setze, ist allerdings jeglicher Verkehr von der dmz in das interne Netz freigegeben. Daher habe ich die unten folgende ACL auf "in interface dmz gebunden". ACL*2 access-list DMZ permit ip host 192.168.2.10 host 192.168.1.25 Damit habe ich den verkehr von der dmz in das interne Netz soweit eingeschränkt, dass nur der dmz-Server 192.168.2.10 auf den internen Server 192.-168.1.25 zugreifen kann. Jedoch kann dann kein Server in der dmz mehr ins Internet. Das funktioniert nur wenn ich die acl um folgendes erweitere: ACL*3 access-list DMZ permit ip any any ...was ja mal nicht wirklich Sicherheit verspricht. Meine Fragen wären: 1: Wieso läuft der Verkehr zwischen dmz und internem Netz nur wenn ich das ACL*1 setze? Das nat 0 -Statement ist doch eigentlich nur für das VPN 2: Wenn ich das machen muss, wieso haben meine dmz Server nach der ACL*2 keinen Zugriff mehr auf das Internet und wie kann ich das beheben ohne ACL*3 zu setzen? 3: Mache ich in der config mit den nat-statements oder Bindungen der ACLs generell irgendwas verkehrt? Danke euch schon mal... Verzweiflung@pete.de PS:192.168.1.0/24 -> internes Netz 192.168.2.0/24 -> dmz 192.168.110.0/24 -> über VPN verbundes internes netz am anderen Standort config-forum.TXT

Hmm, vielleicht habe ich mich zu kompliziert/zu **** ausgedrückt?! Eigentlich ging es um zwei Fragen: 1: Ist die NAT-Konfiguration so richtig oder sollte man da irgendwas anders regeln? Ich will von intern in die dmz und nach extern, von der dmz nach extern naten. nat (intern) 5 192.168.1.0 255.255.255.0 nat (dmz) 5 192.168.2.0 255.255.255.0 global (extern) 5 interface global (dmz) 5 interface 2: Wie erlaube ich einzelnen Zugriff aus der DMZ in das interne Netz? Normalerweise über static und acl, die ich auf "in interface dmz" binde, oder? In meiner Konstellation muss ich aber den Verkehr zwischen dmz und internem Netz in die ACL vom nat 0 (welche doch eigentlich nur für das VPN ist) eintragen. Sonst kommt nichts aus der dmz im internen netz an. Warum?

Hallo, kurze Frage zum Thema nat 0. Ich habe eine ASA mit 3 Interfaces (intern 192.168.1.0, extern und dmz 192.168.2.0). Nat würde ich hier grundlegend folgendermaßen einrichten: von intern nach extern: nat (intern) 5 192.168.1.0 255.255.255.0 global (extern) 5 interface von der dmz nach extern(damit sich die dmz-server z.B. Updates ziehen können): nat (dmz) 5 192.168.2.0 255.255.255.0 von intern in die dmz (damit ich von intern Zugriff auf die DB-Server in der dmz habe): global (dmz) 5 interface Eine zweite ASA habe ich an einem anderen Standort per VPN angebunden. Das interne Netz vom zweiten Standort soll auf das interne und die dmz vom ersten Standort zugreifen, daher zusätzlich: nat (intern) 0 access-list vpnzugriff nat (dmz) 0 access-list vpnzugriff In der ACL vpnzugriff steht "permit ip internes_netz_standort1 auf internes_netz_standort2" und "permit ip dmz_netz_standort1 auf internes_netz_standort2". Weiß zwar nicht, ob das alles so korrekt ist aber es funktioniert. Zugriff über das VPN, Zugriff nach extern und in die DMZ. Nun mein Problem: Wenn ich aus der DMZ einem Server Zugriff auf eine Maschine im internen Netz geben möchte (beide an Standort 1), so funktioniert dies nur, wenn ich in die ACL "vpnzugriff" den Verkehr von der dmz in das interne Netz (beides Standort 1) generell erlaube. Ich muss also ein permit ip "internes_netz_standort1 auf dmz_netz_standort1" in die ACL hinzufügen. Eigentlich sollte das doch per static und "normaler" ACL funktionieren, oder? Das nat 0 hat doch damit eigentlich erstmal nichts zu tun... Mein Problem dabei ist, dass ich in der ACL zum nat 0 ja keine Ports angeben kann...ich will den Verkehr zwischen DMZ und internem Netz aber natürlich nicht völlig öffnen...

Hallo Olc, schade eigentlich...hätte so einfach sein können :). Ich glaube, ich werde es nun so machen, dass ich nur die Websysteme in der DMZ lasse, die keine AD-Authentifikation benötigen. Die anderen stelle ich vorerst ins interne LAN. Ebenso die SQL Server für die Websysteme. Dann schleuse ich nur den SQL Verkehr von den Webservern zu den SQL Servern durch die Firewall...

Hallo, danke erstmal für eure Infos. Ich werde heute mal die AD/AM Installation austesten. Sehe ich das richtig, dass ich den AD/AM-Dienst auf einem Server in der DMZ installiere, dann die Instanz mit meinem ActiveDirectory repliziere (bzw. die Daten in AD/AM einlese). Wenn ich dann auf einem Server in der DMZ eine Freigabe einrichte und eine Berechtigung für einenn Benutzer vergeben will, wähle ich den Benutzer über das AD/AM aus, und nicht mehr über die Domänencontroller? Woher merken die DMZ-Server, dass sie die AD/AM Instalz fragen müssen und nicht mehr die DCs? Genau so die Authentifikation. Wenn ich mich von extern an einem Web anmelde, wird die Authentifikation über den AD/AM an die internen DCs weitergereicht, richtig? Oder habe ich hier irgendwas völlig falsch verstanden? Grüße pete – bzw. ist es überhaupt notwendig, dass ich die User vom AD in AD/AM importiere/synchronisiere? Kann ich nicht auch über die MS-UserProxy.ldf die Anmeldungen einfach an einen Domänencontroller im internen Netz durchreichen? pete

Also der ADAM hört sich recht gut an. Kannte ich bislang noch gar nicht. Je länger ich über das Problem nachdenke, desto mehr drängt sich mir die Frage auf, wie das sonst gelöst wird. Es geht mir hier ja auf lange Sicht nicht mehr "nur" um die reinen Webserver. Was ist mit Webs, die "Integrated Security nutzen? Was ist mit SharePoint und/oder OWA vom Exchange? Alles Dienste, die in eine DMZ gehören, an denen sich Anwender aber über ihre AD-Konten anmelden...

Hmm, danke erstmal für eure Antworten. Zwischen den Zeilen (auch in anderen Infos zu dem Thema) kann mal lesen, dass sowas eher nicht das Mittel der Wahl zu sein scheint. Entweder ich stellen einene DC in die DMZ (keine gute Idee) oder ich bohre 15 u.a. dynamische Löcher in meine Firewall (auch keine gute Idee). Wie wird sowas sonst gelöst? Das kann doch eigentlich keine Ausnahmesituation sein. Mir geht es darum, zwei Webserver in der DMZ zu haben, die sich ihre Daten von einem SQL Server holen (soweit ziemlich Standard). Soll ich nun eher den SQL Server ins interne Netz stellen und die Ports für SQL Anfragen von den Webservern weiterleiten? Ich muss allerdings auch Benutzerrechte auf den Webservern vergeben (welcher Entwickler darf in welches Web Daten uploaden). Dies soll auch alles über die AD-Konten gehen... pete

Hallo, könnt ihr mit eure Erfahrungen zu folgendem Szenario schildern? Ich habe in unserer DMZ einen SQL Server stehen, an dem sich Mitarbeiter mit ihrem AD-Account anmelden sollen. AD befindet sich im internen Netz. Bohre ich meine DMZ dafür soweit auf, dass ich die Anmeldung aus der DMZ zulasse oder stelle ich einen AD-Server in die DMZ und lasse nur die Replikation durch die Firewall? Hab gehört, dass für die AD-Anmeldung knapp 15 Ports durchgeschleift werden müssen?! Danke pete

Kannst du den Server anpingen? Ist ggf. die Windows-Firewall aktiv (könntest du vor Ort vielleicht temporär deaktivieren lassen). lad dir mal die testversion von DameWare runter. Damit kannst du per Remote auf einen PC, ohne einen Dienst auf dem entfernten PC einzurichten.

Kannst du sicherstellen, dass die VM auch wieder richtig gestartet wurde? Sind RDP-verbindungen noch aktiviert? VMware Sever bringt übrigens auch ein Webinterface mit...da brauchst du gar nicht unbedingt die Server Console... pete

Ich habe hier ziemlich das gleiche Szenario mit einem Windows 2003 Terminalserver gelöst. Funktioniert wunderbar. Die Lösung von VMware ist das VDI. Macht aber eher dann Sinn, wenn ich verschiedenen Personen verschiedene Installationen zur Verfügung stellen soll. Und ist am Anfang auch recht teuer...insofern man noch keine VMware ESX (oder VI3) am laufen hat. Das was hier gefragt ist, ist ja wirklich typisch für Terminalserver. Da kann man ruhigen gewissens auch die Lösung nehmen... pete

Ja, in etwa. Allerdings bezieht sich der Beitrag, bzw. die dort angesprochene Lösung auf eine FTP Site in der die Benutzer nicht isoliert sind. Dort funktioniert es problemlos, In meiner Site sind die Benutzer nur leider isoliert (damit man nach einem Login nicht aus seinem Home-verzeichnis auf die nächst höhere Ebene (ftproot) wechseln kann). Hier muss es doch auch möglich sein, sich als FTPAdmin einloggen zu können... – OK, vorerst selber gelöst. Funktioniert, wenn ich ein virtuelles Verzeichnis auf ftproot setze und den Standard-FTP-Benutzern den lesezugriff in dem virtuellen verzeichnis (nciht im Dateisystem) verweigere. FTPAdmin bekommt Vollzugriff auf das virtuelle Verzeichnis. ...hab aber irgendwie das Gefühl, das das eher ein Workaround als die eigentliche Lösung des Problems ist. pete –

Hallo, ich habe so ziemlich genau das gleiche Problem. Das hier beschriebene Szenario mit dem Zugriff als Admin funktioniert, allerdings nur, wenn die FTP Site ohne Isolierung der Benutzer angelegt wird (also so wie die Standard FTP Site). Ich habe in meiner Site die Benutzer isoliert. Damit ein Benutzer nach dem Login direkt in seinem Home-Verzeichnis landet und nicht die Home-Verzeichnisse der anderen FTP User sehen kann. Zugriff auf andere Verzeichnisse läuft über die virtuellen Verzeichnisse. Wenn ich mich jetzt mit dem Konto eines lokalen Admins einloggen will, bekomme ich die Fehlermeldung "home directory inaccessible". Das home-directory mit welchem der FTP Server rechnet gibt es ja auch nicht (wäre dann ftproot\LocalUser\ftpadmin). Lege ich das Verzeichnis an, kann ich mich zwar einloggen, sehe dann aber auch nur das Home-Verzeichnis vom Admin und komme dort nciht raus. Es muss doch eine Möglichkeit geben, auch bei einer "isolierten" FTP Site einen FTPAdmin-Account zur Verfügung zu stellen... pete

Hallo, hatte das gleiche Problem. Das ist ein Problem von den Sicherheitszonen vom InternetExplorer. Weiß nicht mehr genau, wie ich das Problem beheben konnte, aber spiel mal ein bisschen damit rum und setz die Stufen (testweise!) weiter runter. ...das Problem tritt bei dir bei jeder exe auf, die du über das Netz startest, oder? pete

Hallo, ich habe auf einem unserer Windwos 2003 Server über den IIS6 einen FTP Server aufgesetzt. Dieses System soll eine alte Linuxmaschine ersetzen. Der Server ist so eingerichtet, dass ein benutzer sich mit benutzername/passwort einloggen muss und dann nicht aus seinem Basisverzeichnis herauskommt. Für Zugriffe außerhalb vom eigenen basisverzeichnis habe ich virtuelle Verzeichnisse. Wie kann ich auf diesem Server einen FTP Administrator einrichten? Ich möchte einen Account haben, mit dem man sich per FTP-Client anmelden kann und Daten in den verschiedenen Basisverzeichnissen der einzelnen Benutzer oder in den virtuellen Verzeichnissen zur Verfügung stellen kann... ...ich krieg´s nicht hin...

Hallo, ich würde in unserem Netz gerne die Logfiles verschiedener Systeme zentral sammeln und dort bei Bedarf auswerten. z.B. vom IIS, der Cisco ASA, die Eventlogs der Windows Server etc. Habt ihr einen guten Tipp für eine entsprechende Software oder Erfahrungsberichte, wie das bei euch geregelt wird? mfg pete

Hab den Fehler gefunden. Ich musste bei der ACL für nat 0 (heißt bei mir cryptoacl) die Kommunikation zwischen internem Netz und der DMZ hinzufügen. Eigentlich hatte ich diese ACL bislang nur für die Site-to-Site VPNs in Arbeit. Aber so funktioniet es. Jetzt muss ich die ACLs nur noch ein wenig einschränken. Jedenfalls noch mal vielen Dank für die Tipps und die Erklärungen. :) pete