AFM_Adm

Das es eine VM bzw. VM's werden ist nun klar und macht Sinn! Wie stellt Ihr sicher, das die VM keinen Zugriff auf interne Ressourcen, sondern nur Richtung WAN hat? VLAN wäre eine Möglichkeit, wobei bei einer lokalen VM wäre es unterwegs wieder nicht optimal. Vielleicht können diejenigen, die als Vorschlag VM + VLAN gennant haben, genauere Infos zu der Config geben. Danke!

Hast du genauere Infos? :)

Ok, für Homeoffice wäre es mit VLAN wieder schwierig. Aber wie machst du es im Firmen-LAN? Dort soll die VM ja nur Zugriff in Richtung WAN haben und nicht auf andere interne Ressourcen.

Ich nehme an, du hast ein extra VLAN eingerichtet (nur Zugriff auf WAN) und reichst dieses VLAN bis zur VM durch?

Die Meinung eine VM zu nutzen ist ja eindeutig! :) Die VM's in die DMZ packen oder eine extra Zone im internen LAN errichten? Oder wo laufen Sie bei euch?

Das wird nur bei einem Split-Tunnel funktionieren, was wiederum ja kundenabhängig ist. Ansonsten nur über die Management-Konsole.

Hallo, ich habe eine Problemstellung zu lösen und hoffe das Ihr hier vielleicht ein paar Ratschläge und Ideen zum Thema habt. Folgende Problemstellung: Unsere Firma ist Diensleister und betreut technische Anlagen. Dazu bekommen wir von den Kunden VPN-Zugänge um auf ihre Anlagen bzw. Steuerungen zugreifen zu können. Das Problem was ich sehe, sind verschiedene VPN-Clients die sich auf einem Notenook meistens nicht gut miteinander vertragen. Desweiteren über welches Netz bzw. Zone auf diese "fremden" LAN's unsereseits zugegriffen werden soll. Aus unserem Büro-LAN einen Split-Tunnel in ein anderes Netz herzustellen, finde ich mehr als gefährlich! Vielleicht habe ihr ähnliche Problemstellungen zu lösen gehabt und Ideen oder Ratschläge. MfG

Setzt hier niemand auf NAP? Was setzt ihr für Lösungen im Bereich NAC ein? :) MfG

Hallo, ich bin dabei NAP mit DHCP Enforcement in Verbindung mit Radius-Proxy zu testen. Das DHCP Enforcement nicht sicher ist, ist mir klar. Ich möchte aber im ersten Schritt verhinden, das ungepachte Clients, die seit ein paar Wochen keine Updates gezogen haben vollen Netzwerkzugriff erhalten. Der Client, der DHCP-Server und NAP-Server sind eingerichtet. Leider gibts es das Problem, das der Client angeblich nicht NAP-capable sein soll, was er aber ist. Konfiguriere ich auf dem NAP-Server selber einen DHCP-Server, funktioniert es und der Client ist NAP-capable. Es kann also nur an der Verbindung zwischen dem NAP-Server und dem DHCP-Server (Radius-Proxy) liegen... Beide sind im gleichen Subnet, Radius-Proxy, Authentifizierungsweiterleitungen, etc. sind konfiguriert. Ich kann die Anfrage auf dem NAP auch sehen, allerdings mit der Meldung, das der Client angeblich nicht NAP-fähig ist. Vielleicht hat jemand von Euch das gleiche oder ein ähnliches Szenario implementiert und hat einen Tipp. ;) MFG

Habt ihr sonst noch Tipps/Ideen? Wie sichert ihre eure Server in der DMZ? MfG

Ich versuche die DMZ physikalisch vom internen LAN zu trennen, also andere Switche, etc. Die einzige physikalische Schnittstelle, soll auf der FW bzw. den FW-Switchen liegen. Auf der FW terminiere ich dann die benötigten Netze in Abhängigkeit von Regeln. :) Ansonsten könnte ich ja auch die DMZ VM's auf einem internen Hyper-V Host laufen lassen und über VLAN's trennen...

So machen wir es ja auch bisher, also mit VSS über den Host die VM sichern. Halt lokal auf USB-Platte und nicht über DPM, da so wie ich es verstehe nicht supported wird. Und nur weil man den Host von der VM über VLAN's getrennt hat, garantiert das ja noch keine 99,9 prozentige Sicherheit. ;)

Ich möchte nicht den Host selber, sondern die VM die drauf läuft sichern. ;)

Wenn ich das hier aber richtig sehe, wird es auch in DPM 2012 nicht supported. :D Security Considerations for Protecting Computers in Workgroups or Untrusted Domains

Und wieso ist es dann nicht supported? "Protection of perimeter network (DMZ) machines is not supported in DPM 2010." Security Considerations for Protecting Computers in Workgroups or Untrusted Domains

Hallo beisammen, wir haben ein paar Hyper-V VM's in der DMZ und würden diese gerne sichern. Im internen LAN kommt der DPM zum Einsatz, der in der DMZ nicht supported wird (wahrscheinlich ja aus Security Gründen). Bisher werden die VM's in der DMZ auf eine USB-Platte gesichert, da mir eine andere SICHERE Lösung nicht bekannt ist. Da auf diesen VM's keine Produktiv-Daten liegen, aber Config's für vorgelagerte Systeme die sich zwischendurch ändern, würde ich diese schon gerne sichern. Habt ihr andere Tipps/Ideen? Wie sichert ihre eure Server in der DMZ? MfG

Bei Astaro wird der Proxy extra erwähnt, bei anderen Herstellern nicht. Aber wenn die Lösung über eine Application Control verfügt, die ja auf Layer 7 ebenso wie ein Proxy arbeitet, wo ist der Unterschied? MFG

Hallo, ich würde gerne mal Eure Empfehlungen zum Thema UTM-Lösung und Proxy hören. Eine UTM-Lösung arbeitet ja eigentlich wie ein Proxy (ausser eventuell das Caching), da eine UTM-Appliance ja die Verbindung durch Content-Filter, AV, IPS, etc. beeinflussen kann. Würdet Ihr zusätzlich einen Proxy und Reverse-Proxy einsetzen? Worin liegt der Vorteil? MFG

Wir stehen gerade vor der selben Frage, haben momentan einen Hyper-V Cluster und die Daten liegen im SAN. Wollen nun 2 Webserver und Postfix virtualisieren, sollten wir einen eigenen Cluster für 3 VM's in der DMZ aufbauen? Wie sicher/unsicher ist es die VM's die in der DMZ laufen sollen, über den gleichen Host wie die VM's im Produktivnetz laufen zu lassen (eigene Netzwerkkarte und VLAN für DMZ im Host natürlich Vorraussetzung!)? Gibt es einen Empfehlung von MS zum Thema Hyper-V und DMZ? MFG

Hallo, zu Punkt 2: Ich meinte mit dem Bänderwechseln eher den Tausch von Bändern die ihre "Lebenszeit" erreicht haben bzw. vorher gewechselt werden sollten. Z.B. dürfen unsere LTO-4 Bänder mit 260 Voll-Backups beschrieben werden und sollten spätestens dann getauscht werden. MFG

Wer setzt hier überhaupt schon DPM 2010 und Bandsicherung ein?

Niemand eine Idee? MFG

Hallo, wir setzen seit kurzem den DPM 2010 ein. Ein paar Fragen in Bezug auf Bänderverwaltung sind noch offen, vielleicht könnt ihr mir dabei weiterhelfen... :) 1. Wann reinigt DPM das Bandlaufwerk mit dem Reinigungsband? Oder macht ihr dies über die Tape-Libary? 2. Wie bestimmt ihr, wann Bänder gewechselt werden müssen? DPM zählt leider nicht wi oft das Band schon beschrieben wurde, zudem nimmt DPM sich immer ein freies Band. 3. Im Bandverwaltungsbericht werden nicht die "überfälligen Bänder" angezeigt, gibt es für diesen Bug ein Update? MFG

Hallo, habe das gleiche Problem. Wo ist der Fehler dokumentiert, KB? MFG

Eure Empfehlung ist also gleiche IP, gleicher Servername, etc.? Wie schauts mit anderem Servernamen und CNAME-Eintrag im DNS? Funktioniert das ohne Probleme? MFG