nerd

Hi,

 

eine Anleitung findest du hier: Booten in eine VHD | SECURITY-BLOG.EU

Vielen Dank, das klingt interessant.

 

Kannst du mir ein geeignetes Produkt von astaro nennen, welches die Anforderungen an eine SBS Umgebung erfüllt? In welchem Preisbereich bewegt man sich dann?

Genaue Preise kann ich dir nicht nennen - frag am besten mal einen der reseller. Du kannst dir vorab (zum Test) aber auch eine virtuelle installation downloaden. Damit kannst du dir die Funktion genau ansehen. Als Produkt kommt wohl nur die kostenpflichtige "Astaro Security Gateway" in Frage.

Wo liegt denn der technische Vorteil einer solchen Lösung?

 

 

- ständige Security updates

- stabile und Sichere OS Basis

- genau auf die Funktion zugeschnitten (kleiner Footprint)

- einfaches Management

- ausgewachsene Firewallfunktionen bis hin zu Clusterfähigkeit

uvm

Hi,

 

als absolutes minimum würde ich eine ausgewachsene Firewall einsetzen die Funktionen wie einen reverse Proxy (Webseite und ggf. OWA) sowie einen SMTP Proxy (Mailempfang) bietet.

 

Welches Produkt du dafür einsetzt hängt wesentlich von deinem KnowHow und deinen weiteren Anforderungen ab. Es gibt auf dem Segment alles von kostenlosen Selbstbaulösungen bis hin zu Enterprise Class Systemen (z. B. Checkpoint).

 

Wenn du einen Produktnamen hören möchtest, dann könnte ich dir für das SBS Umfeld (einfache Handhabung bei moderaten Kosten) Astaro empfehlen. Ich setzte ein solches System bei mir zuhause für die o. g. Szenarien ein und bin bis jetzt sehr zufrieden.

Hi,

 

Grunsätzlich sollte man ein System welches von einem Virus befallen war / ist nur säubern um die dort evtl vorhandenen Daten zu retten.

 

Nachdem alle Daten gesichert sind, sollte man auf jeden Fall eine Neuinstallation der Systeme durchführen. Man weiss nämlich nie so genau was man sich da eingefangen hat und was ggf. noch nachgeladen wurde... Bei 17 Systemen kannst du dir das ja direkt mit nem kleinen Win 7 Deployment Projekt verbinden ;) Dann freuen sich die User :-)

Aber ich sehe schon, ich mache mir zu viele Gedanken. :)

 

Hi,

 

ich würd eher sagen, du machst dir zu wenig bzw. die falschen Gedanken ;)

 

Du solltest zuerst euer Schutzbedürfnis ermitteln. Es ist dabei egal ob das Netz hinter der FW 10.000 user oder 1 user hat. Wenn die Daten auf dem Webserver was wert sind, dann findet sich auch jemand, der sie klauen möchte...

 

So, wenn du dir darüber im klaren bist, dann kannst du dir Gedanken darüber machen, wie du das Ziel erreichst. Einfach nur den Port 443 von extern auf den Webserver weiterleiten ist dabei die denkbar schlechteste Lösung welche ein recht großes Angriffspotential bietet.

Hi,

 

das hängt wesentlich von eurem Schutzbedürfnis ab. Ich für meinen Teil verwende grundsätzlich zweistuffige Firewalls wenn ich Dienste nach extern anbiete. Handelt es sich wie in deinem Fall um einen Webservice, so lohnt sich in der Regel auch ein IDS. Allerdings reichen dafür die Systeme die mit einem Router mit kommen selten aus. Es gilt ja schließlich, dass der Traffic untersucht werden muss - und der ist bei ssl nicht wirklich lesbar. Man muss also einen SSL Proxy / Endpoint in die DMZ stellen welche IDS Funktionen bietet. Die Dinger liegen jedcoh preislich auch etwas über einem Draytek...

ich denke aufgrund des backups.. habe es erfolgreich geschafft mithilfe eines vmrun script und anschliesendem ntbackup..eine backup zu ziehen und wiederhesrzustellen welcher super funktioniert hat....

 

sprich ich sicherte den kompletten VM ordner *.vmdk *.vmx und den aktuellen snapshot.. wiederherstellung funktionierte super....

auf der VM sind gelaufen 3 SQL instanzen... mit DB grössen von jeweils ca 20GB... alles war in ordnung und funkte perfekt...

 

ich weis leider nicht wie ich am esxi als hypervisor ein derartiges backup mit onboard mitteln machen kann... :(

 

lg

 

Hi,

 

naja - das hört sich nach einer richtig harten Bastellösung an. Das mag ein paar Mal gut gehen, sicher ist das aber nicht! Insbesondere bei SQL Servern braucht man ein Backup welches application aware ist!

Hi,

 

ich würde da, wie von Lukas schon erwähnt, zur Virtualisierung der Server tendieren. Damit kannst du die Services sauber teilen (ist auch fürs Backup nicht unwichtig) und bietest gleichzeitig die Möglichkeit die Umgebung recht einfach zu erweitern (falls der Laden wächst). Die Mehrkosten für diese Lösung sollten sich normal in einem überschaubaren Rahmen halten. Schau dir ggf. die Enterprise Lizenzen von Win2k8 an - da darfst du je nach Lizenz mehrere virtuelle Gäste installieren...

 

Viele Grüße

hmmm ja dachte ich mir,

 

obwohl ich mir sehr schwer eine attacke an ein interface vorstellen kann das keine IP hat und auf dem keine services lauschen....

 

ich galube ich riskiers :D

 

Das wird über die meisten Angriffsmöglichkeiten gesagt - bis sie dann möglich sind. Dann heißt es immer: "das hätte man sich auch denken können" ;)

 

Ich will jetzt nicht wirklich tiefer in das Thema einsteigen, aber wenn du etwas googelst, dann wirst du einiges zu dem Thema finden...

Hi,

 

das ist ein heißes Thema. Die Sicherheitswelt ist sich hier allerdings recht einig. ESX (oder Hyper-V) Server in verschiedenen Sicherheitszonen (also Internet + Intranet) ist keine gute Idee. Es gibt zu viele potentielle Angriffszenarien zu dem Thema... Des Weiteren erhöht man so die Risiken bei einer Fehlkonfiguration enorm.

Hi,

 

wenn man einen solchen AUfbau mit der Sicherheitsbrille anschaut, dann sieht das nciht gut aus. Grundsätzlich sollten nämlich keine keine Ports / Dienste direkt von extern nach intern geleitet werden. Entsprechender Datenverkehr sollte immer in einer DMZ proxifizert werden. Nur so erreicht man ein aus Sicherheitssicht vertretbares Level an Schutz.

Hi,

 

Zertifikate haben Verwendungszwecke - was für ein Zertifikat ist das genau? (Steht in den Eigenschaften die du über das cert-mmc einsehen kannst).

Darin findet man auch Hinweise, wie man eine CA weg von einem DC umziehen kann (oder anders herum).

 

Hi,

 

ich denke der Text in Klammern ist der wichtige Teil. Warum willst du die CA auf einen anderen Server ziehen. Es ist normal deutlich einfacher auf der neuen Maschine dcpromo auszuführen und danach (nach Übernahme aller FSMO-Rollen etc). Den DC auf dem Ursprungssystem zu "löschen".

 

Viele Grüße

Hi,

 

grundsätzlich hilft in erster Linie eine gute Personalauswahl (mehr als die halbe Miete). Will man sich zusätzlich schützen, so bieten die vorgenannten Ansätze entsprechende Möglichkeiten (und Einschränkungen). Zusätzlich zu den bereits aufgeführten Lösungen kann auch eine DRM Lösung implementiert werden. Damit behält man deutlich länger die Kontrolle über sein geistiges Eigentum - ein 100% Schutz ist das aber natürlich auch nicht...

Hi,

 

also machen wir den 18. März 19:00 Uhr fest. Die Location fand ich an sich recht gut. Daher würde ich vorschlagne, dass wir die wieder nehmen. OK?

 

Viele Grüße

Geräte die 2 Netzteile haben, sollten 1 auf die USV und das andere auf das normale Stromnetz verweisen.

 

... aber nur wenn nur ein USV Stromkreis vorhanden ist. Hat man mehrere unabhängige USVs so macht es durchaus Sinn auch den zweiten Anschluss zu sichern.

Hi,

 

ich fands auch sehr gut. Wir sollten direkt anfangen die nächste Runde zu planen. Vielleicht können es das nächste Mal mehr einrichten.

 

Ich werde auf jeden Fall versuchen beim nächsten mal auch wieder dabei zu sein, und beim nächsten mal warten wir dann auch mit dem Essen :D

 

... ich werd das nächste mal einfach versuchen kein langes Meeting direkt davor zu haben ;)

Hi,

 

ich hatte die letzten Monate auch des öfteren Probleme mit dem Scanner. Das Teil hat bei mir nicht nur das Netz belastet sondern auch die Performance der Clients masiv in den Keller gezogen. Ich habe deshalb in meiner Testumgebung bereits einen anderen Hersteller gewählt und werde wohl oder übel umstellen.

Hi!

 

Danke! Ich werd mich vermutlich um ca. 30 min verspäten - komme aber auf jeden Fall.

 

Viele Grüße

Hi,

 

nur für die neuen Zertifikate (oder wenn du bei den alten Zertifikaten schon einen DNS Alias für die CRL mitgegeben hast).

Hi,

 

der Pfad zur CRL steht in jedem ausgestellten Zertifikat - damit werden die alten Zertifikate weiterhin auf deinen alten Server zeigen und folglich versuchen von dort die CRL zu laden. Ich richte daher den CRL Pfad meist auf einen alias ein - den kann man dann via DNS auf neue Server umziehen ohne stress zu bekommen. (z. B. crl.fragmichnicht.de)

Hi,

 

wenn du etwas mit Dr.Melzer besprechen willst, dann verwende bitte die PN Funktion.

 

Beitrag geschlossen.

Hi,

 

... ich versuche auch mal zu kommen - derzeit sieht der 11.2 noch gut aus.

 

Viele Grüße

Hi,

 

wie die anderen schon angemerkt haben ist das Thema nicht ganz so einfach. Ich würde grundsätzlich dazu raten auch die MS Bücher zu lesen. Alternative Unterlagen sind nicht immer so Umfangreich (oder auch richtig) wie das sein sollte.

 

Um die Prüfungen bestehen zu können (und danach auch zu wissen was du da machst) wirst du zudem zuhause noch ein kleines Testlab brauchen - das kostet nochmal richtig Geld.

 

Wir könnten dir jetzt Tipps in der Art geben: Spar dir die Bücher und kauf der ein Monatsabo von CBTNuggets (199 $) und versuch die Prüfungsvoucher günstig über ebay etc zu bekommen. Ich vermute allerdings, dass dir das nicht wirklich viel bringen würde.

 

Ich würde dir empfehlen, dass du dir die Adressen der Stellenangebote geben lässt und dort einfach mal anrufst und schaust ob du evtl. etwas aushandeln kannst. Je nachdem könntest du Glück haben und einer davon ist z. B. bereit dich ein paar Monate nur als Client Support einzustellen und erlaubt dir in der Zeit die Testsysteme im Geschäft zu nutzen - vielleicht zahlt man dir sogar (einen Teil?) der Lernunterlagen. Versuchen kann man es...

Hi,

 

das hängt von der USV ab. Die Geräte die ich kenne versorgen ganze RZ's mit mehrer hundert Servern. Bei größeren USV Systemen hat man normal den Vorteil, dass die Verwaltungswerkzeuge besser werden.