Sicherheitskonzept SBS2003 mit IPCop

[PatrickKByte 12]

Einen schönen Sonntag der Online-Gemeinde!

 

Unser Netzwerk besteht im Moment aus:

• Onlineanbindung über NETGEAR-Router mit fester IP und Firewall
  
• nem SBS2003 und 2 NICs, der NAT macht und den OWA servt, DNS und DHCP macht (natürlich auch DC)
  
• zwei weiteren W2K3 Std. in derselben Domäne
  
• 6 Clients mit XP pro
  

 

In diversen Foren hab ich von IPCop gelesen, nun möchte ich den als Router, Firewall und Proxy konfigurieren. Er wird auch das NAT machen.

 

In den IPCop-Foren ist man sich uneinig darüber, wie man nun den Exchange ans Netz bindet, um den OWA erreichbar zu machen. Derzeit verwendet unser Exchange auch den POPBeamer.

 

Folgender Plan:

• IPCop baut Verbindung auf, servt DHCP und DNS, macht Firewall
  
• IPCop lenkt 443 auf den SBS um -> SBS ist erreichbar
  
• alles ist gut.
  

 

Die IPCopper meinen, es wäre gefährlich, den OWA nach draußen zu legen...

 

Wie macht ihr's?

 

Ich bin mir bewusst darüber, dass das Thema nicht ausschließlich mit SBS zutun hat... aber im IPCop-Board steht herzlich wenig zu Exchange...

[Squire 225]

Das ist eine Frage Deine Passwörter!

 

Ich würde den Cop zur Einwahl, Firewall und Proxy nützen (2 Nics)

SSL (443) auf den OWA vom SBS weiterleiten

 

SBS (2 Nics) mit NAT, DC, DNS, DHCP

 

zweimal Nat und vernünftige Passworte sollte einigermaßen sicher sein. (Zumindest deutlich sicherer als Deine Netgear Lösung :)

 

BTW - Jeden Dienst, den Du in die böse weite Internetwelt rausläßt oder erreichbar machst ist potientiell gefährlich ... Halt Deinen SBS mit den aktuellen Patches auf dem Laufenden!

[PatrickKByte 12]

Ich danke dir!

Auf 2x NAT wär ich jetzt nicht gekommen...

 

Also hab ich dich richtig verstanden:

 

1. ROT: direkte Verbindung zum DSL-Modem.
   
2. GRÜN: Direktverbindung zur WAN-Karte am Server
   
3. 2. NIC als "Sauberes Netz" hinter dem SBS
   

 

Selbstverständlich aktuelle Patches, und auch keine 1234-Passworte :shock:

 

SBS (2 Nics) mit NAT, DC, DNS, DHCP

Eigentlich wollte ich den DNS und den DHCP auch auf den IPCop legen, damit der Internetzugang unabhängig vom SBS läuft... bei 2x NAT geht das ja dann aber wohl nicht meht :-(

 

Vielen lieben Dank!

[IThome 10]

2 mal NAT machst Du mit dem Netgear doch jetzt auch ...

[PatrickKByte 12]

2 mal NAT machst Du mit dem Netgear doch jetzt auch ...

 

wenn du damit meinst: öffentl. IP -> Router -> WAN/LAN, dann ja.

[GuentherH 61]

Hi.

 

Eigentlich wollte ich den DNS und den DHCP auch auf den IPCop legen

 

Lass das bitte bleiben. Für diese beiden Dienste ist auschließlich der SBS Server zuständig. Zudem kann dir mit Sicherheit IPCop nur rudimentäre DNS Dienste zur Verfügung stellen.

 

LG Günther

[Squire 225]

@Patrick

 

Wie Günther schon sagte: DHCP und DNS sollten beim SBS bleiben. DNS ist zwingend für das AD notwendig und das kann der Cop nicht leisten

 

btw ..

 

ipcop rot - DSL

ipcop grün - 192.168.1.0/24

 

sbs rot - 192.168.1.0/24

sbs grün - 192.168.10.0/24

 

nur mal so als Beispiel ... der DHCP auf den Cop könnte für die internen Clients gar keine IP via DHCP liefern da er in einem komplett anderem Subnetz steht.

 

btw - für die Verbindung Cop-SBS einfach ein gekreuztes Kabel nehmen

[PatrickKByte 12]

Läuft bereits fehlerfrei mit 4 Netzen :cool:

Ich bastel grad nur noch n bisschen für den OWA... :suspect: