Jump to content
Sign in to follow this  
Canni

Appliance oder IPCop? Verbesserung der Sicherheit!

Recommended Posts

Hallo zusammen,

 

nachdem der andere Thread etwas zu sehr auf das Organisatorische in unserer Firma eingegangen ist, hier nochmal ein "technischer" Thread.

 

Bitte Euch wirklich um konstruktive Kritik, damit ich meinem Chef einen Vorschlag machen kann.

 

Folgendes ist derzeit gegeben:

 

- 1 Windows Server 2003 R2, der als Terminalserver betrieben wird. Hier läuft leider alles auf einer Kiste, VPN-Server, Datenbanken, eMailserver- und Anwendung etc. Onlinebackup wird durchgeführt

- vor dem Server: 1 Netgear FVG318 als Router und "SPI-Firewall"

- dieser Router verbindet sich zu einem anderen Netgear-Router per IPsec (ein kleines Büro, in dem 2 unserer Mitarbeiter arbeiten - dort wurde DSL eingerichtet, damit die User sich nicht via UMTS ins Internet verbinden müssen)

- ca. 7 Firmen-Notebooks und ca. 2 Desktops mit Windows XP Home (alles recht alte Geräte, vom Chef früher aufgetrieben, aber Lizenzierung stimmt, da OEM, Office Basic 2007 installiert). Auf allen Firmenrechnern (+Server) ist NOD32 mit Remote-Administrator installiert - natürlich mit unterschiedlichen Policys (Server/Clients)

- die Notebooks sind fast nie im Büro, sondern verbinden sich z.B. via UMTS --> VPN zum Server, auf dem u.a. ja der VPN-Server läuft.

- manche Benutzer haben die Erlaubnis von der GL, sich von Ihrem Privat-PC aus a) von zu Hause aus per VPN ins Netz zu verbinden und b) diesen Notebook ins Büro mitzubringen und hier ans LAN anzuschließen. Das findet der GL klasse, da so Kosten für neue Geräte gespart werden :-( Unter anderem verbindet sich so auch das Steuerbüro mit unserem Server - bei bedarf.

 

 

So, jetzt meine Verbesserungsvorschläge:

 

- Anschaffung eines 2. Servers. Auf diesem Server läuft dann die Datenbank, hier sind die Daten abgelegt, eMailserver, VPN-Server (Frage: VPN-Server besser auf dem TS, wegen DMZ??)), Active Directory etc. / auf dem derzeitigen Server laufen nur noch die Terminaldienste und die Anwendungen --> dringend notwendig, meiner Meinung nach, da der derzeige Server (FSC Primergy Econel 100) total überfordert ist

 

- Anschaffung einer Appliance oder eines IPCops - hierzu bräuchte ich eure Hilfe. Wer kann eine nicht zu teure Appliance empfehlen (max. 20 User VPN, max 15 gleichzeigig, DMZ, nicht zuuu kompliziert zu konfigurieren *checkpoint* <g>) ... die mir gleichzeig als Firewall dient? Oder den TS bzw. den neuen Server die VPN-Verbindungen weiterhin verwalten lassen (Vorteil Benutzerverwaltung / keine Umstellung bei den Clients).

--> Terminalserver in die DMZ

 

- Installation einer Desktopfirewall auf den XP-Clients, die zentral verwaltet werden kann; ein Auswechseln der Betriebssysteme auf XP Prof. wird mein Chef sicher nicht genehmigen.

 

´

 

So, jetzt legt bitte mal los, ich bin auf Eure Tipps angewiesen.

 

 

Danke

Canni

Share this post


Link to post
Share on other sites

Hallo Canni,

 

wenn Dein Chef so gut ist, alte PCs aufzutreiben und ansonsten kein Geld in die Hand nimmt, dann bleibt Dir nur soetwas wie IP-Cop oder Monowall etc.

 

Geld wird er dabei aber nicht sparen, denn Installationsaufwand und "Ärger" mit einer Selbstbaulösung fressen den Vorteil eines vorhandenen Rechners schnell wieder auf. Geiz ist eben nicht Geil.

 

ALLERDINGS:

Wenn ich mir die Anzahl der VPN-Clients vorstelle und davon ausgehe, dass hausintern ja auch noch ein/zwei Leute sitzen, ist die Firma nicht wirklich klein.

 

Damit meine ich, dass er (je nach Rechtsform der gesellschaft) einige Standarts einhalten muss. Es soll/darf hier aber nicht zu einer Rechtsberatung ausarten.

 

Nur soviel: Ich halte den freizügigen Einsatz privater Rechner (Laptop/PC) sowie die Selbstbau-Lösung einer FW und einen einzigen Server, der alles inne hat, für sehr bedenklich. Bitte schreibe wenigstens, dass euer Backup technisch in Ordnung ist. Überprüfe bitte, welche rechtlichen Standarts von euch eingehalten werden müssen und reibe dem Chef das unter die Nase. Basel II ist auch ein Stichwort in diesem Zusammenhang.

 

Wie würde ich es nun umbauen?

 

1. ich würde 2 weitere Server anschaffen: einer als TS für die DMS, ein weiter ins LAN. Derjenige, der ins LAN kommt wird Ausfall-DC und die Last wird auf die beiden internen Server verteilt

2. Eine HW-Appliance als Firewall mit echter DMZ. Je nach Leistungsbedarf könnte eine SSG5 oder SSG140 von Juniper oder eine ASG 120 bzw. ASG 220 von Astaro in Frage kommen

3. Als zentralen Virenschutz F-Secure einsetzen, da man damit die enthaltene Desktop-Firewall sehr fein konfigurieren kann und das geht sowohl mit und ohne Domain-Mitglieder (auch im Mix) und ist einstellbar bis auf den einzelnen PC

 

soweit meine Denkanstöße

 

grüße

 

dippas

Share this post


Link to post
Share on other sites

Hallo,

 

vielen Dank für die Antwort. Entschuldigung, dass ich erst jetzt antworte - aber ich habe mir eben sehr viele Gedanken gemacht.

 

"wenn Dein Chef so gut ist, alte PCs aufzutreiben und ansonsten kein Geld in die Hand nimmt, dann bleibt Dir nur soetwas wie IP-Cop oder Monowall etc."

 

"Prinzipiell ja, wobei eben eine echte Appliance den Vorteil einer Firewall UND VPN-Anbindung bringen würde, richtig? Damit könnten wir den Server entlasten UND die Sicherheit erhöhen. Den IPCop möchte ich mehr als eine Firewall-Funktion nicht zumuten. WENN wir schon die VPN-Verbindungen umstellen, dann nur auf ein Profi-Produkt.

 

Frage: Wie viel würde für unseren Bedarf (20 User max, gleichzeitig max. 15) eine Appliance kosten?

 

"Geld wird er dabei aber nicht sparen, denn Installationsaufwand und "Ärger" mit einer Selbstbaulösung fressen den Vorteil eines vorhandenen Rechners schnell wieder auf. Geiz ist eben nicht Geil."

 

Kann ich nur beipflichten.

 

ALLERDINGS:

"Wenn ich mir die Anzahl der VPN-Clients vorstelle und davon ausgehe, dass hausintern ja auch noch ein/zwei Leute sitzen, ist die Firma nicht wirklich klein.

 

Damit meine ich, dass er (je nach Rechtsform der gesellschaft) einige Standarts einhalten muss. Es soll/darf hier aber nicht zu einer Rechtsberatung ausarten. "

 

Tut es nicht :-)

 

"Nur soviel: Ich halte den freizügigen Einsatz privater Rechner (Laptop/PC) sowie die Selbstbau-Lösung einer FW und einen einzigen Server, der alles inne hat, für sehr bedenklich. Bitte schreibe wenigstens, dass euer Backup technisch in Ordnung ist. Überprüfe bitte, welche rechtlichen Standarts von euch eingehalten werden müssen und reibe dem Chef das unter die Nase. Basel II ist auch ein Stichwort in diesem Zusammenhang."

 

Basel II sagt mir so noch nichts. Natürlich ist das hier ein Chaos und ICH weiß, dass ICH es anders machen würde.

 

Ziel kann also nur sein, den Server extrem abzusichern und die Verbindung zu diesem möglichst ebenfalls (Appliance - aber was is mit den LAN-Usern?).

 

 

 

Wie würde ich es nun umbauen?

 

"1. ich würde 2 weitere Server anschaffen: einer als TS für die DMS, ein weiter ins LAN. Derjenige, der ins LAN kommt wird Ausfall-DC und die Last wird auf die beiden internen Server verteilt"

 

--> Würde ich auch so machen, klappt aber niemals. Maximal bekommen wir noch 1 neuen Server.

 

2. Eine HW-Appliance als Firewall mit echter DMZ. Je nach Leistungsbedarf könnte eine SSG5 oder SSG140 von Juniper oder eine ASG 120 bzw. ASG 220 von Astaro in Frage kommen

 

--> Was kosten diese Produkte (siehe oben)? Dadurch werden aber ja private Notebooks in der Firma hier nicht ungefährlicher ...

 

3. Als zentralen Virenschutz F-Secure einsetzen, da man damit die enthaltene Desktop-Firewall sehr fein konfigurieren kann und das geht sowohl mit und ohne Domain-Mitglieder (auch im Mix) und ist einstellbar bis auf den einzelnen PC

 

--> F-Secure hatten wir schon, sind wir böse auf die Nase gefallen. 2 Notebooks wurden unbrauchbar, sobald der Virenschutz aktiv wurde, da die CPU in die Höhe sprang.

 

Einzelne Softwarefirwalllösung mit zentraler Administration?

Mensch, ne Domäne wär schon was Schönes. Nur müssten sich die User dann immer schon vor der Authentifizierung mit dem VPN verbinden, wenn Sie während der Sitzung in die Terminalsitzung möchten, richtig?

Share this post


Link to post
Share on other sites

2. Eine HW-Appliance als Firewall mit echter DMZ. Je nach Leistungsbedarf könnte eine SSG5 oder SSG140 von Juniper oder eine ASG 120 bzw. ASG 220 von Astaro in Frage kommen

 

Kostenpunkt für ähnliche Geräte z.b. auch Cisco PIX 501 oder ASA 5505 im Bereich von ca. 600-1000 Euro, die PIX 501 gibt es mit 10 Usern ab ca. 440 Euro...

 

Gruß

Christian

Share this post


Link to post
Share on other sites

Danke für die schnelle Antwort. Wir brauchen aber nunmal 20 User und ca. 15 max. gleichzeitig .. was würde DAS kosten? :-)

 

Danke!

Share this post


Link to post
Share on other sites
Danke für die schnelle Antwort. Wir brauchen aber nunmal 20 User und ca. 15 max. gleichzeitig .. was würde DAS kosten? :-)

 

Danke!

 

schau doch einfach mal in Preissuchmaschinen, Onlineshops. etc.

 

Z.B. Bechtle - Ihr IT-Bedarf aus einer Hand: Hardware - Software - Supplies

 

Suche nach Cisco PIX 501 oder ASA 5505, die gibt es dann mit 10, 50 oder unlimited usern...

Share this post


Link to post
Share on other sites
H

- Installation einer Desktopfirewall auf den XP-Clients, die zentral verwaltet werden kann; ein Auswechseln der Betriebssysteme auf XP Prof. wird mein Chef sicher nicht genehmigen.

 

´

In der ESET Smart Security Suite (NOD32) ist auch eine Firewall drin - aktuell ist sie vorerst noch als Beta erhältlich (1b). ESET - Essential Security against Evolving Threats

 

 

(Bleib bei ESET:cool: )

Share this post


Link to post
Share on other sites

Hi,

 

wie meine vorredner schon gesagt haben eine richtige UTM Appliance wäre das richtige. Dort herscht fast genau so ein glaubenskrieg wie bei Anti-Viren Scanner. Grade bei UTM sollten man sich jedoch eine Kostennutzen kalkulation aufsetzen und eine Zeit tabelle für die konfiguration. Mit einer Checkpoint z.B ist man sehr sehr gut geschützt jedoch um die 100% zu konfigurieren kannste gleich nen Dr.titel machen.

 

Wenn du willst kann ich dir mal preise für Watchguard und GateProtect rüberschicken. muss ich dann nur mal raussuchen. einfach ne pn.

 

Was Desktop Firewalls angeht für die Road Warrior . Entweder Kaspersky 6 für Business die auch die DF drin hat (Anti-Hacker) und somit auch Zentral verwaltbar per Administration Console. oder Agnitum Outpost firewall.

Share this post


Link to post
Share on other sites

Hallo,

 

danke für die vielen Antworten. Die Outpost habe ich mal getestet, sagt mir sehr zu. Ist eben aufwändig, bis man die mal alltagstauglich konfiguriert hat.

 

Aber die Desktopfirewall ist ja nur ein kleiner Punkt.

 

In wie weit würdet ihr sagen, haben wir Nachholbedarf, zählt doch bitte nochmal die Punkte auf.

 

Ein zus. Server, eine Appliance für die VPN-Verbindungen und als Firewall vor dem Server (mit DMZ?) und die Desktopfirewall auf den Rechnern der Firma wäre doch schon recht ordentlich, für unsere Verhältnisse?

 

Wenn man eben schon kein XP Prof drauf machen kann ... und da Problem ist eben auch, dass die Notebooks NIE im Lan sind. Das ist ja auch nicht der Normalfall in Unternehmen.

 

Ich weiss, dass es unprofessionell ist - und auch mir ein Dorn im Auge ist. Aber was stört hier noch ein Notebook, das privat ins Lan gebracht wird?

 

Klar, würde ich mir wünschen, dass alles Domänen-Notebooks sind...

Share this post


Link to post
Share on other sites
Hallo Canni,

 

wenn Dein Chef so gut ist, alte PCs aufzutreiben und ansonsten kein Geld in die Hand nimmt, dann bleibt Dir nur soetwas wie IP-Cop oder Monowall etc.

 

Geld wird er dabei aber nicht sparen, denn Installationsaufwand und "Ärger" mit einer Selbstbaulösung fressen den Vorteil eines vorhandenen Rechners schnell wieder auf. Geiz ist eben nicht Geil.

Wieder Märchen von IT-Verkaufleute...

Darf ich ganz vorsichtig fragen?

Meinst Du ernst, dass die Installation einer Cisco-Firewall viel einfacher ist als z.B eines IP-Cops? :p :p :p

 

15 Benutzer gleichzeitig - ich würde mich zuerst um eine SDSL - Verbindung kümmern...

Share this post


Link to post
Share on other sites
Wieder Märchen von IT-Verkaufleute...

Darf ich ganz vorsichtig fragen?

Meinst Du ernst, dass die Installation einer Cisco-Firewall viel einfacher ist als z.B eines IP-Cops? :p :p :p

 

15 Benutzer gleichzeitig - ich würde mich zuerst um eine SDSL - Verbindung kümmern...

 

Will da etwa einer behaupten, eine IP-Cop gleichzustellen mit richtigen Firewall Appliances im Produktiv einsatz ???? :D

Share this post


Link to post
Share on other sites

Dass eine Appliance eines bekannen Herstellers zuverlässiger und damit besser für den Produktivbetrieb geeignet ist, als ein IP-COP dürfte doch klar sein, oder?

 

15 Benutzer gleichzeitig - ich würde mich zuerst um eine SDSL - Verbindung kümmern...

 

nicht nötg, haben wir schon!

Share this post


Link to post
Share on other sites
Will da etwa einer behaupten, eine IP-Cop gleichzustellen mit richtigen Firewall Appliances im Produktiv einsatz ???? :D

 

Ich würde sagen das ist abhängig vom OSI 8 der Firewall. :cool:

 

Eine IP-Cop mit vernüftiger Hardware darunter kann durchaus die

Vorgaben des TO erfüllen wenn er sich damit mal etwas beschäftigt.

 

Es gibt durchaus sinnvolle Erweiterungen für die IP-Cop und das

Budget wird auch nicht so belastet wie bei anderen Herstellern.

 

Im internen Netzwerk würde ich die Windows Firewall auf den

Clients einsetzen, denn jede Software welche zusätzlich installiert

wird birgt weitere Risiken und Schluflöcher welche man ohne diese nicht hätte.

Share this post


Link to post
Share on other sites

Hallo,

 

das ist natürlich auch eine Ansicht. Von SecurityMaker habe ich GateProtect empfohlen bekommen, gefällt mir auch sehr gut. Leider ist da nur der Preis. Und zu diesem Preis kämen ja noch die kosten für einen neuen Server.

 

Da kann ich meinem Chef nicht noch den Austausch von XP Home zu XP Prof. vorschlagen, das macht bzw. kann er nicht machen.

 

Was für Nachteile birgt denn XP Home, fassen wir mal zusammen. Mir fällt die Domänenfähigkeit ein. Aaabber, wie will ich Notebooks effektiv in einer Domäne betreiben, wenn sie sich niemals via LAN zum Server verbinden. Meines Wissens gibt es Dinge, die sich nur via LAN replizieren können und nicht per VPN.

Share this post


Link to post
Share on other sites

So, jetzt mal eine Frage zur Appliance, angenommen, das würde mit der GateProtect klappen, wie würdet ihr die NIC-Aufteilung machen?

 

Getrennte NICs:

 

1. Internetgateway

2. Terminalserver

3. Domänencontroller (mit den Datenbanken für den TS, den Daten etc.)

4. Switch des Büros, an dem die Notebooks (leider auch die privat mitgebrachten) und Desktops (derzeit noch ohne Domäne) betrieben werden

 

Hier stellt sich mir folgendes Problem:

 

Die Verbindungen z.B. zwischen TS und DC und zwischen Switch und TS bzw. Switch und DC müssten doch letztendlich mit so vielen offenen Ports versehen werden, dass sie aussehen, wie ein schweizer Käse :-) ?

 

Was meint ihr?

 

Danke!

Canni

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...