Jump to content
Sign in to follow this  
Ostfriese

Low Cost DMZ ? Server-Layout?

Recommended Posts

Hallo Board,

 

Habe mal ne Frage:

 

Mein Arbeitgeber möchte gerne im eigenen Bereich die eMail-Konten der Mitarbeiter und die Homepage der Firma hosten.

Beides liegt im Moment auf Servern bei nem externen Anbieter, zu dem alleirdings das Vertrauen schwindet.

 

Internetanbindung mit statischer IP ist in Arbeit..

(Sollte innerhalb der nächsten Wochen geschaltet sein..)

 

 

 

Habe auch schon einen "netten" Entwurf erarbeitet mit ner 3-homed-Firewall.

Sieht in etwa so aus:

 

[INTERNET]

|

Firewall (ISA06) -- [DMZ]: Exchange, Web (IIS, evtl NLB)

|

[LAN]

2 DC's

FileServer

PrintServer

Exchange

(RRAS)

((SharePoint))

 

 

Was sagt Ihr zu der generellen konfiguration??

Kommentare?

Anmerkungen?

 

!!! Grosses Problem:

Mein Arbeitgeber will nicht so viel Hardware kaufen!

Haben im Moment 5 Maschinen und insgesamt bräuchten wir 8 (9 bei NLB) [11 mit RRAS und SharePoint] Maschinen...

 

Welche Funktionen kann ich sinnvollerweise auf einer Maschine zusammenfassen?

Sollte ich in der DMZ 2 Maschinen installieren, oder können Exchange und die Firmen-Webseite (mit IIS + einem CMS) auch auf einer Maschine gemeinsam laufen?

 

Was würdet Ihr empfehlen??

Hat damit schon jemand Erfahrung??

 

 

Gruß

Ostfriese

Share this post


Link to post
Share on other sites

Hallo Südschwede :D

 

Wieviele Clients hängen denn hintendran im Netzwerk ?

 

Du könntest den DMZ Bereich virtuallisieren und als Web einen Linux nehmen ( Kosten ).

Was soll der RRAS im internen Netzwerk machen ? ISA ?

Share this post


Link to post
Share on other sites
Was ist daran keine richtige Firewall ? Begründung ?

 

In vielen/den meisten Szenarien steht der ISA hinter einer Firewall oder in der DMZ als Proxy und nicht als Firewall selbst, da er trotz seiner Sicherheitsfeatures nicht gern als Firewall fürs LAN benutzt wird!

 

Wahrscheinlich weil niemand gern nen Windows OS direkt ausm Internet erreichbar sehen möchte!

 

Korrigier mich wenn ich mich täusche!

 

Gruß

Stallion

Share this post


Link to post
Share on other sites

Hallo

 

Erstmal Danke für die schnellen Antworten...

 

 

Noch ein paar Bemerkungen zu den Randbedingungen, denen ich hier ausgesetzt bin.

 

1) Nutzer

Habe hier etwa 100 Nutzer im Netz.

 

2) KEIN LINUX

a) Wir haben hier keinen, der mit Linux als Admin gut genug klar kommt und

b) sagt die Written-Secrurity Policy, das LINUX auch nicht erlaubt ist.... (sind an ne größere Firma angegliedert und die geben uns einige Randbedingungen vor...)

 

3) ISA 2006 ist vorgegeben

a) hatten vorher ISA 04 und es lief gut

b) wenn die Führung schon kein Geld für 'nen Server ausgeben mag, dann erst recht nicht für 'ne neue Firewall..

 

4) Aufgabe RRAS

Es ist grob angedacht, einigen Nutzern, die oft unterwegssind 'ne Einwahlmöglichkeit zu geben, um auf die Fileserver zugrefen zu können..

Der ISa würde dann als VPN endpunkt konfiguriert werden..

 

 

So, genug zu den Randbedingungen...

 

Jetzt habe ich noch ein paar fragen:

ESX ? sind das Exchange?

Wenn ja, habe doch 2 Stück eingeplant..

1 in der DMZ (nur zum aufschlagen und weiterleiten) und

1 im LAN (als eigentlichen ExchangeServer..)

Oder stehe ich hier grade voll aufm Schlauch....

 

 

Gruß

Ostfriese

Share this post


Link to post
Share on other sites

Ich wollte damit eigentlich auch nur sagen, dass der ISA nicht gern als Firewall eingesetzt wird...und lass mich wie oben geschrieben auch gern korrigieren!

 

Wollte den ISA auch gar nicht schlecht machen...

 

Das Zertifikat ist natürlich spitze...ist vermutlich aber auch eine Frage des Preises und nicht der Qualität oder der Funktionen...oder?

Share this post


Link to post
Share on other sites

XP-Fan meinte mit ESX den VMWare ESX Server, der es erlaubt mehrere Virtuelle "Gäste" auf einem physikalischen Server laufen zu lassen...tolle Idee mit vielen Möglichkeiten und sehr flexibel, aber auch kostspielig!

 

Bin mir nicht sicher ob das für deine Randbedingungen OK ist...also Preis in dem Fall!

 

Gruß

Stallion

Share this post


Link to post
Share on other sites
Off-Topic:

XP-Fan meinte mit ESX den VMWare ESX Server, der es erlaubt mehrere Virtuelle "Gäste" auf einem physikalischen Server laufen zu lassen...tolle Idee mit vielen Möglichkeiten und sehr flexibel, aber auch kostspielig!


Bitte projeziere nicht Gedanken von dir auf Andere welche nicht dem entsprechen was gemeint ist ! :cool:

Share this post


Link to post
Share on other sites

In der DMZ würde ich alles auf eine Maschine packen. Bei 100 Benutzern ist es denke ich nicht so wild. wie viele Benutzer gehen auf die Website wenn du über NLB denkst.

 

Im LAN solltest du auf jedenfall an eine Virtualisierung denken! ESX wäre natürlich perfekt. Schau dir dort mal die recht günstigen Start-Pakete an und auch den ESX 3i. Da ist für jeden etwas dabei und du kannst alles mit 2 Maschinen abdecken.

Share this post


Link to post
Share on other sites

Hi

@ XP-Fan

Deine aussage der BSI-Zertifizierung ist ein bisschen Missverständlich.

Richtig ist die ISA 04 ist nach Common Criteria von der BSI Zertifiziert worden.

Nach Common Criteria sind aber auch z.B. Oracle Server, Suse SLES8, IBM Websphere usw. Zertifiziert.

Und Firewalls sind Dutzende Zertifiziert

siehe Common Criteria - Consumers - General information

 

Und beweist das die Sicherheit eines ISA-Servers?

Oder die wirkliche Eignung als Internet-Firewall?

 

have a nice day

Share this post


Link to post
Share on other sites

[INTERNET]

|

Firewall (ISA06) -- [DMZ]: Exchange, Web (IIS, evtl NLB)

|

[LAN]

2 DC's

FileServer

PrintServer

Exchange

(RRAS)

((SharePoint))

 

 

Was sagt Ihr zu der generellen konfiguration??

Kommentare?

Anmerkungen?

 

Der Einsatz von Exchange in einer DMZ ist relativ sinnfrei (ausgenommen Exchange 2007 Edge). Da das Teil Mitglied der Domäne ist und auch mit entsprechend vielen Ports mit bspw. dem DC kommuniziert. D.h. du müßtest deine DMZ so "löcherig machen", dass sie nicht mehr wirklich nutzt. Einfacher wäre bspw. der Einsatz des ISA 2006 (schon erwähnt im Thread) und die korrekte Konfiguration im Zusammenspiel mit dem Exchange Server.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Hi,

 

ganz allgemein noch zum Thema Sicherheit bzw. Aufbau der Umgebung. Der von dir gewählte Aufbau mit einer Firewall kann keine richtige DMZ zur Verfügung stellen, da eine solche immer zwischen zwei Firewalls stehen sollte (siehe dazu auch Windows Server How-To Guides: Home - ServerHowTo.de. Wenn dein Chefe nicht bereit ist ein paar Euro mehr für Hardware zu zahlen, dann solltest du die Verhandlungen evtl. anderst aufziehen (Verfügbarkeitsanforderungen, Wichtigkeit der Daten, Folgen eines Datenverlustes...)

 

Gruß

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...