Grundsätzliche sicherheitsfragen und Bitte um Tipps

[Snowman_24 11]

Liebe Forumsgemeinde,

 

ich bin mir gerade nicht sicher, ob ich hier richtig bin.

Zu meiner eigenen Netzwerkinfrastruktur habe ich einmal ein paar Fragen an Euch, da langsam aber sicher ein "Wechsel" anstehen würde und würde mich sehr darüber freuen, wenn Ihr mir ein paar Tipps geben würdet und könntet.

 

Zuerst einmal hier eine kleine Übersicht, über mein bestehendes Netzwerk:

 

- Business-DSL-Anschluss bei M-Net mit fester IP (18000kBit Down/1024kBit Up)

- Thomson ADSL2+ Modem Speedtouch 536iV6

- Cisco RV042 Dual-WAN-VPN-Router

- Proxgate Firewall-Server (de.proxgate.com = PIII 1000MHz/1024MB RAM/3x Intel GBit LAN/80GB HDD im RAID = Spiegelung)

- Windows SBS 2011 Server (HP Proliant DL 380 G5 / 2x Xeon Quad / 16GB RAM / 8x 250GB 2,5" HDD)

- mehrere Windows XP und Windows 7 Prof. Clients (sowohl Notebooks, als auch Desktop-PC's und auch ein Windows 7 Phone)

 

Das ganze ist in dieser Reihenfolge verdrahtet:

 

-> M-Net-DSL -> DSL-Modem -> Cisco RV042 -> Proxgate -> (D-Link DGS1016 Gigabit Switch) -> Windows Domänen-Netzwerk

 

Im Proxgate-Rechner ist noch eine weitere Netzwerkkarte verbaut, für ein eigenes Subnetz, in welchem ich in der Werkstatt Kunden-PC's repariere.

Dieses Subnetz hat nur Zugriff auf das Internet, nicht aber Zugriff auf das Windows Domänen-Netzwerk, ausser über eine manuell aufzubauende VPN-Verbindung.

 

Alle Server-Einrichtungen sind in 19" Gehäusen in einem 2,20m Server-Schrank verbaut. Auch der alte Proxgate-Rechner ist in einem 19" 4HE-Gehäuse verbaut.

 

Der Proxgate-Rechner "schnauft" allerdings, aufgrund seines Alters, doch schon aus dem "letzten Loch".

 

Der Proxgate-Rechner übernimmt im Moment diese Aufgaben für mich:

 

- Firewall (2. Firewall hinter dem Cisco-Router)

- Mail-Server mit Filter (AntiSpam und ClamAV-AntiVirus)

- PPTP-VPN-Server

- Portforwarding (Port 443/HTTPS)

- Mail-weiterleitung an den nachfolgenden MS Exchange 2010 (SBS2011)

- 2. Subnetz für Arbeitszwecke (DMZ)

 

Alle Emails, welche ich auf meinen beiden Domains bekomme, werden direkt an meine IP-Adresse über SMTP (=25) gesendet und der Cisco-Router gibt diese Mails über SMTP-Port 25 an den Proxgate-Rechner sofort weiter.

Der Proxgate-Rechner braucht dann ca. 2 Minuten, um die eingehenden Mails zu prüfen und schickt sie dann an meinen Exchange weiter.

 

Das klappt soweit alles recht gut.

 

Jetzt wäre meine Überlegung die, den Proxgate-Rechner, aus altersgründen, langsam ausser Betrieb zu nehmen und die gesamte Lösung über den Cisco-Router zusammen mit ProtectLink-Gateway (inkl. 25 Benutzer/1JahresLizenz) abzuwickeln.

 

Grund für das Ganze ist zum einen, dass ich nicht möchte, dass mein Exchange direkt über meine externe IP-Adresse erreichbar und somit angreifbar ist.

 

Was haltet Ihr davon oder habt Ihr eine bessere Idee?

 

Kennt Ihr die ProtectLink-Lösungen?

 

Was passiert mit den Mails, wenn mein DSL-Anschluss ausgefallen wäre - bleiben die dann solange im "TrendMicro Hostet Email Sercurity" und werden dann zugestellt,wenn mein DSL-Anschluss wieder verfügbar ist oder gehen die Mails verloren?

 

Jetzt gehts aber noch weiter.

 

Ich nutze von dem SBS 2011 den "Remotewebzugriff" sowie "OWA" und "OMA" über den HTTS-Port 443 fast ständig von extern.

Diesen Datenverkehr leite ich ja trotzdem per Portforwarding auf meinen SBS2011 weiter.

 

Wie sicher ist das denn - habt Ihr eine bessere Idee?

 

Als Sicherheitslösung im Windows Domänennetzwerk kommt bei mir die Symantec Endpoint Protection SMB zum Einsatz.

 

TrendMicro bietet hier auch eine eigene Version, nämlich die ProtectLink Endpoint an.

 

Ist das eine gute Alternative zum SEP?

 

Ich weiß, das war jetzt viel Text und noch viele Fragen.

Über ein paar Antworten, Ratschläge oder Tipps, natürlich auch Kritik würde ich mich wirklich sehr freuen.

 

Viele Grüße und DANKE

 

Marcus

[Snowman_24 11]

Vielleicht sollte ich meine Wünsche noch schreiben:

 

Was möchte ich:

 

Eine Maschine, gerne im 19"-Format, welche:

 

- ein ADSL2+-Modem (gerne auch mit VDSL-Modem) integriert hat

- Email-Filterung mit einer "Abschottung", "Filterung" und/oder "Prüfung" des SMTP-Ports 25 mit Protokollierung besitzt

- Firewall ist, welche die offenen Ports (z.B. https 443) Protokolliert und wo ich anhand der Protokolle auch manuell einzelne IP-Adressen sperren kann (Angreifer)

- VPN-Server ist oder eine sichere VPN-Lösung anbietet, damit ich von extern, z.B. über meinen UMTS-Stick, mich in mein Netzwerk einwählen kann (wenn möglich, besser gesichert, als PPTP)

- ein weiteres Subnetz anbietet (z.B. DMZ)

- nicht 200 Watt Strom andauernd verbraucht

- eventuell auch Gigabit-Netzwerk-Ports besitzt

 

Gibts da eine passende Lösung für mich?