Jump to content
kosta88

IPs der Server ändern

Recommended Posts

Hallo,

 

unsere Server sind aktuell im selben Netzwerk-Segment wie auch die Clients und alles andere praktisch.

Getrennt sind LAB-Netzwerk und Gast-WLAN.

Um die Sicherheit zu erhöhen, möchte ich die Server in ein oder mehrere separate Netze aufteilen. Oder sogar nur das Netzwerk segmentieren.

Aktuell sind VLANs wohl im Einsatz, werden im LAB-Netzwerk verwendet.

Sauberere Lösung finde ich auf jeden Fall die separaten Netze - im Troubleshooting Fall auf jeden Fall leichter die Fehler zu finden.

Ich so einem Fall kann ich auch zusätzlich mit VLANs trennen, sodass die Trennung am Switch ebenso passiert.

Das wird wohl ein Projekt, daher schaue ich nach Tipps wie ich das am besten angehen sollte.

Wir haben mehrer VMs die lediglich eine oder ein paar Rollen spielen, als einen Server der vieles oder alles macht.

Hier mal so ein Überblick:

9 RDS Hosts (9 Sammlungen)

RDC-Broker

2x Applikation-Server (einer ist Remote-App)

Backup-Server (Nakivo)

CA

2x DC

Exchange (installiert, aber noch nicht produktiv, aktuell wird Office365 eingesetzt)

File-Server

2x Management (Dienste wie WSUS, WDS, Printserver, NPS, KMS)

SQL

 

Was wären eure Ansätze dazu?

Danke

Edited by kosta88

Share this post


Link to post
Share on other sites

Prinzipiell eine gute Idee.

Eine Aufteilung der Netze erhöht aber nicht per se die Sicherheit. Bei meinem alten AG waren die Netze ebenfalls aufgeteilt, allerdings fest per Routing-Switch geroutet. Vom reinen Sicherheitsaspekt her war das jetzt kein wirklicher Vorteil da jeglicher Traffic zwischen den Netzen erlaubt war. Die Segmentierung erhöht aber die Stabilität des Netzwerks, da bestimmte Netze prioisiert werden können (z.B. VoIP).

Bei meinem jetzigen AG sind die Netze per Firewall geroutet. Da ist natürlich ganz genau einstellbar, welche Dienste/Ports zwischen den Netzen kommunizieren dürfen. Der Aufwand der FW-Regeln ist dabei nicht zu unterschätzen!!!

Auch solche Dinge wie z.B. WOL müssen dabei bedacht werden. Funktioniert dann eben nicht mehr so einfach.

Bei uns gibt es eine strickte Trennung für: 

  • Management (Switche, VM-Hosts, Backup, usw.)
  • Server
  • Client
  • Printer
  • Wifi
  • VoIP  

 

Edited by monstermania

Share this post


Link to post
Share on other sites

Ja, das ist klar. Aktuell ist es auch so, dort wo möglich (separates Netzwerk) - die Firewall erlaubt nur gewisse Zugriffe auf die Server. Bspw. die VPN-Clients.

Du hast jedoch Recht, es Bedarf einiges an Planung und Zeit...

WOL - danke, das ist eben ein Thema! Einzig wo wir WOL einsetzen sind Windows Updates, die Clients werden in der Nacht geweckt um Updates zu machen. Danke für den Hinweis.

 

Wir sind insofern begrenzt, dass wir sowohl eine interne Server-Umgebung, wie auch eine "externe" ASP-Umgebung haben. Und die ASP-Umgebung hat ein IP-Kreis den ich nicht ändern kann - d.h. die Clients müssen sich in dem Netzwerk befinden, um auf die ASP-Farm draufzukommen. Wenn ein Drucker in einem anderen Netz wäre, müsste man den in das ASP-Netzwerk NATen.

Das bedeutet dass ich eigentlich relativ begrenzt bin, was ich verschieben kann, aber auf jeden Fall das ganze Netzwerk-Management wie du oben erwähnt hast. Ich befürchte es müsste einer der APP-Server im Client-Netzwerk bleiben. Alternativ müsste ich sehr aufwändige NAT-Rules bauen, um nur genau die Ports zu NATen die auch zum ASP-Netzwerk gehen müssen. Ein Routing alleine mit Firewall-Rules tut's hier nicht.

Edited by kosta88

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...