von Hohenstein 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Hallo zusammen, ich habe vor den Linuxrechner in unserer DMZ durch einen Win2kServer zu ersetzten. Was sollte ich tun, dass der Server dort halbwegs sicher ist. was tut man "normal"? Wie gesagt, der Server sitzt in ner DMZ einer Firewall und leitet die Mails weiter an unseren Mailserver. theoretisch sollte der Server doch schon relativ sicher sein, weil er hinter der Firewall sitzt?! Was würdet ihr zusätzlich tun? (es sollte wie immer wenig kosten!) Danke!! Gruß Michael Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Hallo, du schreibst zwei Dinge, die deine Frage etwas paradox klingen lassen. 1.) Ist der Linux-Rechner nicht sicher? Warum Windows? Schau dir die Anzahl der bekannten Sicherheitslücken an und vergleiche, was sicherer ist. 2.) Es sollte immer wenig kosten, was würdet Ihr tun? Vergleiche die Kosten für Linux und Windows-Server und überlege dann, ob dein Vorhaben sinnvoll ist. Grüße Olaf Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 1. März 2004 Autor Melden Teilen Geschrieben 1. März 2004 Da ich mich mit Linux nicht auskenne, und zudem den Server noch für andere Programme (die nur unter Win laufen) brauche ist es erforderlich. Das ist nicht die Frage. Die Frage ist wie bringe ich den Server billig sicher? Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Original geschrieben von von Hohenstein Die Frage ist wie bringe ich den Server billig sicher? Streiche die Wortkombination "billig" und "sicher" aus deinem Wortschatz. Wenn du bestimmte Anforderungen (sicher) hast ist alles andere (billig) nur zweitrangig! Wenn du eine Firewall mit DMZ (ich hoffe doch eine dedizierte Hardwarefirewall) hast ist das schon ganz gut. Du solltrest auf alle Fälle inen aktuellen Virenscanner darauf (Server) laufen haben und alle Ports die nicht genutzt werden auf der Firewall deaktivieren. Möglicherweise macht ein intrusion detection system (nicht billig) bei euch Sinn. Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 1. März 2004 Autor Melden Teilen Geschrieben 1. März 2004 ja, es ist eine dedizierte Hardwarefirewall. Virenscanner (Symantec Coperate Edition) ist vorhanden. Ports die nicht gebrauchtwerden sind zu. was bietet mir ein intrusion detection system genau? ich gehe davon aus, dass es mit medet (wie auch immer; vielleicht per mail) wenn jemand einen Angriff startet... und ist da noch was? über welche Preisklasse sprechen wir? Danke Dr.Melzer. Gruß Michi Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Ein IDS scannt den gesamten Datenstrom nach Mustern, die unüblich sind und so auf einen Angriff schliessen lassen. Je nach Konfiguration werden die verdächtigen Datenpakete verworfen oder nur gemeldet. Das alles passiert in Echtzeit und erfordert eine dedizierte Appliance, ähnlich wie eine Firewall. Einige Firewalls haben so etwas bereits rudimentär implementiert. Wir setzen die Produkte von NetScren ein. Die kleinste kostet um die 10.000,- Euro. Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 2. März 2004 Autor Melden Teilen Geschrieben 2. März 2004 ok, 10000€ habe ich nicht in meinem Budget. Aber ich erkundige mich nochmal genau, ob unsere Firewall das kann und wenn ja was sie mit den Packeten macht! Aber ich mein auf dem W2k Server selbst, muss ich da garnichts beachten, bzw einstellen, dass er "sicherer" wird? Sorry, wenn ich so "dumm" nachfrag, aber ich dachte immer einen Win-Server muss man erst sicher machen... Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 2. März 2004 Melden Teilen Geschrieben 2. März 2004 Original geschrieben von von Hohenstein Aber ich mein auf dem W2k Server selbst, muss ich da garnichts beachten, bzw einstellen, dass er "sicherer" wird? Sorry, wenn ich so "dumm" nachfrag, aber ich dachte immer einen Win-Server muss man erst sicher machen... Wenn du alle Servicepacks und sicherheitspatches installiert hast und lokal ein Virenscanner (auch für die Exchange Datenbank) läuft ist der Server sicher. Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 2. März 2004 Melden Teilen Geschrieben 2. März 2004 Hi, wie wäre es denn, wenn du den Mailkram auf Linux lässt und für die anderen Progs (welche müssen da eigentlich in der DMZ laufen?) einen zweiten Server hinbaust? Ich will dich keinesfalls von deiner Idee abbringen, möchte aber zu bedenken geben, dass mit sendmail/procmail o. ä. auf Linux eine einfache simple Datei reicht, um alle Mails problemlos umleiten zu können. Noch einfacher wirst du es nirgends finden (nicht mal bei Novell GroupWise ;)). Den Aufwand, den du für Exchange treiben musst, kann ich nicht genau abschätzen aber ich denke, einige Konfig-Fehler hast du am Anfang immer zu beseitigen, wohingegen der Linux-Mailer bereits läuft. Außerdem gebe ich zu bedenken, je mehr Dienste auf einem Server laufen, umso mehr Fehler können auftreten und umso mehr Patches musst du einspielen. Und das kostet wieder Zeit und Geld - und das habt ihr ja nach deiner Aussage nicht unbedingt in rauhen Mengen. ;) Wie gesagt, ich will dich nicht abhalten, aber ich kann es beim besten Willen nur sehr schwer nachvollziehen, dass die kleine Wissenslücke über Linux-Mailer der Grund sein soll, ein funktionierendes System komplett umzustellen und wieder bei Null zu beginnen. OK, damit es nicht wieder PNs hagelt, zur Sicherheit: Wie Dr. Melzer schon sagte, sicher und billig zusammen ist fast unmöglich. Um welche Größenordnung reden wir denn überhaupt? 10, 100, 10.000 User? Wie weitreichend wären die Folgen eines Ausfalls durch Viren oder Hacking? Je nach Antwort würde ich sagen, dass ein komplett gepatchter Win-Server hinter einer korrekt konfigurierten Firewall schon viel Wert ist. Bei größeren Userzahlen und höheren Ausfallkosten würde ich auch zu einem IDS greifen, aber nur, wenn Kostenaufwand und Schadenshöhe in einem vernünftigen Verhältnis liegen. Wobei verschiedene Rechner mit verschiedenen Diensten (und möglicherweise unterschiedlichen BS) das Risiko minimieren können. Also, Abschätzung der im GAU zu erwartenden Schadenshöhe, dann ein passendes System entwerfen und implementieren. (Planung ist hier fast alles.) Grüße Olaf Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 2. März 2004 Melden Teilen Geschrieben 2. März 2004 Da kann ich Olaf nur Recht geben, so etwas steht und fällt mit der richtigen Planung. Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 2. März 2004 Autor Melden Teilen Geschrieben 2. März 2004 ok, ich werde besonderes Augenmerk auf die Planung legen. ich will den Linuxserver los haben, weil es ein SUSE 8.1 System ist, das sehr anfällig ist (habe ich mir sagen lassen). Zudem habe ich keine Zeit mich so intensiv damit zu befassen, dass ich im Fehlerfall eingreifen könnte. Da ist mir Windows lieber. Wir haben <100 Mitarbeiter. Ein Totalausfall wäre doch recht erheblich (95% Arbeitsausfall). Einen Geldbetrag kann ich nicht abschätzen. Ich informier mich jetzt noch mal über ein IDS. Wenn aber die Kosten nicht in Relation zum Ausfall stehen, belass ich es mal bei einem "sicher"gepatchten Server hinter der Hardwarefirewall (DMZ). Oder hat da jemand starke Bedenken?? Danke für eure Einschätzung. Gruß Michael Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 2. März 2004 Melden Teilen Geschrieben 2. März 2004 Original geschrieben von von Hohenstein ..., weil es ein SUSE 8.1 System ist, das sehr anfällig ist (habe ich mir sagen lassen). Nur Interessehalber: was haben deine Experten im Vergleich zu Windows gesagt? Augenmerk auf Planung ist OK, und lieber dreimal testen, als einmal zu wenig! Welche SW möchtest du auf Windows noch einsetzen? In der DMZ sollte nicht jedes Programm laufen, zumal ich einen Exchange-Server als kritische Application einstufen würde. Grüße Olaf Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 2. März 2004 Autor Melden Teilen Geschrieben 2. März 2004 Mein Linuxexperte hat gemeint, dass das Linuxsystem so anfällig ist, wie ein nacktes windows. Bei der Software handelt es sich um Symantec SMTP-Gateway. (bei der Enterprise Variante dabei) mit Spamfilter. evtl. noch einen Web-Contentfilter.(auch dabei) Ich möchte das Programm nutzen, wenn wir es schon haben. Wir haben nämlich immer das Problem, dass wenn wir Mail in Exchange an externe Adressen weiterleiten, umgehen sie den Virenscanner. Dann bekommt der jenige sämtliche Viren ab. der SMTP Gateway sollte das verhindern. Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 2. März 2004 Melden Teilen Geschrieben 2. März 2004 Na, OK :) Danke auf jeden Fall für die ergänzenden Infos. (SuSE8.1 ist wirklich nicht besonders, 7.3 oder 8.2 sind die stabilen Produktivsysteme). Und wenn ihr das SMTP-Gateway für Windows eh da habt, kann ich mich mit Linux-Vorschlägen wohl wieder auf die Backe legen. :D Viel Glück und gutes Gelingen Olaf Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 2. März 2004 Melden Teilen Geschrieben 2. März 2004 Hi mullfreak hat mal in Tipps&Links was zum Härten des IIS geschrieben. Die Punkte zum Hardening des TCP/IP-Stacks kölnnten auch für Dich interessant sein ! http://www.mcseboard.de/showthread.php?s=&threadid=3670 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.