firefox80 10 Geschrieben 12. Februar 2005 Melden Teilen Geschrieben 12. Februar 2005 Hallo! Ich bin verantwortlich für ein kleines Firmen Netzwerk (SBS2003 Server und 13 2000SP4 Clients und 8 user) Wir verwenden auch Exchange und es läuft momentan problemlos. Da wir keine Backup Lösung haben, haben wir uns entschieden den öffentlichen Mailserver bei unserem Provider zu lassen und holen uns dort die mails vom pop3 ab. (Der Provider filtert uns auch spam und viren aus) Unsere Infrastruktur sieht so aus dass DSL-Router, Server und Clients gleichberechtigt am Switch hängen. Vom Router werden keine Ports weitergeschaltet. Wir haben Norton AV Corporate laufen um uns von intern eingeschläusten Viren und Trojanern zu sichern. 1. Wichtige Frage: Wie sicher ist diese Lösung gegen Hacker? Es wird sich in nächster Zeit die Anforderung ergeben OWA zu nutzen. Reicht es wenn ich da den betreffenden Port am Router frei schalte oder sollte ich die Gasamte Infrastruktur ändern??? Ich hab mir das so vorgestellt: Der DSL Router hängt direkt am Server. Dieser hat dann eine 2. Netzwerkkarte und wird so mir dem Switch verbunden, wo alle Clients drauf hängen. Ist das hinsichtlich Sicherheit besser? Dann müsste ich am Server auch Routing konfigurieren damit die Clients ins INet kommen oder? Der Server wird bei den Clients als Gateway eingetragen? Die nächste Ausbaustufe wird ein eigener FTP Server sein. Zweckmäßig würde ich einen eigenen Rechner mit Server 2003 Web Server Edition einsetzen. Dort hin werden dann vom Router auch die ports 20 und 21 geleitet. Sollte ich diesen FTP-Server dann an den Switch hängen oder an einen weiteren Port am Router? Wie notwendig ist der Einsatz einer Hardware Firewall? Sollte zusätzlich eine Software Firewall verwendet werden? Software Lösung? ISA Server? Andere Produkte? Oder reicht es dass ohnehin keine anderen Ports vom Router weitergeleitet werden? Was ist am Router unter der DMZ Option zu verstehen? werden dann alle Ports an diesen Rechner weiter geleitet? Das waren jetzt eine Menge Fragen und hoffe dass ihr mir weiter helfen könnt, weil über dieses Thema habe ich noch nicht viel übers google finden können. Also Vielen Dank im Voraus Zitieren Link zu diesem Kommentar
robotto7831a 10 Geschrieben 12. Februar 2005 Melden Teilen Geschrieben 12. Februar 2005 Hallo, ein DMZ ist eine Demilitarisierte Zone. Diese wird zwischen internen Netz und Internet geschaltet. Und in diese Zone kommen z. B. Webserver, FTP Server oder Exchange Server (Front End Server) die vom Internet aus erreichbar sein sollen. Eine Firewall kann nie schaden. Wie Du es jetzt vor hast stehen einem Hacker wenn er das erste Hindernis überwunden hat Tür und Tor offen. Die DMZ ist ein eigens Netz für sich. Und hat nur eine einzige Schnittstelle zum internen Netz. Wo wieder eine Firewall steht. Ihr habt kein Backup? Was macht ihr wenn eure Putzfrau mal den Stecker vom Server zieht und irgendwelche Dateien beschädigt sind. Frank Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 12. Februar 2005 Autor Melden Teilen Geschrieben 12. Februar 2005 Gehört zwar nicht wiklrich zum Thema aber wir haben zur Sicherheit ein RAID5 System und eine USV. Aber eben keinen 2. DC oder DNS. Mich würde eher interessieren wie die einzelnen Geräte untereinander verkabelt werden. Momentan hängt ja alles gleichartig am Switch (Server, Clients und DSL Router) Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 12. Februar 2005 Melden Teilen Geschrieben 12. Februar 2005 Hallo Jeder Einsatz von Exchange OWA ohne Hardwarefirewall (Cisco PIX, Zywall o.ä.) und ohne HTPPS in einem Firmenumfeld ist tunlichst zu unterlassen. Grund: Der Port 80 auf dem OWA läuft ist so bekannt, wie das Deutsche Bier :D . Eine Norton Corporateimplementation ist sicher i.o. aber gradso wichtig ist, dass die Clients alle einen aktuellen Patchlevel haben. (Ich hatte einen Kunden der hat für einige hundert Glocken ein Corporate Antivirus gekauft. Letztendlich lümmelten sich in seinem Netz kiloweise Viren herum, da kein PC Hotfixes nichtmal SP1 vom XP draufhatten). Die Verkabelung ist ok. Der Server muss auf demselben Switch sein wie die Clients. Allerdings ist wichtig, dass der 1. DNS Server im Netz der Domaincontroller ist und dieser ueber DNS Weiterleitung den externen DNS-ISP erreichen kann. Ein zweiter DC ist sehr empfehlenswert jedoch eine Geldfrage. Bei weniger als 10 Benutzern würde ich täglich ein Systemstatebackup machen (script). Das einzig sauber arbeitende Backupprogramm fuer AD ist ntbackup. Ein DNS Server habt ihr bereits in Betrieb sonst würde AD nicht funktionieren. Der DSL Router muss direkt auf den Switch. Sonst muss der Server zusätzlich die Routingservices installiert haben und das ist nicht sinnvoll. Eine Netzwerkkarte in den Server, dieser gemeinsam mit den clients auf denselben Switch peppen. Das ist alles. Raid5 ist keine Sicherheit, verhilft im Crashfall lediglich den Server noch sauber runterzufahren. Einzige Sicherheit validiertes Backup. USV ist ein Muss für jeden Server. Wo ich eine Sicherheitsoptimierung sehe, ist, Auftrennung SBS in Domaincontroller und zusätzlicher Exchangeserver. Letzter in einer DMZ betreiben. Damit musst Du aber den SBS Server (der nicht updateberechtigt ist) Ersetzen mit 2 Windows 2003 Servern. Das geht aber ganz ordentlich ins Geld. Mit einem SBS kann keine ordentliche Sicherheit mit DMZ etc. gemacht werden, da das alles allinone ist. In diesem Zusammenhang müsstest Du anschauen, wieiviele Leutchen draufzugreifen. Für den WEB Server genügt der Windows 2003 Standart Server vollkommen. Wir setzen bei uns nix anderes ein und haben tüchtige FTP Systeme (SAP R/3) mit grossem Durchsatz. Gruss, Matthias Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 12. Februar 2005 Melden Teilen Geschrieben 12. Februar 2005 Hi Firefox, ich hab a bisserl wenig Zeit (Wochenende Samstag Abend klar) - deswegen nur kurze Antworten Kleine Hardware Firewall ist bezahlbar - und sollte implementiert werden! DMZ = Demilitarisierte Zone hier gibts mehr Basiswissen: http://de.wikipedia.org/wiki/DMZ Die IP die du unter dem Punkt DMZ im Router einträgst ist vom Internet und zum Internet raus völlig frei erreichbar (kein Portfilter). Für OWA ist schon mal Https eindeutig zu empflehen und Port 80 gleich garnicht am Router freigeben. Vielleicht würde dir auch eine VPN Lösung aussreichen. Für alle englischsprechenenden ein interessanter Artikel im SBSBlog zum Thema: http://msmvps.com/bradley: An open port is a hole is a weakness is a entry is a ... GOT IT? Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 15. Februar 2005 Autor Melden Teilen Geschrieben 15. Februar 2005 1. Ich würde einen anderen Port als 80 verwenden 2. sind die clients duch einen SUS server am aktuellen stand 3. Um die sicherheitsproblematik zu verstehen: Wie trickst man einen Router aus? Kommt man auch daran vorbei wenn keine Ports weitergeleitet werden? (Abgesehen durch Trojaner) Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 15. Februar 2005 Melden Teilen Geschrieben 15. Februar 2005 Hallo 1. Ich würde einen anderen Port als 80 verwenden Dürfte mit OWA mit Standart Exchange 2003 schwierig sein. Ports können gepolt werden ... 2. sind die clients duch einen SUS server am aktuellen stand Sofern der SUS richtig konfiguriert und implementiert ist ja. Sicherheitshalber TESTEN. 3. Um die sicherheitsproblematik zu verstehen: Wie trickst man einen Router aus? Kommt man auch daran vorbei wenn keine Ports weitergeleitet werden? (Abgesehen durch Trojaner) Das werde ich kaum in einem offenen Forum beantworten (siehe Boardregeln). Soviel jedoch wenn kein NAT und kein Portforwarding besteht wird auch Exchange OWA nicht funktionieren Gruss, Matthias Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 15. Februar 2005 Autor Melden Teilen Geschrieben 15. Februar 2005 Noch ein paar SBS spezifische Gedanken: 1. Ein zusätzlicher Server wird mir aus finanziellen Gründen nicht genehmigt. 2. Gibt es doch beim SBS in der Exchangeeinstellung die Möglichkeit ihn als Front-End-Server festzulegen. Jetzt stell ich mir eine Lizenzrechtliche Frage: Dachte in einer SBS Domäne ist genauso wie nur er als einziger Server DC sein darf er auch der einzige Exchange Server. Oder kann man einen 2. SBS dazu hängen (einer Front-End, einer Back-end) 3. Würde ich den FTP Server auf einen nicht mehr gebrauchten PC legen, der nicht in der Domäne ist. (Er wird nicht häufig verwendet und es macht auch nichts wenn er ausfallen sollte) Damit sollte doch Sicherheit vorhanden sein, dass wenn man auf den FTP kommt der Zugriff ins Arbeitsnetzwerk verhindert wird? Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 15. Februar 2005 Melden Teilen Geschrieben 15. Februar 2005 Hallo 1.+2. Kurz und bündig. NEIN. Ein SBS kann nicht als Frontend-Backend benutzt werden. Ein weiterer SBS Exchangeserver kann nicht dazugenommen werden. Allerdings ein beliebiger Exchange 2003 Server als Memberserver, welcher jedoch eine Serverlizenz und entsprechende CALs benötigt. 3. Wäre eine mögliche Idee .. Gruss, Matthias Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 15. Februar 2005 Autor Melden Teilen Geschrieben 15. Februar 2005 Dann sag mir doch bitte zumindest wie sicher du ein Netzwerk einschätzt, dass einen Router mit NAT verwendet aber keine Ports nach innen weiterleitet Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 15. Februar 2005 Melden Teilen Geschrieben 15. Februar 2005 Hallo Für eine Firme unsicher, denn NAT ist keine Sicherheit. Gruss, Matthias Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 15. Februar 2005 Autor Melden Teilen Geschrieben 15. Februar 2005 kannst du das beschreiben/erklären? ohne nat kommen ja die user ja nicht ins internet. ;) aber von draussen dürfte doch niemand rein kommen, das versteh ich nicht Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.