Jump to content
Sign in to follow this  
posterme

Eigenständige Entwicklungsdomäne innerhalb der Firma

Recommended Posts

Hi,

 

folgende Situation:

 

Wir benötigen für unsere externen Kunden eine Enwicklungsumgebung, auf der die Kunden und wir gemeinsam an den Projekten arbeiten.

Nun sollen die externen Kunden aber nicht in der Lage sein, von ihrer enwicklungsdomäne auf unsere normale firmendomäne zuzugreifen. Wir müssten jedoch schon in der Lage sein, auf das Entwicklernetz mit unseren normalen Firmenaccounts zu anmelden.

 

Es sollten 2 Subnetze gebildet werden:

 

Firma.de 10.0.42.0

Entwicklung-Firma.de 10.0.44.0

 

 

Wie können wir das am sichersten realisieren ? Über eine unidirektionale Vertrauensstellung ?

 

Hier noch eine kleine Visio-Zeichnung zur Veranschaulichung ;)

 

http://img380.imageshack.us/img380/9895/entwicklungsdomnezx4.jpg

 

 

Danke im Voraus !

Share this post


Link to post

Wir reden hier von W2K-oder-höger Domänen, richtig?

 

Mach doch nen neuen Forest mit einer unidirektionalen Vetrauensstellung - ist soweiso besser da auch das SChema anders sein darf. Ausserdem würde ich in einem Forest nicht an den transitiven Vertauensstellungen basteln - kann Ärger geben.:shock: ;)

Share this post


Link to post
Wie können wir das am sichersten realisieren ? Über eine unidirektionale Vertrauensstellung ?
Am Sichersten wohl durch physikalische Trennung der Netze und eine Firewall dazwischen.

 

Eine Vertrauensstellung ist für die Authentifizierung da.

Share this post


Link to post

zum 1. : ja, es ist ne 2k3-Umgebung

 

zum 2. : soweit war ich auch mit unseren überlegungen, das wir beide netze in verschiedene subnetze einteilen.

Hätten für eine Firewall einen ISA-Server 2004 zur freien Verfügung

 

Aber wie realisieren wir dann den Zugriff von der Firma.de-Domäne auf den Entwickler-Firma.de-domäne ?

 

Über Routing ?

 

Ich hab mal was gehört, wenn ich auf einer Seite den Standardgateway freilasse, sind diese ja nicht in der Lage in das andere Netz zu routen oder ?

Könnte das weiterhelfen ?

Share this post


Link to post

So es sich um Netze verschiednener Adressbereiche handelt ist Rotung wohl nötig. Die FW muss eine Eindringen in euer Firmennetz über das Entwicklungsnetz verhindern.

 

Ich bin in den Einzelheite zum Konfigurieren der Firewall dazu nicht bewandert. Vom Prinzip her müsste es doch ähnlich wie bei einem Internetzugang sein, von aussen hat niemand Zugriff (erstmal).

 

Was da mit dem Standard-GW zu tun hat, ist mir im Moment fremd.

 

Ich frage mich allerdings, was soll das für ein Zufriff sein von eurem Firmennetz aus auf das Entwicklungsnetz. Müssen da alle Rechner zugreifen können?

Share this post


Link to post

Ich frage mich allerdings, was soll das für ein Zufriff sein von eurem Firmennetz aus auf das Entwicklungsnetz. Müssen da alle Rechner zugreifen können?

 

Unsere eigenen Entwickler sollen zukünftig auch auf dieser Maschine entwickeln,

und die sollen ja auf alles Zugang haben, auch auf unsere internen SQL-Server.

 

Die Kunden/Partner von extern sollen nur den SQL-Server sehen, der in der Entwickler-Domäne steht, und auf KEINEN FALL unsere intern SQLs mit unseren vertraulichen Daten

Share this post


Link to post

Es gibt die Möglichkeit, Grafiken anzuhängen. Diese Attachments werden dann von den Moderatoren freigegeben. Es muss nicht unbedingt als IMG-Tag eingebunden werden...

 

 

Oder so :D ...

Share this post


Link to post
Unsere eigenen Entwickler sollen zukünftig auch auf dieser Maschine entwickeln,

und die sollen ja auf alles Zugang haben, auch auf unsere internen SQL-Server.

 

Die Kunden/Partner von extern sollen nur den SQL-Server sehen, der in der Entwickler-Domäne steht, und auf KEINEN FALL unsere intern SQLs mit unseren vertraulichen Daten

Ich habe für diesen Fall keine Erfahrung.

 

Die Abschottung des Firmennetzes vom Entwicklungnetz aus muss wohl durch eine FW aus geschehen, zwischen zwei Netze unterschiedlicher IP-Segmente gehört ein Router, das ist klar. Die Eignung des ISA 2004 kann ich nicht wirklich beurteilen. Es ist doch wohl ein Server mit einem MS-Serverbetriebsystem drauf. Der ist ja wohl als Router und FW einsetzbar. Ich hatte ursprünglich an etwas einfacheres, preigünstigeres gedacht. Falls das gerät und System aber vorhanden ist und kein Brot frisst, ist es nicht so wichtig.

 

Von eurem Netz aus werdet ihr wohl per RDP auf das Entwicklungsnetz zugreifen wollen? Wegen der Authentifizierung wäre eine Vertrauensstellung wohl wünschenswert.

 

Mehr kann ich leider nicht sagen dazu.

 

Möglicherweise kommen ja im Laufe des Nachmittags und Abends noch andere Vorschläge und Meinungen dazu.

Share this post


Link to post

joa genau so isses lefg,

 

vertrauensstellung, damit wir unsere internen ACCs mitnehmen können,

 

2 verschiedene netzte wegen sicherheit ( wollen wir über ISA 2004 machen )

 

vielleicht hat ja einer sowas oder so ähnlich schon realisiert,

 

ich hoffe noch auf viel response !

 

danke derweilen ;)

Share this post


Link to post

Genau dass, möchte ich bei uns in der Firma realisieren. Wir haben auch Kunden mit denen wir gemeinsam an Projekten arbeiten und unsere Daten nicht auf externe Sever auslagern möchten. Ich habe die physikalische Nähe zu meiner Serverfarm lieber ;) Mein Ziel ist die maximale Absicherung der Firmendaten vor unseren Kunden.

Share this post


Link to post
Genau dass, möchte ich bei uns in der Firma realisieren. Wir haben auch Kunden mit denen wir gemeinsam an Projekten arbeiten und unsere Daten nicht auf externe Sever auslagern möchten. Ich habe die physikalische Nähe zu meiner Serverfarm lieber ;) Mein Ziel ist die maximale Absicherung der Firmendaten vor unseren Kunden.

 

Dito ! :)

 

 

Hat keiner bisher sowas gemacht ? :(

Share this post


Link to post

Wurde doch alles schon erwähnt, kommt aber noch auf das fine-tuning an:

 

- Neue eigenständige Domäne, vorzugsweise sogar Forest mit unidirektionaler Vetrauensstellung

- Das Netz sollte getrennt sein, sprich eigenes Subnetz (könnte auch eine VLAN sein theoretisch) mit(!) perimeter Sicherheit (irgend ein Firewall ähnliches Teil - ISA war gefallen, und der kann das, sowie die meisten FWs auch logischerweise routen können).

- Nur notwendige Ports für AD, also mindestens LDAP, Kerberos, und Namensauflösungs Dienste freischalten. Nach bedarf können nur in eine Richtung (Stateful) weitere Dienste erlaubt werden.

 

So, im groben wär das der Grundriss - die Feinarbeit müsst ihr machen oder besorgt uns weitere Infos!;)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...