Jump to content

Eigenständige Entwicklungsdomäne innerhalb der Firma


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

folgende Situation:

 

Wir benötigen für unsere externen Kunden eine Enwicklungsumgebung, auf der die Kunden und wir gemeinsam an den Projekten arbeiten.

Nun sollen die externen Kunden aber nicht in der Lage sein, von ihrer enwicklungsdomäne auf unsere normale firmendomäne zuzugreifen. Wir müssten jedoch schon in der Lage sein, auf das Entwicklernetz mit unseren normalen Firmenaccounts zu anmelden.

 

Es sollten 2 Subnetze gebildet werden:

 

Firma.de 10.0.42.0

Entwicklung-Firma.de 10.0.44.0

 

 

Wie können wir das am sichersten realisieren ? Über eine unidirektionale Vertrauensstellung ?

 

Hier noch eine kleine Visio-Zeichnung zur Veranschaulichung ;)

 

http://img380.imageshack.us/img380/9895/entwicklungsdomnezx4.jpg

 

 

Danke im Voraus !

Link zu diesem Kommentar

zum 1. : ja, es ist ne 2k3-Umgebung

 

zum 2. : soweit war ich auch mit unseren überlegungen, das wir beide netze in verschiedene subnetze einteilen.

Hätten für eine Firewall einen ISA-Server 2004 zur freien Verfügung

 

Aber wie realisieren wir dann den Zugriff von der Firma.de-Domäne auf den Entwickler-Firma.de-domäne ?

 

Über Routing ?

 

Ich hab mal was gehört, wenn ich auf einer Seite den Standardgateway freilasse, sind diese ja nicht in der Lage in das andere Netz zu routen oder ?

Könnte das weiterhelfen ?

Link zu diesem Kommentar

So es sich um Netze verschiednener Adressbereiche handelt ist Rotung wohl nötig. Die FW muss eine Eindringen in euer Firmennetz über das Entwicklungsnetz verhindern.

 

Ich bin in den Einzelheite zum Konfigurieren der Firewall dazu nicht bewandert. Vom Prinzip her müsste es doch ähnlich wie bei einem Internetzugang sein, von aussen hat niemand Zugriff (erstmal).

 

Was da mit dem Standard-GW zu tun hat, ist mir im Moment fremd.

 

Ich frage mich allerdings, was soll das für ein Zufriff sein von eurem Firmennetz aus auf das Entwicklungsnetz. Müssen da alle Rechner zugreifen können?

Link zu diesem Kommentar

Ich frage mich allerdings, was soll das für ein Zufriff sein von eurem Firmennetz aus auf das Entwicklungsnetz. Müssen da alle Rechner zugreifen können?

 

Unsere eigenen Entwickler sollen zukünftig auch auf dieser Maschine entwickeln,

und die sollen ja auf alles Zugang haben, auch auf unsere internen SQL-Server.

 

Die Kunden/Partner von extern sollen nur den SQL-Server sehen, der in der Entwickler-Domäne steht, und auf KEINEN FALL unsere intern SQLs mit unseren vertraulichen Daten

Link zu diesem Kommentar
Unsere eigenen Entwickler sollen zukünftig auch auf dieser Maschine entwickeln,

und die sollen ja auf alles Zugang haben, auch auf unsere internen SQL-Server.

 

Die Kunden/Partner von extern sollen nur den SQL-Server sehen, der in der Entwickler-Domäne steht, und auf KEINEN FALL unsere intern SQLs mit unseren vertraulichen Daten

Ich habe für diesen Fall keine Erfahrung.

 

Die Abschottung des Firmennetzes vom Entwicklungnetz aus muss wohl durch eine FW aus geschehen, zwischen zwei Netze unterschiedlicher IP-Segmente gehört ein Router, das ist klar. Die Eignung des ISA 2004 kann ich nicht wirklich beurteilen. Es ist doch wohl ein Server mit einem MS-Serverbetriebsystem drauf. Der ist ja wohl als Router und FW einsetzbar. Ich hatte ursprünglich an etwas einfacheres, preigünstigeres gedacht. Falls das gerät und System aber vorhanden ist und kein Brot frisst, ist es nicht so wichtig.

 

Von eurem Netz aus werdet ihr wohl per RDP auf das Entwicklungsnetz zugreifen wollen? Wegen der Authentifizierung wäre eine Vertrauensstellung wohl wünschenswert.

 

Mehr kann ich leider nicht sagen dazu.

 

Möglicherweise kommen ja im Laufe des Nachmittags und Abends noch andere Vorschläge und Meinungen dazu.

Link zu diesem Kommentar
Genau dass, möchte ich bei uns in der Firma realisieren. Wir haben auch Kunden mit denen wir gemeinsam an Projekten arbeiten und unsere Daten nicht auf externe Sever auslagern möchten. Ich habe die physikalische Nähe zu meiner Serverfarm lieber ;) Mein Ziel ist die maximale Absicherung der Firmendaten vor unseren Kunden.

 

Dito ! :)

 

 

Hat keiner bisher sowas gemacht ? :(

Link zu diesem Kommentar

Wurde doch alles schon erwähnt, kommt aber noch auf das fine-tuning an:

 

- Neue eigenständige Domäne, vorzugsweise sogar Forest mit unidirektionaler Vetrauensstellung

- Das Netz sollte getrennt sein, sprich eigenes Subnetz (könnte auch eine VLAN sein theoretisch) mit(!) perimeter Sicherheit (irgend ein Firewall ähnliches Teil - ISA war gefallen, und der kann das, sowie die meisten FWs auch logischerweise routen können).

- Nur notwendige Ports für AD, also mindestens LDAP, Kerberos, und Namensauflösungs Dienste freischalten. Nach bedarf können nur in eine Richtung (Stateful) weitere Dienste erlaubt werden.

 

So, im groben wär das der Grundriss - die Feinarbeit müsst ihr machen oder besorgt uns weitere Infos!;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...