Home » Netzwerksicherheits- & Technik Forum » 10 Arbeitsstationen/1Fileserver/1E-Mailserver/Sicher Installieren » Themenansicht
10 Arbeitsstationen/1Fileserver/1E-Mailserver/Sicher Installieren |
||
|---|---|---|
| #0
| ||
|
10.03.2007, 16:29
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
10.03.2007, 20:22
Member
 Beiträge: 157 |
#2
Die beste Lösungen wäre eine saubere Netztrennung:
[grünes Netz] ====[Firewall1] ====[orangenes Netz]=====[Firewall2] ====[rotes Netz] Grünes Netz als interenes Netz mit den 10 Clients. Dann ne Firewall, Smoothwall oder direkt nen Debianserver von jemanden mit Ahnung konfiguriert. Die Dienstserver dann ab ins orangene Netz (Mail/File/DNS) und ds ganze dann mit ner weiteren Firewall in das rote böse Internet. Alles andere macht meiner Meinung nach keinen Sinn. Und wenn möglich macht am besten noch wenigstens einen Backupserver/Secondary-Server für eure File/Mail-Server. Viel Erfolg! Ja, es klingt massig aufwendig, aber ist die beste Lösung. __________ Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^ "Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles |
|
|
|
|
|
|
10.03.2007, 22:36
...neu hier
Themenstarter Beiträge: 2 |
||
|
|
|
|
|
10.03.2007, 23:31
Member
Beiträge: 157 |
#4
Es gibt keine andere Lösung.
Nur Augenwischerei. Entschuldige bitte das ich dir eine professionelle Antwort gegeben habe, immerhin geht um Existenzen. Leider habe ich vergessen dass wir hier in Deutschland kein Geld für IT haben und deshalb Antworten wie: >>Ja, installieren Sie sich einfach eine Personal Firewall auf den Servern.<< erwarten. __________ Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^ "Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles |
|
|
|
|
|
|
11.03.2007, 00:14
Moderator
 Beiträge: 2312 |
#5
Hallo Ben28,
sicher gibt es auch andere Lösungen, aber da du nach der Besten gefragt hast würde ich das, was ischtar geschrieben hat ebenfalls empfehlen. Die Datensicherheit von einem Unternehmen mit 10 Personen ist nicht weniger schutzwürdig als die Datensicherheit von einem Unternehmen mit 100 oder 1000 Mitarbeitern. __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
|
|
|
|
11.03.2007, 13:52
Member
Beiträge: 157 |
#6
Ohne 2x FW gehts halt nicht.
Das wollte ich damit ausdrücken, egal wie unbequem es erscheinen mag. Und ein Backup/Secondary ist allemal günstiger als ein Totalausfall oder Datenverlust. Es ist ja nicht so, dass ich das hier sage um jemanden zu ärgern. Mich ärgert vielmehr wie lapidar mit dem Thema Sicherheit in Deutschland umgegangen wird. Das Dinge wie Industriespionage boomen aber dennoch die meisten Angriffe aus dem inneren Netz kommen, sollten zwar kein Geheimnis mehr sein, dennoch scheint mancherorts der Preis einer Insolvenz verlockender zu sein, als ein gut strukturiertes und konzipiertes Netz. Möglich dass es bei dir nicht so ist, aber es klang so. Und mal ehrlich, das kostet nicht die Welt. Debian ist Open Source und wenn es läuft, läuft es. Bei Microsoft ist es anders, da musste ständig Kesselflicken (meine Meinung ... ). Als Rechner kannste alte Laptop-Möhren hinstellen. Das kostet auch Verbrauchstechnisch nicht viel. Raidplatten sind auch nicht so teuer und nen Raid ist auch recht flott aufgesetzt, ebenso nen Secondary Server. Klar kannste auch bei nem LinuxFileserver für das interne Netz iptables ("Firewall") aktivieren, aber es empfiehlt sich nicht. Besser dedizierte Server, alles andere ist sicherheitstechnisch nicht vertretbar und zu anfällig. Ganz ehrlich, wie hast du dir das anders gedacht? Grüße einer zertifizierten Network Security Engineer ¡s¢htar __________ Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^ "Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles |
|
|
|
|
|
|
11.03.2007, 21:08
Member
Beiträge: 647 |
#7
Zitat ischtar posteteEin Profi würde den Begriff Firewall nicht in dem Konsent verwenden wie du es tust, abgesehen davon das dein Konzept einer DMZ mit zwei Paketfiltern, zumindest gehe ich davon aus das du das meinst, nicht schlecht, aber so wie du es beschrieben hast trotzdem unsicher ist. Folgende Ergänzungen würde ich noch vornehmen: - Die Paketfilter/Router sollten von verschiedenen Firmen sein - Verbindungsaufbau nur aus dem "grünen Netz" erlauben, niemals aus dem "orangenen Netz" ins "grüne Netz" Verbindungen erlauben Übrigens lässt sich eine DMZ, also das was hier als "orangenes Netz" bezeichnet wird, auch mit nur einem Filter/Router bewerkstelligen, das ganze ist dann logsicherweise nicht mehr so sicher, da nur noch eine Hürde überwunden werden müsste. __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
|
|
|
|
11.03.2007, 21:34
Member
Beiträge: 157 |
#8
heptamer666 hat sicherlich auf seine Art recht
 Wobei seine Antwort auch wieder nicht vollständig und demzufolge nicht professionell ist. Aber auf solche Haarspaltereien lasse ich mich für gewöhnlich nicht ein, denn ein Forum ist eine Diskussionsplattform in der Fragen beantwortet werden, in einer Sprache die der Fragende versteht, und keine Expertenrunde  . Und nein, ich bin glücklicherweise kein Profi, sondern arbeite mitlerweile fast ausschliesslich in einem Editor  Achja und es heisst Kontext. Konsens ist eine Übereinstimmung. Und ja ich meinte natürlich eine demilitarisierte Zone, die aber durch 2 Firewalls/Packetfilter realisiert wird. Bitte versuche mich erst richtig zu verstehen, ehe du meinst mich zerpflücken zu müssen __________ Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^ "Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles Dieser Beitrag wurde am 11.03.2007 um 21:41 Uhr von ischtar editiert.
|
|
|
|
|
|
|
12.03.2007, 08:30
Member
Beiträge: 647 |
#9
Zitat ischtar posteteAchja und es heisst Kontext.Hehe ja, war wohl schon zu spät gestern *g Zitat ischtar posteteWobei seine Antwort auch wieder nicht vollständig...Dann erkläre doch mal was da noch fehlt, auch dem Threadstarter zu liebe, weil das Forum hier ist nicht nur eine Diskussionsplattform, sondern hier sollen auch Fragen beantwortet werden *g Zitat ischtar postete Aber auf solche Haarspaltereien lasse ich mich für gewöhnlich nicht ein... ...Konsens ist eine Übereinstimmung.Hier widersprichst du dir ziemlich *g Zitat ischtar postete Und ja ich meinte natürlich eine demilitarisierte Zone, die aber durch 2 Firewalls/Packetfilter realisiert wird. Bitte versuche mich erst richtig zu verstehen, ehe du meinst mich zerpflücken zu müssenWo habe ich dich falsch verstanden? Ich habe nur noch mal nachgefragt weil hier viele den Begriff Firewall mit irgendwelchen schwarzen Routerboxen oder kruder Software gleichsetzen, und wenn du deinen Text noch mal durchlesen würdest dann magst du erkennen das dieser leicht missverstanden werden kann. __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... Dieser Beitrag wurde am 12.03.2007 um 08:59 Uhr von heptamer666 editiert.
|
|
|
|
|
|
|
12.03.2007, 08:52
Member
Beiträge: 157 |
#10
Jojo passt schon ... kann man so wie so verstehen, aber auch so oder so. Und ja klar wiederspreche ich mir zuweilen
. Aber dir zuliebe: fehlen tut die Begründung warum zwei unterschiedliche FW/PF-Systeme Sinn machen (das ist mir unklar), und eine grob skizzierte Routingtable (finden kann man immmer was - so wars gemeint). Ich bin heute (erstmal) nicht in Diskussionsstimmung (gleich Richtung Cebiturlaub aufbricht), und deshalb auch seit Tagen nicht mehr so ganz auf geistiger Höhe anwesend (Kunden haben gerne die Angewohnheit vor dem Urlaub Kurzschlusshauruckaktionen zu haben/wollen - man könnte ja nicht wiederkommen). Grüße isch __________ Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^ "Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles |
|
|
|
|
|
|
12.03.2007, 09:08
Member
Beiträge: 647 |
#11
OK, kurze Erklärung zu den Filter-Boxen von unterschiedlichen Herstellern:
Setzt du in einem Netz zwei Filter des gleichen Herstellers/modells ein, ist die Gefahr recht gross, das bei einem bekanntwerden eines Exploits beide Boxen geknackt werden können. Es ist recht unwahrscheinlich, das zum gleichen Zeitpunkt Boxen unterschiedlicher Hersteller kompromittiert werden können, so das zumindest ein Netz unversehrt bleiben kann. Wegen Routing, würde ich hier mit zwei unterschiedlichen Subnetzen arbeiten, damit das eigentliche Intranet komplett vom bösen Internet abgekoppelt ist und den www-Verkehr noch zusätzlich über einen Proxy (Squid oder so) leiten, reduziert auch den Traffic auf der Leitung, was für ein kleines Unternehmen schon Sinn machen würde. __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
|
|
|
|
12.03.2007, 19:50
Member
Beiträge: 546 |
#12
Unabhängig von den getroffenen Antworten:
Mich hätte vorab vom TO noch interessiert... ...welches Budget zur Verfügung steht ...ob und wenn ja, wie hoch die Priorität für eine Redundanz der Systeme einzustufen ist ...wie die Netzwerktopologie momentan aussieht und wie sie aussehen darf Wenn die Kriterien jedoch alle keine Rolle spielen, wird er mit den beiden Bastion-Hosts und den 10 Workstation in Verbindung mit den gemachten Replys glücklich werden. Gruß, Sepia |
|
|
|
|
|
|
12.03.2007, 20:40
Member
Beiträge: 157 |
#13
heptamer666: Guter Punkt. Ich habe das bisher immer anders gesehen,weil mehr Software => mehr Aufwand das ganze sicherheitstechnisch zu beobachten und zu patchen. Intern ist es eh eine Sache die sich ziemlich schnell nachverfolgen lassen sollte und extern sollte nicht bis zur zweiten fw kommen, wenn doch ... *puh*. Wobei du von Boxen redest und ich in die Dinger kaum Vertrauen hab (Linuxkind, ohne jetzt behauten zu wollen die Kisten sicher genug zu bekommen - sofern das überhaupt geht
). Grüße aus dem Endlich-Urlaub __________ Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^ "Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles |
|
|
|
|
|
|
13.03.2007, 13:08
Member
Beiträge: 647 |
#14
Mehr Software gilt ja nur wenns auf der gleichen Maschine ist, ein Router oder Paketfilter laufen ja meist als Boxed-System, welches recht schwer zu kompromittieren ist, als eine Linux-Installation welche als Filter läuft, da hier doch mal schneller konfigurationsfehler gemacht werden bzw. auch die Kernels die verwendet werden nicht immer die sichersten sind.
Daher hab ich mich schon vor langer Zeit für Boxed-Systeme entschieden, aufgrund der leichteren Administration und Pflege, auch gerade dann wenn man verschiedene Hersteller verwenden will. In meinem privaten Netzwerk läuft übrigens eine Linux-Maschine, welche vom Proxying über MTA und Paketanalyse alles macht wofür ich in einem Firmennetzwerk alles verschiedene Komponenten einrichten würde, allerdings muss ich da auch nicht den Strom bezahlen *g Viel spass im Urlaub __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
|
|
|
|
13.03.2007, 13:33
Member
Beiträge: 157 |
#15
Bevor das hier noch total ausartet, schluck ich meine Gegenargumente runter und wüsche dir auch eine gute Zeit
__________ Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^ "Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
In einem Unternehmen mit 10 Arbeitsstationen, einem Fileserver, einem E-Mailserver
und mit fester Internetverbindung soll eine Firewall Installiert werden, die auch gegen Angriffe von innen Schutz bietet.
Was währe die beste Lösung?
MFG