Low Cost DMZ ? Server-Layout?

[Ostfriese 10]

Hallo Board,

 

Habe mal ne Frage:

 

Mein Arbeitgeber möchte gerne im eigenen Bereich die eMail-Konten der Mitarbeiter und die Homepage der Firma hosten.

Beides liegt im Moment auf Servern bei nem externen Anbieter, zu dem alleirdings das Vertrauen schwindet.

 

Internetanbindung mit statischer IP ist in Arbeit..

(Sollte innerhalb der nächsten Wochen geschaltet sein..)

 

 

 

Habe auch schon einen "netten" Entwurf erarbeitet mit ner 3-homed-Firewall.

Sieht in etwa so aus:

 

[INTERNET]

|

Firewall (ISA06) -- [DMZ]: Exchange, Web (IIS, evtl NLB)

|

[LAN]

2 DC's

FileServer

PrintServer

Exchange

(RRAS)

((SharePoint))

 

 

Was sagt Ihr zu der generellen konfiguration??

Kommentare?

Anmerkungen?

 

!!! Grosses Problem:

Mein Arbeitgeber will nicht so viel Hardware kaufen!

Haben im Moment 5 Maschinen und insgesamt bräuchten wir 8 (9 bei NLB) [11 mit RRAS und SharePoint] Maschinen...

 

Welche Funktionen kann ich sinnvollerweise auf einer Maschine zusammenfassen?

Sollte ich in der DMZ 2 Maschinen installieren, oder können Exchange und die Firmen-Webseite (mit IIS + einem CMS) auch auf einer Maschine gemeinsam laufen?

 

Was würdet Ihr empfehlen??

Hat damit schon jemand Erfahrung??

 

 

Gruß

Ostfriese

[Squire 261]

Hi,

 

Denk mal über einen oder besser zwei ESX Server nach

[italianstallion 11]

...und über eine "richtige" Firewall und nicht ein ISA!

 

Eine kleine Watchguard, D-Link oder Securepoint für "wenig" Geld!

 

Gruß

Stallion

[XP-Fan 217]

...und über eine "richtige" Firewall und nicht ein ISA!

 

Was ist daran keine richtige Firewall ? Begründung ? :suspect:

[XP-Fan 217]

Hallo Südschwede :D

 

Wieviele Clients hängen denn hintendran im Netzwerk ?

 

Du könntest den DMZ Bereich virtuallisieren und als Web einen Linux nehmen ( Kosten ).

Was soll der RRAS im internen Netzwerk machen ? ISA ?

[italianstallion 11]

Was ist daran keine richtige Firewall ? Begründung ?

 

In vielen/den meisten Szenarien steht der ISA hinter einer Firewall oder in der DMZ als Proxy und nicht als Firewall selbst, da er trotz seiner Sicherheitsfeatures nicht gern als Firewall fürs LAN benutzt wird!

 

Wahrscheinlich weil niemand gern nen Windows OS direkt ausm Internet erreichbar sehen möchte!

 

Korrigier mich wenn ich mich täusche!

 

Gruß

Stallion

[XP-Fan 217]

Hallo,

 

der ISA Server ist BSI zertifiziert, deine Firewall auch ?

http://www.bsi.de/zertifiz/zert/reporte/0387a.pdf

 

Ich will jetzt nicht einen Lanze brechen für den ISA oder andere Systeme

nur solche pauschalen Aussagen sind einfach schlecht für das Niveau hier.

[Ostfriese 10]

Hallo

 

Erstmal Danke für die schnellen Antworten...

 

 

Noch ein paar Bemerkungen zu den Randbedingungen, denen ich hier ausgesetzt bin.

 

1) Nutzer

Habe hier etwa 100 Nutzer im Netz.

 

2) KEIN LINUX

a) Wir haben hier keinen, der mit Linux als Admin gut genug klar kommt und

b) sagt die Written-Secrurity Policy, das LINUX auch nicht erlaubt ist.... (sind an ne größere Firma angegliedert und die geben uns einige Randbedingungen vor...)

 

3) ISA 2006 ist vorgegeben

a) hatten vorher ISA 04 und es lief gut

b) wenn die Führung schon kein Geld für 'nen Server ausgeben mag, dann erst recht nicht für 'ne neue Firewall..

 

4) Aufgabe RRAS

Es ist grob angedacht, einigen Nutzern, die oft unterwegssind 'ne Einwahlmöglichkeit zu geben, um auf die Fileserver zugrefen zu können..

Der ISa würde dann als VPN endpunkt konfiguriert werden..

 

 

So, genug zu den Randbedingungen...

 

Jetzt habe ich noch ein paar fragen:

ESX ? sind das Exchange?

Wenn ja, habe doch 2 Stück eingeplant..

1 in der DMZ (nur zum aufschlagen und weiterleiten) und

1 im LAN (als eigentlichen ExchangeServer..)

Oder stehe ich hier grade voll aufm Schlauch....

 

 

Gruß

Ostfriese

[italianstallion 11]

Ich wollte damit eigentlich auch nur sagen, dass der ISA nicht gern als Firewall eingesetzt wird...und lass mich wie oben geschrieben auch gern korrigieren!

 

Wollte den ISA auch gar nicht schlecht machen...

 

Das Zertifikat ist natürlich spitze...ist vermutlich aber auch eine Frage des Preises und nicht der Qualität oder der Funktionen...oder?

[italianstallion 11]

XP-Fan meinte mit ESX den VMWare ESX Server, der es erlaubt mehrere Virtuelle "Gäste" auf einem physikalischen Server laufen zu lassen...tolle Idee mit vielen Möglichkeiten und sehr flexibel, aber auch kostspielig!

 

Bin mir nicht sicher ob das für deine Randbedingungen OK ist...also Preis in dem Fall!

 

Gruß

Stallion

[XP-Fan 217]

Off-Topic:

XP-Fan meinte mit ESX den VMWare ESX Server, der es erlaubt mehrere Virtuelle "Gäste" auf einem physikalischen Server laufen zu lassen...tolle Idee mit vielen Möglichkeiten und sehr flexibel, aber auch kostspielig!

Bitte projeziere nicht Gedanken von dir auf Andere welche nicht dem entsprechen was gemeint ist ! :cool:

[Heros 10]

In der DMZ würde ich alles auf eine Maschine packen. Bei 100 Benutzern ist es denke ich nicht so wild. wie viele Benutzer gehen auf die Website wenn du über NLB denkst.

 

Im LAN solltest du auf jedenfall an eine Virtualisierung denken! ESX wäre natürlich perfekt. Schau dir dort mal die recht günstigen Start-Pakete an und auch den ESX 3i. Da ist für jeden etwas dabei und du kannst alles mit 2 Maschinen abdecken.

[hforster 10]

Hi

@ XP-Fan

Deine aussage der BSI-Zertifizierung ist ein bisschen Missverständlich.

Richtig ist die ISA 04 ist nach Common Criteria von der BSI Zertifiziert worden.

Nach Common Criteria sind aber auch z.B. Oracle Server, Suse SLES8, IBM Websphere usw. Zertifiziert.

Und Firewalls sind Dutzende Zertifiziert

siehe Common Criteria - Consumers - General information

 

Und beweist das die Sicherheit eines ISA-Servers?

Oder die wirkliche Eignung als Internet-Firewall?

 

have a nice day

[NorbertFe 2.034]

[INTERNET]

|

Firewall (ISA06) -- [DMZ]: Exchange, Web (IIS, evtl NLB)

|

[LAN]

2 DC's

FileServer

PrintServer

Exchange

(RRAS)

((SharePoint))

 

 

Was sagt Ihr zu der generellen konfiguration??

Kommentare?

Anmerkungen?

 

Der Einsatz von Exchange in einer DMZ ist relativ sinnfrei (ausgenommen Exchange 2007 Edge). Da das Teil Mitglied der Domäne ist und auch mit entsprechend vielen Ports mit bspw. dem DC kommuniziert. D.h. du müßtest deine DMZ so "löcherig machen", dass sie nicht mehr wirklich nutzt. Einfacher wäre bspw. der Einsatz des ISA 2006 (schon erwähnt im Thread) und die korrekte Konfiguration im Zusammenspiel mit dem Exchange Server.

 

Bye

Norbert

[nerd 28]

Hi,

 

ganz allgemein noch zum Thema Sicherheit bzw. Aufbau der Umgebung. Der von dir gewählte Aufbau mit einer Firewall kann keine richtige DMZ zur Verfügung stellen, da eine solche immer zwischen zwei Firewalls stehen sollte (siehe dazu auch Windows Server How-To Guides: Home - ServerHowTo.de. Wenn dein Chefe nicht bereit ist ein paar Euro mehr für Hardware zu zahlen, dann solltest du die Verhandlungen evtl. anderst aufziehen (Verfügbarkeitsanforderungen, Wichtigkeit der Daten, Folgen eines Datenverlustes...)

 

Gruß