likwitt 10 Geschrieben 9. September 2009 Melden Teilen Geschrieben 9. September 2009 Hallo zusammen, ich Hoffe hier kann mir jemand helfen:-) Ich bin gerade dabei VPN-Zugang zum Netz zu realisieren. Dafür nutze ich die endian Firewall mit openVPN. Das Hauptsächliche Thema hierbei ist jedoch, wie der Titel schon sagt: Macht es Sinn den SBS in die DMZ zu stellen? Wünschenswert wäre ja das ganze (Mailserver, Webserver usw. ) in der DMZ zu haben, und den Fileserver sowie AD im LAN. Leider ist das ja mit SBS nicht realisierbar (Lizenstechnisch) und die Lizensen getrennt zu kaufen ist leider zu teuer. Daher die Frage, wenn ich dem SBS 2 Netzwerkkarten spendiere, wüde das ganze mit der DMZ dann Sinn machen? Letztendlich doch eher nicht?, da ich mich ja dadurch direkt ans LAN kopple, und sobald jemand Zugriff auf den SBS hat --> kommt er auch ans LAN. Andererseits könnte ich die Firewall ja aus dem Lan in richtung SBS öffnen, und anderst herrum blocken?:confused: Anbei mal eine Zeichnung in der Hoffnung das diese hielft beim Verständnis der Frage:-) Vielen Dank schonmal im vorraus!!! lik anbei noch der Netzplan ohne DMZ. thx SBSinDMZ.pdf SBSohneDMZ.pdf Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 9. September 2009 Melden Teilen Geschrieben 9. September 2009 Warum soll der SBS in die DMZ? (Die Anhänge sind ja leider nicht zu sehen.) Die Endian sollte doch SMTP filtern und weiterreichen und als Reverse-Proxy eingesetzt werden können. Was genau ist denn dein Ziel? EDIT: Jetzt, wo die Anhänge freigeschaltet sind, bin ich immer noch nicht schlauer! Der SBS braucht nicht in die DMZ. Und zwei Netzwerkkarten im SBS ist keine gute Idee (da nicht supportet). Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 9. September 2009 Melden Teilen Geschrieben 9. September 2009 (Die Anhänge sind ja leider nicht zu sehen.) Die Anhänge waren längst freigeschaltet, ruhig mal die Tabs refreshen! ;) Zitieren Link zu diesem Kommentar
likwitt 10 Geschrieben 9. September 2009 Autor Melden Teilen Geschrieben 9. September 2009 naja - mein Ziel wäre die verschiedenen Zonen die mir die endian Software zur Verfügung stellt zu nutzen. Und da kam die Überlegung den Mailsever (auf einem extra Server) in die DMZ zu legen. Daraufhin die Einsicht dass dies mit SBS nicht geht. Daher der nächste Schritt - macht es Sinn den SBS in die DMZ zu stellen. Auf den ersten Blick nicht. Da das "private LAN" den SBS ja benötigt. Daher der "Umweg" mit der zweiten Netzwerkkarte. In der "Hoffnung" so die verschiednenen Funktionen von LAN und DMZ zu trennen. Das zwei Netzwerkkarten nicht supportet sind, ist mir neu! Kann ich doch bei jeder SBS konfiguration bei Dell dazukaufen... . Somit wäre der Aufbau wie im Netzplan SBSohneDMZ aufgezeichnet, der richtige Weg!? Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 9. September 2009 Melden Teilen Geschrieben 9. September 2009 Die Anhänge waren längst freigeschaltet... Na, sooo lange kann das auch noch nicht gewesen sein. ;) Ich hab´s ja dann doch irgendwann gemerkt. Nochmal Edith: Das zwei Netzwerkkarten nicht supportet sind, ist mir neu! Kann ich doch bei jeder SBS konfiguration bei Dell dazukaufen... . Das ist eine Sache von Dell. Man kann ja Teaming nutzen (wenn man es erst nach der Konfiguration mit dem Assistenten konfiguriert). Somit wäre der Aufbau wie im Netzplan SBSohneDMZ aufgezeichnet, der richtige Weg!? Eindeutig ja. Aber nochmal die Frage: Was ist dein Ziel bzgl. der DMZ? Der SBS ist von außen ja nicht direkt erreichbar bzw. angreifbar, wenn du die Endian richtig konfigurierst. Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 9. September 2009 Melden Teilen Geschrieben 9. September 2009 Ich hab´s ja dann doch irgendwann gemerkt. Na siehste Zitieren Link zu diesem Kommentar
likwitt 10 Geschrieben 9. September 2009 Autor Melden Teilen Geschrieben 9. September 2009 Was ist dein Ziel bzgl. der DMZ? naja was soll da Groß das Ziel sein --> Wozu nuzt man eine DMZ, um ExchangeServer und Webserver getrennt vom privaten Lan zu haben. Auch diese sind "geschützt" von einer richtig konfigurierten Firewall. Der Vorteil --> werden die Server/Service in der DMZ trotz Firewall gehackt, bleibt das private LAN (zumindest vorerst) davon unbetroffen --> und somit Zeit das ganze wieder zu Fixen. Ich dachte eben soetwas wäre eventuell durch eine zweite Netzwerkkarte "lösbar". Ich möchte ja nicht "unbedingt" diese Lösung, darum Frag ich ja nach ;-) ob es hier Sinn macht. Mit einem klaren und unstrittigen "Nein- macht kein Sinn" bin ich absolut zufrieden! :-)! Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 9. September 2009 Melden Teilen Geschrieben 9. September 2009 Hallo. Wozu nuzt man eine DMZ, um ExchangeServer und Webserver getrennt vom privaten Lan zu haben. Eben, und das kannst du genau auf einem SBS nicht durchführen, da die einzelnen Komponenten nicht trennbar sind Ich dachte eben soetwas wäre eventuell durch eine zweite Netzwerkkarte "lösbar". Nein, ist es nicht. Und wie Stephan schon schrieb. Für den SBS 2008 wird nur eine Netzwerkkarte unterstützt. Bevor du mit dem SBS wilde Konstrukte aufbaust die nicht supportet sind und keiner Sicherheitszuwachs bringen, lege dein Hirnschmalz in eine saubere Konfiguration der Firewall. Und denke vielleicht auch einmal daran, ob nicht auch deine Firewall eine Schwachstelle sein kann. LG Günther Zitieren Link zu diesem Kommentar
likwitt 10 Geschrieben 10. September 2009 Autor Melden Teilen Geschrieben 10. September 2009 >>Und denke vielleicht auch einmal daran, ob nicht auch deine Firewall eine Schwachstelle sein kann.<< Ist das jetzt auf die endian firewall Bezogen? Spricht was Gegen diese freeware Lösung? Bin eigentlich positiv überrascht, was die endian Firewall so mitsich bringt. Sauber konfiguriert sollte die keine "jklasische Schwachstelle" mehr darstellen. Also SBS in DMZ ist für mich nun TABU - daher erstmal danke für Eurer Meinung! Somit wird der 2te Netzplan realisiert! (bezw. der steht schon sogut wie:-)! nur die VPN Verbindung muß noch realisiert werden). THX Zitieren Link zu diesem Kommentar
checkout 10 Geschrieben 10. September 2009 Melden Teilen Geschrieben 10. September 2009 Hallo, Zum Thema VPN... Ich setzte so eine Lösung mit dem Access Server von AVM ein. Rennt nun schon seit 3 Jahre (fast) ohne Probleme. Wahlweise packst du noch einen KEN vor den SBS; dort kannst du die Mails noch sauber auf Viren zu scannen (Avira). Damit hälst du den SBS aus fast allen raus. Bezahlbar ist das ganze auch noch und der Support bei AVM ist wirklich sehr gut. Vielleicht hilft dir das. gruss checkout Zitieren Link zu diesem Kommentar
Dominik Weber 19 Geschrieben 10. September 2009 Melden Teilen Geschrieben 10. September 2009 Wir setzen für VPN Lösungen immer eine HW-Firewall ein. Die meisten können VPN von Hause aus. Bei fast allen Kunden im Einsatz steht entweder eine ZyXEL ZyWALL 5 UTM oder die neuen ZyWALL 100 USG / 200 USG. Es gibt dann eine VPN Client oder du kannst für jede Aussenstelle eine kleine ZyWALL 2 Firewall als VPN Client einsetze. Hat den Vorteil die Clients brauchen keine Software. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 11. September 2009 Melden Teilen Geschrieben 11. September 2009 Hallo. Ist das jetzt auf die endian firewall Bezogen?Spricht was Gegen diese freeware Lösung? Nein, sprciht nichts dagegen. Aber ich nehme einmal an, das es sich hier nicht um eine fertige Appliance mit gehärtetem Betriebssystem ect. handelt. Und somit sind Schwachstellen einfach vorprogrammiert bzw. das Risiko größer und sollte auch beachtet werden. Mein Einwurf war allerdings nur als Anregung gedacht, um darauf hinzuweisen, dass Sicherheit immer als Gesamtheit und nicht für ein einzelnens Produkt zu betrachten ist. LG Günther Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.