kosta88 2 Geschrieben 11. Februar 2020 Melden Teilen Geschrieben 11. Februar 2020 (bearbeitet) Hallo, unsere Server sind aktuell im selben Netzwerk-Segment wie auch die Clients und alles andere praktisch. Getrennt sind LAB-Netzwerk und Gast-WLAN. Um die Sicherheit zu erhöhen, möchte ich die Server in ein oder mehrere separate Netze aufteilen. Oder sogar nur das Netzwerk segmentieren. Aktuell sind VLANs wohl im Einsatz, werden im LAB-Netzwerk verwendet. Sauberere Lösung finde ich auf jeden Fall die separaten Netze - im Troubleshooting Fall auf jeden Fall leichter die Fehler zu finden. Ich so einem Fall kann ich auch zusätzlich mit VLANs trennen, sodass die Trennung am Switch ebenso passiert. Das wird wohl ein Projekt, daher schaue ich nach Tipps wie ich das am besten angehen sollte. Wir haben mehrer VMs die lediglich eine oder ein paar Rollen spielen, als einen Server der vieles oder alles macht. Hier mal so ein Überblick: 9 RDS Hosts (9 Sammlungen) RDC-Broker 2x Applikation-Server (einer ist Remote-App) Backup-Server (Nakivo) CA 2x DC Exchange (installiert, aber noch nicht produktiv, aktuell wird Office365 eingesetzt) File-Server 2x Management (Dienste wie WSUS, WDS, Printserver, NPS, KMS) SQL Was wären eure Ansätze dazu? Danke bearbeitet 11. Februar 2020 von kosta88 Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 11. Februar 2020 Melden Teilen Geschrieben 11. Februar 2020 (bearbeitet) Prinzipiell eine gute Idee. Eine Aufteilung der Netze erhöht aber nicht per se die Sicherheit. Bei meinem alten AG waren die Netze ebenfalls aufgeteilt, allerdings fest per Routing-Switch geroutet. Vom reinen Sicherheitsaspekt her war das jetzt kein wirklicher Vorteil da jeglicher Traffic zwischen den Netzen erlaubt war. Die Segmentierung erhöht aber die Stabilität des Netzwerks, da bestimmte Netze prioisiert werden können (z.B. VoIP). Bei meinem jetzigen AG sind die Netze per Firewall geroutet. Da ist natürlich ganz genau einstellbar, welche Dienste/Ports zwischen den Netzen kommunizieren dürfen. Der Aufwand der FW-Regeln ist dabei nicht zu unterschätzen!!! Auch solche Dinge wie z.B. WOL müssen dabei bedacht werden. Funktioniert dann eben nicht mehr so einfach. Bei uns gibt es eine strickte Trennung für: Management (Switche, VM-Hosts, Backup, usw.) Server Client Printer Wifi VoIP bearbeitet 11. Februar 2020 von monstermania Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 11. Februar 2020 Autor Melden Teilen Geschrieben 11. Februar 2020 (bearbeitet) Ja, das ist klar. Aktuell ist es auch so, dort wo möglich (separates Netzwerk) - die Firewall erlaubt nur gewisse Zugriffe auf die Server. Bspw. die VPN-Clients. Du hast jedoch Recht, es Bedarf einiges an Planung und Zeit... WOL - danke, das ist eben ein Thema! Einzig wo wir WOL einsetzen sind Windows Updates, die Clients werden in der Nacht geweckt um Updates zu machen. Danke für den Hinweis. Wir sind insofern begrenzt, dass wir sowohl eine interne Server-Umgebung, wie auch eine "externe" ASP-Umgebung haben. Und die ASP-Umgebung hat ein IP-Kreis den ich nicht ändern kann - d.h. die Clients müssen sich in dem Netzwerk befinden, um auf die ASP-Farm draufzukommen. Wenn ein Drucker in einem anderen Netz wäre, müsste man den in das ASP-Netzwerk NATen. Das bedeutet dass ich eigentlich relativ begrenzt bin, was ich verschieben kann, aber auf jeden Fall das ganze Netzwerk-Management wie du oben erwähnt hast. Ich befürchte es müsste einer der APP-Server im Client-Netzwerk bleiben. Alternativ müsste ich sehr aufwändige NAT-Rules bauen, um nur genau die Ports zu NATen die auch zum ASP-Netzwerk gehen müssen. Ein Routing alleine mit Firewall-Rules tut's hier nicht. bearbeitet 12. Februar 2020 von kosta88 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.