IT-Struktur und Sicherheit

[Sven Eichler 10]

HI!

 

Hab hier einfach mal ne grundsätzliche Frage hinsichtlich Firewalling.

 

Ich werde mich in drei Monaten selbstständig machen und muss mir natürlich unter anderem eine IT-Struktur überlegen.

 

Vorhanden sind:

 

1 x 4-Port DSL-Router mit Firewall-Funktion

1 x Fileserver (Interne Daten, Treiber und was weiss ich nicht alles)

1 x Terminalserver (Office etc., WTS-Testserver)

1 x Webserver (Hier soll nichts wichtiges drauf, gibt ne DynDNS-Addresse, Treiber halt etc, damit ich weiss, dass ich immer Zugriff habe.)

1 x restliches LAN

 

Ich hatte mir das so gedacht:

 

- An den DSL-Router kommt der Webserver. Auf dem Webserver liegt nichts wichtiges, eben Treiber, Handbücher, ein paar Bilder irgendwo, und das war es auch schon. Wenn mir jemand die Liste angreift und abschiesst, wäre es ärgerlich, aber nicht schlimm. Immerhin wäre der ja durch den Router/Firewall geschützt.

 

- An einen weiteren Port des Routers soll das restliche LAN per Switch angebunden werden. Hier liegen dann aber wichtige Daten, teilweise auch Kundendaten, Einwahldaten etc., willl sagen, hier darf NIEMAND rankommen. Jetzt habe ich mir überlegt, hier einen weiteren Rechner als Firewall zu konfigurieren, der quasi nochmal zwischen der Hardwarefirewall und dem LAN hängt.

 

Würde das in Euren Augen Sinn machen? Wäre das in Ansätzen soetwas wie eine "Demilitarized Zone?" Wo würde der Vorteil liegen? Kann ich Ports abändern, so dass ich für die gleiche Anwendung verschiedene Ports auf den beiden Firewalls freigebe?

[deubi 10]

prinzipiell kannst Du den Webserver mit einer 2. Netzwerkkarte und Routing/Firewallsoftware zur Firewall ausbauen.

ISA Server, oder wenn's günstiger sein muss Kerio WinRoute Pro oder KerioFirewall.

Die Kette wäre dann¨:

DSLRouter/FW - FW/Router/Webserver - LAN

[Sven Eichler 10]

Original geschrieben von deubi

prinzipiell kannst Du den Webserver mit einer 2. Netzwerkkarte und Routing/Firewallsoftware zur Firewall ausbauen.

ISA Server, oder wenn's günstiger sein muss Kerio WinRoute Pro oder KerioFirewall.

Die Kette wäre dann¨:

DSLRouter/FW - FW/Router/Webserver - LAN

 

Ah ja, gehen wir mal davon aus, dass ich noch genügend Rechner zu Hause habe, um mir daraus eine eigenständige Firewall zu basteln - Dann würde das aus sicherheitstechnischer Sicht also Sinn machen, wenn ich quasi eine zweite Firewall hintendranhänge?

[deubi 10]

Klar macht das Sinn. Stichwort: DMZ

[Sven Eichler 10]

Ich hätte hier dann auch die Möglichkeit, zweio verschiedene Virenscanner auf den beiden Kisten einzusetzen, das wäre ebenfalls ein Vorteil.

 

Erfahrungsfrage:

 

Was für Hardware sollte es mindestens sein, um hier ein "normales" Produkt auf Win2000 bzw. Win XP-Basis zum Laufen zu bringen?`Ich meine, immerhin läuft dann das OS, die Firewall, der ganze I-Nettraffic geht darüber...

[deubi 10]

hängt von den Ansprüchen ab.

 

Mit WinRoutePro reichte mir ein 450MhZ P2 mit 256MB Ram aus für ein kleines Netz für ca. 5 Leuten. Wir hatten dort drauf NAV laufen.

 

Bei einem ISA-Server wird's da wesentlich heftiger...

Zum ISA-Server gibt's "passende" Virenscanner, z.B. von Norton.

 

Als Alternative solltest Du Dir auch mal Linux anschauen. Suse oder Redhat, mit FirewallBuilder (downloaden von SourceForge, als Source oder Binaries je nach Bedarf). Ist recht leistungsstark und Ressourcenschonend

[Sven Eichler 10]

Joo, das mit Linux hatte ich mir auch schon angesehen, hatte ein Debian am Laufen, das Problem ist nur, ich bin ne Windows-Gurke und hab nur absolut oberflächlichste Kenntnisse von Linux. Grundsätzlich bin ich immer dafür, etwas zu lernen, allerdings bracuht man die Zeit dafür. Da ich nämlich so wenig Ahnung davon habe, würde das im Ernstfall wohl recht lange dauern.

Ausserdem weiss ich nicht, ob ich mir unter diesen Umständen selbst trauen kann - Gefährliches Halbwissen im Bereich von Firewalls ist wohl nicht so ratsam... :rolleyes: