kaype 10 Geschrieben 17. Mai 2006 Melden Teilen Geschrieben 17. Mai 2006 Mahlzeit zusammen... Ich will unser Netzwerk hier ein wenig aufrüsten... und zwar vernünftig ... und bin für jeden Tipp dankbar Bislang läuft alles prächtig, kurze eckdaten: 2 Server: Athlon 3000XP als DC mit Win2k3SBS, 20 CALs, 2gb ram 3x2 250GB HDDs (3 raid arrays) und täglicher Sicherung auf eine Wechselplatte die am nächsten Tag getauscht wird sodass beim Brandfall auch alles auf der sicheren seite ist Pentium 3 700 für eine SQL Datenbank der BuHa, läuft auf windows xp sp2, muss ja sonst nix machen Verbindung zu den Clients über D-Link Managed 48port Switch mit 2 gbit uplinks, die Server hängen an normalen 100 mbit ports, aber das langt für uns ... wir sind eine Spedition. 18 Clients ... Clients sind alle im bereich Athlon 2500 - semperon 2800 mit 512 mb und so kram halt, normale büro PCs. auf allen läuft win xp sp2 und ein bissl kleinkram zum arbeiten, office, speditionsprogramm etc. Wie siehts im Moment aus? - Das netzwerk hängt hinter einem Router auf dem die ach so dolle Firewall aktiviert ist, der router ist im netz cia T-Com 2mbit SDSL - Auf jedem PC ist Norton Antivirus installiert und läuft - WSUS läuft und verteilt jeden Tag updates insofern vorhanden Das langt mir irgendwie nicht. Bei einer befreundeten Firma habe ich mir Norton Antivirus Corporate v10 angeschaut und finde es sehr tauglich für unsere Firma, würde es gerne kaufen, finde nur irgendwie nicht sorecht einen Shop wo ich es beziehen kann. Jemand einen Tipp oder gar einen komplett anderen Vorschlag? Ich will eine Firewall Appliance installieren, jedoch muss sie VPN vernünftig routen können, das soll ja bei den kleinen Symantec nicht der fall sein. Hintergrund ist der dass der chef viel von zuhause arbeitet und sich via VPN in der Firma einwählt und dann per Remotedesktop auf seinem Arbeitspc arbeitet. Das klappt alles prima seit geraumer Zeit. die VPN Verbindung ist nicht seperat verschlüsselt via IPsec o.ä. jedoch läuft auf dem DC ein Zertifikat server und ohne ausgestelltes Zertifikat keine einwahl, sollte ich hier eventuell auch was ändern? Wenn ja was? Die VPN ports werden vom Router direkt an den Server geforwardet und der VPN Benutzer wählt sich direkt beim DC ein. Dies ist durch eine OE nur 2 Benutzer gestattet, mir als Admin und dem Chef. Ist das Sicher genug? Ach, und auf dem router ist wlan aktiviert mit 128bit WEP Verschlüsselung mit festen Key und einem Mac filter ... für unsere 4 Firmennotebooks Konkret: - Ich würde gerne Norton Antivirus Corporate v10 beziehen mit 25 Lizenzen (2 Server, 18 Clients, 4 Notebooks), woher? - Firewall Appliance, welche ist vernünftig gut und nicht zu teuer, dazu am besten im 19" Format für den Serverschrank und kommt mit ein paar VPN verbindungen zurecht?, ich sag jetzt mal ... 3 stellig ist ok, über 1000euro sollte sie nicht gehen. Am besten mit WLAN funktion, alternativ würde ich einen Accesspoint hinter der Firewall aufstellen und die WLAN Funktion vom router deaktivieren - Router ist jetzt ein SMC 08/15 Router, sollte da was geändert werden bezüglich Leitsung? Bis jetzt läuft eigentlich alles zufriedenstellen ... wenn ja was wäre angebracht? Für jeden Tipp dankbar ... Fabian :) Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 17. Mai 2006 Melden Teilen Geschrieben 17. Mai 2006 Bei einer befreundeten Firma habe ich mir Norton Antivirus Corporate v10 angeschaut und finde es sehr tauglich für unsere Firma, würde es gerne kaufen, finde nur irgendwie nicht sorecht einen Shop wo ich es beziehen kann. Jemand einen Tipp oder gar einen komplett anderen Vorschlag?[/Quote] Wende dich an das Systemhaus deines Vertrauens, die sollten das über einen Großhandel beziehen können. jedoch läuft auf dem DC ein Zertifikat server und ohne ausgestelltes Zertifikat keine einwahl, sollte ich hier eventuell auch was ändern? Das hört sich vom Prinzip schon gut an, nur dass man die Root CA entsprechend schützen sollte, also nicht online belassen. Zitieren Link zu diesem Kommentar
kaype 10 Geschrieben 18. Mai 2006 Autor Melden Teilen Geschrieben 18. Mai 2006 Das mit dem Systemhaus ist eine gute idee, werde mir hier in Bremen mal ein vernünftiges raussuchen, hab sonst alles per internet bestellt Ich kann nur Benutzer Zertifikate austellen am Zertifiaktserver... Gibts irgendeinen Tipp bezüglich einer vernünftigen Firewall, hab jetzt die Watchguard Modele im Auge, sowas in richtung x50. Immernoch für jeden Tipp dankbar :) grüße, Fabian Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 18. Mai 2006 Melden Teilen Geschrieben 18. Mai 2006 Ich kann nur den Satz von ChristianHemker wiederholen: Wende Dich lieber an ein Systemhaus. Klar, wir können Dir sagen, was wir als gut erachten. Das heißt aber noch lange nicht, dass es für Deine Bedürfnisse das richtige ist. Das klingt nach einem größeren Projekt, eine Rücksprache mit einem Systemhaus (vielleicht auch noch ein anderes als Vergleich) wird sicher das effektivste sein. Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 18. Mai 2006 Melden Teilen Geschrieben 18. Mai 2006 Ich kann nur Benutzer Zertifikate austellen am Zertifiaktserver... Der private Schlüssel deiner RootCA (und damit deiner ganzen PKI) ist und bleibt aber online und damit angreifbar. Ist halt nicht so schön, muss jeder für sich selbst entscheiden ob er das als akzeptabel ansieht. Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 19. Mai 2006 Melden Teilen Geschrieben 19. Mai 2006 Hi, firewall Applicances in der größe kann ich dir leider auch nicht empfehlen. Habe aber schon ab und an gehört, dass LanCom router nicht schlecht sind. Wenn du keine richtige DMZ etc. brauchst tut es sowas vermutlich auch - auch wenn eine richtige FW nie wirklich schadet ;) Die LanCom Teile bringen dann auch gleich VPN Einwahlmöglichkeiten mit... Den ersten Punkt, den ich an deiner Stelle ändern würde wäre das Wlan. Eine 128bit WEP Verschlüsselung ist in meinen Augen keine Verschlüsselung. Nach aktuellem Stand braucht man ca. 30 min um in das Netz zu kommen. Nach Möglichkeit würde ich einen Wlan Access Point in ein sep Vlan hängen und die Einwahl ins Firmennetz nur über VPN zulassen. Ist zwar von der Einwahl her dann etwas kompler aber auch deutlich sicherer! Liebe Grüße Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Mai 2006 Melden Teilen Geschrieben 20. Mai 2006 Mit Watchguard als Firewall-Appliance liegst Du schon gut (es gibt natürlich auch andere, gute Appliances), ich würde allerdings keine Edge, sondern eine X-Core nehmen. Leider sprengt das aber Deinen Rahmen, der nur dreistellig sein soll ... Zitieren Link zu diesem Kommentar
kaype 10 Geschrieben 20. Mai 2006 Autor Melden Teilen Geschrieben 20. Mai 2006 danke erstmal für die Zahlreichen antworten hm ... die x-core serie gefällt mir aufgrund der 19" modalität auch deutlich besser, werde das Montag mal vortragen ob die 1500€ für die x-core auch OK sind. Dazu kommen dann noch 1225€ für das 4Lines -> 8 Lines Upgrade vom Faxsserver und gut nen tausi für die Antivirengeschichte ... Falls ich Montag nichts antworte bin ich nen Kopf kürzer :) Aber Chefe will sicherheit, die muss dann halt auch was kosten dürfen ... Langt es eignetlich einfach die Bereitstellung der Zertifikathomepage zu deaktivieren um das sicherer zu gestallten? Im Prinzip sind ja alle nötigen Zertifikate ausgestellt sodass ich es auf diese Weise wesentlich sicherer bekomme? Mal kurz zusammengefasst: - Watchguard Firebox x500 genehmigen lassen ... :) kaufen & einrichten - Systemhaus wegen Norton Antivir corp. v10 nebst 25 Lizenzen ansprechen - Zertifikatserver sichern - Wlan deaktivieren und per subnetz über einen AP nur per vpn einwahl gestatten Hab ich was vergessen? grüße, Fabian Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 20. Mai 2006 Melden Teilen Geschrieben 20. Mai 2006 Langt es eignetlich einfach die Bereitstellung der Zertifikathomepage zu deaktivieren um das sicherer zu gestallten? Wichtig dabei ist, dass der private Schlüssel der CA im System gespeichert ist. Das bleibt natürlich auch so wenn man die Dienste beendet. Da liegt der Knackpunkt. Deshalb empfiehlt man immer erst eine Offline Root CA zu konfigurieren. Ist ja heute im Zeitalter der Virtualisierung einfach zu realisieren. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Mai 2006 Melden Teilen Geschrieben 20. Mai 2006 Wenn Du die Core wirklich kaufen willst, denke an die laufenden Kosten für die Maschine (z.B. Live-Security, Antispam, Gateway Antivirus und Webblocker sind nicht standardmässig dabei und müssen jährlich neu lizensiert werden, Livesecurity ist standardmässig für 3 Monate dabei). Weiterhin gibt es eine sehr leistungsfähige Software (Fireware Pro), die anstelle der Standardsoftware (WFS) installiert werden kann, aber eben auch was kostet ... Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben 12. Juni 2006 Melden Teilen Geschrieben 12. Juni 2006 Hey! Hast du dir schon mal die Produktlinie von Fortinet angeschaut. Sind meiner Meinung nach sehr gute Firewall-Lösungen/Appliance. Zitieren Link zu diesem Kommentar
.denkedranjoe 10 Geschrieben 12. Juni 2006 Melden Teilen Geschrieben 12. Juni 2006 Wichtig dabei ist, dass der private Schlüssel der CA im System gespeichert ist. Das bleibt natürlich auch so wenn man die Dienste beendet. Da liegt der Knackpunkt. Deshalb empfiehlt man immer erst eine Offline Root CA zu konfigurieren. Ist ja heute im Zeitalter der Virtualisierung einfach zu realisieren. Wie sieht das denn MS-lizenztechnisch aus ? Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 12. Juni 2006 Melden Teilen Geschrieben 12. Juni 2006 Für jeden Server eine Lizenz, auch für virtuelle. Es sei denn, man nutzt Windows Server 2003 R2 Enterprise, dann har man einen Server als Basis und bis zu 4 virtuelle lizenziert. Zitieren Link zu diesem Kommentar
.denkedranjoe 10 Geschrieben 12. Juni 2006 Melden Teilen Geschrieben 12. Juni 2006 Gut. Danke :-) Im übrigen würde ich mir Gedanken über den WEP verschlüsselten WLAN Verkehr machen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.