posterme 10 Geschrieben 5. September 2006 Melden Teilen Geschrieben 5. September 2006 Hi, folgende Situation: Wir benötigen für unsere externen Kunden eine Enwicklungsumgebung, auf der die Kunden und wir gemeinsam an den Projekten arbeiten. Nun sollen die externen Kunden aber nicht in der Lage sein, von ihrer enwicklungsdomäne auf unsere normale firmendomäne zuzugreifen. Wir müssten jedoch schon in der Lage sein, auf das Entwicklernetz mit unseren normalen Firmenaccounts zu anmelden. Es sollten 2 Subnetze gebildet werden: Firma.de 10.0.42.0 Entwicklung-Firma.de 10.0.44.0 Wie können wir das am sichersten realisieren ? Über eine unidirektionale Vertrauensstellung ? Hier noch eine kleine Visio-Zeichnung zur Veranschaulichung ;) http://img380.imageshack.us/img380/9895/entwicklungsdomnezx4.jpg Danke im Voraus ! Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 5. September 2006 Melden Teilen Geschrieben 5. September 2006 Wir reden hier von W2K-oder-höger Domänen, richtig? Mach doch nen neuen Forest mit einer unidirektionalen Vetrauensstellung - ist soweiso besser da auch das SChema anders sein darf. Ausserdem würde ich in einem Forest nicht an den transitiven Vertauensstellungen basteln - kann Ärger geben.:shock: ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. September 2006 Melden Teilen Geschrieben 5. September 2006 Wie können wir das am sichersten realisieren ? Über eine unidirektionale Vertrauensstellung ?Am Sichersten wohl durch physikalische Trennung der Netze und eine Firewall dazwischen. Eine Vertrauensstellung ist für die Authentifizierung da. Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 5. September 2006 Autor Melden Teilen Geschrieben 5. September 2006 zum 1. : ja, es ist ne 2k3-Umgebung zum 2. : soweit war ich auch mit unseren überlegungen, das wir beide netze in verschiedene subnetze einteilen. Hätten für eine Firewall einen ISA-Server 2004 zur freien Verfügung Aber wie realisieren wir dann den Zugriff von der Firma.de-Domäne auf den Entwickler-Firma.de-domäne ? Über Routing ? Ich hab mal was gehört, wenn ich auf einer Seite den Standardgateway freilasse, sind diese ja nicht in der Lage in das andere Netz zu routen oder ? Könnte das weiterhelfen ? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. September 2006 Melden Teilen Geschrieben 5. September 2006 So es sich um Netze verschiednener Adressbereiche handelt ist Rotung wohl nötig. Die FW muss eine Eindringen in euer Firmennetz über das Entwicklungsnetz verhindern. Ich bin in den Einzelheite zum Konfigurieren der Firewall dazu nicht bewandert. Vom Prinzip her müsste es doch ähnlich wie bei einem Internetzugang sein, von aussen hat niemand Zugriff (erstmal). Was da mit dem Standard-GW zu tun hat, ist mir im Moment fremd. Ich frage mich allerdings, was soll das für ein Zufriff sein von eurem Firmennetz aus auf das Entwicklungsnetz. Müssen da alle Rechner zugreifen können? Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 5. September 2006 Melden Teilen Geschrieben 5. September 2006 Hallo heLLrais0r, bitte attatche die Zeichnung doch so dass beim ansehen nicht Fenster mit Werbung aufpoppen. Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 5. September 2006 Autor Melden Teilen Geschrieben 5. September 2006 Ich frage mich allerdings, was soll das für ein Zufriff sein von eurem Firmennetz aus auf das Entwicklungsnetz. Müssen da alle Rechner zugreifen können? Unsere eigenen Entwickler sollen zukünftig auch auf dieser Maschine entwickeln, und die sollen ja auf alles Zugang haben, auch auf unsere internen SQL-Server. Die Kunden/Partner von extern sollen nur den SQL-Server sehen, der in der Entwickler-Domäne steht, und auf KEINEN FALL unsere intern SQLs mit unseren vertraulichen Daten Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 5. September 2006 Autor Melden Teilen Geschrieben 5. September 2006 Hallo heLLrais0r, bitte attatche die Zeichnung doch so dass beim ansehen nicht Fenster mit Werbung aufpoppen. besser ? ^^ Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 5. September 2006 Melden Teilen Geschrieben 5. September 2006 Es gibt die Möglichkeit, Grafiken anzuhängen. Diese Attachments werden dann von den Moderatoren freigegeben. Es muss nicht unbedingt als IMG-Tag eingebunden werden... Oder so :D ... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. September 2006 Melden Teilen Geschrieben 5. September 2006 Unsere eigenen Entwickler sollen zukünftig auch auf dieser Maschine entwickeln,und die sollen ja auf alles Zugang haben, auch auf unsere internen SQL-Server. Die Kunden/Partner von extern sollen nur den SQL-Server sehen, der in der Entwickler-Domäne steht, und auf KEINEN FALL unsere intern SQLs mit unseren vertraulichen Daten Ich habe für diesen Fall keine Erfahrung. Die Abschottung des Firmennetzes vom Entwicklungnetz aus muss wohl durch eine FW aus geschehen, zwischen zwei Netze unterschiedlicher IP-Segmente gehört ein Router, das ist klar. Die Eignung des ISA 2004 kann ich nicht wirklich beurteilen. Es ist doch wohl ein Server mit einem MS-Serverbetriebsystem drauf. Der ist ja wohl als Router und FW einsetzbar. Ich hatte ursprünglich an etwas einfacheres, preigünstigeres gedacht. Falls das gerät und System aber vorhanden ist und kein Brot frisst, ist es nicht so wichtig. Von eurem Netz aus werdet ihr wohl per RDP auf das Entwicklungsnetz zugreifen wollen? Wegen der Authentifizierung wäre eine Vertrauensstellung wohl wünschenswert. Mehr kann ich leider nicht sagen dazu. Möglicherweise kommen ja im Laufe des Nachmittags und Abends noch andere Vorschläge und Meinungen dazu. Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 5. September 2006 Autor Melden Teilen Geschrieben 5. September 2006 joa genau so isses lefg, vertrauensstellung, damit wir unsere internen ACCs mitnehmen können, 2 verschiedene netzte wegen sicherheit ( wollen wir über ISA 2004 machen ) vielleicht hat ja einer sowas oder so ähnlich schon realisiert, ich hoffe noch auf viel response ! danke derweilen ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. September 2006 Melden Teilen Geschrieben 5. September 2006 danke derweilen ;)Gern geschehen, ich klinke mich erstmal aus. Zitieren Link zu diesem Kommentar
Ultraschall 10 Geschrieben 5. September 2006 Melden Teilen Geschrieben 5. September 2006 Genau dass, möchte ich bei uns in der Firma realisieren. Wir haben auch Kunden mit denen wir gemeinsam an Projekten arbeiten und unsere Daten nicht auf externe Sever auslagern möchten. Ich habe die physikalische Nähe zu meiner Serverfarm lieber ;) Mein Ziel ist die maximale Absicherung der Firmendaten vor unseren Kunden. Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 6. September 2006 Autor Melden Teilen Geschrieben 6. September 2006 Genau dass, möchte ich bei uns in der Firma realisieren. Wir haben auch Kunden mit denen wir gemeinsam an Projekten arbeiten und unsere Daten nicht auf externe Sever auslagern möchten. Ich habe die physikalische Nähe zu meiner Serverfarm lieber ;) Mein Ziel ist die maximale Absicherung der Firmendaten vor unseren Kunden. Dito ! :) Hat keiner bisher sowas gemacht ? :( Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. September 2006 Melden Teilen Geschrieben 6. September 2006 Wurde doch alles schon erwähnt, kommt aber noch auf das fine-tuning an: - Neue eigenständige Domäne, vorzugsweise sogar Forest mit unidirektionaler Vetrauensstellung - Das Netz sollte getrennt sein, sprich eigenes Subnetz (könnte auch eine VLAN sein theoretisch) mit(!) perimeter Sicherheit (irgend ein Firewall ähnliches Teil - ISA war gefallen, und der kann das, sowie die meisten FWs auch logischerweise routen können). - Nur notwendige Ports für AD, also mindestens LDAP, Kerberos, und Namensauflösungs Dienste freischalten. Nach bedarf können nur in eine Richtung (Stateful) weitere Dienste erlaubt werden. So, im groben wär das der Grundriss - die Feinarbeit müsst ihr machen oder besorgt uns weitere Infos!;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.