Milla 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Hallo zusammen, vielleicht passt das nicht unbedingt ins MCSE Forum, aber jeder der sich mit Windows Servern auseinander setzt, hat auch mit Sicherheitsfragen zu tun.. Ich habe einen Kunden mit folgendem Szenario - Heimarbeitsplatz per VPN - 5 IndustriePCs am LAN, hier können sich die Lieferanten für Service, Updates Remote per Modem aufwählen - 1x ISDN einwahl auf Wartungsserver - 1x IP-Telefonanlage mit ISDN Einwahl Netz hat ca. 15 Clients 1x SBS 2x Win 2003 Standart 2x "XP-Server" - Wie würdet ihr hier eine Firewall planen ?? - Wieviel DMZs - was würdet ihr in welche DMZ stellen - welches Produkt würdet ihr dem "kleinen" KMU auch aus preisgründen einbauen ?? Danke für Anregungen ... Zitieren Link zu diesem Kommentar
SecurityMaker 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Hallo Milla, so ganz ist hier ein ratschlag nicht, da fehlen noch ein paar mehr infos. Wie sieht das mit den Industrie PCs aus? haben alle lieferanten zugriff auf die pcs ? oder ist das immer unterschiedlich.. Wie sieht das mit den SBS Server aus? welche dienste gibt der frei? Internet? E-Mail ? etc.? An sich würde ich dir erstmal raten eine IST-Analyse nach vorgaben des GSHB - BSI anzufertigen. Die Firewall kann nur eine Massnahme für die erhöhung der sicherheit sein. Da gehören noch mehr sachen dazu wie Sichere Passwörter, Gruppenrichtlinie, Shares, Antiviren Software etc. Um dir ein besseren ratschlag zu geben sind mehr infos notwendig. Was eine firewall angeht hab ich sehr gute erfahrung mit gateProtect Firewall und Watchguard gemacht. Zitieren Link zu diesem Kommentar
Milla 10 Geschrieben 27. September 2006 Autor Melden Teilen Geschrieben 27. September 2006 Hallo Milla, so ganz ist hier ein ratschlag nicht, da fehlen noch ein paar mehr infos. Wie sieht das mit den Industrie PCs aus? haben alle lieferanten zugriff auf die pcs ? oder ist das immer unterschiedlich.. Wie sieht das mit den SBS Server aus? welche dienste gibt der frei? Internet? E-Mail ? etc.? An sich würde ich dir erstmal raten eine IST-Analyse nach vorgaben des GSHB - BSI anzufertigen. Die Firewall kann nur eine Massnahme für die erhöhung der sicherheit sein. Da gehören noch mehr sachen dazu wie Sichere Passwörter, Gruppenrichtlinie, Shares, Antiviren Software etc. Um dir ein besseren ratschlag zu geben sind mehr infos notwendig. Was eine firewall angeht hab ich sehr gute erfahrung mit gateProtect Firewall und Watchguard gemacht. Das ich hier keine Lösung bekomme weiß ich, ich würde gerne einfach Meinungen hören... - Jeder IndustriePC ist von einem anderen Lieferanten - jeder kann sich mit Modem auf seine Kiste einwählen Mir geht es auch nur um die Firewall als Hardware, dass hier andere Themen wie von dir genannt mit reinspielen ist klar !!! Das ist aber alles bereits umgesetzt oder in der Umsetzung... Mir geht es mehr um die Frage: - wieviele DMZs - welche Hardware Ich dachte an: - 1x WAN - 1x LAN - 1x DMZ für Wartungsserver - 1x DMZ für alle 5 IndustriePCs Was tun mit der IP-TK-Anlage ?? Wahrscheinlich werden wir ohne übermässig viel Aufwand die 5 IndustriePCs ohnehin nicht trennen können, da die auf großem Gebiet verteilt sind und momentan auf 1x Glasfaser ankommen ... Gruß Zitieren Link zu diesem Kommentar
SecurityMaker 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Hallo Milla, an sich ist der gedanken zug schon garned mal verkehrt, kommt halt drauf an wie was wo wer wo zugreifen soll.. Rein theoretisch könnte man jeden einzelnen Rechner in eine DMZ tun. ist ja immer eine sache der regeln.. Jetzt kommt es nur drauf an ob die eine Virtuelle DMZ haben willst ( Firewall System mit mehrern Ethernet Ports) oder eine Richtige DMZ sprich wo du 2 Hardware Firewalls einsetzen wirst.. kommt auf das budget und den schutzfaktor drauf an. Was die IP -TK Anlage angeht müsste man meines errachtens nicht unbedingt in eine DMZ. Aber ich würde dir mal empfehlen die X-serie von GateProtect anzuschaun. gateProtect Firewall Server die hat speziele eigenschaften für IP-TK Anlagen. Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Jetzt kommt es nur drauf an ob die eine Virtuelle DMZ haben willst ( Firewall System mit mehrern Ethernet Ports) oder eine Richtige DMZ sprich wo du 2 Hardware Firewalls einsetzen wirst.. kommt auf das budget und den schutzfaktor drauf an. was ist denn eine virtuelle DMZ? :suspect: Demilitarized Zone - Wikipedia - Heimarbeitsplatz per VPN- 5 IndustriePCs am LAN, hier können sich die Lieferanten für Service, Updates Remote per Modem aufwählen - 1x ISDN einwahl auf Wartungsserver - 1x IP-Telefonanlage mit ISDN Einwahl Das scheinen mir eher unkritische Dinge zu sein. Warum hängen die IndustriePCs im LAN? Vermutlich, weil ein anderer Rechner im Netz drauf zugreifen muss (Konfiguration/Datenabgleich etc). Was macht der Wartungsserver? Wählt sich da ein Supporter für eine ERP-Lösung ein? Muss dieser in LAN stehen? Netz hat ca. 15 Clients 1x SBS 2x Win 2003 Standart 2x "XP-Server" Die "XP-Server" mal aussen vorgelassen (sicher, das XP "gut" genug ist?), ist das ein normales Netz. Also sprechen wir über eine Firewall für folgende Zonen: LAN mit den normalen PCs und Servern sowie der TK-Anlage und den Industrie-PCs WAN mit dem Internet ;) DMZ mit dem Wartungsserver Als interne "Schutzvorrichtung" hilft eine Software-Security Suite mit konfigurierbarer Firewall, z.B. die Software von F-Secure für Firmen. Hier regelst Du, dass 1. die eigenen PCs keinen Kontakt von den Industrie-PCs annehmen (ausnahme ein Steuer-PC) und 2. (sofern machbar/installierbar) die Industrie-PCs keinen Kontakt ausgehend zulassen, ausser die Anwendung hin zum Steuer-PC. Die DMZ hat Regeln, die dem Wartungsserver definierten Zugriff auf das/die Ziel(e) erlaubt. Bleibt (bei 15 Usern) z.b. ne Astaro ASG 120 (alternativ eine Astaro ASG 220 mit 8 Ethernetports ;) http://www.astaro.de/content/download/912/4571/version/5/file/Datasheet_ASG_overview_de.pdf Quelle: Datenblätter) grüße dippas Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Jetzt kommt es nur drauf an ob die eine Virtuelle DMZ haben willst ( Firewall System mit mehrern Ethernet Ports) oder eine Richtige DMZ sprich wo du 2 Hardware Firewalls einsetzen wirst.. kommt auf das budget und den schutzfaktor drauf an. Schon wieder diese Glaubenskriege....:wink2: Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 also wenn ich das richtig verstehe.. soll jeder Lieferant einen Server für sich haben.. Wie wählen sich die Lieferanten ein? pptp, IPsec? Dann stell eine Firewall auf. Z.b. kannst du bei GateProtect sagen, was der Benutzer( der sich per pptp einwählt) im Lan anstellen darf. Also sagst du hier. Benutzer a darf nur auf server a und b zugreifen. Benutzer b nur auf Server a.. Benutzer C auf alle server. Alle Benutzer dürfen aber NICHT ins Lan. Was verstehst du unter einer DMZ? Eine DMZ ist ein Bereich wo sich Server drin befinden, der von 2 Firewalls getrennt ist. Es darf KEIN Verkehr zwischen Firewall1 und Firewall2 fließen. Jeder Verkehr der erlaubt ist MUSS über einen Server in der DMZ laufen. Z.B. würde HHTP Verkehr über einen Proxy in der DMZ ins Internet laufen. Genau kann und darf niemand sich aus dem Inet ins Lan einwählen, sondern nur bis in die DMZ rein. OH ich seh grad, die Lieferanten wählen sich per Modem ein, also eine direkte Telefonverbindung OHNE Internet? Dann brauchst du auch hier keine DMZ, sondern es besteht ja eine 1zu1 Verbindung zwischen dem Server und dem Lieferanten. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Was verstehst du unter einer DMZ? Eine DMZ ist ein Bereich wo sich Server drin befinden, der von 2 Firewalls getrennt ist. Es darf KEIN Verkehr zwischen Firewall1 und Firewall2 fließen. Jeder Verkehr der erlaubt ist MUSS über einen Server in der DMZ laufen. Z.B. würde HHTP Verkehr über einen Proxy in der DMZ ins Internet laufen. Genau kann und darf niemand sich aus dem Inet ins Lan einwählen, sondern nur bis in die DMZ rein. Ist die Frage an mich gerichtet? Also auch wenn, aber auf diese Diskussion lass ich mich nicht ein.;) Zitieren Link zu diesem Kommentar
pastors 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Hallo, ich würde auf den Lieferanten PCs und den Fernwartungsserver eine Personal FW installieren. Damit kannst du den Datentransfer über das Modem überwachen. Diese packst du in eine DMZ einer Hardwarefirewall. Das macht natürlich nur Sinn wenn die Einwähler keine Admin Rechte haben. Das LAN hängst du ebenfalls in diese HW-FW. Die TK hängst du in eine eigene DMZ und regelst den Verkehr mit den Lieferanten PCs und den Fernwartungsserver. Also bei uns kommen "externe" Kunden niemals direkt ins LAN! Auch haben Kundendaten nichts in einer DMZ zu suchen. Grüßle Mike Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.