9
Grundsätzliche Überlegungen für Netzwerkumbau!
Hallo Zusammen,
ich hoffe, ich habe hier den richtigen Bereich ausgewählt, da meine Themen wohl übergreifend sind!
Ich bin derzeit dabei ggf. ein bestimmten Netzwerkbereich eines Unternehmens zu überdenken und würde mich freuen, wenn ihr mir euere Meinung dazu schreiben würdet!
IST-Zustand:
- Klasse-C Netzwerk
- Anbindung an WAN über 16000 DSL Einwahl über Modem
- Linux-Firewall (IP-Cop) mit RED und Green
Darstellung Netzwerkverkehr Down/Up:.........................................................<<<>>> VM-Host (Server 2003 ST) mit...
Modem <<<>>>Firewall (Portweiterleitung) <<<>>> Proxy u. URL-Filter <<<>>> 5 x VM Server (Server 2003 ST) als Terminalserver
- Benutzer wählen sich via VPN ein und benutzen RDP
Problemdarstellung bzw. Fragen:
Da ja bekannt ist, das MS den Support für Win XP bzw. Server 2003 in den nächsten zwei Jahren einstellen wird und es keine Sicherheitsupdates mehr gibt, überlege ich, die den VM-Host auf Windows 7 und die Terminalserver auf Windows 2008 R2 ST umzustellen! Mir ist jedoch klar, dass die Leistung des VM-Host nicht ausreichen wird, die 5 x VM Server (Server 2008 ST) als Terminalserver zu versorgen mit Leistung. Da ja 2008 R2 mehr Leistung von der Hardware fordert! Es wäre also eine fast komplette Neuanschaffung der Hardware und viel Arbeit und Geld von nöten alles umzurüsten.
Nun stelle ich mir die Frage ist das überhaupt nötig, zumindest in den nächsten Jahren auch wenn MS den Support einstellt?
Die Server sind ja nicht direkt mit dem Internet verbunden. Ergo: Können diese durch den Proxy u. Firewall auch nicht direkt auf Betriebssystem-Ebene angefriffen werden oder? Schwachstellen sind hier die Anwendungen der Server die über Portweiterleitungen auf den Server laufen oder? Solange die auf den neusten Stand sind, sollte es doch egal sein, ob MS den Support einstellt oder?
Die Benutzer selber können keinen Mist bauen, da diese ja ausgehend durch ihre Benutzerrechte, Proxy u. URL-Filter gestoppt werden!
Wie gesagt, das ganze ist nur eine Gedankenspiel und irgendwann muss ich da mal ran aber lange Rede kurzer Sinn, was meint Ihr?
Bin gespannt auf euere Beiträge
Gruß Mike
ich hoffe, ich habe hier den richtigen Bereich ausgewählt, da meine Themen wohl übergreifend sind!
Ich bin derzeit dabei ggf. ein bestimmten Netzwerkbereich eines Unternehmens zu überdenken und würde mich freuen, wenn ihr mir euere Meinung dazu schreiben würdet!
IST-Zustand:
- Klasse-C Netzwerk
- Anbindung an WAN über 16000 DSL Einwahl über Modem
- Linux-Firewall (IP-Cop) mit RED und Green
Darstellung Netzwerkverkehr Down/Up:.........................................................<<<>>> VM-Host (Server 2003 ST) mit...
Modem <<<>>>Firewall (Portweiterleitung) <<<>>> Proxy u. URL-Filter <<<>>> 5 x VM Server (Server 2003 ST) als Terminalserver
- Benutzer wählen sich via VPN ein und benutzen RDP
Problemdarstellung bzw. Fragen:
Da ja bekannt ist, das MS den Support für Win XP bzw. Server 2003 in den nächsten zwei Jahren einstellen wird und es keine Sicherheitsupdates mehr gibt, überlege ich, die den VM-Host auf Windows 7 und die Terminalserver auf Windows 2008 R2 ST umzustellen! Mir ist jedoch klar, dass die Leistung des VM-Host nicht ausreichen wird, die 5 x VM Server (Server 2008 ST) als Terminalserver zu versorgen mit Leistung. Da ja 2008 R2 mehr Leistung von der Hardware fordert! Es wäre also eine fast komplette Neuanschaffung der Hardware und viel Arbeit und Geld von nöten alles umzurüsten.
Nun stelle ich mir die Frage ist das überhaupt nötig, zumindest in den nächsten Jahren auch wenn MS den Support einstellt?
Die Server sind ja nicht direkt mit dem Internet verbunden. Ergo: Können diese durch den Proxy u. Firewall auch nicht direkt auf Betriebssystem-Ebene angefriffen werden oder? Schwachstellen sind hier die Anwendungen der Server die über Portweiterleitungen auf den Server laufen oder? Solange die auf den neusten Stand sind, sollte es doch egal sein, ob MS den Support einstellt oder?
Die Benutzer selber können keinen Mist bauen, da diese ja ausgehend durch ihre Benutzerrechte, Proxy u. URL-Filter gestoppt werden!
Wie gesagt, das ganze ist nur eine Gedankenspiel und irgendwann muss ich da mal ran aber lange Rede kurzer Sinn, was meint Ihr?
Bin gespannt auf euere Beiträge
Gruß Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 174280
Url: https://administrator.de/contentid/174280
Printed on: April 24, 2024 at 08:04 o'clock
9 Comments
Latest comment
Moin moin,
zunächst glaube ich nicht das MS denn Support (wie angekündigt) in 2 Jahren einstellen wird; zuviele Firmen sind noch auf XP und sind auch dann noch nicht bereit für ne Umstellung. Es werden dann wahrscheinlich nur noch Sicherheitsupdates kommen, wie lange steht halt in den Sternen.
Jedoch wird man früher oder später wechseln müssen.
Wenn dem so ist, wie du annimmst, das nur die Serverprodukte eine Schwachstelle sind, muß ich dich enttäuschen. Der Conficker-Wurm hat einige Unternehmen lahm gelegt, auch deren Rechner waren nicht direkt im Inet. Auch wurden aktuelle Firewalls umgangen. Daher halten wir unsere Clients ja auf den "neuesten" Stand
.
Wäre dem nicht so, würde ich nur die Server aktuell halten und bei den Clients nach dem Motto gehen: Don`t change a running System.
Meine Meinung ...
Greetz
ravers
zunächst glaube ich nicht das MS denn Support (wie angekündigt) in 2 Jahren einstellen wird; zuviele Firmen sind noch auf XP und sind auch dann noch nicht bereit für ne Umstellung. Es werden dann wahrscheinlich nur noch Sicherheitsupdates kommen, wie lange steht halt in den Sternen.
Jedoch wird man früher oder später wechseln müssen.
Wenn dem so ist, wie du annimmst, das nur die Serverprodukte eine Schwachstelle sind, muß ich dich enttäuschen. Der Conficker-Wurm hat einige Unternehmen lahm gelegt, auch deren Rechner waren nicht direkt im Inet. Auch wurden aktuelle Firewalls umgangen. Daher halten wir unsere Clients ja auf den "neuesten" Stand
.Wäre dem nicht so, würde ich nur die Server aktuell halten und bei den Clients nach dem Motto gehen: Don`t change a running System.
Meine Meinung ...
Greetz
ravers
Hi,
Danke für deine Antwort, nur stelle ich mir die Frage, warum kein Antivirensystem den Conficker-Wurm geschnappt hat und wie konnte der Conficker-Wurm durch den Proxy?
Wir wissen alle, dass es keinen 100 % Schutz gibt, jedoch stellt der Conficker-Wurm für mich so eine Sonderstellung da!
Aber Grundsätzlich gebe ich dir Recht... nicht das du das falsch verstehst...
Danke für deine Antwort, nur stelle ich mir die Frage, warum kein Antivirensystem den Conficker-Wurm geschnappt hat und wie konnte der Conficker-Wurm durch den Proxy?
Wir wissen alle, dass es keinen 100 % Schutz gibt, jedoch stellt der Conficker-Wurm für mich so eine Sonderstellung da!
Aber Grundsätzlich gebe ich dir Recht... nicht das du das falsch verstehst...
Prinzipiell gebe ich dir Recht das der Conficker ein gewisse Sonderstellung hat. Jedoch können wir davon ausgehen, das die "Bösen Buben" immer neue Sachen entwickeln, die uns das Leben ... sagen wir mal interessant .. macht.
Der Conficker-Wurm hat sich so wahnsinnig schnell verbreitet, das die AV-Hersteller kaum ne Chance hatten. Weiterhin hatt er sich nicht über TCPIP verbreitet, daher half da auch der beste Proxy nicht. Gerne hat er sich auch über USB-Sticks verteilt!
So oder so ist das immer Stand heute, und morgen mag der nächste Hammer kommen. Und da will ich mir nicht nachsagen lassen, das es an dem "veralteten System" lag, welches ich nicht aktuell gehalten habe.
Prinzipiell muß das der Geldgeber entscheiden. Evtl. sagt er auch das ein prod. Ausfall kein Problem ist, auch über mehrere Tage. Dann lass den "alten" Kram weiterlaufen. Jedoch wird ein cleverer Chef das nicht sagen.
Und schon ist das Geld für die zugegeben etwas teure Modernisierung zur Verfügung.
Wer will/muss die Hand ins Feuer halten, wenn`s schief geht?
Sicherlich ist auch ein aktuelles System angreifbar, jedoch sollte man wie es so schön heißt: nach besten Wissen und Gewissen gehandelt haben. Und das kann man nicht haben wenn man auf "alte" Systeme setzt.
greetz
ravers
Der Conficker-Wurm hat sich so wahnsinnig schnell verbreitet, das die AV-Hersteller kaum ne Chance hatten. Weiterhin hatt er sich nicht über TCPIP verbreitet, daher half da auch der beste Proxy nicht. Gerne hat er sich auch über USB-Sticks verteilt!
So oder so ist das immer Stand heute, und morgen mag der nächste Hammer kommen. Und da will ich mir nicht nachsagen lassen, das es an dem "veralteten System" lag, welches ich nicht aktuell gehalten habe.
Prinzipiell muß das der Geldgeber entscheiden. Evtl. sagt er auch das ein prod. Ausfall kein Problem ist, auch über mehrere Tage. Dann lass den "alten" Kram weiterlaufen. Jedoch wird ein cleverer Chef das nicht sagen.
Und schon ist das Geld für die zugegeben etwas teure Modernisierung zur Verfügung.
Wer will/muss die Hand ins Feuer halten, wenn`s schief geht?
Sicherlich ist auch ein aktuelles System angreifbar, jedoch sollte man wie es so schön heißt: nach besten Wissen und Gewissen gehandelt haben. Und das kann man nicht haben wenn man auf "alte" Systeme setzt.
greetz
ravers
moin,
sehe ich das richtig?
Deine VMs werden von einem W2k3 Server - auf dem VMPlayer, Workstation oder Server läuft - bereitgestellt?
Wenn das so ist, dann würde ich da schon einen handlungsbedarf sehen.
Gruß
sehe ich das richtig?
VM-Host (Server 2003 ST)
Deine VMs werden von einem W2k3 Server - auf dem VMPlayer, Workstation oder Server läuft - bereitgestellt?
- Wenn ja - das ist schonmal ein großes Sicherheitsloch incl. Ressourcenfresser
5 x VM Server (Server 2003 ST) als Terminalserver
In dieser (32bit?) Kiste laufen dann 5 weitere als 32bit TS?Wenn das so ist, dann würde ich da schon einen handlungsbedarf sehen.
Gruß
Timo,
ich kann dich beruhigen die laufen alle Sicher und ruhig und alle sind glücklich!
ich kann dich beruhigen die laufen alle Sicher und ruhig und alle sind glücklich!
Salve,
Ich verstehs nicht - klar bin ich beruhigt - ist ja nicht mein Netzwerk, meine Ressource und mein Swimmingpool.
Du hast doch nach einer "Verbesserung" der aktuellen Lage gefragt und ich hatte zwei Gegenfragen zum aktuelle ist Stand, die du nicht (oder nur zwischen den Zeilen) beantwortet hast.
Von daher.....
Gruß
Zitat von @zeroblue2005:
Timo,
ich kann dich beruhigen die laufen alle Sicher und ruhig und alle sind glücklich!
Wie war der "Vergleich" mit dem einbeinigen und dem speziellen Wettbewerb?Timo,
ich kann dich beruhigen die laufen alle Sicher und ruhig und alle sind glücklich!
Ich verstehs nicht - klar bin ich beruhigt - ist ja nicht mein Netzwerk, meine Ressource und mein Swimmingpool.
Du hast doch nach einer "Verbesserung" der aktuellen Lage gefragt und ich hatte zwei Gegenfragen zum aktuelle ist Stand, die du nicht (oder nur zwischen den Zeilen) beantwortet hast.
Von daher.....
Gruß
Hallo Timo,
das ist es nicht, mir fällt immer nur auf, dass du bei sehr vielen Beiträgen ziemlich viel in Frage stellst, das nicht mal was mit mir zu tun. Daher habe bei deinem Beitrag nicht weiter zitiert! Nicht böse gemeint OK!
Nur wenn ich lese:
Deine VMs werden von einem W2k3 Server - auf dem VMPlayer, Workstation oder Server läuft - bereitgestellt?
oder
In dieser (32bit?) Kiste laufen dann 5 weitere als 32bit TS?
Zum ersten Ja ist 2003 32 Bit aber kein DC betrieb nur Standalone! Ist VM-Server-2
Zum zweiten auch ja 32 Bit Kisten und laufen 5 Stück drauf und ob du es glaubst oder nicht! Die auslastung ist nicht mal 15 % je Server und der Host langweilt sich und das bei über 20 Benutzern!
Ich habe alles getan um die Umgebung so gut wie möglich dicht zu machen und habe bisher nicht einen Einbruch ins System von innen oder außen gehabt, obwohl es versucht worden ist!
Ich habe bei meiner Frage doch lediglich gefragt, ob ich die Umstellung auf 2008 usw. lassen kann, wenn...
Mir ist schon klar, dass es immer irgendwo ne Lücke gibt, aber das war ja nicht meine Frage!
Im Prinzip habe ich ja auch meine Gedanken bestätigt bekommen!
- So mehr Dienste ins WAN freigegeben sind um so mehr Angriffmöglichkeiten von aussen, dehalb nur Port öffnen die sein müssen
- Halte die Dienste auf den neusten Stand z.B. Apache Wenn Apache nicht mehr unterstützt würde switche auf anderes Produkt
- Beschränke die User innerhalb des Lan auf ein Min. der Benutzerrechte
- Halte die Clients auf den neusten Stand
- Scanne regelmäßig nach Viren
- Halte das Betriebsystem mit Sicherheitsupdates auf den Stand
Fazit: Fällt einer der Punkte weg, steigt das Risiko....
Damit sind dann alle Fragen geklärt, Danke für euere Beiträge!
das ist es nicht, mir fällt immer nur auf, dass du bei sehr vielen Beiträgen ziemlich viel in Frage stellst, das nicht mal was mit mir zu tun. Daher habe bei deinem Beitrag nicht weiter zitiert! Nicht böse gemeint OK!
Nur wenn ich lese:
Deine VMs werden von einem W2k3 Server - auf dem VMPlayer, Workstation oder Server läuft - bereitgestellt?
oder
In dieser (32bit?) Kiste laufen dann 5 weitere als 32bit TS?
Zum ersten Ja ist 2003 32 Bit aber kein DC betrieb nur Standalone! Ist VM-Server-2
Zum zweiten auch ja 32 Bit Kisten und laufen 5 Stück drauf und ob du es glaubst oder nicht! Die auslastung ist nicht mal 15 % je Server und der Host langweilt sich und das bei über 20 Benutzern!
Ich habe alles getan um die Umgebung so gut wie möglich dicht zu machen und habe bisher nicht einen Einbruch ins System von innen oder außen gehabt, obwohl es versucht worden ist!
Ich habe bei meiner Frage doch lediglich gefragt, ob ich die Umstellung auf 2008 usw. lassen kann, wenn...
Mir ist schon klar, dass es immer irgendwo ne Lücke gibt, aber das war ja nicht meine Frage!
Im Prinzip habe ich ja auch meine Gedanken bestätigt bekommen!
- So mehr Dienste ins WAN freigegeben sind um so mehr Angriffmöglichkeiten von aussen, dehalb nur Port öffnen die sein müssen
- Halte die Dienste auf den neusten Stand z.B. Apache Wenn Apache nicht mehr unterstützt würde switche auf anderes Produkt
- Beschränke die User innerhalb des Lan auf ein Min. der Benutzerrechte
- Halte die Clients auf den neusten Stand
- Scanne regelmäßig nach Viren
- Halte das Betriebsystem mit Sicherheitsupdates auf den Stand
Fazit: Fällt einer der Punkte weg, steigt das Risiko....
Damit sind dann alle Fragen geklärt, Danke für euere Beiträge!
Salute,
entspann dich..
Ich hole nur kurz aus - nein du mußt dich nicht ducken..
Bei uns gibt es genau einen Unterschied, zwischen Terminalservern und unseren VM Host - die Fiberchannelkarte und etwas mehr Ram in den VM Hosts.
Wenn du damit leben kannst:
Dann beglückwünsche ich dich um deine Anwender.
Bei uns gibts sowas nicht und das hat nix mit Sicherheitsrisiko zu tun, sondern mit der allgemeinen Verträglichkeit Patchlevel Host und dessen Virtueller Umgebung.
Bei einem (selbst dem freien ESxi Hypervisor) sparst du dir einiges.... u.a eine Winblowslizens für den Host.
Last but not Least
Also entspann dich.
Gruß
entspann dich..
Ich hole nur kurz aus - nein du mußt dich nicht ducken..
Bei uns gibt es genau einen Unterschied, zwischen Terminalservern und unseren VM Host - die Fiberchannelkarte und etwas mehr Ram in den VM Hosts.
Wenn du damit leben kannst:
- dass du bei jedem Patchday auch per anno den VM Host patchen / neustarten mußt
- dir / deinen Anwendern das mit dem Aufwand und der Ausfallszeit passt
- ihr/du so anspruchslose Anwender ha(b)st, die sich mit einem TS begnügen, dessen Host max. 4 / eher 3.5 GB Ram bereitsstellt und noch nen Batzen selber davon verbrät.
Dann beglückwünsche ich dich um deine Anwender.
Bei uns gibts sowas nicht und das hat nix mit Sicherheitsrisiko zu tun, sondern mit der allgemeinen Verträglichkeit Patchlevel Host und dessen Virtueller Umgebung.
Bei einem (selbst dem freien ESxi Hypervisor) sparst du dir einiges.... u.a eine Winblowslizens für den Host.
Last but not Least
das ist es nicht, mir fällt immer nur auf, dass du bei sehr vielen Beiträgen ziemlich viel in Frage stellst,
In deinem speziellen Fall "in Frage" <> Gegenfrage - und das ich für manches etwas länger brauche und vorher gegenfrage - dem Alter ist es geschuldet.Also entspann dich.
Gruß
Hallo Timo,
das ist ja das schlimme bei uns Admins, irgendwie haben wir ja alle Recht!
Man steigert sich halt oder?
Es ist ja auch immer eine Frage des Geldes! Des Machbaren usw.
Ich versuche eigentlich immer drei verschiedene Modele bei Kozeptionen zu erstellen. Nur meist sind die besten auch die teuersten Und da ich mehr den Mittelstand betreue mit bis zu 1-50 Mitarbeitern, ist da leider nicht immer so viel Geld da!
Ja der nächste VM-Host wird auch ein Esxi sein, das dumme war nur das ich das mal auf einem Testsystem laufen lassen wollte, jedoch mochte er wohl die Hardware nicht so dolle haben.
Das mit den Patchen der Systeme habe ich ganz gut im Griff, dass machen die Server am Sonntags automatisch morgens über WSus inkl. Host startet autom. die VMs runter, Host staret wieder und VM werden nach Zeit auch autom. gestartet.
Ja die Anwender die übers WAN und VPN Arbeiten meckern hin und wieder mal über ruckler, aber im großen und ganzen laufen die TS echt super stabil in der Umgebung!
Ich wünsche dir ein schönes WE und alles gute bis zum nächsten mal...
das ist ja das schlimme bei uns Admins, irgendwie haben wir ja alle Recht!
Man steigert sich halt oder?
Es ist ja auch immer eine Frage des Geldes! Des Machbaren usw.
Ich versuche eigentlich immer drei verschiedene Modele bei Kozeptionen zu erstellen. Nur meist sind die besten auch die teuersten
Und da ich mehr den Mittelstand betreue mit bis zu 1-50 Mitarbeitern, ist da leider nicht immer so viel Geld da!Ja der nächste VM-Host wird auch ein Esxi sein, das dumme war nur das ich das mal auf einem Testsystem laufen lassen wollte, jedoch mochte er wohl die Hardware nicht so dolle haben.
Das mit den Patchen der Systeme habe ich ganz gut im Griff, dass machen die Server am Sonntags automatisch morgens über WSus inkl. Host startet autom. die VMs runter, Host staret wieder und VM werden nach Zeit auch autom. gestartet.
Ja die Anwender die übers WAN und VPN Arbeiten meckern hin und wieder mal über ruckler, aber im großen und ganzen laufen die TS echt super stabil in der Umgebung!
Ich wünsche dir ein schönes WE und alles gute bis zum nächsten mal...
