5
Beste Konfiguration für Hardwarefirewall und SBS2008 gesucht
Hi zusammen,
ich suche derzeit nach einer praktikablen Konfiguration meiner Watchguard xtm23 für das Netzwerk meines Arbeitgebers.
Ich hoffe dass ich hier Hilfe finde... ich suche schon sehr lange und habe viel Sch gefunden.
Derzeit haben wir ...
1x SBS2008 R2
1x Watchguard xtm 23 (mit VPN Verbindung zu einer anderen xtm 21)
ca. 20x Clients
Der SBS2008 R2 wird derzeit als DC, Exchange, OWA und für die Intranetseite genutzt.
Ich würde gerne den SBS in eine DMZ packen und in das LAN nehmen! Leider gibt, soweit ich weiß, sbs2008 R2 nur eine Neztwerkkarte frei und somit kann ich meine Wunschkonfiguration vergessen.
Welche Möglichkeit hätte ich noch ?
Ja mir ist klar dass ich den Server in das normal LAN nehmen muss, aber wie verhält es sich dann mit der Firewallkonfig(watchguardkonfig).
Dafür suche ich ein paar Konfigurationsmöglichkeiten.
Wie jeder würde ich das Netzwerk gerne so sicher wie möglich machen.
Ich hoffe Angaben zu bekommen oder Denkanstöße zu bekommen wie z.B. (an was sollte man denken...)
Ping von innen nach außen
http 80
https 443
ftp von innen nach aussen
Vielleicht gibt es auch jemanden der eine so ähnliche Konfiguration hat und mir ein paar Tipps geben kann ?
Viiieeelen Dank schon mal für Eure Hilfe....
Gruß
StephSteph
1x SBS2008 R2
1x Watchguard xtm 23 (mit VPN Verbindung zu einer anderen xtm 21)
ca. 20x Clients
Der SBS2008 R2 wird derzeit als DC, Exchange, OWA und für die Intranetseite genutzt.
Ich würde gerne den SBS in eine DMZ packen und in das LAN nehmen! Leider gibt, soweit ich weiß, sbs2008 R2 nur eine Neztwerkkarte frei und somit kann ich meine Wunschkonfiguration vergessen.
Welche Möglichkeit hätte ich noch ?
Ja mir ist klar dass ich den Server in das normal LAN nehmen muss, aber wie verhält es sich dann mit der Firewallkonfig(watchguardkonfig).
Dafür suche ich ein paar Konfigurationsmöglichkeiten.
Wie jeder würde ich das Netzwerk gerne so sicher wie möglich machen.
Ich hoffe Angaben zu bekommen oder Denkanstöße zu bekommen wie z.B. (an was sollte man denken...)
Ping von innen nach außen
http 80
https 443
ftp von innen nach aussen
Vielleicht gibt es auch jemanden der eine so ähnliche Konfiguration hat und mir ein paar Tipps geben kann ?
Viiieeelen Dank schon mal für Eure Hilfe....
Gruß
StephSteph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 167569
Url: https://administrator.de/contentid/167569
Printed on: April 24, 2024 at 18:04 o'clock
5 Comments
Latest comment
Hi,
zwar nix konstruktives, aber stell doch noch klar was genau das für ein Server ist. Es gibt keinen SBS2008R2. Entweder 2008 oder 2011 oder aber 2008R2 ohne SBS.
Nicht bös gemeint
Gruß
MiniStrator
zwar nix konstruktives, aber stell doch noch klar was genau das für ein Server ist. Es gibt keinen SBS2008R2. Entweder 2008 oder 2011 oder aber 2008R2 ohne SBS.
Nicht bös gemeint
Gruß
MiniStrator
Hi ,
sorry .. es ist wohl ein sbs 2008 standard soweit ich weiss....
sorry .. es ist wohl ein sbs 2008 standard soweit ich weiss....
Hallo,
(Das einzige sichere Internet ist kein Internet)
Gruß,
Peter
Zitat von @LordNicon79:
Der SBS2008 R2 wird derzeit als DC, Exchange, OWA und für die Intranetseite genutzt.
OKDer SBS2008 R2 wird derzeit als DC, Exchange, OWA und für die Intranetseite genutzt.
Ich würde gerne den SBS in eine DMZ packen und in das LAN nehmen!
Was genau willst du in einer DMZ Packen? Dein AD, deinen Exchange, deinen DHCP, deinen DNS, dein Intranet, dein WSUS, dein Fileserver oder was genau. Du hast ein Stück Blech wo alles drauf ist da ein SBS. Und den willst du allen ernstes in einer DMZ packen? Warum?wie verhält es sich dann mit der Firewallkonfig(watchguardkonfig).
Du leitest die benötigten Ports auf dein SBS und gut ist.Wie jeder würde ich das Netzwerk gerne so sicher wie möglich machen.
Dann darfst du kein Internetanschluß benutzen (Das einzige sichere Internet ist kein Internet)Gruß,
Peter
Warum willst Du das? Stell einen zweiten Server ins LAN und schau, daß nur die Dienste über die DMZ ins LAN kommen, die wirklich absolut notwendig sind. Ansonsten "haust" Du Dir unnötige Löcher ind deine Brandmauer.
Wenn es wirklich W2K8Standard ist, kann man da zwei Netzwerkkarten reinstecken. Aber das solltest Du nicht tun (s.o.).
(Nachtrag: Sorry, habe mich verlesen, wenns ein SBS2008 ist, dann hat sich das erledigt.)
Zweiter Server im LAN.
Wieso?
PortForwarding und/oder NAT ist die Lösung, wenn es unbedingt sein muß.
Sicherste Möglichkeit: Seitenschneider (mit isolierten Griffen!) nehmen und Stromkabel durchschneiden.
Weniger sichere Methode: Internetanschlußkabel durschschneiden.
Unsicherste, aber sinnvollste Methode: Schön Internet und LAN über eine DMZ getrennt halten und nur das allernotwendigs druchlassen.
Ich hoffe Angaben zu bekommen oder Denkanstöße zu bekommen wie z.B. (an was sollte man denken...)
HTH
Leider gibt, soweit ich weiß, sbs2008 R2 nur eine
Neztwerkkarte frei und somit kann ich meine Wunschkonfiguration vergessen.
Neztwerkkarte frei und somit kann ich meine Wunschkonfiguration vergessen.
Wenn es wirklich W2K8Standard ist, kann man da zwei Netzwerkkarten reinstecken. Aber das solltest Du nicht tun (s.o.).
(Nachtrag: Sorry, habe mich verlesen, wenns ein SBS2008 ist, dann hat sich das erledigt.)
Welche Möglichkeit hätte ich noch ?
Zweiter Server im LAN.
Ja mir ist klar dass ich den Server in das normal LAN nehmen muss,
Wieso?
aber wie verhält es sich dann mit der
Firewallkonfig(watchguardkonfig).
Dafür suche ich ein paar Konfigurationsmöglichkeiten.
Firewallkonfig(watchguardkonfig).
Dafür suche ich ein paar Konfigurationsmöglichkeiten.
PortForwarding und/oder NAT ist die Lösung, wenn es unbedingt sein muß.
Wie jeder würde ich das Netzwerk gerne so sicher wie möglich machen.
Sicherste Möglichkeit: Seitenschneider (mit isolierten Griffen!) nehmen und Stromkabel durchschneiden.
Weniger sichere Methode: Internetanschlußkabel durschschneiden.
Unsicherste, aber sinnvollste Methode: Schön Internet und LAN über eine DMZ getrennt halten und nur das allernotwendigs druchlassen.
Ich hoffe Angaben zu bekommen oder Denkanstöße zu bekommen wie z.B. (an was sollte man denken...)
HTH
Hallo StephSteph
da der Beitrag schon von einiger Zeit erstellt wurde gehe ich davon aus, dass eine Lösung zum Laufen gekommen ist. Der übliche Weg ist das Aufschalten des https Ports (tcp.443) für den SBS. Leider ist dann aber OWA für alle Internetbenutzer verfügbar (works as designed).
Wir haben eine Software entwickelt, um dennoch den best möglichen Schutz vor Angriffen (password guessing und brute force) zu bieten.
Die Software überwacht die Windows-Anmeldeversuche und sperrt die IP Adressen potentieller Angreifer über eine Firewall Rule. Nach einer definierbaren Zeitspanne wird die IP Adresse wieder freigegeben.
Schau mal auf http://cyberarms.net
Schöne Grüße
Maxemilian Hilbrand
http://isicore.de
da der Beitrag schon von einiger Zeit erstellt wurde gehe ich davon aus, dass eine Lösung zum Laufen gekommen ist. Der übliche Weg ist das Aufschalten des https Ports (tcp.443) für den SBS. Leider ist dann aber OWA für alle Internetbenutzer verfügbar (works as designed).
Wir haben eine Software entwickelt, um dennoch den best möglichen Schutz vor Angriffen (password guessing und brute force) zu bieten.
Die Software überwacht die Windows-Anmeldeversuche und sperrt die IP Adressen potentieller Angreifer über eine Firewall Rule. Nach einer definierbaren Zeitspanne wird die IP Adresse wieder freigegeben.
Schau mal auf http://cyberarms.net
Schöne Grüße
Maxemilian Hilbrand
http://isicore.de
