5
Fragen zum Aufbau eines Netzwerks
Hallo zusammen,
ich überlege mir gerade eine Umstrukturierung des Netzwerks und bräuchte mal ein bisschen "Best-Practice"-Hilfe. Vielleicht könnt Ihr mir da ein paar Tipps geben?
Hier die Ausgangssituation: Ich habe ca. 20 Rechner in einem AD. Die Verbindung zum Internet funktioniert im Moment so:
PCs (im AD) -> Switch -> ISA 2004 -> DSL-Router (Draytek Vigor 2820) -> Internet
An diesem Setup gefällt mir, dass sich der Internetzugang über den ISA-Server recht komfortabel regeln lässt. So dürfen also nur Benutzer auf das Internet zugreifen, die vorher von einem (eigenen) AD-Server verifiziert wurden.
Der ISA-Server ist allerdings zeitgleich der Flaschenhals, da alle 20 PCs über diesen ins Internet müssen (Server mit zwei Netzwerkkarten). Ich frage mich nun, ob ich das irgendwie effizienter gestalten kann.
Seit neuestem haben wir auch noch ein WLAN aufgebaut. Die Clients melden sich mit einem festen WPA-Schlüssel an und bekommen vorerst ein eigenes Subnetz zugewiesen. Danach müssen sich die Clients noch per VPN beim ISA-Server anmelden, um ins Internet (und LAN) zu gelangen.
Ich frage mich nun, ob nicht ein anderes Setup besser wäre:
ich überlege, den Draytek-Router als einzige Firewall zu nehmen und die Authentifizierung über einen RADIUS (auf dem AD-Server?) laufen zu lassen. Das hätte auch den Vorteil, dass sich die WLAN-Clients direkt anmelden können.
Aber wie mache ich das dann mit dem Logging (Speicherung IP zu Benutzer)?
Macht das Sinn? Oder gibt es noch andere Möglichkeiten, den ISA zu entlasten, bzw. den WLAN-Zugang zu vereinfachen?
Gibt es da eine Best Practice?
Vielen Dank im Voraus,
Andi
ich überlege mir gerade eine Umstrukturierung des Netzwerks und bräuchte mal ein bisschen "Best-Practice"-Hilfe. Vielleicht könnt Ihr mir da ein paar Tipps geben?
Hier die Ausgangssituation: Ich habe ca. 20 Rechner in einem AD. Die Verbindung zum Internet funktioniert im Moment so:
PCs (im AD) -> Switch -> ISA 2004 -> DSL-Router (Draytek Vigor 2820) -> Internet
An diesem Setup gefällt mir, dass sich der Internetzugang über den ISA-Server recht komfortabel regeln lässt. So dürfen also nur Benutzer auf das Internet zugreifen, die vorher von einem (eigenen) AD-Server verifiziert wurden.
Der ISA-Server ist allerdings zeitgleich der Flaschenhals, da alle 20 PCs über diesen ins Internet müssen (Server mit zwei Netzwerkkarten). Ich frage mich nun, ob ich das irgendwie effizienter gestalten kann.
Seit neuestem haben wir auch noch ein WLAN aufgebaut. Die Clients melden sich mit einem festen WPA-Schlüssel an und bekommen vorerst ein eigenes Subnetz zugewiesen. Danach müssen sich die Clients noch per VPN beim ISA-Server anmelden, um ins Internet (und LAN) zu gelangen.
Ich frage mich nun, ob nicht ein anderes Setup besser wäre:
ich überlege, den Draytek-Router als einzige Firewall zu nehmen und die Authentifizierung über einen RADIUS (auf dem AD-Server?) laufen zu lassen. Das hätte auch den Vorteil, dass sich die WLAN-Clients direkt anmelden können.
Aber wie mache ich das dann mit dem Logging (Speicherung IP zu Benutzer)?
Macht das Sinn? Oder gibt es noch andere Möglichkeiten, den ISA zu entlasten, bzw. den WLAN-Zugang zu vereinfachen?
Gibt es da eine Best Practice?
Vielen Dank im Voraus,
Andi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 102407
Url: https://administrator.de/contentid/102407
Printed on: April 16, 2024 at 21:04 o'clock
5 Comments
Latest comment
"Gängig" ist die Absicherung des WLAN mit IAS Radius und Authentisierung via PEAP (EAP-MSCHAPv2).
Das klingt wahnsinnig komplex, ist aber doch recht einfach. Wenn du es dir selber nicht zutraust machen wir es zusammen online, gegen ein gewisses Taschengeld...
Die WLAN Clients schlagen dann im Intranet auf wie jeder LAN Client auch.
Auf der FW könntest Du logging aktivieren und die mitloggen wer welche Aktivitäten im Internet vollbringt (IP-Adresse & URL etc) je nachdem ob die FW das kann.
Ansonsten bietet sich ein Contentfilter System an, oder eine All-in-one Lösung wie Astaro ASG110, die sind relatiav billig und machen dir nen Web-Proxy mit Content Filter, die blockt dann schon bestimmte Inhalte (Sex, Drugs, RocknRoll usw), Logging, Firewall, DSL-Router, NAT-Device, SMTP Relay ohne Probleme für kleinere Firmen. Und auch noch sehr einfach zu bedienen... Für kleinere Läden sehr zu empfehlen da sie ihre Aufgabe recht brauchbar und stabil erledigen ohne viele komplexe und teure Einzelgeräte zu brauchen. Es geht ja nicht nur um Zugriffssteuerung, sondern vor allem um Abwehr von Schädlingen, z. B. über infizierte Web-Seiten, was ein echtes Sicherheitsrisiko darstellt heutzutage...
Da kannst auch ne AD-Authentisierung machen dass nur AD-User ins Internet kommen mit der Astaro.
Das klingt wahnsinnig komplex, ist aber doch recht einfach. Wenn du es dir selber nicht zutraust machen wir es zusammen online, gegen ein gewisses Taschengeld...
Die WLAN Clients schlagen dann im Intranet auf wie jeder LAN Client auch.
Auf der FW könntest Du logging aktivieren und die mitloggen wer welche Aktivitäten im Internet vollbringt (IP-Adresse & URL etc) je nachdem ob die FW das kann.
Ansonsten bietet sich ein Contentfilter System an, oder eine All-in-one Lösung wie Astaro ASG110, die sind relatiav billig und machen dir nen Web-Proxy mit Content Filter, die blockt dann schon bestimmte Inhalte (Sex, Drugs, RocknRoll usw), Logging, Firewall, DSL-Router, NAT-Device, SMTP Relay ohne Probleme für kleinere Firmen. Und auch noch sehr einfach zu bedienen... Für kleinere Läden sehr zu empfehlen da sie ihre Aufgabe recht brauchbar und stabil erledigen ohne viele komplexe und teure Einzelgeräte zu brauchen. Es geht ja nicht nur um Zugriffssteuerung, sondern vor allem um Abwehr von Schädlingen, z. B. über infizierte Web-Seiten, was ein echtes Sicherheitsrisiko darstellt heutzutage...
Da kannst auch ne AD-Authentisierung machen dass nur AD-User ins Internet kommen mit der Astaro.
warum willst du einen Porsche gegen einen Opel austauschen?
Dein 1. Modell ist doch OK. und warum sollte der ISA der Flaschenhals sein? ist der Server so langsam? ich glaube eher das dein DSL der Flaschenhals ist und wenn du den ISA weg nimmst wird der proxy auch weg fallen.
Dein 1. Modell ist doch OK. und warum sollte der ISA der Flaschenhals sein? ist der Server so langsam? ich glaube eher das dein DSL der Flaschenhals ist und wenn du den ISA weg nimmst wird der proxy auch weg fallen.
Unter bestimmten Umständen kann ein Opel effektiver sein als ein Porsche - bei grade mal 20 Userlein allemal.
Bei einer recht überschaubaren Userzahl kann man das WLAN auch locker mit WPA (besser noch WPA2) absichern und sich das zusätzliche VPN sparen. 802.1X wäre halt noch eleganter da man sich das Eintragen des (statischen...) WPA Keys erspart und die User sich noch VOR Anmeldung am PC am Domain Controller anmelden, so dass auch GPOs ziehen und Netzlaufwerke gemappt werden etc. Quasi die gleiche Userexpirience wie im LAN.
Bei PEAP wird bei jeder Session ein neuer WPA Key ausgehandelt, was die Sache recht einbruchsicher macht, wobei auch WPA/WPA2 mit komplexem PSK derzeit als sicher eingestuft werden kann.
Bei einer recht überschaubaren Userzahl kann man das WLAN auch locker mit WPA (besser noch WPA2) absichern und sich das zusätzliche VPN sparen. 802.1X wäre halt noch eleganter da man sich das Eintragen des (statischen...) WPA Keys erspart und die User sich noch VOR Anmeldung am PC am Domain Controller anmelden, so dass auch GPOs ziehen und Netzlaufwerke gemappt werden etc. Quasi die gleiche Userexpirience wie im LAN.
Bei PEAP wird bei jeder Session ein neuer WPA Key ausgehandelt, was die Sache recht einbruchsicher macht, wobei auch WPA/WPA2 mit komplexem PSK derzeit als sicher eingestuft werden kann.
Vielen Dank für Eure Hilfe!
Hm. Ich habe nun die Zeit genutzt und mal ein paar Tests ohne den ISA gemacht. Es ist tatsächlich nicht der Flaschenhals, ich bleibe daher wohl beim Porsche...
Ich werde dann wohl für die WLAN-Clients einen separaten RADIUS auf dem ISA-Server anlegen, das dürfte ja keine Probleme machen. (?)
@spacyfreak: Sorry, Taschengeld ist leider nicht drin, ich bekomme selber keins (ist ein g.e.V.). Ich werde mich mal selber durchkämpfen.
Hm. Ich habe nun die Zeit genutzt und mal ein paar Tests ohne den ISA gemacht. Es ist tatsächlich nicht der Flaschenhals, ich bleibe daher wohl beim Porsche...
Ich werde dann wohl für die WLAN-Clients einen separaten RADIUS auf dem ISA-Server anlegen, das dürfte ja keine Probleme machen. (?)
@spacyfreak: Sorry, Taschengeld ist leider nicht drin, ich bekomme selber keins (ist ein g.e.V.). Ich werde mich mal selber durchkämpfen.
Neee, das macht garkeine Probleme. Alles easy, quasi "selbsterklärend".
Viel Spass bein Einrichten!
Viel Spass bein Einrichten!
