18
Gefahren, wenn Serverbetreiber einen Server als Router installieren?
Hallo Netzwerker,
im Zuge meines Studiums wieder eine kurze grundlegende Frage zum Thema Netzwerk:
Welche Gefahren sehen Sie, wenn Serverbetreiber einen Server als Router installieren?
Meine bisherigen Antwortmöglichkeiten:
- Server benötigt mehrere Netzwerkkarten (Subnetze?), dadurch höhere Hardwarekosten
- Vor jedem internetfähigen Router muss eine Firewall geschaltet werden, sonst grob fahrlässig
- Performance eines Software-Routers ist sehr viel eingeschränkter als eines Hardware-Routers
- Oversize einen teuren Server als Router zu missbrauchen
- Zuverlässigkeit sollte bei einem Server auf Jahre gesehen niedriger sein als bei einem Hardwarerouter
Da es auf die Aufgabe 10 Punkte gibt, bin ich nicht sicher ob das genügt. Ich wäre dankbar wenn mir hier noch ein paar Tipps diesbezüglich gegeben werden könnten.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 280483
Url: https://administrator.de/contentid/280483
Printed on: April 25, 2024 at 04:04 o'clock
18 Comments
Latest comment
Zitat von @malawi:
- Server benötigt mehrere Netzwerkkarten (Subnetze?), dadurch höhere Hardwarekosten
- Server benötigt mehrere Netzwerkkarten (Subnetze?), dadurch höhere Hardwarekosten
Das ist keine gefahr. Und die höheren Hardwarekosten können durch Funktionalität gerechtfertigt sein.
- Vor jedem internetfähigen Router muss eine Firewall geschaltet werden, sonst grob fahrlässig
Dann klemm mal zwischen Deinem DSL-Router und der Telefondose eine Firewall rein.
- Performance eines Software-Routers ist sehr viel eingeschränkter als eines Hardware-Routers
Das ist auch keine gefahr, sondern nur falsche Planung, wenn es an der Performance scheitert.
- Oversize einen teuren Server als Router zu missbrauchen
Manche fahren auch im ferrrari zum Brötchenholen um die Ecke.
- Zuverlässigkeit sollte bei einem Server auf Jahre gesehen niedriger sein als bei einem Hardwarerouter
Wenn Du die richtige hardware kaufst, ist da kein großer Unetrschied.-
Da es auf die Aufgabe 10 Punkte gibt, bin ich nicht sicher ob das genügt. Ich wäre dankbar wenn mir hier noch ein paar
Tipps diesbezüglich gegeben werden könnten.
Tipps diesbezüglich gegeben werden könnten.
Du soltest vielleicht genauer definieren was Du mit Serevr meinst. Wenn Du z.B. eine pfsense auf Proliants aufsetzt, hast Du eine zuverlässige Router/Firewall -Kombination.
ich glaube entweder ist die Prüfungsfrage falsch gestellt, oder Du bist Dir nicht im klaren, was mit Server gemeint ist.
Ich tippe mal, der Prüfer spricht davon , eine W2KXXX-Server der AD mit Print- und File-Services bietet noch zusätzlich routen zu lassen. Und da ist das im wesentlichen auch davon abhängig, in welchem Kontext das passiert, ob das gefährlich ist oder nciht.
lks
1
Hallo,
nö...
Routing und RAS mit den entsprechenden Netzwerken und es reichen 2 Netzwerkkarten.
- Vor jedem internetfähigen Router muss eine Firewall geschaltet werden, sonst grob fahrlässig
Ob das grob fahrlässig oder fahrlässig oder leichtsinnig ist ist eine Frage der Haftung.
Naja... Ein aktuellen Quadcoreprozessor und asureichend RAM und deine Aussage ist nicht mehr haltbar.....
Und wenn du ein gebraucht Gerät verwendest?
Wie begründest du die Aussage?
Die Verwendung von Hardware die für einen speziellen Einsatzzweck vorgesehen ist hat sich in der Praxis bewährt.
Sobald ein Gerät mehrere Aufgaben bewältigen könnte, als ein Universalgerät ist gibt es wesntlich mehr Potential für Löcher.... und Probleme.
Ein (Hardware-) Server ist immer nur so gut wie das Betriebssystem das darauf läuft...
Wenn dieses Betriebssystem kompromitiert ist dann kannst du davon ausgehen das auch das Routing kompromitiert ist....Insbesondere wenn patches dazu führen das eine Lücke gestopft wird und dadurch andere Lücken aufgerissen werden.....
Aus der Erfahrung heraus kann ich nur sagen das sowohl Router als auch Firewall, oder besser : alle Geräte die eine Verbindung zwischen zwei Systemen die getrennt sein sollten, Geräte sein solten die für diesen Zweck explizit ausgelegt sind und das nicht als einen Dienst von vielen machen...
Bei deinen Argumenten musst du mit einer Reihe von Gegenargumenten rechnen oder damit rechnen das dir die aussagen zerpflügt werden...
Wenn ein Serverbetreiber einen Server als Router einsetzt stellt sich für mich als erstes die Frage, weiß er was er macht?
Wenn er ein Betriebssystem das auf Routing optimiert ist auf einem Server zum laufen bringt spricht ja nichts dagegen...
Es sei den das BIOS hat ein Problem....
brammer
- Server benötigt mehrere Netzwerkkarten (Subnetze?), dadurch höhere Hardwarekosten
nö...
Routing und RAS mit den entsprechenden Netzwerken und es reichen 2 Netzwerkkarten.
- Vor jedem internetfähigen Router muss eine Firewall geschaltet werden, sonst grob fahrlässig
Ob das grob fahrlässig oder fahrlässig oder leichtsinnig ist ist eine Frage der Haftung.
- Performance eines Software-Routers ist sehr viel eingeschränkter als eines Hardware-Routers
Naja... Ein aktuellen Quadcoreprozessor und asureichend RAM und deine Aussage ist nicht mehr haltbar.....
-Oversize einen teuren Server als Router zu missbrauchen
Und wenn du ein gebraucht Gerät verwendest?
- Zuverlässigkeit sollte bei einem Server auf Jahre gesehen niedriger sein als bei einem Hardwarerouter
Wie begründest du die Aussage?
Die Verwendung von Hardware die für einen speziellen Einsatzzweck vorgesehen ist hat sich in der Praxis bewährt.
Sobald ein Gerät mehrere Aufgaben bewältigen könnte, als ein Universalgerät ist gibt es wesntlich mehr Potential für Löcher.... und Probleme.
Ein (Hardware-) Server ist immer nur so gut wie das Betriebssystem das darauf läuft...
Wenn dieses Betriebssystem kompromitiert ist dann kannst du davon ausgehen das auch das Routing kompromitiert ist....Insbesondere wenn patches dazu führen das eine Lücke gestopft wird und dadurch andere Lücken aufgerissen werden.....
Aus der Erfahrung heraus kann ich nur sagen das sowohl Router als auch Firewall, oder besser : alle Geräte die eine Verbindung zwischen zwei Systemen die getrennt sein sollten, Geräte sein solten die für diesen Zweck explizit ausgelegt sind und das nicht als einen Dienst von vielen machen...
Bei deinen Argumenten musst du mit einer Reihe von Gegenargumenten rechnen oder damit rechnen das dir die aussagen zerpflügt werden...
Wenn ein Serverbetreiber einen Server als Router einsetzt stellt sich für mich als erstes die Frage, weiß er was er macht?
Wenn er ein Betriebssystem das auf Routing optimiert ist auf einem Server zum laufen bringt spricht ja nichts dagegen...
Es sei den das BIOS hat ein Problem....
brammer
1
@ Lochkartenstanzer
Puhhh, also jetzt hast Du mir den Wind ein bisschen aus meinen Segeln genommen.
Das hätte ich nicht erwartet. Nun ich kann die Frage hier leider nur wiedergeben wie Sie mir gestellt wurde. Es ist eine allgemeine Frage, also kann man "Server" sehr unterschiedlich definieren. Mir stellt sich lediglich die Frage, weshalb dann größtenteils Hardware-Router eingesetzt werden. Vermutlich sind Deine Antworten schon zu professionell bezüglich dieser Frage. Wenn wir es ganz pauschal und einfach halten?
Z.B. Dein Beispiel mit dem Windows-Server mit AD, Print- und File-Services zusätzlich routen zu lassen.
@ Brammer
Ihr müsst mir nachsehen, ich bin noch relativ am Anfang der Netzwerktechnik und bin eher verwirrt durch eure Antworten. Aber ich vermute, dass man dies in diesem komplexen Thema auch nicht anders beantworten kann. Was würdet Ihr denn auf diese Frage explizit antworten wenn sie euch gestellt wird?
Da meine Antworten hier regelrecht zerpflückt wurden, nehme ich diese als nicht sehr ausgereift wahr. Diese sind mir halt zuerst durch den Kopf gegangen.
PS: Habe soeben nochmal meine Lehrbriefthemen überflogen und festgestellt, das oft die Rede von Windows-Servern und Routing ist. "....anschließend kann der Routing-Dienst über die Verwaltung "Routing und RAS" eingerichtet werden"......(kleiner Auszug). Deshalb denke ich, dass es sich bei dem Server in der Fragestellung um einen Windows-Server mit AD handelt.
Puhhh, also jetzt hast Du mir den Wind ein bisschen aus meinen Segeln genommen.
Das hätte ich nicht erwartet. Nun ich kann die Frage hier leider nur wiedergeben wie Sie mir gestellt wurde. Es ist eine allgemeine Frage, also kann man "Server" sehr unterschiedlich definieren. Mir stellt sich lediglich die Frage, weshalb dann größtenteils Hardware-Router eingesetzt werden. Vermutlich sind Deine Antworten schon zu professionell bezüglich dieser Frage. Wenn wir es ganz pauschal und einfach halten?
Z.B. Dein Beispiel mit dem Windows-Server mit AD, Print- und File-Services zusätzlich routen zu lassen.
@ Brammer
Ihr müsst mir nachsehen, ich bin noch relativ am Anfang der Netzwerktechnik und bin eher verwirrt durch eure Antworten. Aber ich vermute, dass man dies in diesem komplexen Thema auch nicht anders beantworten kann. Was würdet Ihr denn auf diese Frage explizit antworten wenn sie euch gestellt wird?
Da meine Antworten hier regelrecht zerpflückt wurden, nehme ich diese als nicht sehr ausgereift wahr. Diese sind mir halt zuerst durch den Kopf gegangen.
PS: Habe soeben nochmal meine Lehrbriefthemen überflogen und festgestellt, das oft die Rede von Windows-Servern und Routing ist. "....anschließend kann der Routing-Dienst über die Verwaltung "Routing und RAS" eingerichtet werden"......(kleiner Auszug). Deshalb denke ich, dass es sich bei dem Server in der Fragestellung um einen Windows-Server mit AD handelt.
Hallo,
eigentlich musst dui die Frage
mit Gegenfragen beantworten ....
Was für ein Server?
Was für ein Betriebssystem?
Was für weitere Diesnte bietet der Server?
Wenn der Server explizit ein Server nur für das Routing ist, keine anderen aktiven Dienste ("Services" = Serverdienste) laufen, das Betriebssystem auf Routing optimiert und gehärtet ist, dann spricht nichts dagegen....
Ist der Server dagegen für andere Dienste zuständig und macht das Routing nur als einen von mehreren Diensten dann bestehen diverse Risiken....
brammer
eigentlich musst dui die Frage
Welche Gefahren sehen Sie, wenn Serverbetreiber einen Server als Router installieren?
mit Gegenfragen beantworten ....
Was für ein Server?
Was für ein Betriebssystem?
Was für weitere Diesnte bietet der Server?
Wenn der Server explizit ein Server nur für das Routing ist, keine anderen aktiven Dienste ("Services" = Serverdienste) laufen, das Betriebssystem auf Routing optimiert und gehärtet ist, dann spricht nichts dagegen....
Ist der Server dagegen für andere Dienste zuständig und macht das Routing nur als einen von mehreren Diensten dann bestehen diverse Risiken....
brammer
1
Hi,
die Frage richtet sich doch eigentlich nach den Gefahren, gell?
Ferner käme mir die Frage, ob die mit Server die Software an sich meinen, denn das andere ist Serverhardware.
Die Probleme, die ich dann also sehe:
- keine direkte Portkontrolle. Auf einem Server (vorallem Windows) können mehr Ports standardmäßig offen sein, als bei einer Routerfirmware.
Die Regel gilt:
Normales Betriebssystem: viele Ports offen, die per Konfig geschlossen werden müssen
Routerfirmware: meistens alles zu. Per Konfig werden die entsprechenden Ports erst geöffnet.
- keine direkte Funktionalitätenkontrolle:
Normales Betriebssystem: Meistens sind Standardpakete und bestimmte Dienste mit installiert, die für Routing gar nicht gebraucht werden. Meistens unkonfiguriert, sind die Funktionen aktiviert.
Routerfirmware: reduziert auf die nötigen Funktionen. Meistens unkonfiguriert, sind die Funktionen auch deaktiviert.
- Stabilität:
Normales Betriebssystem: fähig, viele Funktionen zu unterstützen. Meistens sind diese funktional implementiert.
Routerfirmware: bestimmte Funktionalitäten werden unterstützt, diese dann aber richtig!
Vorteile/Gefahren: Routerhardware / Serverhardware:
Routerhardware:
- Vorteil: Passend zur Routerfirmware. Keine Komponente muss auf die andere warten, dadurch hohe Performance
- Nachteil: Hochintegriert. Defekte Bauteile wegen proprietärer Lizenzen meist sehr teuer, wenn überhaupt austauschbar.
Serverhardware:
- Vorteil: u.U. kostengünstig. Kann sehr leistungsstark sein, wenn richtig dimensioniert und Komponenten zu einander passen.
- Vorteil: Erweiterbarkeit in Abhängigkeit zur Hardwareausstattung. Brauchst Du ne Netzwerkkarte mehr, bau eine ein.
- Nachteil: Stromfresser. Auch wenn Serverhardware immer sparsamer wird, eine Appliance werden sie im Stromverbrauch nicht toppen.
die Frage richtet sich doch eigentlich nach den Gefahren, gell?
Ferner käme mir die Frage, ob die mit Server die Software an sich meinen, denn das andere ist Serverhardware.
Die Probleme, die ich dann also sehe:
- keine direkte Portkontrolle. Auf einem Server (vorallem Windows) können mehr Ports standardmäßig offen sein, als bei einer Routerfirmware.
Die Regel gilt:
Normales Betriebssystem: viele Ports offen, die per Konfig geschlossen werden müssen
Routerfirmware: meistens alles zu. Per Konfig werden die entsprechenden Ports erst geöffnet.
- keine direkte Funktionalitätenkontrolle:
Normales Betriebssystem: Meistens sind Standardpakete und bestimmte Dienste mit installiert, die für Routing gar nicht gebraucht werden. Meistens unkonfiguriert, sind die Funktionen aktiviert.
Routerfirmware: reduziert auf die nötigen Funktionen. Meistens unkonfiguriert, sind die Funktionen auch deaktiviert.
- Stabilität:
Normales Betriebssystem: fähig, viele Funktionen zu unterstützen. Meistens sind diese funktional implementiert.
Routerfirmware: bestimmte Funktionalitäten werden unterstützt, diese dann aber richtig!
Vorteile/Gefahren: Routerhardware / Serverhardware:
Routerhardware:
- Vorteil: Passend zur Routerfirmware. Keine Komponente muss auf die andere warten, dadurch hohe Performance
- Nachteil: Hochintegriert. Defekte Bauteile wegen proprietärer Lizenzen meist sehr teuer, wenn überhaupt austauschbar.
Serverhardware:
- Vorteil: u.U. kostengünstig. Kann sehr leistungsstark sein, wenn richtig dimensioniert und Komponenten zu einander passen.
- Vorteil: Erweiterbarkeit in Abhängigkeit zur Hardwareausstattung. Brauchst Du ne Netzwerkkarte mehr, bau eine ein.
- Nachteil: Stromfresser. Auch wenn Serverhardware immer sparsamer wird, eine Appliance werden sie im Stromverbrauch nicht toppen.
1
@ brammer
Ich denke, dass die Fragestellung sich auf die "diversen Risiken", die Du nennst, bezieht. Könntest Du einige davon nennen?
Danke
Ich denke, dass die Fragestellung sich auf die "diversen Risiken", die Du nennst, bezieht. Könntest Du einige davon nennen?
Danke
@beidermachtvongreyscull
Vielen Dank für Deine ausführliche Antwort. Ich denke so eine Erklärung wird in etwa auch bei meiner Fragestellung erwartet. Hat mir sehr geholfen!
Vielen Dank für Deine ausführliche Antwort. Ich denke so eine Erklärung wird in etwa auch bei meiner Fragestellung erwartet. Hat mir sehr geholfen!
Hi,
möchte nur kurz meinen Senf dazu abgeben, da die Kollegen ja schon alles gesagt haben
1. Liefert die Frage wenig Informationen, der Begriff Server aber auch der Begriff Router sehr weitläufig sind
2. Gibt es auf diese Frage keine vollständig korrekte Antwort,
da sich fast alle Argumente gegenarumentieren lassen.
Aus eigener Erfahrung weiß ich dass diese Frage oft darauf abzielt, dass ein (Windows AD, Exchange, whatever) Server ungeeignet ist,
weil dieser ja noch andere Aufgaben übernimmt und die Trennung von Diensten aus dem Sicherheitsaspekt
wichtig ist. Diese Antwort würde perfekt zu deinen Angaben zu den Lehrthemen passen.
möchte nur kurz meinen Senf dazu abgeben, da die Kollegen ja schon alles gesagt haben
1. Liefert die Frage wenig Informationen, der Begriff Server aber auch der Begriff Router sehr weitläufig sind
2. Gibt es auf diese Frage keine vollständig korrekte Antwort,
da sich fast alle Argumente gegenarumentieren lassen.
Aus eigener Erfahrung weiß ich dass diese Frage oft darauf abzielt, dass ein (Windows AD, Exchange, whatever) Server ungeeignet ist,
weil dieser ja noch andere Aufgaben übernimmt und die Trennung von Diensten aus dem Sicherheitsaspekt
wichtig ist. Diese Antwort würde perfekt zu deinen Angaben zu den Lehrthemen passen.
1
Hallo,
ich gehe davon aus, das wir in den vorherigen Antworten viele Details und Probleme schon aufgezeigt haben....
Da ich nicht deine Studiums Hausuafgaben machen möchte, schlage ich vor das du die Antwort zusammenschreibst und dann hier noch mal zur diskussion stellst...
brammer
Ich denke, dass die Fragestellung sich auf die "diversen Risiken", die Du nennst, bezieht. Könntest Du einige davon nennen?
ich gehe davon aus, das wir in den vorherigen Antworten viele Details und Probleme schon aufgezeigt haben....
Da ich nicht deine Studiums Hausuafgaben machen möchte, schlage ich vor das du die Antwort zusammenschreibst und dann hier noch mal zur diskussion stellst...
brammer
1
Antwort:
Hier fehlen einige Details zum Server:
Was für ein Server?
Was für ein Betriebssystem?
Ist der Server ausschließlich fürs Routing gedacht oder laufen weitere Dienste?
Gehen wir davon aus, wir haben einen Windows-Server der auch routen soll:
Auf einem Windows-Server hat man keine direkte Portkontrolle, standardmäßig sind hier schon viele Ports offen und stellen somit eine Angriffsfläche dar. Bei einer Routerfirmware ist zunächst alles geschlossen und wir durch Regeln dann geöffnet. Also genau andersrum.
Ein Server mag viele Funktionen bieten, allerdings werden häufig die wenigsten davon gebraucht und liegen somit brach. Auf einer Router-Firmware werden solche Dienste deaktiviert bis man sie benötigt. Damit geht einher, dass mehr Funktionalitäten auch mehr Fehlerquellen aufweisen. Ein Router kann routen, und das dann aber auch richtig. Das heißt, das man den Routing-Dienst strikt von anderen unternehmenswichtigen Diensten trennen sollte. Diese Gefahr sollte man nicht unterschätzen!
Am Ende bleibt zu sagen, ist der Server (+Betriebssystem) aufs Routing ausgelegt, so kann dies durchaus keine Nachteile (Gefahr) gegenüber einem Hardware-Router zeigen. In den meisten Fällen sollte eine Appliance aber die bessere und bequemere Wahl sein.
Hier fehlen einige Details zum Server:
Was für ein Server?
Was für ein Betriebssystem?
Ist der Server ausschließlich fürs Routing gedacht oder laufen weitere Dienste?
Gehen wir davon aus, wir haben einen Windows-Server der auch routen soll:
Auf einem Windows-Server hat man keine direkte Portkontrolle, standardmäßig sind hier schon viele Ports offen und stellen somit eine Angriffsfläche dar. Bei einer Routerfirmware ist zunächst alles geschlossen und wir durch Regeln dann geöffnet. Also genau andersrum.
Ein Server mag viele Funktionen bieten, allerdings werden häufig die wenigsten davon gebraucht und liegen somit brach. Auf einer Router-Firmware werden solche Dienste deaktiviert bis man sie benötigt. Damit geht einher, dass mehr Funktionalitäten auch mehr Fehlerquellen aufweisen. Ein Router kann routen, und das dann aber auch richtig. Das heißt, das man den Routing-Dienst strikt von anderen unternehmenswichtigen Diensten trennen sollte. Diese Gefahr sollte man nicht unterschätzen!
Am Ende bleibt zu sagen, ist der Server (+Betriebssystem) aufs Routing ausgelegt, so kann dies durchaus keine Nachteile (Gefahr) gegenüber einem Hardware-Router zeigen. In den meisten Fällen sollte eine Appliance aber die bessere und bequemere Wahl sein.
Zitat von @beidermachtvongreyscull:
Die Probleme, die ich dann also sehe:
- keine direkte Portkontrolle. Auf einem Server (vorallem Windows) können mehr Ports standardmäßig offen sein, als
bei einer Routerfirmware.
Die Probleme, die ich dann also sehe:
- keine direkte Portkontrolle. Auf einem Server (vorallem Windows) können mehr Ports standardmäßig offen sein, als
bei einer Routerfirmware.
Aber nur, wenn der Admin sein handwerk nicht versteht.
Es gibt egnüpgend Betriebssysteme, die out-of-the-box alles dich haben udn selbst windows kann man sehr schnell dichtmachen, so man weiß, was man will.
Die Regel gilt:
Normales Betriebssystem: viele Ports offen, die per Konfig geschlossen werden müssen
Routerfirmware: meistens alles zu. Per Konfig werden die entsprechenden Ports erst geöffnet.
Normales Betriebssystem: viele Ports offen, die per Konfig geschlossen werden müssen
Routerfirmware: meistens alles zu. Per Konfig werden die entsprechenden Ports erst geöffnet.
Nunja, da solltest Du mal aufpassen, nciht die falschen Router zu nehmen, daß gibt es durchaus den ein oder anderen, die diverse "Fernwartugngsports" mit default-credentials auf haben. Selbst bei namhaften Herstellern.
Normales Betriebssystem: ...
Normales Betriebssystem: ...
Normales Betriebssystem: ...
Normales Betriebssystem: ...
Normales Betriebssystem: ...
Normales Betriebssystem: ...
Normales Betriebssystem: ...
Da sollte man erstmal definieren, was ein normales Betriebssystem sein soll. Die Betribssysteme, die ich nehmen, sind i.d.R. sehr restriktiv udn man muß manuell erst alles hinzuschalten.
lks
1
Hallo,
wenn man sich die führenden Routing und Firewall Appliances ansieht, hat einer schon mal ein solches Gerät mit einem Microsoft Betriebssystem gesehen?
Mir ist keines bekannt.
Die Router und Firewall Operating Systeme basierend entweder auf einem Linux / Unix oder BSD Kernel oder sind komplett Eigenentwicklungen...
Und alle sind explizit auf die Aufgabe Routing / Firewall ausgelegt.
Wenn du ein Microsoft Betriebssystem entsprechend der Anforderungen "Routing" umbaust oder anpasst wird das wohl funktionieren.... Aber hier stellt sich schon die Frage ob es für ein derart kastriertes Betriebssystem Security Patches geben kann....
Allerdings musst du für deine Frage das ganze ein bisschen beschränken... Reines Routing soll ja nichts filtern oder blockieren ... das kann ein Microsoft Betriebssystem schon... Sicherheitstechnisch ist das ein Risiko...
brammer
wenn man sich die führenden Routing und Firewall Appliances ansieht, hat einer schon mal ein solches Gerät mit einem Microsoft Betriebssystem gesehen?
Mir ist keines bekannt.
Die Router und Firewall Operating Systeme basierend entweder auf einem Linux / Unix oder BSD Kernel oder sind komplett Eigenentwicklungen...
Und alle sind explizit auf die Aufgabe Routing / Firewall ausgelegt.
Wenn du ein Microsoft Betriebssystem entsprechend der Anforderungen "Routing" umbaust oder anpasst wird das wohl funktionieren.... Aber hier stellt sich schon die Frage ob es für ein derart kastriertes Betriebssystem Security Patches geben kann....
Allerdings musst du für deine Frage das ganze ein bisschen beschränken... Reines Routing soll ja nichts filtern oder blockieren ... das kann ein Microsoft Betriebssystem schon... Sicherheitstechnisch ist das ein Risiko...
brammer
Zitat von @malawi:
Antwort:
Hier fehlen einige Details zum Server:
Was für ein Server?
Was für ein Betriebssystem?
Ist der Server ausschließlich fürs Routing gedacht oder laufen weitere Dienste?
Gehen wir davon aus, wir haben einen Windows-Server der auch routen soll:
Auf einem Windows-Server hat man keine direkte Portkontrolle, standardmäßig sind hier schon viele Ports offen und
stellen somit eine Angriffsfläche dar. Bei einer Routerfirmware ist zunächst alles geschlossen und wir durch Regeln dann
geöffnet. Also genau andersrum.
Ein Server mag viele Funktionen bieten, allerdings werden häufig die wenigsten davon gebraucht und liegen somit brach. Auf
einer Router-Firmware werden solche Dienste deaktiviert bis man sie benötigt. Damit geht einher, dass mehr
Funktionalitäten auch mehr Fehlerquellen aufweisen. Ein Router kann routen, und das dann aber auch richtig. Das heißt,
das man den Routing-Dienst strikt von anderen unternehmenswichtigen Diensten trennen sollte. Diese Gefahr sollte man nicht
unterschätzen!
Am Ende bleibt zu sagen, ist der Server (+Betriebssystem) aufs Routing ausgelegt, so kann dies durchaus keine Nachteile (Gefahr)
gegenüber einem Hardware-Router zeigen. In den meisten Fällen sollte eine Appliance aber die bessere und bequemere Wahl
sein.
Antwort:
Hier fehlen einige Details zum Server:
Was für ein Server?
Was für ein Betriebssystem?
Ist der Server ausschließlich fürs Routing gedacht oder laufen weitere Dienste?
Gehen wir davon aus, wir haben einen Windows-Server der auch routen soll:
Auf einem Windows-Server hat man keine direkte Portkontrolle, standardmäßig sind hier schon viele Ports offen und
stellen somit eine Angriffsfläche dar. Bei einer Routerfirmware ist zunächst alles geschlossen und wir durch Regeln dann
geöffnet. Also genau andersrum.
Ein Server mag viele Funktionen bieten, allerdings werden häufig die wenigsten davon gebraucht und liegen somit brach. Auf
einer Router-Firmware werden solche Dienste deaktiviert bis man sie benötigt. Damit geht einher, dass mehr
Funktionalitäten auch mehr Fehlerquellen aufweisen. Ein Router kann routen, und das dann aber auch richtig. Das heißt,
das man den Routing-Dienst strikt von anderen unternehmenswichtigen Diensten trennen sollte. Diese Gefahr sollte man nicht
unterschätzen!
Am Ende bleibt zu sagen, ist der Server (+Betriebssystem) aufs Routing ausgelegt, so kann dies durchaus keine Nachteile (Gefahr)
gegenüber einem Hardware-Router zeigen. In den meisten Fällen sollte eine Appliance aber die bessere und bequemere Wahl
sein.
Ließt sich gut
Man findet sicherlich immer was zu meckern, aber die Antwort wäre meiner Meinung nach gut. Bezüglich Brammers letztem Kommentar denke ich das Windows-Server weniger als Router-OS geeignetsind, da es ja auch Lizenztechnisch recht teuer sein wird 1
Hallo,
was kostet eine aktuelle Windows Server Lizenz?
Ein Cisco IOS kostet vermutlich mehr...
http://www.voelkner.de/products/216000/Cisco-1841-Adv-IP-Serv-Feature-P ...
brammer
da es ja auch Lizenztechnisch recht teuer sein wird
was kostet eine aktuelle Windows Server Lizenz?
Ein Cisco IOS kostet vermutlich mehr...
http://www.voelkner.de/products/216000/Cisco-1841-Adv-IP-Serv-Feature-P ...
brammer
1Zitat von @Lochkartenstanzer:
> Zitat von @beidermachtvongreyscull:
>
> Die Probleme, die ich dann also sehe:
> - keine direkte Portkontrolle. Auf einem Server (vorallem Windows) können mehr Ports standardmäßig offen
sein, als
> bei einer Routerfirmware.
Aber nur, wenn der Admin sein handwerk nicht versteht.
Es gibt egnüpgend Betriebssysteme, die out-of-the-box alles dich haben udn selbst windows kann man sehr schnell dichtmachen,
so man weiß, was man will.
Stimmt. Aber diese Verfeinerung erging nicht aus der Aufgabenstellung. Diese ließ sich für mich einfach herleiten: Das erste Problem, über das man stolpern kann...> Zitat von @beidermachtvongreyscull:
>
> Die Probleme, die ich dann also sehe:
> - keine direkte Portkontrolle. Auf einem Server (vorallem Windows) können mehr Ports standardmäßig offen
sein, als
> bei einer Routerfirmware.
Aber nur, wenn der Admin sein handwerk nicht versteht.
Es gibt egnüpgend Betriebssysteme, die out-of-the-box alles dich haben udn selbst windows kann man sehr schnell dichtmachen,
so man weiß, was man will.
> Die Regel gilt:
> Normales Betriebssystem: viele Ports offen, die per Konfig geschlossen werden müssen
> Routerfirmware: meistens alles zu. Per Konfig werden die entsprechenden Ports erst geöffnet.
Nunja, da solltest Du mal aufpassen, nciht die falschen Router zu nehmen, daß gibt es durchaus den ein oder anderen, die
diverse "Fernwartugngsports" mit default-credentials auf haben. Selbst bei namhaften Herstellern.
> Normales Betriebssystem: ...
> Normales Betriebssystem: ...
> Normales Betriebssystem: ...
> Normales Betriebssystem: ...
Da sollte man erstmal definieren, was ein normales Betriebssystem sein soll. Die Betribssysteme, die ich nehmen, sind i.d.R. sehr
restriktiv udn man muß manuell erst alles hinzuschalten.
lks
1
Zitat von @brammer:
> - Performance eines Software-Routers ist sehr viel eingeschränkter als eines Hardware-Routers
Naja... Ein aktuellen Quadcoreprozessor und asureichend RAM und deine Aussage ist nicht mehr haltbar.....
> - Performance eines Software-Routers ist sehr viel eingeschränkter als eines Hardware-Routers
Naja... Ein aktuellen Quadcoreprozessor und asureichend RAM und deine Aussage ist nicht mehr haltbar.....
Würde ich so nicht stehen lassen. Ein 10 Jahre alter Cisco-Router mit Gigabit-Ethernet schafft locker pro Port die vierfache Paketrate eines Netzwerkadapters aus dem oberen Preis- und Leistungssegment. Da kann die CPU noch so schnell sein, wenn die NIC die Paketraten nicht schafft, dann ist das der Flaschenhals.
1Zitat von @LordGurke:
Da kann die CPU noch so schnell sein, wenn die NIC
die Paketraten nicht schafft, dann ist das der Flaschenhals.
Da kann die CPU noch so schnell sein, wenn die NIC
die Paketraten nicht schafft, dann ist das der Flaschenhals.
Wenn man einen Router auf Basis von Serverhardware bauen will, muß man natürlich auch die passenden NICs da reinstopfen. Sonst kann man das nämlich gleich lassen.
lks
1
Hallo,
Da geb ich dir vollkommen recht.... nur... man muss natürlich Geräte auf einem passenden Niveau vergleichen...
Es macht ja keinen Sinn einen selbstgebauten Router mit einem High End Cisco Router zu vergleichen, selbst wenn dieser 10 Jahre alt ist.
Wenn man aber einen aktuellen Cisco SoHo (881 z.b.) von der Performance gegen einen aktuellen Server stellt, der das Routing macht sieht der Vergleich besser für den Server aus ....
brammer
Würde ich so nicht stehen lassen. Ein 10 Jahre alter Cisco-Router mit Gigabit-Ethernet schafft locker pro Port die vierfache
Paketrate eines Netzwerkadapters aus dem oberen Preis- und Leistungssegment. Da kann die CPU noch so schnell sein, wenn die > NIC die Paketraten nicht schafft, dann ist das der Flaschenhals.
Paketrate eines Netzwerkadapters aus dem oberen Preis- und Leistungssegment. Da kann die CPU noch so schnell sein, wenn die > NIC die Paketraten nicht schafft, dann ist das der Flaschenhals.
Da geb ich dir vollkommen recht.... nur... man muss natürlich Geräte auf einem passenden Niveau vergleichen...
Es macht ja keinen Sinn einen selbstgebauten Router mit einem High End Cisco Router zu vergleichen, selbst wenn dieser 10 Jahre alt ist.
Wenn man aber einen aktuellen Cisco SoHo (881 z.b.) von der Performance gegen einen aktuellen Server stellt, der das Routing macht sieht der Vergleich besser für den Server aus ....
brammer
