Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Grundsätzliche Überlegungen für Netzwerkumbau!

Mitglied: zeroblue2005

zeroblue2005 (Level 2) - Jetzt verbinden

07.10.2011, aktualisiert 10:25 Uhr, 3430 Aufrufe, 9 Kommentare

Hallo Zusammen,

ich hoffe, ich habe hier den richtigen Bereich ausgewählt, da meine Themen wohl übergreifend sind!

Ich bin derzeit dabei ggf. ein bestimmten Netzwerkbereich eines Unternehmens zu überdenken und würde mich freuen, wenn ihr mir euere Meinung dazu schreiben würdet!

IST-Zustand:

- Klasse-C Netzwerk
- Anbindung an WAN über 16000 DSL Einwahl über Modem
- Linux-Firewall (IP-Cop) mit RED und Green

Darstellung Netzwerkverkehr Down/Up:.........................................................<<<>>> VM-Host (Server 2003 ST) mit...
Modem <<<>>>Firewall (Portweiterleitung) <<<>>> Proxy u. URL-Filter <<<>>> 5 x VM Server (Server 2003 ST) als Terminalserver

- Benutzer wählen sich via VPN ein und benutzen RDP

Problemdarstellung bzw. Fragen:

Da ja bekannt ist, das MS den Support für Win XP bzw. Server 2003 in den nächsten zwei Jahren einstellen wird und es keine Sicherheitsupdates mehr gibt, überlege ich, die den VM-Host auf Windows 7 und die Terminalserver auf Windows 2008 R2 ST umzustellen! Mir ist jedoch klar, dass die Leistung des VM-Host nicht ausreichen wird, die 5 x VM Server (Server 2008 ST) als Terminalserver zu versorgen mit Leistung. Da ja 2008 R2 mehr Leistung von der Hardware fordert! Es wäre also eine fast komplette Neuanschaffung der Hardware und viel Arbeit und Geld von nöten alles umzurüsten.

Nun stelle ich mir die Frage ist das überhaupt nötig, zumindest in den nächsten Jahren auch wenn MS den Support einstellt?

Die Server sind ja nicht direkt mit dem Internet verbunden. Ergo: Können diese durch den Proxy u. Firewall auch nicht direkt auf Betriebssystem-Ebene angefriffen werden oder? Schwachstellen sind hier die Anwendungen der Server die über Portweiterleitungen auf den Server laufen oder? Solange die auf den neusten Stand sind, sollte es doch egal sein, ob MS den Support einstellt oder?

Die Benutzer selber können keinen Mist bauen, da diese ja ausgehend durch ihre Benutzerrechte, Proxy u. URL-Filter gestoppt werden!

Wie gesagt, das ganze ist nur eine Gedankenspiel und irgendwann muss ich da mal ran aber lange Rede kurzer Sinn, was meint Ihr?

Bin gespannt auf euere Beiträge

Gruß Mike
Mitglied: Ravers
07.10.2011 um 10:50 Uhr
Moin moin,

zunächst glaube ich nicht das MS denn Support (wie angekündigt) in 2 Jahren einstellen wird; zuviele Firmen sind noch auf XP und sind auch dann noch nicht bereit für ne Umstellung. Es werden dann wahrscheinlich nur noch Sicherheitsupdates kommen, wie lange steht halt in den Sternen.
Jedoch wird man früher oder später wechseln müssen.

Wenn dem so ist, wie du annimmst, das nur die Serverprodukte eine Schwachstelle sind, muß ich dich enttäuschen. Der Conficker-Wurm hat einige Unternehmen lahm gelegt, auch deren Rechner waren nicht direkt im Inet. Auch wurden aktuelle Firewalls umgangen. Daher halten wir unsere Clients ja auf den "neuesten" Stand .
Wäre dem nicht so, würde ich nur die Server aktuell halten und bei den Clients nach dem Motto gehen: Don`t change a running System.

Meine Meinung ...

Greetz
ravers
Bitte warten ..
Mitglied: zeroblue2005
07.10.2011 um 11:01 Uhr
Hi,

Danke für deine Antwort, nur stelle ich mir die Frage, warum kein Antivirensystem den Conficker-Wurm geschnappt hat und wie konnte der Conficker-Wurm durch den Proxy?

Wir wissen alle, dass es keinen 100 % Schutz gibt, jedoch stellt der Conficker-Wurm für mich so eine Sonderstellung da!

Aber Grundsätzlich gebe ich dir Recht... nicht das du das falsch verstehst...
Bitte warten ..
Mitglied: Ravers
07.10.2011 um 11:37 Uhr
Prinzipiell gebe ich dir Recht das der Conficker ein gewisse Sonderstellung hat. Jedoch können wir davon ausgehen, das die "Bösen Buben" immer neue Sachen entwickeln, die uns das Leben ... sagen wir mal interessant .. macht.
Der Conficker-Wurm hat sich so wahnsinnig schnell verbreitet, das die AV-Hersteller kaum ne Chance hatten. Weiterhin hatt er sich nicht über TCPIP verbreitet, daher half da auch der beste Proxy nicht. Gerne hat er sich auch über USB-Sticks verteilt!

So oder so ist das immer Stand heute, und morgen mag der nächste Hammer kommen. Und da will ich mir nicht nachsagen lassen, das es an dem "veralteten System" lag, welches ich nicht aktuell gehalten habe.
Prinzipiell muß das der Geldgeber entscheiden. Evtl. sagt er auch das ein prod. Ausfall kein Problem ist, auch über mehrere Tage. Dann lass den "alten" Kram weiterlaufen. Jedoch wird ein cleverer Chef das nicht sagen.
Und schon ist das Geld für die zugegeben etwas teure Modernisierung zur Verfügung.
Wer will/muss die Hand ins Feuer halten, wenn`s schief geht?
Sicherlich ist auch ein aktuelles System angreifbar, jedoch sollte man wie es so schön heißt: nach besten Wissen und Gewissen gehandelt haben. Und das kann man nicht haben wenn man auf "alte" Systeme setzt.

greetz
ravers
Bitte warten ..
Mitglied: 60730
07.10.2011 um 13:38 Uhr
moin,

sehe ich das richtig?
VM-Host (Server 2003 ST)

Deine VMs werden von einem W2k3 Server - auf dem VMPlayer, Workstation oder Server läuft - bereitgestellt?
  • Wenn ja - das ist schonmal ein großes Sicherheitsloch incl. Ressourcenfresser

5 x VM Server (Server 2003 ST) als Terminalserver
In dieser (32bit?) Kiste laufen dann 5 weitere als 32bit TS?

Wenn das so ist, dann würde ich da schon einen handlungsbedarf sehen.

Gruß
Bitte warten ..
Mitglied: zeroblue2005
07.10.2011 um 14:55 Uhr
Timo,

ich kann dich beruhigen die laufen alle Sicher und ruhig und alle sind glücklich!
Bitte warten ..
Mitglied: 60730
07.10.2011 um 15:39 Uhr
Salve,

Zitat von zeroblue2005:
Timo,

ich kann dich beruhigen die laufen alle Sicher und ruhig und alle sind glücklich!
Wie war der "Vergleich" mit dem einbeinigen und dem speziellen Wettbewerb?

Ich verstehs nicht - klar bin ich beruhigt - ist ja nicht mein Netzwerk, meine Ressource und mein Swimmingpool.

Du hast doch nach einer "Verbesserung" der aktuellen Lage gefragt und ich hatte zwei Gegenfragen zum aktuelle ist Stand, die du nicht (oder nur zwischen den Zeilen) beantwortet hast.

Von daher.....

Gruß
Bitte warten ..
Mitglied: zeroblue2005
07.10.2011 um 16:22 Uhr
Hallo Timo,

das ist es nicht, mir fällt immer nur auf, dass du bei sehr vielen Beiträgen ziemlich viel in Frage stellst, das nicht mal was mit mir zu tun. Daher habe bei deinem Beitrag nicht weiter zitiert! Nicht böse gemeint OK!

Nur wenn ich lese:

Deine VMs werden von einem W2k3 Server - auf dem VMPlayer, Workstation oder Server läuft - bereitgestellt?

oder

In dieser (32bit?) Kiste laufen dann 5 weitere als 32bit TS?

Zum ersten Ja ist 2003 32 Bit aber kein DC betrieb nur Standalone! Ist VM-Server-2

Zum zweiten auch ja 32 Bit Kisten und laufen 5 Stück drauf und ob du es glaubst oder nicht! Die auslastung ist nicht mal 15 % je Server und der Host langweilt sich und das bei über 20 Benutzern!

Ich habe alles getan um die Umgebung so gut wie möglich dicht zu machen und habe bisher nicht einen Einbruch ins System von innen oder außen gehabt, obwohl es versucht worden ist!

Ich habe bei meiner Frage doch lediglich gefragt, ob ich die Umstellung auf 2008 usw. lassen kann, wenn...

Mir ist schon klar, dass es immer irgendwo ne Lücke gibt, aber das war ja nicht meine Frage!

Im Prinzip habe ich ja auch meine Gedanken bestätigt bekommen!

- So mehr Dienste ins WAN freigegeben sind um so mehr Angriffmöglichkeiten von aussen, dehalb nur Port öffnen die sein müssen
- Halte die Dienste auf den neusten Stand z.B. Apache Wenn Apache nicht mehr unterstützt würde switche auf anderes Produkt
- Beschränke die User innerhalb des Lan auf ein Min. der Benutzerrechte
- Halte die Clients auf den neusten Stand
- Scanne regelmäßig nach Viren
- Halte das Betriebsystem mit Sicherheitsupdates auf den Stand

Fazit: Fällt einer der Punkte weg, steigt das Risiko....

Damit sind dann alle Fragen geklärt, Danke für euere Beiträge!
Bitte warten ..
Mitglied: 60730
07.10.2011 um 17:31 Uhr
Salute,

entspann dich..

Ich hole nur kurz aus - nein du mußt dich nicht ducken..
Bei uns gibt es genau einen Unterschied, zwischen Terminalservern und unseren VM Host - die Fiberchannelkarte und etwas mehr Ram in den VM Hosts.

Wenn du damit leben kannst:
  • dass du bei jedem Patchday auch per anno den VM Host patchen / neustarten mußt
  • dir / deinen Anwendern das mit dem Aufwand und der Ausfallszeit passt
  • ihr/du so anspruchslose Anwender ha(b)st, die sich mit einem TS begnügen, dessen Host max. 4 / eher 3.5 GB Ram bereitsstellt und noch nen Batzen selber davon verbrät.

Dann beglückwünsche ich dich um deine Anwender.
Bei uns gibts sowas nicht und das hat nix mit Sicherheitsrisiko zu tun, sondern mit der allgemeinen Verträglichkeit Patchlevel Host und dessen Virtueller Umgebung.
Bei einem (selbst dem freien ESxi Hypervisor) sparst du dir einiges.... u.a eine Winblowslizens für den Host.
Last but not Least
das ist es nicht, mir fällt immer nur auf, dass du bei sehr vielen Beiträgen ziemlich viel in Frage stellst,
In deinem speziellen Fall "in Frage" <> Gegenfrage - und das ich für manches etwas länger brauche und vorher gegenfrage - dem Alter ist es geschuldet.

Also entspann dich.

Gruß
Bitte warten ..
Mitglied: zeroblue2005
07.10.2011 um 19:22 Uhr
Hallo Timo,

das ist ja das schlimme bei uns Admins, irgendwie haben wir ja alle Recht!

Man steigert sich halt oder?

Es ist ja auch immer eine Frage des Geldes! Des Machbaren usw.

Ich versuche eigentlich immer drei verschiedene Modele bei Kozeptionen zu erstellen. Nur meist sind die besten auch die teuersten Und da ich mehr den Mittelstand betreue mit bis zu 1-50 Mitarbeitern, ist da leider nicht immer so viel Geld da!

Ja der nächste VM-Host wird auch ein Esxi sein, das dumme war nur das ich das mal auf einem Testsystem laufen lassen wollte, jedoch mochte er wohl die Hardware nicht so dolle haben.

Das mit den Patchen der Systeme habe ich ganz gut im Griff, dass machen die Server am Sonntags automatisch morgens über WSus inkl. Host startet autom. die VMs runter, Host staret wieder und VM werden nach Zeit auch autom. gestartet.

Ja die Anwender die übers WAN und VPN Arbeiten meckern hin und wieder mal über ruckler, aber im großen und ganzen laufen die TS echt super stabil in der Umgebung!


Ich wünsche dir ein schönes WE und alles gute bis zum nächsten mal...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Cisco Access Point bei Netzwerkumbau umkonfigurieren

Frage von DrCoxLAN, WAN, Wireless9 Kommentare

Ich habe hier einen Cisco WAP551 - Accesspoint stehen. Nachdem nun heute die Internetverbindung umgestellt wurde (diese wird nun ...

Windows Server

Grundsätzliche Gedanken - Netzlaufwerke auf Terminalserver

gelöst Frage von FA-jkaWindows Server5 Kommentare

Ich installiere gerade meinen ersten Terminalserver. Der Terminalserver (2012r2) hängt zusammen mit einem SBS2011 in einer Domäne. Die Benutzer ...

Microsoft Office

EXCEL stürzt grundsätzlich ab

Frage von altofenMicrosoft Office5 Kommentare

PC 1 Windows 7 (neue Festplatte/ geklont) Office Pro Plus 2016 u.A. mit EXEL 2016 Alles lizenzsiert PC 2 ...

Netzwerke

Grundsätzlicher Aufbau und Hardware-Komponenten für Heimnetzwerk

Frage von Mathias09876Netzwerke3 Kommentare

Hallo zusammen, ich befasse mich gerade mit den Planungen für mein neues Heimnetzwerk und bin nach einiger Recherche auf ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 1 TagSonstige Systeme5 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 1 TagDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 1 TagWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 2 TagenHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Gäste-WLAN durch DD-WRT AP nach einem MikroTik Routerboard
Frage von NukolarLAN, WAN, Wireless16 Kommentare

Hallo, wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten. Dass die Gäste ...

DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL15 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Exchange Server
Outlook findet Postfach nicht
Frage von MaximaxExchange Server11 Kommentare

Hallo, und zwar haben wir auf der Arbeit ein kleines (großes) Exchange 2016 Problem. Exchange meldete gestern, dass die ...

Informationsdienste
Probleme auf dem Server
Frage von LangeLangeInformationsdienste9 Kommentare

Hallo zusammen, ich betreibe die Seite Keine Werbelinks. In der Analyse stellen wir fest, dass die Ladezeit in der ...