5
Netzwerkaufbau und die Sicherheit
Hallo!
Ich baue gerade ein Netzwerk für unsere kleine Firma auf:
Der Netzwerkaufbau ist wie folgt:
Linksys DSL Router mit SPI Firewall => Netgear WGT 624 WLAN Router => 1 WIN SBS 2003 Server (an Lan) + 4 PCs intern (+2 externe VPN)
Der Server ist im Moment an den Netgear Router angeschlossen. DHCP und DNS werden durch den Server bereitgestellt und sind deshalb an den beiden Routern deaktiviert.
Meine Probleme liegen noch darin, ob meine Netzwerktopologie auch Sicherheitssicht vertretbar ist oder nicht.
Zum besseren Verständnis:
Welche Aufgaben soll der Server haben:
1. Digitales Dokumentenarchiv das über Sharepoint bereitgestellt wird.
2. Server für ein ERP System auf das die Clients im Netzwerk zugreifen
3. Ein externes 2. Büro sowie Mitarbeiter zu Hause sollen sowohl auf das Dokumentenarchiv als auch auf das ERP zugreifen können.
4. CAD-Fileserver für Kunden über VPN oder SSL-VPN
Meine Unklarheiten:
Ihr seht meinen Netzwerkaufbau oben beschrieben. Das Netzwerk ist nach außen hin mit dem Linksys DSL Firewallrouter "geschützt". Ist er das firewalltechnisch ausreichend? Der Server selbst läuft mit SBS 2003 Standard. (also kein ISA). Zusätzlich wird er mit F-Secure Anti Virus für Windows Server vor Viren geschützt. Die Client PCs haben eine F-Secure Desktop Firewall und Anti Virus.
Ich habe mir überlegt, zur besseren Absicherung, den Server eventuell an den Linksys Router anzuschließen und ihn so noch in einer Art DMZ zu betreiben. Nun ist die DMZ ja dann meist im Einsatz wenn man einen Server betreibt auf den von außen zugegriffen werden soll und er von den anderen "internen" Servern getrennt wird. Dies ist hier jedoch nicht der Fall. Also nur Schutz der Client PCs durch DMZ.
Da wir eine kleine Firma sind betreiben wir nur einen Server für alles. Die Anwendungen werden sowohl intern als auch extern benötigt. Wie kann man das Sicherheitstechnisch lösen, das man diesen Server sowohl als Fileserver für die Kunden (CAD Daten Austausch) als auch als "sicheren" Dokumenten/ ERPserver für die Firma betreiben kann. Ist z.B. sinnvoll für den CAD Fileserver eine Netzwerkfähige Festplatte mit eigener IP hinter eine SSL-VPN Hardwarelösung wie den SSL 312 Concentrator von Netgear zu hängen um somit zumindest den CAD Fileserver für die Kunden vom Server mit Firmeninternen Daten zu trennen?
(Warum SSL-VPN: Weil ich hier eine webgestütze Oberfläche habe, auf die der Kunde Plattformunabhängig zugreifen kann)
Dann bleibt noch die Frage:
Die Firmeninternen Daten/Dokumente/ERP müssen dem externen Büro verfügbar gemacht werden. Meine Überlegung: Ebenfalls Zugang über SSL VPN. Wie sieht es damit aus?
Was mir nicht gefällt ist, dass alle Anwendungen auf einem Server laufen. Ich kann den Zugriff für die einzelnen Anwendungen durch Firewall, Benutzerkonten, Benutzerrichtlinien etc. regeln. Was aber passiert, wenn der Server doch irgendwie angegriffen wird und jemand der dies z.B. über den Kunden CAD Fileserver gemacht hat, auch schnell Zugriff auf die Firmeninternen Daten hat.
Ziemlich komplexe Sache!
Bin für jeden Ratschlag dankbar!
Gruß Tom
Ich baue gerade ein Netzwerk für unsere kleine Firma auf:
Der Netzwerkaufbau ist wie folgt:
Linksys DSL Router mit SPI Firewall => Netgear WGT 624 WLAN Router => 1 WIN SBS 2003 Server (an Lan) + 4 PCs intern (+2 externe VPN)
Der Server ist im Moment an den Netgear Router angeschlossen. DHCP und DNS werden durch den Server bereitgestellt und sind deshalb an den beiden Routern deaktiviert.
Meine Probleme liegen noch darin, ob meine Netzwerktopologie auch Sicherheitssicht vertretbar ist oder nicht.
Zum besseren Verständnis:
Welche Aufgaben soll der Server haben:
1. Digitales Dokumentenarchiv das über Sharepoint bereitgestellt wird.
2. Server für ein ERP System auf das die Clients im Netzwerk zugreifen
3. Ein externes 2. Büro sowie Mitarbeiter zu Hause sollen sowohl auf das Dokumentenarchiv als auch auf das ERP zugreifen können.
4. CAD-Fileserver für Kunden über VPN oder SSL-VPN
Meine Unklarheiten:
Ihr seht meinen Netzwerkaufbau oben beschrieben. Das Netzwerk ist nach außen hin mit dem Linksys DSL Firewallrouter "geschützt". Ist er das firewalltechnisch ausreichend? Der Server selbst läuft mit SBS 2003 Standard. (also kein ISA). Zusätzlich wird er mit F-Secure Anti Virus für Windows Server vor Viren geschützt. Die Client PCs haben eine F-Secure Desktop Firewall und Anti Virus.
Ich habe mir überlegt, zur besseren Absicherung, den Server eventuell an den Linksys Router anzuschließen und ihn so noch in einer Art DMZ zu betreiben. Nun ist die DMZ ja dann meist im Einsatz wenn man einen Server betreibt auf den von außen zugegriffen werden soll und er von den anderen "internen" Servern getrennt wird. Dies ist hier jedoch nicht der Fall. Also nur Schutz der Client PCs durch DMZ.
Da wir eine kleine Firma sind betreiben wir nur einen Server für alles. Die Anwendungen werden sowohl intern als auch extern benötigt. Wie kann man das Sicherheitstechnisch lösen, das man diesen Server sowohl als Fileserver für die Kunden (CAD Daten Austausch) als auch als "sicheren" Dokumenten/ ERPserver für die Firma betreiben kann. Ist z.B. sinnvoll für den CAD Fileserver eine Netzwerkfähige Festplatte mit eigener IP hinter eine SSL-VPN Hardwarelösung wie den SSL 312 Concentrator von Netgear zu hängen um somit zumindest den CAD Fileserver für die Kunden vom Server mit Firmeninternen Daten zu trennen?
(Warum SSL-VPN: Weil ich hier eine webgestütze Oberfläche habe, auf die der Kunde Plattformunabhängig zugreifen kann)
Dann bleibt noch die Frage:
Die Firmeninternen Daten/Dokumente/ERP müssen dem externen Büro verfügbar gemacht werden. Meine Überlegung: Ebenfalls Zugang über SSL VPN. Wie sieht es damit aus?
Was mir nicht gefällt ist, dass alle Anwendungen auf einem Server laufen. Ich kann den Zugriff für die einzelnen Anwendungen durch Firewall, Benutzerkonten, Benutzerrichtlinien etc. regeln. Was aber passiert, wenn der Server doch irgendwie angegriffen wird und jemand der dies z.B. über den Kunden CAD Fileserver gemacht hat, auch schnell Zugriff auf die Firmeninternen Daten hat.
Ziemlich komplexe Sache!
Bin für jeden Ratschlag dankbar!
Gruß Tom
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 48652
Url: https://administrator.de/contentid/48652
Printed on: April 19, 2024 at 08:04 o'clock
5 Comments
Latest comment
Warum lagerst Du dann den Job DHCP und DNS nicht auf einen der Router aus???
Feste IP's wären in Deinem Fall sicher auch interessant, dann fällt DHCP sogar ganz flach...
Lonesome Walker
Feste IP's wären in Deinem Fall sicher auch interessant, dann fällt DHCP sogar ganz flach...
Lonesome Walker
"100%ige Sicherheit erreicht man erst, wenn der Aufwand es zu hacken größer ist, als der Nutzen aus dem gehackten System." Dein Netz ist so okay. Ich würde mehr augenmerk auf die Zugriffsrechte der Nutzer(intern,extern egal wie) legen. Auch was die Portschliessung per Firewall betrifft. Eine Dauerhafte Überprüfung der Serveraktivitäten gibt ebenfalls Sicherheit. Installiere bitte ein BackUp-System! Wenn Du nur einen Server hast, der alles macht, ist ein Ausfall egal aus welchen Gründen sehr schlim!
@lonesome Walker
Habe mir sagen lassen, daß es Probleme bei Sharepoint, VPN, und Domaincontroller gibt, wenn DHCP und DNS nicht auf SBS 2003 laufen.
@mexx
Ist die von mir angedachte netzwerkfähige externe Festplatte (für File Server) eine Lösung um nicht alles auf einem einzigen Server laufen zu lassen.
Tom
Habe mir sagen lassen, daß es Probleme bei Sharepoint, VPN, und Domaincontroller gibt, wenn DHCP und DNS nicht auf SBS 2003 laufen.
@mexx
Ist die von mir angedachte netzwerkfähige externe Festplatte (für File Server) eine Lösung um nicht alles auf einem einzigen Server laufen zu lassen.
Tom
Öh?
Also, ich weiß nicht, wo da das Problem bei einer sauberen Config sein sollte.
Habe diesbzgl. noch nie sowas feststellen können, aber naja...
Lonesome Walker
Also, ich weiß nicht, wo da das Problem bei einer sauberen Config sein sollte.
Habe diesbzgl. noch nie sowas feststellen können, aber naja...
Lonesome Walker
Nicht nur die Daten der User sichern, sondern auch die Konfigurationen. Userrechte, VPN Konfigs... und und und
