13
Zwei Netzwerke Konfigurieren für maximale Sicherheit
Hallo allerseits,
ich habe die Aufgabe eine Netzwerkstruktur einer Firma Aufzubauen und bin für die Sicherheit zuständig. Ich habe folgen Frage vielleicht kann mir jemand den einen oder anderen Tipp geben.
Folgende Netzwerkstruktur ist geplant:
VLAN1(Firmennetzwerk)
Auftragserver(MySQL/php)
Firmen Nas
Netzwerkdrucker
Telefonanlage
Client Rechner
...
VLAN2(Kundennetz)
Kunden nas (Backups)
Client Rechner
Kundenrechner(evtl. Infizierte Rechner)
Alle Client Rechner von VLAN1 und VLAN2 müssen die Möglichkeit hab, auf den Auftragsserver über Port 8080 zugreifen(Webanwendung).
Welche Hardware/Software Aufbau ist zu empfehlen, damit VLAN1 und insbesondere der Auftragsserver von Angriffen/Viren/Trojaner geschützt ist?
Folgende Hardware/Software ist im Einsatz:
- Xtm 26-w
- Switch HP V1810
- Antivieren Software Small Business Kaspersky
Vielen Dank im voraus
LG Bobby
ich habe die Aufgabe eine Netzwerkstruktur einer Firma Aufzubauen und bin für die Sicherheit zuständig. Ich habe folgen Frage vielleicht kann mir jemand den einen oder anderen Tipp geben.
Folgende Netzwerkstruktur ist geplant:
VLAN1(Firmennetzwerk)
Auftragserver(MySQL/php)
Firmen Nas
Netzwerkdrucker
Telefonanlage
Client Rechner
...
VLAN2(Kundennetz)
Kunden nas (Backups)
Client Rechner
Kundenrechner(evtl. Infizierte Rechner)
Alle Client Rechner von VLAN1 und VLAN2 müssen die Möglichkeit hab, auf den Auftragsserver über Port 8080 zugreifen(Webanwendung).
Welche Hardware/Software Aufbau ist zu empfehlen, damit VLAN1 und insbesondere der Auftragsserver von Angriffen/Viren/Trojaner geschützt ist?
Folgende Hardware/Software ist im Einsatz:
- Xtm 26-w
- Switch HP V1810
- Antivieren Software Small Business Kaspersky
Vielen Dank im voraus
LG Bobby
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 313570
Url: https://administrator.de/contentid/313570
Printed on: April 25, 2024 at 10:04 o'clock
13 Comments
Latest comment
Hallo Bobby,
willst du hier neutrale Tipps oder suchst du einen Partner zur Konfiguration?
Was isit deine Position im Unternehmen?
VG,
Christian
willst du hier neutrale Tipps oder suchst du einen Partner zur Konfiguration?
Was isit deine Position im Unternehmen?
VG,
Christian
Hi,
gerne würde ich Tipps haben. Wenn es zu Komplex werden sollte, dann evtl. ein Partner zur Konfiguration.
gruß
bobby
gerne würde ich Tipps haben. Wenn es zu Komplex werden sollte, dann evtl. ein Partner zur Konfiguration.
gruß
bobby
Hi,
über welche Größe reden wir den hier überhaupt?
Bei den paar Komponenten bisher, ist wohl unter 50 Geräte, oder?
Wie hoch ist das Budget?
Es könnten schon deine Watchguard dafür reichen. Da buchst du noch ein paar Service dazu, wie APT-Blocker zumindest das AV, dann könnte das schon reichen.
Die Watchguard kann dir die Netze trennen usw.
Der beste Schutz für den Auftragsserver ist eine sichere Software die nicht zuviele Löcher hat.
Wenn das Ding für jeden SQL Injection anfällig ist, können auch die Firewalls nicht alles abfangen.
VG,
Deepsys
über welche Größe reden wir den hier überhaupt?
Bei den paar Komponenten bisher, ist wohl unter 50 Geräte, oder?
Wie hoch ist das Budget?
Es könnten schon deine Watchguard dafür reichen. Da buchst du noch ein paar Service dazu, wie APT-Blocker zumindest das AV, dann könnte das schon reichen.
Die Watchguard kann dir die Netze trennen usw.
Der beste Schutz für den Auftragsserver ist eine sichere Software die nicht zuviele Löcher hat.
Wenn das Ding für jeden SQL Injection anfällig ist, können auch die Firewalls nicht alles abfangen.
VG,
Deepsys
Zitat von @Bobby99:
Hi,
gerne würde ich Tipps haben. Wenn es zu Komplex werden sollte, dann evtl. ein Partner zur Konfiguration.
gruß
bobby
Hi,
gerne würde ich Tipps haben. Wenn es zu Komplex werden sollte, dann evtl. ein Partner zur Konfiguration.
gruß
bobby
ihr seit nicht zufällig ein EDV- Dienstleistungs unternehmen ? oder ???
Frank
Frank
seid ;) - aber der Grundgedanke könnte hin kommen.
seid ;) - aber der Grundgedanke könnte hin kommen.
uh ja... nun- die Hitze und 2 Bit - machen mir es mit der deutschen Rechtschreibung nicht leicht
Alternativ - Ich bin Ausländer und hatte im Januar ein Aneurysma Clipping !
Frank
OT
"nur" 2 Bit(burger) - das ist aber eine nicht ausreichende Flüssigkeitszufuhr bei den Temperaturen!
/OT
@to:
Wenn du für die "Sicherheit" zuständig bist, warum möchtest du dann das VoIP Netz in das Produktiv Netz legen und das nicht in einem separaten VLAN legen?
Dann die nächste Frage: wer kommt auf die "tolle" Idee einen Kunden auf seinen Netz zu lassen, bzw. Firmenfremde Geräte?
Just my 2 Cent
@clSchak
"nur" 2 Bit(burger) - das ist aber eine nicht ausreichende Flüssigkeitszufuhr bei den Temperaturen!
/OT
@to:
Wenn du für die "Sicherheit" zuständig bist, warum möchtest du dann das VoIP Netz in das Produktiv Netz legen und das nicht in einem separaten VLAN legen?
Dann die nächste Frage: wer kommt auf die "tolle" Idee einen Kunden auf seinen Netz zu lassen, bzw. Firmenfremde Geräte?
Just my 2 Cent
@clSchak
Zitat von @clSchak:
OT
"nur" 2 Bit(burger) - das ist aber eine nicht ausreichende Flüssigkeitszufuhr bei den Temperaturen!
/OT
OT
"nur" 2 Bit(burger) - das ist aber eine nicht ausreichende Flüssigkeitszufuhr bei den Temperaturen!
/OT
mehr an Bit(burge) vertrage ich wegen dmeiner Op noch nicht - der rest wird mit wasser aufgefüllt
@to:
Wenn du für die "Sicherheit" zuständig bist, warum möchtest du dann das VoIP Netz in das Produktiv Netz legen und das nicht in einem separaten VLAN legen?
Dann die nächste Frage: wer kommt auf die "tolle" Idee einen Kunden auf seinen Netz zu lassen, bzw. Firmenfremde Geräte?
Frank
VLANs einrichten auf der Netzwerk Infrastruktur und über eine Firewall koppeln und die Zugriffsrechte der Netze damit einrichten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Solch ein Banalkonzept kann ja nun jeder Azubi im ersten Lehrjahr umsetzen...!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Solch ein Banalkonzept kann ja nun jeder Azubi im ersten Lehrjahr umsetzen...!
@all
Es geht hier nicht um die Umsetzung! Es geht einfach um die Theorie wie man das Netz aufbaut bez. was man einsetzt um die Maximale Sicherheit zu erhalten. Ich möchte einfach mal hören was ihr so Empfehlt. Die Hauptfrage ist es, von verschiedenen VLANs auf den Auftragsserver zuzugreifen ohne diesen zu gefährden...
Das Beispiel was ich hier gegeben habe dient nur zur groben Orientierung. Wie es später aussieht wird sich noch ergeben.
@Deepsys
Es werden nicht mehr als 50 Geräte.
Bin auch der Meinung das man das mit der Watchguard Lösen kann.
@Vision2015
Ja das macht vielleicht Sinn VoIP in ein eigenes VLAN zu legen.
Die Firmenfremden Geräte kommen doch in ein in VLAN2, die ist doch getrennt vom Firmennetz(VLAN1)!
@Vision2015
Nein wir sind kein EDV Dienstleister. Wir betreuen paar Privat Kunden welche evtl. bei uns im Netzwerk angebunden werden(deshalb das vorhaben der Netztrennung).
Es geht hier nicht um die Umsetzung! Es geht einfach um die Theorie wie man das Netz aufbaut bez. was man einsetzt um die Maximale Sicherheit zu erhalten. Ich möchte einfach mal hören was ihr so Empfehlt. Die Hauptfrage ist es, von verschiedenen VLANs auf den Auftragsserver zuzugreifen ohne diesen zu gefährden...
Das Beispiel was ich hier gegeben habe dient nur zur groben Orientierung. Wie es später aussieht wird sich noch ergeben.
@Deepsys
Es werden nicht mehr als 50 Geräte.
Bin auch der Meinung das man das mit der Watchguard Lösen kann.
@Vision2015
Ja das macht vielleicht Sinn VoIP in ein eigenes VLAN zu legen.
Die Firmenfremden Geräte kommen doch in ein in VLAN2, die ist doch getrennt vom Firmennetz(VLAN1)!
@Vision2015
Nein wir sind kein EDV Dienstleister. Wir betreuen paar Privat Kunden welche evtl. bei uns im Netzwerk angebunden werden(deshalb das vorhaben der Netztrennung).
Die Aussage mit dem VLAN2 passt ja nicht, dort sind lt. deiner Auflistung "Clients" enthalten, da du Kundenrechner separat nennst kann man davon ausgehen das du damit eure eigenen Clients meintest...
Dann hast du dort noch die Kundenbackups und NAS System?! Somit soll dann jeder Kunde auf die NAS des anderen zugreifen können?! Eine reine Berechtigungssteuerung mit Zugriffsregeln schützt nicht vor Netzwerk"angriffen".
Die Kunden sollen dann (ich gehe mal davon aus) via VPN auf euer Netz zugreifen, die XTM2xxx ist nicht unbedingt der Leistungsträger von Watchguard kann aber ggf. reichen - sofern nicht mehr wie 60Mbit anliegen und du nur 5 aktive VPN Tunnels haben möchtest (ansonsten Upgrade erforderlich). Wobei man hierdurch allerdings auch die Zugriffe auf die NAS sauber regeln könnte.
Und aus welchem Grund soll ein Kundenrechner auf die WaWi zugreifen können?
Dann hast du dort noch die Kundenbackups und NAS System?! Somit soll dann jeder Kunde auf die NAS des anderen zugreifen können?! Eine reine Berechtigungssteuerung mit Zugriffsregeln schützt nicht vor Netzwerk"angriffen".
Die Kunden sollen dann (ich gehe mal davon aus) via VPN auf euer Netz zugreifen, die XTM2xxx ist nicht unbedingt der Leistungsträger von Watchguard kann aber ggf. reichen - sofern nicht mehr wie 60Mbit anliegen und du nur 5 aktive VPN Tunnels haben möchtest (ansonsten Upgrade erforderlich). Wobei man hierdurch allerdings auch die Zugriffe auf die NAS sauber regeln könnte.
Und aus welchem Grund soll ein Kundenrechner auf die WaWi zugreifen können?
Zitat von @Bobby99:
@all
Es geht hier nicht um die Umsetzung! Es geht einfach um die Theorie wie man das Netz aufbaut bez. was man einsetzt um die Maximale Sicherheit zu erhalten. Ich möchte einfach mal hören was ihr so Empfehlt. Die Hauptfrage ist es, von verschiedenen VLANs auf den Auftragsserver zuzugreifen ohne diesen zu gefährden...
Das Beispiel was ich hier gegeben habe dient nur zur groben Orientierung. Wie es später aussieht wird sich noch ergeben.
@Deepsys
Es werden nicht mehr als 50 Geräte.
Bin auch der Meinung das man das mit der Watchguard Lösen kann.
@Vision2015
Ja das macht vielleicht Sinn VoIP in ein eigenes VLAN zu legen.
nicht nur VoIP...@all
Es geht hier nicht um die Umsetzung! Es geht einfach um die Theorie wie man das Netz aufbaut bez. was man einsetzt um die Maximale Sicherheit zu erhalten. Ich möchte einfach mal hören was ihr so Empfehlt. Die Hauptfrage ist es, von verschiedenen VLANs auf den Auftragsserver zuzugreifen ohne diesen zu gefährden...
Das Beispiel was ich hier gegeben habe dient nur zur groben Orientierung. Wie es später aussieht wird sich noch ergeben.
@Deepsys
Es werden nicht mehr als 50 Geräte.
Bin auch der Meinung das man das mit der Watchguard Lösen kann.
@Vision2015
Ja das macht vielleicht Sinn VoIP in ein eigenes VLAN zu legen.
Die Firmenfremden Geräte kommen doch in ein in VLAN2, die ist doch getrennt vom Firmennetz(VLAN1)!
@Vision2015
Nein wir sind kein EDV Dienstleister. Wir betreuen paar Privat Kunden welche evtl. bei uns im Netzwerk angebunden werden(deshalb das vorhaben der Netztrennung).
Die Hauptfrage ist es, von verschiedenen VLANs auf den Auftragsserver zuzugreifen ohne diesen zu gefährden...
2 VLANs und die Firewall...fertig !
1
