Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS bzw. DHCP Setup bei SBS2003 mit ISA und DSL Router

Frage Sicherheit Firewall

Mitglied: omega1848

omega1848 (Level 1) - Jetzt verbinden

17.09.2007, aktualisiert 18.09.2007, 7241 Aufrufe, 10 Kommentare

Hi,
wir wollen einen SBS 2003 Premium aufsetzen, mit möglichst guter Sicherheit und den folgenden Funktionen bzw. Setup:

- Feste IP Adresse vom Provider
- POP3 Mailboxen (leider, Anbieter bietet kein SMTP an)
- VPN Zugang von draußen aufs Firmennetzwerk
- Outlook RPC HTTP Sync von extern mit dem Exchange Server
- Die üblichen Sachen wie Mail (SMTP, POP3), MSN Messenger, Skype (inkl. VOIP) sollen natürlich auch gehen.

Set up:
SBS2003 Premium mit 2 Netzwerkkarten.

Internet-> feste IP Adresse vom Provider -> daran dann den DSL Router mit Range 10.1.1.x -> daran dann über Netzwerkkarte1 der Server -> Netzwerkkarte2 dann an den internen Firmenhub-/switch an dem dann alle Clients hängen mit Range 10.1.2.x oder was auch immer.

Nun meine Fragen:
- Bringt das Setup überhaupt irgendeine Sicherheit?
- Wo sollte dann der DNS und DHCP Server für das Firmennetzwerk "liegen"? Auf dem DSL Router oder auf dem SBS2003? (d.h. entweder muss dann der Router immer durchreichen oder eben der SBS2003)?
Hintegrund der Frage: Falls mal der Server komplett ausfallen sollte, wäre es gut wenn die Clients im Firmennetzwerk trotzdem schnell wieder ins INternet kommen könnten (Dabei müsset man natürlich dann händisch das Kabelm von der NIC2 direkt an den DSL Router umstecken, da es ja sonst keine direkte Verbindung mehr gibt...)
- Welche PORTS müssen wie vom DSL Router weitergeleitet werden bzw. eingetragen werden, damit die oben gewünschten Sachen beim SBS funktionieren (VPN, Outlook RPC, Skype, etc.)?

Vielen lieben Dank für eure Hilfe vorab!
Grüsse
Oliver
Mitglied: 51705
17.09.2007 um 19:44 Uhr
Nun meine Fragen:
- Bringt das Setup überhaupt irgendeine
Sicherheit?

Ja, auf der dem Internet zugewandten NIC müssen nur die notwendigen Services erlaubt werden.

- Wo sollte dann der DNS und DHCP Server
für das Firmennetzwerk "liegen"?

DNS und DHCP gehören auf den Server, dieser sollte dann gegen Ausfall abgesichert werden (Redundante Hardware und ordentliches Backup).

- Welche PORTS müssen wie vom DSL
Router weitergeleitet werden bzw. eingetragen
werden, damit die oben gewünschten
Sachen beim SBS funktionieren (VPN, Outlook
RPC, Skype, etc.)?

VPN (PPTP, IPSec?) würde ich einem entsprechenden Router überlassen.

Im Nat auf den Server leiten und den Portfiltern / der SIF berücksichtigen:

Port 443 für Outlook PPC over HTTP(s)
Port 25 für SMTP
Port 110 für POP3 bzw. besser 995 für POP3 (SSL)
Port 143 für IMAP bzw. besser 993 für IMAP (SSL)
Port 389 für LDAP bzw. besser 636 für LDAP (SSL) - wg. Globaler Adressliste

Skype/VoIP/Messenger - willst du einen Skype- oder Messenger Server betreiben? Dann mußt du da nochmal selbst nachsehen.

Über Port 443 kannst du, entsprechend fähige Mobiles vorausgesetzt, auch Mobiles über Aktive Sync bedienen.
Bitte warten ..
Mitglied: Dani
17.09.2007 um 20:45 Uhr
Hi Oliver,
an sich passt dein Netzwerkaufbau wunderbar. Falls du wirklich noch einen Hub im LAN benutzt, kannst schnell austauschen. Für das externe Netz (Router und Nic1 vom Server) bzw. für das interne Netz (Nic2 - Switch) IP-Bereich wählen, die weit auseinander liegen (z.B. 10.100.74.0, 192.168.123.0). Somit kommt man durch Raten nicht so schnell auf die Adressen.

DNS, DHCP würde ich direkt auf den Server packen. Du kannst ja beim DNS einfach den Router als NEXT-DNS hinterlegen. Sobald der Server die Adresse nicht auflösen kann, geht die Anfrage weiter an den Router.

Hintegrund der Frage: Falls mal der Server komplett ausfallen sollte, wäre es gut wenn die
Clients im Firmennetzwerk trotzdem schnell wieder ins INternet kommen könnten
Dann musst du aber dein Netzwerk komplett erstmal umbauen, denn so wie oben geschildert geht jeder Client über den Server ins Internet. Außerdem, wenn der Server ausfällt, kommen die Clients an keine Daten ran. Da spielt das Internet glaube ich auch keine Rolle mehr.

Daher würde ich dir empfehlen min. ein RAID 1 im Server zuhaben, USV für den Server und ein externe Platte oder sogar Bandlaufwerk.

Für das Vorhaben "VPN" wie schon "srmerlin" erwähnt, würde ich einen Router anschaffen, der VPN (L2TP over IPsec - sicherste Methode) kann. Denn um so mehr Forwardings vom Router auf den Server einrichtest, desto mehr Sicherheitslöcher gibt es!!
Somit würde ich gleich einen Router kaufen, mit einer ordentlichen Firewall. So dass du wirklich Out-/INbound wirklich definieren kannst.

POP3 Mailboxen (leider, Anbieter bietet kein SMTP an)
Du meinst MX-Record. Dann würde ich dir empfehlen einen extra POP3 Connector zu kaufen (z.B. POPCon - sehr gutes Tool). Denn der M$ hat einen Nachteil, ist das Postfach von User "x" mal nicht vorhanden, geht die Mail verloren (nicht wiederherstellbar!)!!

- Outlook RPC HTTP Sync von extern mit dem Exchange Server
Da würde ich lieber wieder auf die VPN-Verbindung zurückgreifen. Sprich per VPN einwählen und schon hat der Client Zugriff auf das ganze LAN. Somit brauchst du eigentlich nur ein Portforwarding für VPN und vllt. noch Webserver (Port 80, 443).

Die üblichen Sachen wie Mail (SMTP, POP3), MSN Messenger, Skype (inkl. VOIP) sollen natürlich auch gehen.
Diese Dinge wirst du dann im ISA per Firewallrichtlinie genau definieren müssen. Denn bei ISA 2006 ist standardmäßig alles verboten!


Grüße
Dani
Bitte warten ..
Mitglied: 51705
17.09.2007 um 21:08 Uhr
Hallo Dani,

muß ein wenig nachfragen.

Hi Oliver,
an sich passt dein Netzwerkaufbau wunderbar.
Falls du wirklich noch einen Hub im LAN
benutzt, kannst schnell austauschen. Für
das externe Netz (Router und Nic1 vom Server)
bzw. für das interne Netz (Nic2 -
Switch) IP-Bereich wählen, die weit
auseinander liegen (z.B. 10.100.74.0,
192.168.123.0). Somit kommt man durch Raten
nicht so schnell auf die Adressen.

Wozu soll das gut sein? Um auf diesem Weg das interne Lan zu kompromittieren, brauchst du den Zugriff auf den Server. Hast du den, kannst du die Routingtabelle auslesen.

DNS, DHCP würde ich direkt auf den
Server packen. Du kannst ja beim DNS einfach
den Router als NEXT-DNS hinterlegen. Sobald
der Server die Adresse nicht auflösen
kann, geht die Anfrage weiter an den Router.

Eine Weiterleitung der DNS-Anfragen auf den Router ist eine Lösung. Doch warum nicht den SBS die Adressen direkt auflösen lassen? Ich gehe sogar soweit. auf dem Router den internen DNS einzutragen (und verlaß mich damit nicht auf die Funktion der Provider DNS).

Außerdem, wenn der Server ausfällt, kommen die Clients an keine
Daten ran. Da spielt das Internet glaube ich auch keine Rolle mehr.

Völlige Zustimmung.

Daher würde ich dir empfehlen min. ein
RAID 1 im Server zuhaben, USV für den
Server und ein externe Platte oder sogar
Bandlaufwerk.

Völlige Zustimmung.

Für das Vorhaben "VPN" wie
schon "srmerlin" erwähnt,
würde ich einen Router anschaffen, der
VPN (L2TP over IPsec - sicherste Methode)
kann. Denn um so mehr Forwardings vom Router
auf den Server einrichtest, desto mehr
Sicherheitslöcher gibt es!!
Somit würde ich gleich einen Router
kaufen, mit einer ordentlichen Firewall. So
dass du wirklich Out-/INbound wirklich
definieren kannst.

Völlige Zustimmung.

Du meinst MX-Record. Dann würde ich
dir empfehlen einen extra POP3 Connector zu
kaufen (z.B. POPCon - sehr gutes Tool). Denn
der M$ hat einen Nachteil, ist das Postfach
von User "x" mal nicht vorhanden,
geht die Mail verloren (nicht
wiederherstellbar!)!!

Völlige Zustimmung. Plus, der IMF wird durch den integrierten POP3-Connector übergangen.

> - Outlook RPC HTTP Sync von extern mit
dem Exchange Server
Da würde ich lieber wieder auf die
VPN-Verbindung zurückgreifen. Sprich per
VPN einwählen und schon hat der Client
Zugriff auf das ganze LAN. Somit brauchst du
eigentlich nur ein Portforwarding für
VPN und vllt. noch Webserver (Port 80, 443).

Hier stimme ich nicht zu. Die Einschränkung auf Protokolle ist durchaus sinnvoll, wobei Port 80 (so möglich) Tabu sein sollte. Braucht ein User nur seine Mails (per Laptop, PDA oder Handy), warum das ganze Netz offen legen?

> Die üblichen Sachen wie Mail
(SMTP, POP3), MSN Messenger, Skype (inkl.
VOIP) sollen natürlich auch gehen.
Diese Dinge wirst du dann im ISA per
Firewallrichtlinie genau definieren
müssen. Denn bei ISA 2006 ist
standardmäßig alles verboten!

Es sei denn, du hast die Fragen des Einrichtungsassistenten richtig (oder falsch) beantwortet.

Beste Grüße.
Bitte warten ..
Mitglied: Dani
17.09.2007 um 21:37 Uhr
Hier stimme ich nicht zu. Die Einschränkung auf Protokolle ist durchaus sinnvoll...
Die Protokolle kannst du auch im LAN einschränken. In dem du einfach feste IP-Adressen an die VPN-Clients vergibst. Dann kannst du wiederrum Firewallrichtlinien einrichten und schon ist alles wieder im "Lot".

, wobei Port 80 (so möglich) Tabu sein sollte.
Warum??

Braucht ein User nur seine Mails (per Laptop, PDA oder Handy), warum das ganze Netz offen
legen?
Hmm...dann würde ich Outlook WebAccees vorschreiben. Diese Feature wird mit Exchange installiert und ist eigentlich recht gut.
ActiveSync würde ich über das Notebook des Mitarbeiters vorschreiben. Das setzt natürlich wieder den VPN Zugang verraus. *g*
Ich bin jetzt davon ausgegangen, dass die User auch VPN Zugang haben. Ansonsten würde ich da keine Ports wie SMTP, POP3 aufmachen. Achja, bei VPN Zugang würde ich sichere Kennwörter erzwingen (Komplexitätsanforderung)!
Was meinst du mit "Netz offen legen"? Dann darfst auch kein VPN - Zugang einrichten. *g*

Es sei denn, du hast die Fragen des Einrichtungsassistenten richtig (oder falsch)
beantwortet.
Wird der ISA jetzt schon standardmäßig installiert?! Mein Stand ist, dass er manuell nachinstalliert werden muss.
Wenn ich hier ISA installiere, bekomme ich nur die SETUP - Routine vorgesetzt. In der Konsole kann ich erst dann Richtlinien konfigurieren und aktivieren.

Eine Weiterleitung der DNS-Anfragen auf den Router ist eine Lösung. Doch warum nicht den
SBS die Adressen direkt auflösen lassen? Ich gehe sogar soweit. auf dem Router den
internen DNS einzutragen (und verlaß mich damit nicht auf die Funktion der Provider DNS).
Wir machen es eigentlich immr nach den Prinzip "von Innen nach Außen". Vllt. hab ich unverständlich ausgedrückt. Bei den Clients wird natürlich der Server als DNS hinterlegt. Im DNS-Server selber wird als DNS wiederrum der Router hinterlegt und beim Router sind dann die local DNS von ISP hinterlegt....


Grüße
Dani
Bitte warten ..
Mitglied: omega1848
17.09.2007 um 21:38 Uhr
Him
schon mal vielen Dank für die hilfreichen Antworten!

Vielleicht noch ein Nachtrag als Ergänzung zum besseren Verständnis:

Es sollen 3 Mitarbeiter die Möglichkeit haben ihre Outlook Daten per RPC HTTP zu syncronisieren, da diese 3 oft unterwegs sind.
Davon benötigen wiederum 2 Leute den Zugang aufs Firmennetzwerk per VPN, damit sie auf eine SQL Datenbank zugreifen können, die auf dem SBS 2003 Premium läuft.
Daher muss leider der Zugang per VPN in irgendeiner Art erfolgen.

Stellt sich für mich eben wirklich die Frage, ob ich den VPN Zugang über den SBS 2003 realisiere, oder aber eben über den VPN DSL Router (ist ein DrayTek Vigor, der VPN kann).

Zum Thema POP3 Connector: Da habe ich schon recht vieles (mehr schlechtes als gutes) drüber gelesen, und ich werde wohl wirklich nicht um ein 3rd Party Tool herumkommen.
Ist den POPCon wirklich so gut? Lohnt sich da die Pro Version mit dem zusätzlichen Virenscanner? Funktioninert der denn? Auf deren Homepage ist leider nicht richtig zu erkennen, welche Engine und Patterns es denn dafür benutzt. Denn was nützt es mir einen Virenscanner zu haben, der nur alle halbe Jahre aktuell ist...?

Portforwarding auf Port 80 (von extern nach intern) benötige ich ja wirklich nur wenn ich auf Sharepoint Sites etc. zugreifen will, oder? D.h. den könnte ich wirklich dicht machen.

Könnt ihr mir eventuell das nochmal mit der von euch erwähnten DNS Weiterleitung auf den Router genauer erklären? Sorry aber da bin ich jetzt aktuell etwas durcheinander...

Vielen Dank vorab!
Grüsse
Oliver
Bitte warten ..
Mitglied: omega1848
17.09.2007 um 21:41 Uhr
Nachtrag: Hatte zu lange zum Schreiben gebraucht:
Thema DNS: So wie Dani es geschrieben hatte, so hätte ich es auch verstanden und gemacht.
Grüsse
Bitte warten ..
Mitglied: 51705
17.09.2007 um 21:58 Uhr
Die Protokolle kannst du auch im LAN einschränken. In dem du einfach feste
IP-Adressen an die VPN-Clients vergibst. Dann kannst du wiederrum
Firewallrichtlinien einrichten und schon ist alles wieder im "Lot".

Protokolle per IP vs. Protokolle per NIC...

> , wobei Port 80 (so möglich) Tabu sein sollte.
Warum??

Passwort plain vs. SSL

> Braucht ein User nur seine Mails (per Laptop, PDA oder Handy), warum
> das ganze Netz offen legen?
Hmm...dann würde ich Outlook WebAccees
vorschreiben. Diese Feature wird mit Exchange
installiert und ist eigentlich recht gut.

Naja, Active Sync eben, oder OWA, oder Outlook RPC over HTTP(s)

ActiveSync würde ich über das
Notebook des Mitarbeiters vorschreiben. Das
setzt natürlich wieder den VPN Zugang
verraus. *g*

Wieso? Active Sync läuft über HTTPS.

Ich bin jetzt davon ausgegangen, dass die
User auch VPN Zugang haben. Ansonsten
würde ich da keine Ports wie SMTP, POP3
aufmachen. Achja, bei VPN Zugang würde
ich sichere Kennwörter erzwingen
(Komplexitätsanforderung)!

Was meinst du mit "Netz offen
legen"? Dann darfst auch kein VPN -
Zugang einrichten. *g*

VPN für den transparenten Zugriff, auf alle Ressourcen, Dienst/SSL für eingeschränkten Zugriff

Wird der ISA jetzt schon
standardmäßig installiert?! Mein
Stand ist, dass er manuell nachinstalliert
werden muss.
Wenn ich hier ISA installiere, bekomme ich
nur die SETUP - Routine vorgesetzt. In der
Konsole kann ich erst dann Richtlinien
konfigurieren und aktivieren.

Da machst du was falsch.

Wir machen es eigentlich immr nach den
Prinzip "von Innen nach Außen". Vllt. hab ich
unverständlich ausgedrückt. Bei den
Clients wird natürlich der Server als
DNS hinterlegt. Im DNS-Server selber wird als
DNS wiederrum der Router hinterlegt und beim
Router sind dann die local DNS von ISP
hinterlegt....

Und wenn der DNS des Providers streikt? Warum soll der SBS DNS nicht die Rootserver abfragen?
Bitte warten ..
Mitglied: 51705
17.09.2007 um 22:12 Uhr
Ist den POPCon wirklich so gut? Lohnt sich
da die Pro Version mit dem zusätzlichen
Virenscanner? Funktioninert der denn? Auf
deren Homepage ist leider nicht richtig zu
erkennen, welche Engine und Patterns es denn
dafür benutzt. Denn was nützt es
mir einen Virenscanner zu haben, der nur alle
halbe Jahre aktuell ist...?

Der Virenscanner ist brauchbar und zu empfehlen, aber nicht notwendig. Eher wichtig ist die mit POPCon nutzbare IMF.

Portforwarding auf Port 80 (von extern nach
intern) benötige ich ja wirklich nur
wenn ich auf Sharepoint Sites etc. zugreifen
will, oder? D.h. den könnte ich wirklich
dicht machen.

Auch Sharepoint läuft sauber mit SSL, für Port 80 besteht keine Notwendigkeit.

Könnt ihr mir eventuell das nochmal mit
der von euch erwähnten DNS Weiterleitung
auf den Router genauer erklären? Sorry
aber da bin ich jetzt aktuell etwas
durcheinander...

Der SBS kann ohne Weiterleitung auf den Router Namen auflösen, er kennt ja die zuständigen Rootserver.
Bitte warten ..
Mitglied: Dani
18.09.2007 um 07:49 Uhr
Moin!
Es sollen 3 Mitarbeiter die Möglichkeit haben ihre Outlook Daten per RPC HTTP zu
syncronisieren, da diese 3 oft unterwegs sind.
Davon benötigen wiederum 2 Leute den Zugang aufs Firmennetzwerk per VPN, damit sie auf
eine SQL Datenbank zugreifen können, die auf dem SBS 2003 Premium läuft.
Also, ich würde einfach den 3 Mitarbeite VPN Zugriff geben. Damit hast du am wenigsten Stress und die Anzahl der Zugriffe ist überschaubar. Falls wirklich einer Mist baut, würde ich dann einfach die Firewall auf dem Router schärfer konfigurieren.

Ist den POPCon wirklich so gut?
Er ist sein Geld wert. Spätestens wenn der M$-POPCon die 1. Mail vom Chef verliert, denkst du an uns. *g*

Lohnt sich da die Pro Version mit dem zusätzlichen Virenscanner?
Diesen würde einfach bei Seite lassen. Ich würde mir stattdessen eine Exchangelösung anschaffen. Wir setzen hier Sophos Enterprise ein. Für dich wird die SBE Lösung reichen. Wenn du mehr dazu erfahren möchtest, wendest du dich am Besten an cykes hier im Forum. DEr Schläft mit dem Handbuch von Sophos unter dem Kissen. *g*

@51705
Der SBS kann ohne Weiterleitung auf den Router Namen auflösen, er kennt ja die
zuständigen Rootserver.
Dazu kommt, wie du deine Netzwerkkarten am Server konfiguriert hast.



Grüße
Dani
Bitte warten ..
Mitglied: 51705
18.09.2007 um 10:05 Uhr
Dazu kommt, wie du deine Netzwerkkarten am
Server konfiguriert hast.

Wohl eher wie der DNS konfiguriert ist...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Unter SBS2011 DNS, DHCP-Server deaktivieren, IMAP-Connecter für Exchange 2013 (8)

Frage von maniacmacpain zum Thema Windows Server ...

LAN, WAN, Wireless
WLAN Repeater DNS und DHCP (3)

Frage von Angelo131095 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst DNS Eintrag einer DHCP Zone zuweisen (2)

Frage von itisnapanto zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...