Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fragen zum Aufbau eines Netzwerks

Frage Netzwerke Netzwerkgrundlagen

Mitglied: andi303

andi303 (Level 1) - Jetzt verbinden

22.11.2008, aktualisiert 25.11.2008, 3664 Aufrufe, 5 Kommentare

Hallo zusammen,

ich überlege mir gerade eine Umstrukturierung des Netzwerks und bräuchte mal ein bisschen "Best-Practice"-Hilfe. Vielleicht könnt Ihr mir da ein paar Tipps geben?

Hier die Ausgangssituation: Ich habe ca. 20 Rechner in einem AD. Die Verbindung zum Internet funktioniert im Moment so:
PCs (im AD) -> Switch -> ISA 2004 -> DSL-Router (Draytek Vigor 2820) -> Internet
An diesem Setup gefällt mir, dass sich der Internetzugang über den ISA-Server recht komfortabel regeln lässt. So dürfen also nur Benutzer auf das Internet zugreifen, die vorher von einem (eigenen) AD-Server verifiziert wurden.
Der ISA-Server ist allerdings zeitgleich der Flaschenhals, da alle 20 PCs über diesen ins Internet müssen (Server mit zwei Netzwerkkarten). Ich frage mich nun, ob ich das irgendwie effizienter gestalten kann.
Seit neuestem haben wir auch noch ein WLAN aufgebaut. Die Clients melden sich mit einem festen WPA-Schlüssel an und bekommen vorerst ein eigenes Subnetz zugewiesen. Danach müssen sich die Clients noch per VPN beim ISA-Server anmelden, um ins Internet (und LAN) zu gelangen.

Ich frage mich nun, ob nicht ein anderes Setup besser wäre:
ich überlege, den Draytek-Router als einzige Firewall zu nehmen und die Authentifizierung über einen RADIUS (auf dem AD-Server?) laufen zu lassen. Das hätte auch den Vorteil, dass sich die WLAN-Clients direkt anmelden können.
Aber wie mache ich das dann mit dem Logging (Speicherung IP zu Benutzer)?

Macht das Sinn? Oder gibt es noch andere Möglichkeiten, den ISA zu entlasten, bzw. den WLAN-Zugang zu vereinfachen?
Gibt es da eine Best Practice?

Vielen Dank im Voraus,
Andi
Mitglied: spacyfreak
22.11.2008 um 11:54 Uhr
"Gängig" ist die Absicherung des WLAN mit IAS Radius und Authentisierung via PEAP (EAP-MSCHAPv2).
Das klingt wahnsinnig komplex, ist aber doch recht einfach. Wenn du es dir selber nicht zutraust machen wir es zusammen online, gegen ein gewisses Taschengeld...

Die WLAN Clients schlagen dann im Intranet auf wie jeder LAN Client auch.

Auf der FW könntest Du logging aktivieren und die mitloggen wer welche Aktivitäten im Internet vollbringt (IP-Adresse & URL etc) je nachdem ob die FW das kann.

Ansonsten bietet sich ein Contentfilter System an, oder eine All-in-one Lösung wie Astaro ASG110, die sind relatiav billig und machen dir nen Web-Proxy mit Content Filter, die blockt dann schon bestimmte Inhalte (Sex, Drugs, RocknRoll usw), Logging, Firewall, DSL-Router, NAT-Device, SMTP Relay ohne Probleme für kleinere Firmen. Und auch noch sehr einfach zu bedienen... Für kleinere Läden sehr zu empfehlen da sie ihre Aufgabe recht brauchbar und stabil erledigen ohne viele komplexe und teure Einzelgeräte zu brauchen. Es geht ja nicht nur um Zugriffssteuerung, sondern vor allem um Abwehr von Schädlingen, z. B. über infizierte Web-Seiten, was ein echtes Sicherheitsrisiko darstellt heutzutage...
Da kannst auch ne AD-Authentisierung machen dass nur AD-User ins Internet kommen mit der Astaro.
Bitte warten ..
Mitglied: education
22.11.2008 um 11:59 Uhr
warum willst du einen Porsche gegen einen Opel austauschen?

Dein 1. Modell ist doch OK. und warum sollte der ISA der Flaschenhals sein? ist der Server so langsam? ich glaube eher das dein DSL der Flaschenhals ist und wenn du den ISA weg nimmst wird der proxy auch weg fallen.
Bitte warten ..
Mitglied: spacyfreak
22.11.2008 um 19:41 Uhr
Unter bestimmten Umständen kann ein Opel effektiver sein als ein Porsche - bei grade mal 20 Userlein allemal.
Bei einer recht überschaubaren Userzahl kann man das WLAN auch locker mit WPA (besser noch WPA2) absichern und sich das zusätzliche VPN sparen. 802.1X wäre halt noch eleganter da man sich das Eintragen des (statischen...) WPA Keys erspart und die User sich noch VOR Anmeldung am PC am Domain Controller anmelden, so dass auch GPOs ziehen und Netzlaufwerke gemappt werden etc. Quasi die gleiche Userexpirience wie im LAN.
Bei PEAP wird bei jeder Session ein neuer WPA Key ausgehandelt, was die Sache recht einbruchsicher macht, wobei auch WPA/WPA2 mit komplexem PSK derzeit als sicher eingestuft werden kann.
Bitte warten ..
Mitglied: andi303
25.11.2008 um 14:36 Uhr
Vielen Dank für Eure Hilfe!

Hm. Ich habe nun die Zeit genutzt und mal ein paar Tests ohne den ISA gemacht. Es ist tatsächlich nicht der Flaschenhals, ich bleibe daher wohl beim Porsche...

Ich werde dann wohl für die WLAN-Clients einen separaten RADIUS auf dem ISA-Server anlegen, das dürfte ja keine Probleme machen. (?)

@spacyfreak: Sorry, Taschengeld ist leider nicht drin, ich bekomme selber keins (ist ein g.e.V.). Ich werde mich mal selber durchkämpfen.
Bitte warten ..
Mitglied: spacyfreak
25.11.2008 um 21:56 Uhr
Neee, das macht garkeine Probleme. Alles easy, quasi "selbsterklärend".
Viel Spass bein Einrichten!
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Wie ein Netzwerk sauber aufbauen, Newbie hat Grundlagen Fragen :)
gelöst Frage von minimalwerkNetzwerkgrundlagen15 Kommentare

Hallo liebe Community, ich befinde mich in der Ausbildung zum Fachinformatiker Systemintegration. Hier in meinem Ausbildungsbetrieb habe ich im ...

Netzwerkgrundlagen
Aufbau mittlerer bis großer Netzwerke
gelöst Frage von MasterPhilNetzwerkgrundlagen5 Kommentare

Hallo Zusammen, ich bin 21 und betreue derzeit beruflich mehrere IT-Infrastrukturen bis ca. 100 Seats je Netzwerk. Netzwerke in ...

LAN, WAN, Wireless
Einfaches VLAN Netzwerk aufbauen
Frage von momaiLAN, WAN, Wireless9 Kommentare

Hallo, ich habe vor ein Netzwerk mit VLANs aufzubauen. Es soll ein Internes und ein öffentliches geben (VLAN ID ...

Router & Routing
VLan Netzwerk aufbauen
gelöst Frage von MacLifeRouter & Routing3 Kommentare

Hallo Leute, ich bin dabei unser normales Netzwerk in einzelne VLans aufzuteilen. Jedoch möchte ich bevor ich auf unserem ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 6 StundenBatch & Shell7 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 8 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...