Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Grundsätzliche Überlegungen für Netzwerkumbau!

Frage Sicherheit

Mitglied: zeroblue2005

zeroblue2005 (Level 2) - Jetzt verbinden

07.10.2011, aktualisiert 10:25 Uhr, 3328 Aufrufe, 9 Kommentare

Hallo Zusammen,

ich hoffe, ich habe hier den richtigen Bereich ausgewählt, da meine Themen wohl übergreifend sind!

Ich bin derzeit dabei ggf. ein bestimmten Netzwerkbereich eines Unternehmens zu überdenken und würde mich freuen, wenn ihr mir euere Meinung dazu schreiben würdet!

IST-Zustand:

- Klasse-C Netzwerk
- Anbindung an WAN über 16000 DSL Einwahl über Modem
- Linux-Firewall (IP-Cop) mit RED und Green

Darstellung Netzwerkverkehr Down/Up:.........................................................<<<>>> VM-Host (Server 2003 ST) mit...
Modem <<<>>>Firewall (Portweiterleitung) <<<>>> Proxy u. URL-Filter <<<>>> 5 x VM Server (Server 2003 ST) als Terminalserver

- Benutzer wählen sich via VPN ein und benutzen RDP

Problemdarstellung bzw. Fragen:

Da ja bekannt ist, das MS den Support für Win XP bzw. Server 2003 in den nächsten zwei Jahren einstellen wird und es keine Sicherheitsupdates mehr gibt, überlege ich, die den VM-Host auf Windows 7 und die Terminalserver auf Windows 2008 R2 ST umzustellen! Mir ist jedoch klar, dass die Leistung des VM-Host nicht ausreichen wird, die 5 x VM Server (Server 2008 ST) als Terminalserver zu versorgen mit Leistung. Da ja 2008 R2 mehr Leistung von der Hardware fordert! Es wäre also eine fast komplette Neuanschaffung der Hardware und viel Arbeit und Geld von nöten alles umzurüsten.

Nun stelle ich mir die Frage ist das überhaupt nötig, zumindest in den nächsten Jahren auch wenn MS den Support einstellt?

Die Server sind ja nicht direkt mit dem Internet verbunden. Ergo: Können diese durch den Proxy u. Firewall auch nicht direkt auf Betriebssystem-Ebene angefriffen werden oder? Schwachstellen sind hier die Anwendungen der Server die über Portweiterleitungen auf den Server laufen oder? Solange die auf den neusten Stand sind, sollte es doch egal sein, ob MS den Support einstellt oder?

Die Benutzer selber können keinen Mist bauen, da diese ja ausgehend durch ihre Benutzerrechte, Proxy u. URL-Filter gestoppt werden!

Wie gesagt, das ganze ist nur eine Gedankenspiel und irgendwann muss ich da mal ran aber lange Rede kurzer Sinn, was meint Ihr?

Bin gespannt auf euere Beiträge

Gruß Mike
Mitglied: Ravers
07.10.2011 um 10:50 Uhr
Moin moin,

zunächst glaube ich nicht das MS denn Support (wie angekündigt) in 2 Jahren einstellen wird; zuviele Firmen sind noch auf XP und sind auch dann noch nicht bereit für ne Umstellung. Es werden dann wahrscheinlich nur noch Sicherheitsupdates kommen, wie lange steht halt in den Sternen.
Jedoch wird man früher oder später wechseln müssen.

Wenn dem so ist, wie du annimmst, das nur die Serverprodukte eine Schwachstelle sind, muß ich dich enttäuschen. Der Conficker-Wurm hat einige Unternehmen lahm gelegt, auch deren Rechner waren nicht direkt im Inet. Auch wurden aktuelle Firewalls umgangen. Daher halten wir unsere Clients ja auf den "neuesten" Stand .
Wäre dem nicht so, würde ich nur die Server aktuell halten und bei den Clients nach dem Motto gehen: Don`t change a running System.

Meine Meinung ...

Greetz
ravers
Bitte warten ..
Mitglied: zeroblue2005
07.10.2011 um 11:01 Uhr
Hi,

Danke für deine Antwort, nur stelle ich mir die Frage, warum kein Antivirensystem den Conficker-Wurm geschnappt hat und wie konnte der Conficker-Wurm durch den Proxy?

Wir wissen alle, dass es keinen 100 % Schutz gibt, jedoch stellt der Conficker-Wurm für mich so eine Sonderstellung da!

Aber Grundsätzlich gebe ich dir Recht... nicht das du das falsch verstehst...
Bitte warten ..
Mitglied: Ravers
07.10.2011 um 11:37 Uhr
Prinzipiell gebe ich dir Recht das der Conficker ein gewisse Sonderstellung hat. Jedoch können wir davon ausgehen, das die "Bösen Buben" immer neue Sachen entwickeln, die uns das Leben ... sagen wir mal interessant .. macht.
Der Conficker-Wurm hat sich so wahnsinnig schnell verbreitet, das die AV-Hersteller kaum ne Chance hatten. Weiterhin hatt er sich nicht über TCPIP verbreitet, daher half da auch der beste Proxy nicht. Gerne hat er sich auch über USB-Sticks verteilt!

So oder so ist das immer Stand heute, und morgen mag der nächste Hammer kommen. Und da will ich mir nicht nachsagen lassen, das es an dem "veralteten System" lag, welches ich nicht aktuell gehalten habe.
Prinzipiell muß das der Geldgeber entscheiden. Evtl. sagt er auch das ein prod. Ausfall kein Problem ist, auch über mehrere Tage. Dann lass den "alten" Kram weiterlaufen. Jedoch wird ein cleverer Chef das nicht sagen.
Und schon ist das Geld für die zugegeben etwas teure Modernisierung zur Verfügung.
Wer will/muss die Hand ins Feuer halten, wenn`s schief geht?
Sicherlich ist auch ein aktuelles System angreifbar, jedoch sollte man wie es so schön heißt: nach besten Wissen und Gewissen gehandelt haben. Und das kann man nicht haben wenn man auf "alte" Systeme setzt.

greetz
ravers
Bitte warten ..
Mitglied: 60730
07.10.2011 um 13:38 Uhr
moin,

sehe ich das richtig?
VM-Host (Server 2003 ST)

Deine VMs werden von einem W2k3 Server - auf dem VMPlayer, Workstation oder Server läuft - bereitgestellt?
  • Wenn ja - das ist schonmal ein großes Sicherheitsloch incl. Ressourcenfresser

5 x VM Server (Server 2003 ST) als Terminalserver
In dieser (32bit?) Kiste laufen dann 5 weitere als 32bit TS?

Wenn das so ist, dann würde ich da schon einen handlungsbedarf sehen.

Gruß
Bitte warten ..
Mitglied: zeroblue2005
07.10.2011 um 14:55 Uhr
Timo,

ich kann dich beruhigen die laufen alle Sicher und ruhig und alle sind glücklich!
Bitte warten ..
Mitglied: 60730
07.10.2011 um 15:39 Uhr
Salve,

Zitat von zeroblue2005:
Timo,

ich kann dich beruhigen die laufen alle Sicher und ruhig und alle sind glücklich!
Wie war der "Vergleich" mit dem einbeinigen und dem speziellen Wettbewerb?

Ich verstehs nicht - klar bin ich beruhigt - ist ja nicht mein Netzwerk, meine Ressource und mein Swimmingpool.

Du hast doch nach einer "Verbesserung" der aktuellen Lage gefragt und ich hatte zwei Gegenfragen zum aktuelle ist Stand, die du nicht (oder nur zwischen den Zeilen) beantwortet hast.

Von daher.....

Gruß
Bitte warten ..
Mitglied: zeroblue2005
07.10.2011 um 16:22 Uhr
Hallo Timo,

das ist es nicht, mir fällt immer nur auf, dass du bei sehr vielen Beiträgen ziemlich viel in Frage stellst, das nicht mal was mit mir zu tun. Daher habe bei deinem Beitrag nicht weiter zitiert! Nicht böse gemeint OK!

Nur wenn ich lese:

Deine VMs werden von einem W2k3 Server - auf dem VMPlayer, Workstation oder Server läuft - bereitgestellt?

oder

In dieser (32bit?) Kiste laufen dann 5 weitere als 32bit TS?

Zum ersten Ja ist 2003 32 Bit aber kein DC betrieb nur Standalone! Ist VM-Server-2

Zum zweiten auch ja 32 Bit Kisten und laufen 5 Stück drauf und ob du es glaubst oder nicht! Die auslastung ist nicht mal 15 % je Server und der Host langweilt sich und das bei über 20 Benutzern!

Ich habe alles getan um die Umgebung so gut wie möglich dicht zu machen und habe bisher nicht einen Einbruch ins System von innen oder außen gehabt, obwohl es versucht worden ist!

Ich habe bei meiner Frage doch lediglich gefragt, ob ich die Umstellung auf 2008 usw. lassen kann, wenn...

Mir ist schon klar, dass es immer irgendwo ne Lücke gibt, aber das war ja nicht meine Frage!

Im Prinzip habe ich ja auch meine Gedanken bestätigt bekommen!

- So mehr Dienste ins WAN freigegeben sind um so mehr Angriffmöglichkeiten von aussen, dehalb nur Port öffnen die sein müssen
- Halte die Dienste auf den neusten Stand z.B. Apache Wenn Apache nicht mehr unterstützt würde switche auf anderes Produkt
- Beschränke die User innerhalb des Lan auf ein Min. der Benutzerrechte
- Halte die Clients auf den neusten Stand
- Scanne regelmäßig nach Viren
- Halte das Betriebsystem mit Sicherheitsupdates auf den Stand

Fazit: Fällt einer der Punkte weg, steigt das Risiko....

Damit sind dann alle Fragen geklärt, Danke für euere Beiträge!
Bitte warten ..
Mitglied: 60730
07.10.2011 um 17:31 Uhr
Salute,

entspann dich..

Ich hole nur kurz aus - nein du mußt dich nicht ducken..
Bei uns gibt es genau einen Unterschied, zwischen Terminalservern und unseren VM Host - die Fiberchannelkarte und etwas mehr Ram in den VM Hosts.

Wenn du damit leben kannst:
  • dass du bei jedem Patchday auch per anno den VM Host patchen / neustarten mußt
  • dir / deinen Anwendern das mit dem Aufwand und der Ausfallszeit passt
  • ihr/du so anspruchslose Anwender ha(b)st, die sich mit einem TS begnügen, dessen Host max. 4 / eher 3.5 GB Ram bereitsstellt und noch nen Batzen selber davon verbrät.

Dann beglückwünsche ich dich um deine Anwender.
Bei uns gibts sowas nicht und das hat nix mit Sicherheitsrisiko zu tun, sondern mit der allgemeinen Verträglichkeit Patchlevel Host und dessen Virtueller Umgebung.
Bei einem (selbst dem freien ESxi Hypervisor) sparst du dir einiges.... u.a eine Winblowslizens für den Host.
Last but not Least
das ist es nicht, mir fällt immer nur auf, dass du bei sehr vielen Beiträgen ziemlich viel in Frage stellst,
In deinem speziellen Fall "in Frage" <> Gegenfrage - und das ich für manches etwas länger brauche und vorher gegenfrage - dem Alter ist es geschuldet.

Also entspann dich.

Gruß
Bitte warten ..
Mitglied: zeroblue2005
07.10.2011 um 19:22 Uhr
Hallo Timo,

das ist ja das schlimme bei uns Admins, irgendwie haben wir ja alle Recht!

Man steigert sich halt oder?

Es ist ja auch immer eine Frage des Geldes! Des Machbaren usw.

Ich versuche eigentlich immer drei verschiedene Modele bei Kozeptionen zu erstellen. Nur meist sind die besten auch die teuersten Und da ich mehr den Mittelstand betreue mit bis zu 1-50 Mitarbeitern, ist da leider nicht immer so viel Geld da!

Ja der nächste VM-Host wird auch ein Esxi sein, das dumme war nur das ich das mal auf einem Testsystem laufen lassen wollte, jedoch mochte er wohl die Hardware nicht so dolle haben.

Das mit den Patchen der Systeme habe ich ganz gut im Griff, dass machen die Server am Sonntags automatisch morgens über WSus inkl. Host startet autom. die VMs runter, Host staret wieder und VM werden nach Zeit auch autom. gestartet.

Ja die Anwender die übers WAN und VPN Arbeiten meckern hin und wieder mal über ruckler, aber im großen und ganzen laufen die TS echt super stabil in der Umgebung!


Ich wünsche dir ein schönes WE und alles gute bis zum nächsten mal...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...