Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Neustrukturierung eines Netzwerks (Firewall, DMZ...)

Frage Sicherheit Firewall

Mitglied: Stecken

Stecken (Level 1) - Jetzt verbinden

26.03.2010, aktualisiert 18.10.2012, 10840 Aufrufe, 12 Kommentare

Hallo zusammen,
ich bin gerade dabei ein Netz neu zu strukturieren und wollte mal fragen, was ihr von meinem (Sicherheits)Konzept haltet.

Momentane Konfiguration

Drei Netze:
- Netz 1 für Mitarbeiter
- Netz 2 für Server
- Netz 3 für Mitarbeiter mit Internet

Anbindung:
DSL: ADSL2000 (Mehr geht hier nicht)
Router: Standard Internetrouter im Netz 3

Nur von Netz 1 aus ist eine Route ins Servernetz (Netz 2) eingetragen.

Die Mitarbeiter, die Internet haben sind entweder nur in Netz 3
oder haben für ihre internen Aufgaben eine zweite Netzwerkkarte
für Netz 1. Auch sind an jedem Platz nur normale Desktop Firewall-,
und Viruslösungen installiert.

Die Mailkonten sind momentan über einen Anbieter, der bei seinem Provider
einen Mailserver betreibt verwaltet.

Neue (?) Konfiguration

Nun sollen in Zukunft einige neue Anforderungen dazukommen, was eine
Neuplanung der ganzen Konfiguration erforderlich macht.

Dabei habe ich momentan an folgende Konfiguration gedacht.

3fdb8d69dd5da68f2657b486bacf9d8f - Klicke auf das Bild, um es zu vergrößern

Als Firewall evtl. eine "WatchGuard® XTM 21" (Günstige Alternativvorschläge?)
Als Mailserver den "Icewarp Mailserver, der läuft auch auf XP.
Dazu die Frage, kann man einen Mailserver mit XP aus sicherheitsgründen
überhaupt ins Netz hängen? Oder gibt es für die knapp 30 User vielleicht
irgendeine andere Lösung? Hatte auch erst vor evtl. mit dem Mailserver
die Emails per "catch all" einfach beim Provider abzurufen, dann könnte ich mir die
öffentliche DMZ sparen. Allerdings soll das etwas die Stümperlösung sein und
von einigen Anbietern nicht unterstützt werden.

In der internen DMZ (altes Netz3) einen AVG Antivirus auf WinXP.
Die alten Internetuser ins Intranet (Netz1) nehmen.

Und dann nochmal ein Proxy (Linuxrechner mit Squid) zwischen interner DMZ und Intranet
zum Steuern der Internetzugänge...


Jetzt wollte ich nur mal fragen, ob für euch dieses (Sicherheits)Konzept schlüssig ist,
oder ob ihr irgendetwas (grundlegend) anders machen würdet.

Gruß und Dank schonmal für eure Tips
Stecken
Mitglied: kopie0123
26.03.2010 um 14:25 Uhr
Hey,

sind deine Nezte auch physikalisch getrennt?

Zum Thema Mailserver? Ist es nur ein Relay oder auch IMAP/POP3?
Ich würde keine Windows XP Kiste als Mailserver nehmen. Wir haben ein Postfix als Eingangs/Ausgangsrelay. Spam und Virenfilterung werden hier gleich während der Verbindung durchgeführt.
Bei 30 Nutzern könntest du über eine Groupware nachdenken. Hab ihr eine Domäne? Dann vielleicht Exchange oder OpenXchange (gibt noch diverses andere Lösungen).

Als Firewall empfehle ich immer gerne IPCop mit einigen Addons. Ein alter Rechner reicht dafür. Hier könntest du alle Netze zusammenführen und entsprechende Zugriffe Regeln (Squid ist auch mit drin).
Dann könntest Du dir auch das sperate Internetnetz schenken. Wer ins Internet darf regelst du dann in der Firewall.

Ich verstehe dein Ansatz mit öffentlicher und privater DMZ nicht - eine DMZ liegt zwichen privatem und öffentlichen Netz im Grenzbereich. Dein Mailserver würde in so ein Netzgehören. Besser aber nur das Mailrelay. Der eigentliche Groupwareserver gehört ins private Netz.
Bitte warten ..
Mitglied: reXen96
26.03.2010 um 14:28 Uhr
ich verstehe gerade da mit den 3 netzen nicht ... möchtest du das die mitarbeiter
garnicht ins netz kommen um privates surfen zu vermeiden oder damit keine viren
oder so daten aus dem netz raus bringen ....

wenn du letzteres machen wilst ist deine sicherheit zum server sogut wie wech wenn
du "- Netz 3 für Mitarbeiter mit Internet" auch an die server läst auch wenn es über ne
2. nw karte geht kommt alles auch da hin aus dem inet wo es will also du umgehst
den proxy von netz 1 ... oder sehe ich da was falsch


laut deiner zeichnung gibt es nämlich keine verbindung der server zu den pc´s


würde dir empfehlen 1 netz mit den servern + pc´s und 1 netz mit rechnern die zwar ins
inet kommen aber nicht ins firmen netz direkt also nur als internet stationen und um
das firmen netz zu schützen die firewall nur mails durchlassen lassen
Bitte warten ..
Mitglied: utiuti
26.03.2010 um 14:29 Uhr
Mahlzeit,

günstige Alternative wäre z.B. der IPCOP.
Dort wird auch das Sicherheitskonzept sehr gut erklärt. (ROT - GRUEN - ORANGE).
Kommt halt auch immer ein bisschen darauf an wie Sicher es sein muss.
Ich würde den Mailserver in die DMZ (ORANGE) stellen.
Und den Rest einfach in GRUEN.
Wenn nun einzelne Rechner aus GRUEN (Dateiserver) nicht in das Internet sollen, einfach blocken.

Gruss Uti

edit: Schliesse mich StingerMAC an. Noch mal zum Verdeutlichen. Der E-Mail Server in der DMZ kümmert sich um die Kommunikation mit dem Internet. Er empfängt und sendet E-Mails. Ein zweiter E-Mail Server in GRUEN hat eine Verbindung mit dem E-Mail Server in DMZ (Schlupfloch). Der Zweite E-Mail Server verteilt dann die E-Mails an die User.
Bitte warten ..
Mitglied: kopie0123
26.03.2010 um 14:31 Uhr
Willst Du die Server wirklich in ein eigenes Netz stellen?

Die 3 Server und 30 Rechner würde ich in ein 64er Subnetz packen.
Bitte warten ..
Mitglied: aqui
26.03.2010, aktualisiert 18.10.2012
Eine andere günstige FW Alternative sind noch IPfire, Monowall oder Pfsense.
Die kannst du entweder mit einem CF IDE Adapter in einem alten PC ohne bewegliche Teile laufen lassen oder auf einem kleinen Mini Mainboard als feste Appliance:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Wenn du 2 linke Hände hast und nicht mit einem Schraubendreher umgehen kannst (mehr benötigt man für den Zusammenbau nicht !), kannst du die HW auch fertig kaufen:
http://www.applianceshop.eu/index.php/appliances/firewalls.html
Alle 3 FW Lösungen lassen sich bequem und einfach über ein Webinterface administrieren.
Weitere Anregungen zum Aufbau findest du auch in diesem Tutorial:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Wenn du für deinen Netzsegmente mit VLANs auf einem einzelnen Switch arbeiten willst supporten diese FWs das auch:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Dein FW Konzept ist soweit ok und nichts dran auszusetzen, da es ja mehr oder weniger ein klassisches Standardkonzept ist. Die Diskussion ob man es abspeckt ist eher kosmetisch.
Für deinen Mailserver lohnt ein Blick z.B. auf den SME Server:
http://wiki.contribs.org/Main_Page/de
Der bringt alle deine Mailfunktionen auch per Webseite administrierbar gleich mit. Spam und Virenfilter findest du in den Addons:
http://wiki.contribs.org/Category:Mail
Bitte warten ..
Mitglied: Arch-Stanton
26.03.2010 um 15:07 Uhr
das ist schon eine feine Sache mit dem SME-Server. Der bringt auch eine Routing/Proxy-Funktion mit. Leider ist es ein wenig still um die Weiterentwicklung geworden. Es wäre schade, wenn so ein klasse-system dann irgendwann versandet. Vielleicht sollte man eine Petition starten und für die Weiterentwicklung Geld sammeln.
Ich hatte gestern den Fall, daß mein SME-Server ausgefallen ist, ich hatte aber tags zuvor ein Backup gezogen, so daß alle 30 Benutzerkonten und die Daten problemlos wieder eingespielt werden konnten. Mit der Domaincontroller -Funktionalität habe ich noch nicht experimentiert, mal sehen, ob das was taugt.

Wenn man auf seinem zentralen Server jetzt keine Windowsspezifische Anwendersoftware laufen lassen muß, ist das wirklich eine Alternative zum SBS.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: aqui
26.03.2010 um 15:31 Uhr
In der Tat !!
Mit Kronolith und Zafara bekommt man sogar eine Integration in Outlook und Web basierendes Email mit Kalendersharing. Damit sind dann sogar Exchange und Outlook Knechte zu befriedigen.
Ist wirklich eine gelungende Lösung wenn man für kleine Netze eine Serverlösung sucht ohne viel Geld in Lizenzen zu versenken. Zumal die Administration über das Webinterface auch für völlige Laien ein Kinderspiel ist....
Aber nun kommen wir vom eigentlichen Thread Thema ab....
Bitte warten ..
Mitglied: Stecken
26.03.2010 um 16:49 Uhr
Also erstmal vielen Dank für eure Beiträge!
Brauch noch etwas Zeit die ziemlich interessanten Anregungen und Vorschläge durchzuarbeiten
um dann antworten zu können.

Aber zwei Fragen zum Thema logische und physikalische Trennung des Netzwerks vorneweg.
Hier besteht nur eine logische Trennung!

Frage:
1.Wenn zwischen Router/Modem und Firewall ein Netz (TEST) bestehen würde (siehe neues Bild oben), welches an einem
normalen Switch hängt, an dem auch die anderen Netze (Intranet, DMZ, Servernetz) hängen, wie hoch würdet
ihr da das Sicherheitsrisiko einschätzen (1 bis 10, 1 SICHER, 10 Selbstmord). Sprich, wäre es zu einfach die
Firewall zu umgehen? (Ich tipp mal auf ne 10)

2. Wie sieht die Sicherheitslage bei logisch getrennten Netzwerken allgemein aus, also in meinem Fall zwischen
der DMZ und dem Intranet? (1 bis 10, 1 SICHER, 10 Selbstmord).

Mir ist klar, dass eine physikalische Trennung sicherer ist, aber solang eine logische Trennung auch akzeptabel
ist möchte ich hier jetzt nicht zuviel umstellen.

Gruß, Dank und ein schönes WE!
Bitte warten ..
Mitglied: aqui
26.03.2010 um 17:09 Uhr
Wenn du mit "logischer" Trennung die Trennung in VLANs meinst ist das eine Ermessensfrage.
Natürlich kannst du alle 4 Segmente mit VLANs auf einem Switch unterbringen, das ist ja auch der tiefere Sinn von VLANs. Die Gefahr das natürlich ein Unkundiger mal aus Unwissenheit eine Brücke steckt zwischen VLANx und VLANy auf so einem Switch ist natürlich da, aber mit 10 das vorab zu brandmarken ist eigentlich falsch.
Wenn das jemand wie du z.B. managed, der weiss was er tut, ist das ja kein Thema und absolut gängige Praxis. Du besorgst dir dann pro VLAN die Patchkabel in blau, gelb, rot und grün und kannst so jederzeit mit einem Blick die Verkabelung auf den VLANs überblicken.
Wenn du etwas paranoid bist trennt man wenigstens das Router/Modem Firewall Netz mit einem kleinen extra Switch ab. Generell braucht es hier auch gar keinen Switch oder VLAN denn die Verbindung Router/Modem Firewall ist ja ein simples Kabel von einem Port zum anderen. Den kannst du also allein damit schon vollkommen isolieren da es eine Punkt zu Punkt Verbindung ist.
Noch besser ist es gar keinen Router zu verwenden sondern ein einfachs DSL Modem (ohne Routerfunktion) wie z.B. dieses_hier direkt an die Firewall zu hängen und die PPPoE Konfig mit den ISP Zugangsdaten dort an der FW am WAN Port einzustellen. Manche Router wie die Speedports lassen sich ebenso mit der Funktion PPPoE Passthrough zu einem simplen Modem machen.
Pfsense, Monowall supporten das direkte PPPoE auf dem WAN auch problemlos, so das sich dieses Sicherheitsproblem von Anfang an gar nicht erst stellt !!
Die VLANs hinter der Firewall sind dann nicht mehr ganz so kritisch und eine Verwendung dort wie oben bereits erwähnt gängige Praxis.
Bitte warten ..
Mitglied: reXen96
26.03.2010 um 22:08 Uhr
Sieht nach dem neuem Pic schon besser aus würde allerdings wenn de mehr sicherheit haben wilst 2 änderungen noch machen

zu deinen fragen
ja wenn du das test netz und die firewall und so an einen switch hängst würde ich die sicherheits risiko auf 8 schätzen da ein vlan
zwar schön ist aber nicht 100% sicher

zu 2.
sicherheit ist sehr gering weil ob proxy oder nicht die verbindung nicht großartig geschützt ist aber sicherer also die sache aus nr. 1
also ne 6

so habe mal kurz zusammen gefasst wie ich es dir vorschlagen würde die pc´s im intranet kommen garnicht ins inet (durch die firewall)
mails und av updates werden durch freigaben durchgeführt
http://img408.imageshack.us/img408/923/administratora.jpg

gruss
rexen
Bitte warten ..
Mitglied: aqui
27.03.2010 um 11:07 Uhr
Ein paar Anmerkungen dazu:
  • Ein VLAN ist schon zu 100% sicher...ob nur der Admin dieser VLANs 100% sicher ist, ist stets die Frage !
  • Wieso ist die Verbindung nicht geschützt ? Und... welche Verbindung meinst du ?? Der Proxy schützt das interne Netzwerk schon und dahinter ist die Firewall. Wo ist dann da eine zu geringe Sicherheit ??
  • Wozu immer externe Bilderlinks ?? Hast du gesehen das es hier im Forum eine Bilder Upload Funktion gibt die mit 2 Mausklicks zu bedienen ist ? Das Bild hat einen Fehler, denn Standard Router mit 2 lokalen LAN Anschlüssen die 2 IP Segmente NATten sind sehr schwer bis gar nicht zu finden ! Solche Router gibt es schon die das können, sind aber kein "Standard" wenn für dich "Standard" mit Consumer DSL Router definiert ist ?!
Wenn schon eine Firewall vorhanden ist, wäre es auch sicher sinnvoller diese für die Segmentierung zu verwenden.
Das könnte dann z.B. so aussehen:

c09752fcab7d283593bcf4595e80c5d8 - Klicke auf das Bild, um es zu vergrößern

P.S.: Deine Shift Taste ist defekt !
Bitte warten ..
Mitglied: Stecken
15.04.2010 um 15:11 Uhr
Hallo zusammen,
vielen Dank für eure Beiträge!
Hab mich jetzt für die Netzwerkstruktur, wie sie bei aqui`s letztem Beitrag zu sehen ist entschieden.
Fürs Erste aber ohne den Squid Proxy, das übernimmt erstmal die ipfire Firewall.

Und da wäre noch ein paar Unklarheiten zwecks der VLAN`s.

Hauptstandort:

Keller : 2x ExtremXos Summit X450a-24
EG : 4x ExtremXos Summit X450e-24 und 1x HP procurve 2724 (J4897)
1.Stock : 4x ExtremXos Summit X450e-24


Außenstandort 1:
EG : 2x HP procurve 2724 (J4897)

Außenstandort 2:
EG : 2x HP procurve 2724 (J4897)

(Anbindung der Standorte über 100MBit Richtfunk)

In den ExtremXos lassen sich VLANs einrichten, die HPs sind aber leider unmanaged. Für eine VLAN-Geschichte müssten die somit denk ich mal ausgetauscht werden. Evtl. durch je zwei hp procurve 2610-24p (je ca. 300,-) oder je einen hp procurve-48p (je ca.550,-) in den Standorten.
Als VLAN würde mir ein statisches IEEE 802.1q Tagged vorschweben. Also kein portbasiertes, da wäre der Umstöpselaufwand zu groß und mir auch auf Zukunft zu unflexibel.
Was mir noch nicht ganz klar ist. Ich kann ja an den Netzwerkkarten der Workstations (im Gerätemanager) dem Client eine VLAN ID zuweisen, sozusagen ein Tag mitgeben. Falls das aufgrund alter Netzwerkkarte etc. nicht funktioniert kann ich den entsprechenden Port am Switch auf Tagged stellen, dann übernimmt der das. Um nicht an jeden Rechner hin zu müssen, könnte ich doch einfach alle aktiven Ports auf tagged stellen. Wo ist da der Nachteil? Jedenfalls wäre da die Umstellung kein großer Aufwand, oder gibts sonst noch (wichtige) Dinge zu beachten?

Bei der Firewall hab ich mich jetzt übrigends für die ipfire entschieden und in eine alte Workstation einen CF IDE Adapter eingebaut und ipfire installiert (noch nicht konfiguriert). Jetzt wollte ich aber bevor ich da weiter mache erstmal die Grundstruktur des Netzes, sprich die VLANS gelöst haben.

Gruß und Dank für eure Erklärungen und Anregungen
Stecken
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Netzwerkgrundlagen
DMZ vs normale Firewall Rules (5)

Frage von stephan902 zum Thema Netzwerkgrundlagen ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (3)

Frage von Aubanan zum Thema Windows Server ...

Router & Routing
gelöst Fritzbox am FTTx-Anschluss ganz ohne Firewall ? (3)

Frage von Dilbert-MD zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...