2
RDS Server - welches Subnetz ist sinnvoll?
Hallo,
wir betreiben für unsere Mitarbeiter einen RDS Server, der im Server-Subnetz steht und über ein RDS Gateway von außen abgesichert ist.
Ich überlege, ob es nicht sinnvoller wäre, den RDS Server in das Mitarbeiter-Subnetz zu stellen - also auch dort, wo die Mitarbeiter PCs angesiedelt sind.
Beim Betrieb im Server-Subnetz kann der Zugriff auf andere Serversysteme nicht über die Firewall - die auch als Gateway dient - gefiltert werden.
Beim Betrieb im Mitarbeiter-Subnet wäre dies möglich.
Ich habe zu diesem Thema nichts in RDS Best-Practise Guides gefunden. Wie seht Ihr das - bzw. in welchen Subnetzen betreibt Ihr Eure RDS Server?
Danke - Gruß Saber-Rider
wir betreiben für unsere Mitarbeiter einen RDS Server, der im Server-Subnetz steht und über ein RDS Gateway von außen abgesichert ist.
Ich überlege, ob es nicht sinnvoller wäre, den RDS Server in das Mitarbeiter-Subnetz zu stellen - also auch dort, wo die Mitarbeiter PCs angesiedelt sind.
Beim Betrieb im Server-Subnetz kann der Zugriff auf andere Serversysteme nicht über die Firewall - die auch als Gateway dient - gefiltert werden.
Beim Betrieb im Mitarbeiter-Subnet wäre dies möglich.
Ich habe zu diesem Thema nichts in RDS Best-Practise Guides gefunden. Wie seht Ihr das - bzw. in welchen Subnetzen betreibt Ihr Eure RDS Server?
Danke - Gruß Saber-Rider
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 255183
Url: https://administrator.de/contentid/255183
Printed on: April 26, 2024 at 12:04 o'clock
2 Comments
Latest comment
Wenn du die RDS-Systeme halbwegs ordentlich abgesichert hast gegen missbräuchliche Nutzung, steht das System wo es jetzt steht, schon ganz gut. Alternativ kannst du als weitere Maßnahme die Windows-Firewall der Server ordentlich einstellen.
Wenn dir das nicht reicht, dann richte noch ein drittes Subnetz ein. Clients sollten in größeren Umgebungen nicht im gleichen Netz wie Server stehen (und dazu gehört halt auch alles was RDS ist).
Was du aber noch für einen Mangel in deinem Netz hast, wenn ich das richtig lese: Deine interne Netztrennung läuft als Router auch über deine Perimeterfirewall. Sprich sobald die Firewall erfolgreich angegriffen wird, steht das komplette Netz offen. Hier solltest du lieber einen weiteren Router mit Paketfilter für die Trennung der internen Netze hernehmen.
Unsere TS steht noch im gleichen Netz wie die Server, aber weil wir eh vor einer großen Restrukturierung stehen, geh ich diese Trennung nicht mehr an. Im gleichen Zug werden wir später noch drei weitere Subnetze für Server einziehen, dieses hat aber keine sicherheitstechnischen Gründe sondern es hat was mit den Anwendungen zu tun, die momentan nicht ganz ideal laufen. Bei uns läuft das ganze auch stumpf über Layer 3-Switches ohne den Einsatz von ACLs.
Wenn dir das nicht reicht, dann richte noch ein drittes Subnetz ein. Clients sollten in größeren Umgebungen nicht im gleichen Netz wie Server stehen (und dazu gehört halt auch alles was RDS ist).
Was du aber noch für einen Mangel in deinem Netz hast, wenn ich das richtig lese: Deine interne Netztrennung läuft als Router auch über deine Perimeterfirewall. Sprich sobald die Firewall erfolgreich angegriffen wird, steht das komplette Netz offen. Hier solltest du lieber einen weiteren Router mit Paketfilter für die Trennung der internen Netze hernehmen.
Unsere TS steht noch im gleichen Netz wie die Server, aber weil wir eh vor einer großen Restrukturierung stehen, geh ich diese Trennung nicht mehr an. Im gleichen Zug werden wir später noch drei weitere Subnetze für Server einziehen, dieses hat aber keine sicherheitstechnischen Gründe sondern es hat was mit den Anwendungen zu tun, die momentan nicht ganz ideal laufen. Bei uns läuft das ganze auch stumpf über Layer 3-Switches ohne den Einsatz von ACLs.
Danke für Dein Feedback tikayevent,
unabhängig, wie das Netz nach außen abgesichert ist (das ist ja auch immer eine Frage des zur Verfügung stehenden Budges) ging meine Überlegung eher in die Richtung wie eine Maschine genutzt wird.
Ein RDS System ist - vom Nutzungsverhalten - ja eher als Arbeitsstation einzustufen - nicht als Server. Die Benutzer starten Word auf der Maschine oder gehen ins Internet oder drucken etwas aus. Daher die Überlegung dieses System auch in das gleiche Subnetz wie die anderen Arbeitsstationen einzubinden.
unabhängig, wie das Netz nach außen abgesichert ist (das ist ja auch immer eine Frage des zur Verfügung stehenden Budges) ging meine Überlegung eher in die Richtung wie eine Maschine genutzt wird.
Ein RDS System ist - vom Nutzungsverhalten - ja eher als Arbeitsstation einzustufen - nicht als Server. Die Benutzer starten Word auf der Maschine oder gehen ins Internet oder drucken etwas aus. Daher die Überlegung dieses System auch in das gleiche Subnetz wie die anderen Arbeitsstationen einzubinden.