Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Virtualisierung einer kleinen Zweigstelle

Frage Sicherheit Firewall

Mitglied: Toni005

Toni005 (Level 1) - Jetzt verbinden

01.08.2007, aktualisiert 08.08.2007, 3293 Aufrufe, 2 Kommentare

Der Ist- Bestand stellt sich wie folgt dar:
Router>ISA Server als Gateway mit http/smtp/pop Proxy ( Trendmicro Virus Wall ) >PDC Win2003>Hub>Clients

Da die Hardware in die Tage gekommen ist, sollen der PDC und der ISA Server ausgetauscht werden. Da nur ca. 6 Clients connecten kam der Ruf nach Virtualisierung via VMWare Workstation.
Soweit sogut.
Handicap: Tobit wird eingesetzt = das heist, Tobit muss auf der physikalischen Maschine installiert werden ( mit eigenem pingbarem Webserver!!!: feste IP vorhanden) da hardwarenahe Funktionen wie z.b. ISDN Karte genutzt werden.

Die -Glaubensfrage- ist nun: was wird nun am besten virtualisiert ?!?!:

A) ISA Server auf die phys. Maschine mit Tobit - PDC auf der virt. Maschine.
Pro: Tägliche Sicherung des PDC simpel da Image via Vmware vorhanden. Keine zusätzlichen Softwarekosten für z.B. Acronis. Server.
Contra: Ist vmware sicher!!! genug um darauf einen PDC laufen zu lassen ?! Geht der Isa Server hopps - ist der PDC nicht erreichbar.
Frage: Auf welchen Rechner mit den Trendmicro Proxy Diensten ( s.o ) Oder sogar hierfür eine weitere virt. Maschine ?

B) PDC auf phys. Maschine mit Tobit ( und dem dazugehörigem Webserver !!! ) - ISA auf virt. Maschine.
Pro: Stabiles Hostsystem für den PDC. PDC ist unabhängig von Softwarefehlern in VMWare. Wenn ISA kompromitiert wird, einfaches Backup zum Originalzustand.
Contra: Wie den PDC sichern ? => also zusätzliche Soft/Hardware ( Band / Acronis ). Offener Webserver läuft auf dem PDC !!!
Frage: Auf die virt. Maschine die TrendMicro Proxydienste installieren und den Tobit Webserver hierüber laufen lassen. ? Ist das sicher genug ?

Ich hatte dieses Posting vor ein paar Tagen in die VmWare Newsgroup gestellt. 120 Antworten - 50/50 Ergebnisse. Dies ist eine "Glaubensfrage" deswegen Leute vor, die sich hiermit auskennen !!!

CÜ TONI
Mitglied: Rafiki
03.08.2007 um 21:21 Uhr
Hi Toni,
hier meine Gedanken zum Thema, keine Antwort zu deiner Glaubensfrage. *

Ein PDC ist zugleich auch für die Zeit in der Domain zuständig. In einer VM ist es nicht trivial die Uhr exakt gehen zulassen. Es gibt bei VMware einen Artikel zu diesem Thema.

So weit ich das weiß ist VMware z.Zt. sicher. Ich will damit sagen, dass aus einer VM heraus keine Angriffe gegen eine andere VM oder den host möglich sind. Mal abgesehn von den logischen Angriffen wenn sich die beteiligten VM’s ungeschützt ein Netzwerkteilen.

Schlechte Software in einer VM die sehr viel CPU Leistung frisst (Webserver mit BUG in einem ASP, oder ein perl Script das im Kreis läuft usw.) beeinflusst die Leistungsfähigkeit anderer VM's und des Hosts. Es gab einen Bug, der es ermöglichte aus einer VM heraus einen Bufferoverflow auf dem Host auszulösen. Damit wäre es wohl auch möglich auf dem Host ein Programm zu starten. In den aktuellen Versionen ist dieser Bug behoben ist.

Wenn ich mich recht entsinne muss der ISA Server seine Benutzer an einem DomainController authentifizieren. z.B. auch um Dienste wie ein VMware Server zu starten. Du musst bei der Konfiguration entsprechend sorgfältig arbeiten und auf dem VMware host einen lokalen Benutzer anlegen.

Grundsätzlich würde ich in jeder Domain mindestens zwei DomainController betreiben.

Als ganz andere alternative überlege dir ob der DC in der Firmenzentrale bleibt und nur über das VPN erreichbar ist.

Gruß Rafiki



  • Zur Glaubensfrage: Im gerade angelaufenen Simpsons Film blättert in einer Szene in der Kirche Homer ganz hektisch in der Bibel und sagt: "In diesem Buch stehen keine Antworten."
Bitte warten ..
Mitglied: Toni005
08.08.2007 um 16:57 Uhr
@Rafiki

vielen Dank für Dein Kommentar. Und ala Matt Groening ist meine Frage zwar nicht unbedingt tivial aber hier in diesem Forum wird es in der Tat keine "einheitliche" Lösung geben.

Zum Thema:
Die Bugs ( Buffer Overflow, Time etc ) sind mir bekannt und/aber auch lösbar. Ich hab mich nun trotzdem für die 2 Alternative entschieden.
Da die Zweigstelle nur 6 Clients hat, wird es auch keinen 2ten DC geben. Vorerst. Nächstes Jahr kommen 18 Stationen dazu - dann wird der 2 DC virtualisiert. ( sorry in meinem Eingangsposting bin ich wieder in die NT Welt abgeglitten von wegen PDC - BDC - > man(n) möge mir verzeihen
Das Sicherheitsloch "Tobit auf DC" versuche ich mit Acronis und täglichen Backups in einer Secure Zone zu stopfen. Ich denke die 500€ für die Server Version sind gut investiert.

Leider gibt es bisher hier keine weiteren Erfahrungsberichte
Werde also Acronis in dieser Konstellation einmal testen. Denke nächste Woche. Würde mich aber trotzdem freuen, wenn weitere Leute hier Ihre Meinung abgeben.

CÜ TONI
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Virtualisierung einer kleinen Firma
Frage von Ramsys1991Netzwerkgrundlagen51 Kommentare

Hallo zusammen, ich rede gar nicht lange um den heißen Brei herum. Ich brauche eure Hilfe und bin für ...

Hyper-V
Sinnvolle HD-Konfiguration bei kleiner Virtualisierung
Frage von FirewireHyper-V2 Kommentare

Hallo zusammen, ich wollte mal eine Frage an die Experten stellen mit welchen Plattenkonfigurationen ihr in kleinen virtualisierten Umgebungen ...

Netzwerke
Zeiterfassung in der Zweigstelle
Frage von NickerNetzwerke4 Kommentare

Hallo, ich habe ein dringendes Problem bei dem ich mal nen Anstoss benötige: Umgebung: Windows SBS 2003 Netzwerk im ...

Virtualisierung
Server Virtualisierung
Frage von OldMan66Virtualisierung6 Kommentare

Guten Tag zusammen, wir möchten in der Firma eine Umstellung der Serverstruktur anschieben. Bisher stehen im Serverraum 5 Standalone ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 17 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 19 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.