Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Virtualisierung einer kleinen Zweigstelle

Frage Sicherheit Firewall

Mitglied: Toni005

Toni005 (Level 1) - Jetzt verbinden

01.08.2007, aktualisiert 08.08.2007, 3265 Aufrufe, 2 Kommentare

Der Ist- Bestand stellt sich wie folgt dar:
Router>ISA Server als Gateway mit http/smtp/pop Proxy ( Trendmicro Virus Wall ) >PDC Win2003>Hub>Clients

Da die Hardware in die Tage gekommen ist, sollen der PDC und der ISA Server ausgetauscht werden. Da nur ca. 6 Clients connecten kam der Ruf nach Virtualisierung via VMWare Workstation.
Soweit sogut.
Handicap: Tobit wird eingesetzt = das heist, Tobit muss auf der physikalischen Maschine installiert werden ( mit eigenem pingbarem Webserver!!!: feste IP vorhanden) da hardwarenahe Funktionen wie z.b. ISDN Karte genutzt werden.

Die -Glaubensfrage- ist nun: was wird nun am besten virtualisiert ?!?!:

A) ISA Server auf die phys. Maschine mit Tobit - PDC auf der virt. Maschine.
Pro: Tägliche Sicherung des PDC simpel da Image via Vmware vorhanden. Keine zusätzlichen Softwarekosten für z.B. Acronis. Server.
Contra: Ist vmware sicher!!! genug um darauf einen PDC laufen zu lassen ?! Geht der Isa Server hopps - ist der PDC nicht erreichbar.
Frage: Auf welchen Rechner mit den Trendmicro Proxy Diensten ( s.o ) Oder sogar hierfür eine weitere virt. Maschine ?

B) PDC auf phys. Maschine mit Tobit ( und dem dazugehörigem Webserver !!! ) - ISA auf virt. Maschine.
Pro: Stabiles Hostsystem für den PDC. PDC ist unabhängig von Softwarefehlern in VMWare. Wenn ISA kompromitiert wird, einfaches Backup zum Originalzustand.
Contra: Wie den PDC sichern ? => also zusätzliche Soft/Hardware ( Band / Acronis ). Offener Webserver läuft auf dem PDC !!!
Frage: Auf die virt. Maschine die TrendMicro Proxydienste installieren und den Tobit Webserver hierüber laufen lassen. ? Ist das sicher genug ?

Ich hatte dieses Posting vor ein paar Tagen in die VmWare Newsgroup gestellt. 120 Antworten - 50/50 Ergebnisse. Dies ist eine "Glaubensfrage" deswegen Leute vor, die sich hiermit auskennen !!!

CÜ TONI
Mitglied: Rafiki
03.08.2007 um 21:21 Uhr
Hi Toni,
hier meine Gedanken zum Thema, keine Antwort zu deiner Glaubensfrage. *

Ein PDC ist zugleich auch für die Zeit in der Domain zuständig. In einer VM ist es nicht trivial die Uhr exakt gehen zulassen. Es gibt bei VMware einen Artikel zu diesem Thema.

So weit ich das weiß ist VMware z.Zt. sicher. Ich will damit sagen, dass aus einer VM heraus keine Angriffe gegen eine andere VM oder den host möglich sind. Mal abgesehn von den logischen Angriffen wenn sich die beteiligten VM’s ungeschützt ein Netzwerkteilen.

Schlechte Software in einer VM die sehr viel CPU Leistung frisst (Webserver mit BUG in einem ASP, oder ein perl Script das im Kreis läuft usw.) beeinflusst die Leistungsfähigkeit anderer VM's und des Hosts. Es gab einen Bug, der es ermöglichte aus einer VM heraus einen Bufferoverflow auf dem Host auszulösen. Damit wäre es wohl auch möglich auf dem Host ein Programm zu starten. In den aktuellen Versionen ist dieser Bug behoben ist.

Wenn ich mich recht entsinne muss der ISA Server seine Benutzer an einem DomainController authentifizieren. z.B. auch um Dienste wie ein VMware Server zu starten. Du musst bei der Konfiguration entsprechend sorgfältig arbeiten und auf dem VMware host einen lokalen Benutzer anlegen.

Grundsätzlich würde ich in jeder Domain mindestens zwei DomainController betreiben.

Als ganz andere alternative überlege dir ob der DC in der Firmenzentrale bleibt und nur über das VPN erreichbar ist.

Gruß Rafiki



  • Zur Glaubensfrage: Im gerade angelaufenen Simpsons Film blättert in einer Szene in der Kirche Homer ganz hektisch in der Bibel und sagt: "In diesem Buch stehen keine Antworten."
Bitte warten ..
Mitglied: Toni005
08.08.2007 um 16:57 Uhr
@Rafiki

vielen Dank für Dein Kommentar. Und ala Matt Groening ist meine Frage zwar nicht unbedingt tivial aber hier in diesem Forum wird es in der Tat keine "einheitliche" Lösung geben.

Zum Thema:
Die Bugs ( Buffer Overflow, Time etc ) sind mir bekannt und/aber auch lösbar. Ich hab mich nun trotzdem für die 2 Alternative entschieden.
Da die Zweigstelle nur 6 Clients hat, wird es auch keinen 2ten DC geben. Vorerst. Nächstes Jahr kommen 18 Stationen dazu - dann wird der 2 DC virtualisiert. ( sorry in meinem Eingangsposting bin ich wieder in die NT Welt abgeglitten von wegen PDC - BDC - > man(n) möge mir verzeihen
Das Sicherheitsloch "Tobit auf DC" versuche ich mit Acronis und täglichen Backups in einer Secure Zone zu stopfen. Ich denke die 500€ für die Server Version sind gut investiert.

Leider gibt es bisher hier keine weiteren Erfahrungsberichte
Werde also Acronis in dieser Konstellation einmal testen. Denke nächste Woche. Würde mich aber trotzdem freuen, wenn weitere Leute hier Ihre Meinung abgeben.

CÜ TONI
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerkgrundlagen
Virtualisierung einer kleinen Firma (51)

Frage von Ramsys1991 zum Thema Netzwerkgrundlagen ...

Virtualisierung
OpenSource Desktop-Virtualisierung für Thin-Clients (7)

Frage von Fenris14 zum Thema Virtualisierung ...

Windows Server
Server sehr langsam bei vielen kleinen Dateien (5)

Frage von MichiBLNN zum Thema Windows Server ...

Windows Update
Umgang mit Vorschau auf Qualitätsrollups im kleinen Betrieb (2)

Frage von marc-1303 zum Thema Windows Update ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...