Server Sicherheit (WAN)

Andy15073

Andy15073

Aktives Mitglied
Thread Starter
Dabei seit
26.11.2007
Beiträge
1.303
Reaktionspunkte
41
Hey

ich bin hier den ersten "großen" Serverschrank am planen :D
habe so eigl. alles drin, hänge nur an dem Thema Sicherheit was ^^

es wird warscheinlich ein unitymedia business Internet Anschluss geben.
Dieser hat 5 feste IP Adressen die ich wohl mit der FRITZ!Box 6360 wohl auflösen kann.

jetzt stelle ich mir die frage, wie sichere ich den ganzen spass :rolleyes:

Habe jetzt von Netgear die UTM Series gesehen.
irgend wie denke ich das so der richtige weg, bin mir aber so was von nicht sicher!

Brauche ich dann wenn ich 5 IP adressen auflösen möchte auch 5 mal das UTM ding ? Ne oder ?

Dachte mir den aufbau so:

Router -> UTM -> Switch

Wollte dann jeder IP einem VLAN zuweisen, hier weiß ich aber nicht ob ich das überhaupt vor dem UTM machen darf^^Und wenn nicht, ob ich die 5 IP Adressen hinter dem UTM überhaupt noch auflösen kann.
Gedacht war so:
1 IP -> Mailserver
2 IP -> SFTP Server
3 IP -> Mitarbeiter internet
4 IP -> Remot Externer Mitarbeiter
5 IP -> Admin zugang


das sind probleme :D
 
Andy15073 schrieb:
das sind probleme
Zum Vergrößern anklicken....

Ja, eben. Wenn man sich mit sowas nicht wirklich auskennt, sollte man die Finger davon lassen.
Wenn ein Laden einen extra Server für Externe Mitarbeiter hat, einen eigenen Server fürs Mailen usw. dann hat er auch das nötige Kleingeld sich ein _richtiges_ Netz vom Profi aufbauen zu lassen.

Der Aspekt vom Titel, nämlich die Sicherheit, kommt aus meiner Sicht so rein gar nicht vor.
Firewall? Proxy? Virenscanner? Honeypot? Backup-Server? Hot-Standby? Testumgebung?
 
Macht man mit VMs, das ist doch nicht teuer.

Am Ende vom Profi machen lassen, ist schon richtig, aber Andy möchte evtl. erstmal diskutieren, um seine Anforderungen zu formulieren.
Die oben erwähnte UTMxxEW ist ja gerade Firewall/Proxy/Virenscanner/VPN (in den EWx Versionen!).

Wieviele Clients sollen gleichzeitig dran (und wieviele per VPN)?

Ich schätze, die 6360 leitet die 5 IPs einfach nur durch (die wird nur zum besseren Modem mit angepasstem Routing kastriert).
Das solltest du beim Kabelfuzzi sicherheitshalber anfragen.

DIe VLAN Geschichte wird dann in der UTM gemacht, nicht davor.
 
  • Gefällt mir
Reaktionen: Andy15073
ja das stimmt @olivetti ich will wissen was da hinkommt und es soweit schon mal planen. Haben leider schon zu viele externe Firmen einfach mal machen lassen, darum sieht unser Serverraum jetzt so aus wie er aussieht. Und das geht mal garnicht^^Wenn das netzwerkkabel mit der Telefonleitung mit Stromkabel verdrillt ist, und mit kabelbinder zwichen den Serverschranktüren verklemmt ist. Die kabel sind übrigens auch nicht geschrimt ... und das waren mehrere EDV Firmen die nicht eben mal eine kleine klitsche ist ^^

naja, aber das was anderes, darum plane ich soweit alles erst mal vorraus und will wissen wie was geht, um zu wissen was die machen und um wenn alles schief ein teil selber zu machen.

dieses UTM teil soll ja so einiges machen, was das thema sicherheit an geht.
Wei viele User nacher aktiv arbeiten, nicht mehr als 10. Ab und an 1 oder 2 von Extern mehr nicht.
alles sehr überschaubar.

die Fritzbox soll laut Vertrieb das können, jede externe IP auf einen anderen Port oder IP bereich auflösen können. Glauben kann ich das auch noch nicht an dieser stelle.

aber zurück auf die grundfrage, diese Netgear UTM teile, sind die der richtige weg? oder sollte ich mir mal was ganz anderes anschauen ?

Ich frage extra so "doof" weil ich schon sprüchen von so "experten" gehört habe, die Fritzbox hat doch ne Firewall ...
äm ja, hat sie, aber ich glaub das ne andere liga ;p
 
Gerade bei den Unitymedia Profi Anschlüssen ist es wichtig selbst für ausreichende Sicherheit zu sorgen. Standardmäßig ist bei diesen Anschlüssen z.B. NAT und Firewall im Router deaktiviert, da der Kunde das in der Regel erst hinter dem Router erledigt.
 
  • Gefällt mir
Reaktionen: Andy15073
Je genauer du deine Ziele formulierst, desto genauer wirst du Empfehlungen bekommen.
Probleme mit Firmen bekommt man deshalb, weil man ihnen nicht genau sagt (sagen kann), was man haben möchte.

Mit so einem UTM-Gerät mit Vertrag kann man schon mal nichts falsch machen.
Ist ja oft Geschmackssache (auch des IT-Profis), ob man Netgear, Zyxel oder Cisco usw. haben möchte.
Hier die Tecchannel-TopTen.

Also sind immer nur 10 Clients im LAN aktiv und maximal 1-2 von aussen per VPN und es kommen keine Mitarbeiter in nächster Zeit dazu?
Schnellschuss: Da reicht die 5 VPN-User Version.

Die Fritzboxen konnten bisher 7 IPs pro Interface, kann sein das es bei aktuellen Modellen mehr sind.
Und das sind dann ja schon VLANs wie beim Gastzugang (Eine normale 7270 reagiert z.B. auf x.x.178.1 und x.x.179.1).
Nur wird das bei deinen 5 IPs in "Handarbeit" gemacht und auf die eth-Interfaces geroutet und kann nicht mehr via WebUI gemanagt werden, deshalb wird auch DECT, WLAN, usw ausgemacht.
Der normale Kunde kann das dann nicht mehr benutzen.
Und die »SPI-Firewall/NAT« wird sicher auch aus sein. (Edit: hat @lemonstre bestätigt)

Wäre die Fritzbox standardmässig mit so etwas wie avm-firewall-cgi oder iptables ausgestattet, was man ja jederzeit nachfreetzen kann, wäre sie zurecht schwerer einzurichten und hätte sicher nicht so einen Erfolg.
Für die meisten User und SoHos reicht sie aber allemal.

Und was sagst du noch zu Falks letzten drei ???
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Andy15073
also ja das stimmt wohl auch das man den Firmen nicht sagen kann was man will, weil ich glaube keiner der nicht damit arbeitet kennt sich halt nicht damit aus.
Ich bin jetzt gut 1 Woche lang von Netzwerkschrank zu Netzwerkschrank getiegert, habe so alle netzwerkdosen die ich gefunden habe beschriftet und die mit den Pachfeldern verglichen. Über all wo es unklar war habe ich dann ein test durchgeführt um rauszufinden wo was liegt. Man muss hier sagen auch das wir keine 10 leute sind, sind wir in einem Gebäude das platz für viel mehr hat ;) Darum das ist wie beschrieben der horror was da gefuscht wurde ...
habe aber jetzt den überblick *hoffe ich* und wir wollen das leiden ein ende setzen und reißen den "Serverraum" einmal ab und bauen den nach unseren vorstellungen. Dann dürfen erst die anderen Firmen rein die Dort den Server hinstellen, Telefonanlage, ...

Problem ist halt die jeweilige Firma macht nur bis zu Ihrem gerät und sonst nichts. Die schauen nicht über den Tellerrand leider ...
Haben auch mehrere drauf angesprochen, aber die wollen wohl kein geld verdiehnen. Oky die wissen wie es aktuell aussieht und ich glaub da scheuen die sich irgend wie. Aber was soll, ich will vorbereitet sein und wenn ich da den Serverschrank selber hinstellen muss.

Was ich ja vor habe, ist nur im fall der fälle, das wenn die wie ich vermute nicht über den Tellerrand schauen, ich vorbereitet bin und eingreifen kann.
Klar es kann wieder sein das man sich zu viel sorgen macht, aber wir, oder eher gesagt ich, bin da sehr stark gebranntmarktes kind was das thema leider angeht.

Firewall? Proxy? Virenscanner? Honeypot? Backup-Server? Hot-Standby? Testumgebung?
Zum Vergrößern anklicken....

Firewall - UTM
Proxy - UTM
Virenscanner - UTM & Server & jeder Rechner hat ein Virenschutz
Honeypot - Sagt mir jetzt gerade nix
Backup-Server - Wird wohl von der Firma mit angeboten
Hot-Standby - Sagt mir nix
Testumgebung - wo für ?

um evtl. noch mal was licht rein zu bekommen, der Server wird ein ERP Server sein und ein exchange Server sein *soweit wie jetzt geplant* Das wird von Externen Firmen konfiguriert

Dazu kommt ein (s)FTP Server, den wir uns selber hinstellen, hier steht aber noch nicht fest wie die Kiste aussehen wird. Dieser Server wird als "drop-Box" für Patner-Firmen genutzt.

Das wars eingl.

@olivetti
Danke für den link, werd das mal studieren ;)
 
Ich bin jetzt gut 1 Woche lang von Netzwerkschrank zu Netzwerkschrank getiegert, habe so alle netzwerkdosen die ich gefunden habe beschriftet und die mit den Pachfeldern verglichen. Über all wo es unklar war habe ich dann ein test durchgeführt um rauszufinden wo was liegt. ...
Zum Vergrößern anklicken....

Das ist doch schonmal was, wenn einer den Durchblick hat.

Problem ist halt die jeweilige Firma macht nur bis zu Ihrem gerät und sonst nichts. Die schauen nicht über den Tellerrand leider ...
Haben auch mehrere drauf angesprochen, aber die wollen wohl kein geld verdiehnen. Oky die wissen wie es aktuell aussieht und ich glaub da scheuen die sich irgend wie. Aber was soll, ich will vorbereitet sein und wenn ich da den Serverschrank selber hinstellen muss.
Zum Vergrößern anklicken....

Das muss man aber auch verstehen, weil die dann den Support leisten müssen/sollen und man weiss nie was kommt und was der evtl. unfähige Kollege getrieben hat. Wenn du alles von einem Systemhaus machen lässt, siehts anders aus.

Honeypot - Sagt mir jetzt gerade nix
Backup-Server - Wird wohl von der Firma mit angeboten
Hot-Standby - Sagt mir nix
Testumgebung - wo für ?

um evtl. noch mal was licht rein zu bekommen, der Server wird ein ERP Server sein und ein exchange Server sein *soweit wie jetzt geplant* Das wird von Externen Firmen konfiguriert

Dazu kommt ein (s)FTP Server, ...
Zum Vergrößern anklicken....

Honeypot brauchst jetzt nicht wirklich, damit muss man sich dann auch wieder »arg« auskennen.
Hot-Standby ist, wenn etwas ausfällt, dann schaltet es/man sofort auf ein Ersatzgerät um und hat
praktisch kaum Ausfallzeit. Z.B. Broker brauchen sowas, Metzger nicht.

Testumgebung wäre bei euch wichtig, weil z.B. beim ERP ständig Updates/Bugfixes/Neues rauskommt und man es halt nicht am Produktivsystem testen sollte.
Manche halten's mit »No risk, no fun« und spielen alles gnadenlos in's laufende System ein.

Den sftp würde ich sicherlich als VM machen.
Wenn ein Kunde/Partner Mist baut, kopiert man das Masterimage zurück,
startet die VM und fertig und alles wieder sicher.

Backup ist immer ein heikles Thema. Da solltest du dir extra viel Gedanken machen. Gerade wenn externe Supporter (ERP/Exchange) beteiligt sind.
Schön wäre eine »Partitions-Abstraktionsschicht« auf dem Server, wie z.B. LVM unter Linux. Damit kannst du einfach Snapshots im laufenden Betrieb machen, hast keine Dienstausfälle beim sichern und bist auch im
Desasterfall wesentlich schneller wieder da.
 
  • Gefällt mir
Reaktionen: Andy15073
Honeypot brauchst jetzt nicht wirklich, damit muss man sich dann auch wieder »arg« auskennen.
Zum Vergrößern anklicken....

oky das brauchen wir jetzt nicht wirklich, evtl wenn wir die weltherschaft wollen oder haben, dann kann man darüber mal nachdenken ;) aber jetzt nicht ^^

Hot-Standby ist, wenn etwas ausfällt, dann schaltet es/man sofort auf ein Ersatzgerät um und hat
praktisch kaum Ausfallzeit. Z.B. Broker brauchen sowas, Metzger nicht.
Zum Vergrößern anklicken....

ja wäre ne überlegung, muss man aber auch mal schauen was der etar dazu sagt. Weil dann müsste ich ja so alles zwei mal dahaben, das Gespielgelt Läuft.
ThemaHot-Standby beim Internet-Anschluss. Wenn ich dich einen Server habe der auf eine IP reagiert, und diese IP ist auf einen DNS eintrag festgelegt also einer URL, kann ich bei einer URL eine zweite Bakcup IP eintragen lassen ?
*hust* ich weiß nur das ich eine URL auf eine IP zuweisen kann, aber dann müsste das doch Theo. gehen oder ? Weil wenn zum beispiel die leitung 1 mit der IP 1 ausfällt dann fahren alle E-Mails die dann kommen auf der URL abc.de ins leere da die leitung abc.de ja auf IP 1 gelegt ist und die wiederrum ausgefallen ist da leitung 1 z.b. defekt ist.
*haha komplex wird das langsam*

Testumgebung wäre bei euch wichtig, weil z.B. beim ERP ständig Updates/Bugfixes/Neues rauskommt und man es halt nicht am Produktivsystem testen sollte.
Manche halten's mit »No risk, no fun« und spielen alles gnadenlos in's laufende System ein.
Zum Vergrößern anklicken....
ja ich glaube damit habe ich wieder nichts zu tun, da das wieder die firma der ERP Software macht. Sollten wir das machen müssen, wäre ich auf jeden fall für eine Testumgebung, die würde ich aus dem Aktuellen Backup ziehen :)

Den sftp würde ich sicherlich als VM machen.
Wenn ein Kunde/Partner Mist baut, kopiert man das Masterimage zurück,
startet die VM und fertig und alles wieder sicher.
Zum Vergrößern anklicken....
ja da bin ich gedanklich noch dran, dachte auch schon an eine VM ;)
Wollen evtl einen Alten MacPro den wir noch haben dafür abrichten. Fand den gedanken erst etwas Bonzig, aber je mehr ich drüber nachdenke macht es immer mehr sin.
Vorteil ist hier, auf einer VM mit Windows wird ein (s)FTP server hochgefahren, wenn da was schief geht, kann man den relativ schnell wiederherstellen. Dort in der VM gebe ich die jeweilige netzwerkkarte an, so habe ich eine Externe verbindung die Hardware seitig getrennt ist.
Das Normale System lasse ich als "NAS" Server einfach laufen. Hier dervorteil ist, dank der TimeMachine können sich die Kolegen austoben, wenn die irgend wie Daten Killen, kann man die ganz einfach wiederherstellen.
Ist alles was was bonzig, aber ich habe hier zum Testen zwei NAS hingestellt mit Web oberfläche und ähm ich finde das die totale krankheit ...
Bin mir halt aber noch nicht wirklich sicher was das thema (s)ftp Server angeht. Das das in eine VM kommt bin ich mehr sehr sicher. Bin mir aber vom system her noch nicht sicher. Schräge sache irgend wie.
Haben hier noch von alten Rechnern Windows XP CDs und Schlüsseln liegen, habe mir üschon überlegt da einfach ne VM raus machen, und alle Ports dann speren bis auf die (s)FTP ports. Dann sollte das ja theo. eigl. auch wieder alles oky sein.
Weil den weiteren Schutz gibt ja dann die UTM.

Hui ...

da komme ich wieder zu dem Problem vom anfang ...

Wenn ich die Fritzbox habe, dahinter die UTM und dann von der UTM in ein Switch, wie verklickere ich das IP1-5 nur gewisse geräte anspicht. Das mache ich doch normalerweise in der Firtzbox.
da fallen mir nur drei wegen ein:
  • Ich weise jeder IP die reinkommt eine andere IP im Netzwerk feste zu.
  • Ich richte eine VLAN lösung ein
  • Jeder Hardwareport von der Fritzbox ist eine Feste IP

bei der britten lösung brauche ich dann im schlimmstenfall 5 UTM, das sprengt aber den etar :D

wie würdest du das den so gedanklich machen ? wenn du es selber machen würdest?
Also nur die Hardware bis auf auf den Server mit der ERP/exchange sache
 
Andy15073 schrieb:
...
Wenn ich die Fritzbox habe, dahinter die UTM und dann von der UTM in ein Switch, wie verklickere ich das IP1-5 nur gewisse geräte anspicht. Das mache ich doch normalerweise in der Firtzbox.
da fallen mir nur drei wegen ein:
  • Ich weise jeder IP die reinkommt eine andere IP im Netzwerk feste zu.
  • Ich richte eine VLAN lösung ein
  • Jeder Hardwareport von der Fritzbox ist eine Feste IP

bei der britten lösung brauche ich dann im schlimmstenfall 5 UTM, das sprengt aber den etar :D
Zum Vergrößern anklicken....

Die Fritz auf ihrem WAN-Port »hört« auf die 5 IPs (IPs sind grundsätzlich passiv, das Routing ist ausschlaggebend).
Was du dahinter machst, kannst du dir einstellen lassen, wie du es haben willst.

Du trennst die IPs am Switch der UTM, dafür ist die doch da.

Schau mal hier (Beispielhaft) und such dir da mal Eins aus.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten