!42
Aktives Mitglied
Thread Starter
- Dabei seit
- 23.10.2005
- Beiträge
- 1.377
- Reaktionspunkte
- 80
Nehmen wir mal an, es gibt ein kleines Firmennetzwerk. Da hängt der Router vom Provider am Internet und es gibt einige feste IPs für die Firma. Am Router hängt ein Windows 2000 Server. Der dient als Webserver (iis), Mailserver, Rechner für weitere Berechnungsprogramme und ist direkt auch mit dem internen Netz verbunden, z.B. auch mit einem XServer der die Netzwerkplatten im RAID verwaltet und den anderen Clients bestehend aus Macs und Win Rechnern
Die Tatsache das man öfters Viren auf dem Winserver fand und die Tatsache das da alles ohne Abtrennung miteinander verknüpft ist lies mich aufhorchen. Theoretisch ist dieses Netz ziemlich verwundbar, oder?
So meine Idee war es dann mittels IPCop eine Firewall in einem eigenständigen Rechner direkt hinter dem Router zu konfigurieren, Server für Berechnungen, Mail und Webserver voneinander abzutrennen und vor allem vom internen Netz abzutrennen und nur durch nötige Tunnel miteinander zu verbinden. Wäre ja soweit ideal, oder?
Nehmen wir jetzt an, den Entscheidern wäre die Sache mit IT Struktur umzubauen zu heikel und man will das ganze möglichst einfach möglichst sicher machen.
Also die Bedingungen sind:
-Eine Firma mit 5 Mitarbeitern.
-Ein Mailserver mit IMAP Konten muss her (der aber nur eine weiterleitung des Providers empfängt und versendet)
-Ein Webserver mit mind. Apache und Tomcat muss her
-Der Webserver muss auf einen Windowsserver zugreifen können der mit einem speziellen Programm Berechnungen anstellt und große Bilddaten erzeugt. Ein Rechner des internen Netzes soll auf diese Daten zugreifen können.
Da meine Idee mit der IPCop Firewall und den schön eingeteilten Zonen mit den nötigsten Tunneln oder DMZ Schlupflöchern nicht gut ankommt: Wie sollte ich es sonst machen, damit das ganze einigermaßen sicherer wird?
Meine erste Idee: Das ganze so lassen, aber den allmächtigen Windowsserver hinter dem Router durch einen aktuellen XServer zu ersetzen. Der scheint mir effektiver und sicherer zu sein. Zumindest Apple wirbt damit das man alles damit machen kann, von Mail über Web zu Arbeitsgruppenverwaltung, also interne und externe Sachen alles gleichzeitig und viel über große Sicherheitslücken habe ich bisher nicht gelesen.
Also hinter dem Router hängt der XServer mit einer festen externen IP für Mail und Web. Der ist dann auch gleichzeitig die Firewall (ja ich weiß wie sinnvoll eine Firewall mit gleichzeitig laufenden anderen Services ist) für die internen Rechner und hat außerdem Zugriff auf den Berechnungs-Windows-Server.
Das wäre sozusagen der kleinste gemeinsame Nenner, wenn man was sicherer machen will, aber nicht die oben genannte Umstellung vollziehen will. Sinnvoll oder lohnt der Aufwand nicht für das bisschen mehr an Sicherheit?
Die Tatsache das man öfters Viren auf dem Winserver fand und die Tatsache das da alles ohne Abtrennung miteinander verknüpft ist lies mich aufhorchen. Theoretisch ist dieses Netz ziemlich verwundbar, oder?
So meine Idee war es dann mittels IPCop eine Firewall in einem eigenständigen Rechner direkt hinter dem Router zu konfigurieren, Server für Berechnungen, Mail und Webserver voneinander abzutrennen und vor allem vom internen Netz abzutrennen und nur durch nötige Tunnel miteinander zu verbinden. Wäre ja soweit ideal, oder?
Nehmen wir jetzt an, den Entscheidern wäre die Sache mit IT Struktur umzubauen zu heikel und man will das ganze möglichst einfach möglichst sicher machen.
Also die Bedingungen sind:
-Eine Firma mit 5 Mitarbeitern.
-Ein Mailserver mit IMAP Konten muss her (der aber nur eine weiterleitung des Providers empfängt und versendet)
-Ein Webserver mit mind. Apache und Tomcat muss her
-Der Webserver muss auf einen Windowsserver zugreifen können der mit einem speziellen Programm Berechnungen anstellt und große Bilddaten erzeugt. Ein Rechner des internen Netzes soll auf diese Daten zugreifen können.
Da meine Idee mit der IPCop Firewall und den schön eingeteilten Zonen mit den nötigsten Tunneln oder DMZ Schlupflöchern nicht gut ankommt: Wie sollte ich es sonst machen, damit das ganze einigermaßen sicherer wird?
Meine erste Idee: Das ganze so lassen, aber den allmächtigen Windowsserver hinter dem Router durch einen aktuellen XServer zu ersetzen. Der scheint mir effektiver und sicherer zu sein. Zumindest Apple wirbt damit das man alles damit machen kann, von Mail über Web zu Arbeitsgruppenverwaltung, also interne und externe Sachen alles gleichzeitig und viel über große Sicherheitslücken habe ich bisher nicht gelesen.
Also hinter dem Router hängt der XServer mit einer festen externen IP für Mail und Web. Der ist dann auch gleichzeitig die Firewall (ja ich weiß wie sinnvoll eine Firewall mit gleichzeitig laufenden anderen Services ist) für die internen Rechner und hat außerdem Zugriff auf den Berechnungs-Windows-Server.
Das wäre sozusagen der kleinste gemeinsame Nenner, wenn man was sicherer machen will, aber nicht die oben genannte Umstellung vollziehen will. Sinnvoll oder lohnt der Aufwand nicht für das bisschen mehr an Sicherheit?
