Aufbau Netzwerk Kleinunternehmen
Hallo zusammen,
ich würde gerne mal eure Meinungen/Einschätzung zu folgendem Thema Wissen. Ich plane gerade das "Netzwerk" einer kleinen Firma die einen Online Shop betreibt insgesamt etwa 20 Mitarbeiter hat, wovon die meisten allerdings nur im Lager die Ware packen. Effektiv sind unregelmäßig (2-3mal die Woche) 2-3 User vor Ort mit Notebook die normale Bürotätigkeiten ausführen (Office usw.), in Deutschland verteilt arbeiten noch ein paar Grafiker oder Außendienstmitarbeiter alle besitzen ein Firmengerät. Alle Notebookuser bis auf die Grafiker (etwa 8-10 Stück) arbeiten mit dem Onlineshop System Shopware. Es steht ein Umzug bevor in eine größere Lagerhalle mit kleinem Bürobereich indem 3x "PC-Arbeitsplätze", 1x Office-Drucker, 1x Etikettendrucker, sowie etwa 10-15 Scanner (iPods, von Shopware zur Verfügung gestellt) untergebracht werden müssen. Aktuell wird im alten Lager eine Fritzbox genutzt, sowie ein unmanaged Switch und 3 Access Points, diese Hardware wird dort bestehen bleiben. Es existiert ein alter ausgemusterter PC als "Server" auf dem allerdings nur Datev läuft, auf kurz oder lang soll dieser "Server" abgeschaltete und Datev Online gehostet werden (wenn möglich). Die WLAN Infrastruktur ist vor Ort das einzige was sehr wichtig ist, da die Ware gescannt und im Shop hinterlegt/abgerufen wird, sowie die dazugehörigen Bestellungen. Die Scanner haben eine App von Shopware um darauf zuzugreifen. VPN Zugriff für 2-3 User müsste auf den "Server" zwecks Datev laufen (aktuell via Wireguard in der Fritzbox konfiguriert) Telefonie/Telefonanlage ist nicht wichtig, da über Handys telefoniert wird. Ebenfalls soll Microsoft 365 zur Nutzung von Teams, Sharepoint und Onedrive eingeführt werden.
Grundsätzlich hadere ich mit dem Thema Firewall und wie sinnvoll diese in dem Umfang ist.
Was ist eure Einschätzung zu diesem Konstrukt ? Es wurde erneut ein VDSL Anschluss mit 100Mbit gebucht inkl. Fritzbox 7590, nun stellt sich die Frage ob man die Fritzbox als reines Modem nutzt, dahinter eine Firewall (CheckPoint, Fortigate, o.ä.) dann einen 24 Port Switch POE Managed mit definierten VLAN's und dann eben dort die AP's, Notebooks, Drucker dran hängt. Man müsste dann mmN aber auch alle Deutschlandweitarbeitenden MA einen VPN Client verpassen und diese ebenfalls durch das Firmennetz auf den Shop lassen ?!
Wenn es einfach gehandhabt wird könnte man weiterhin Fritzbox -> Unmanaged Switch -> Drucker, AP's, Notebooks im selben Netz laufen lassen.
Grundsätzlich wenn das Budget stimmt sollte man denke ich immer zu der Firewall greifen, aber ist es in diesem Umfang zwingend erforderlich ?
Liebe Grüße
ich würde gerne mal eure Meinungen/Einschätzung zu folgendem Thema Wissen. Ich plane gerade das "Netzwerk" einer kleinen Firma die einen Online Shop betreibt insgesamt etwa 20 Mitarbeiter hat, wovon die meisten allerdings nur im Lager die Ware packen. Effektiv sind unregelmäßig (2-3mal die Woche) 2-3 User vor Ort mit Notebook die normale Bürotätigkeiten ausführen (Office usw.), in Deutschland verteilt arbeiten noch ein paar Grafiker oder Außendienstmitarbeiter alle besitzen ein Firmengerät. Alle Notebookuser bis auf die Grafiker (etwa 8-10 Stück) arbeiten mit dem Onlineshop System Shopware. Es steht ein Umzug bevor in eine größere Lagerhalle mit kleinem Bürobereich indem 3x "PC-Arbeitsplätze", 1x Office-Drucker, 1x Etikettendrucker, sowie etwa 10-15 Scanner (iPods, von Shopware zur Verfügung gestellt) untergebracht werden müssen. Aktuell wird im alten Lager eine Fritzbox genutzt, sowie ein unmanaged Switch und 3 Access Points, diese Hardware wird dort bestehen bleiben. Es existiert ein alter ausgemusterter PC als "Server" auf dem allerdings nur Datev läuft, auf kurz oder lang soll dieser "Server" abgeschaltete und Datev Online gehostet werden (wenn möglich). Die WLAN Infrastruktur ist vor Ort das einzige was sehr wichtig ist, da die Ware gescannt und im Shop hinterlegt/abgerufen wird, sowie die dazugehörigen Bestellungen. Die Scanner haben eine App von Shopware um darauf zuzugreifen. VPN Zugriff für 2-3 User müsste auf den "Server" zwecks Datev laufen (aktuell via Wireguard in der Fritzbox konfiguriert) Telefonie/Telefonanlage ist nicht wichtig, da über Handys telefoniert wird. Ebenfalls soll Microsoft 365 zur Nutzung von Teams, Sharepoint und Onedrive eingeführt werden.
Grundsätzlich hadere ich mit dem Thema Firewall und wie sinnvoll diese in dem Umfang ist.
Was ist eure Einschätzung zu diesem Konstrukt ? Es wurde erneut ein VDSL Anschluss mit 100Mbit gebucht inkl. Fritzbox 7590, nun stellt sich die Frage ob man die Fritzbox als reines Modem nutzt, dahinter eine Firewall (CheckPoint, Fortigate, o.ä.) dann einen 24 Port Switch POE Managed mit definierten VLAN's und dann eben dort die AP's, Notebooks, Drucker dran hängt. Man müsste dann mmN aber auch alle Deutschlandweitarbeitenden MA einen VPN Client verpassen und diese ebenfalls durch das Firmennetz auf den Shop lassen ?!
Wenn es einfach gehandhabt wird könnte man weiterhin Fritzbox -> Unmanaged Switch -> Drucker, AP's, Notebooks im selben Netz laufen lassen.
Grundsätzlich wenn das Budget stimmt sollte man denke ich immer zu der Firewall greifen, aber ist es in diesem Umfang zwingend erforderlich ?
Liebe Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72032573080
Url: https://administrator.de/contentid/72032573080
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
14 Kommentare
Neuester Kommentar
Moin,
nun - ob eine Firewall sinnvoll ist oder nicht hängt in erster Linie davon ab ob derjenige der die einrichtet weiss was er/sie da macht. Wenn man die nur auf "any/any" stellt is das nix anderes als nen Lufterwärmer...
Die nächste Frage die sich stellt: Wieviel Erfahrung hast du damit? Welches Level hat das ganze? Ist das nen "Freundschaftsdienst" oder verkaufst du es als Dienstleister? In beiden Fällen: Welche Ausfallzeit ist da erlaubt? (Ich kenne Lager da brauchst du nach 20 Min nich mehr ankommen - wenn da 20 min. verloren gehen weiss keiner mehr was wo ist und was bereits raus ist und was nicht...). Hast du dagegen nen Lager zB. für Ferrari-Rennsport-Motoren und nur soviele Leute weil die Dinger schwer sind ist es ja einfach, da haust du nich ganz soviele am Tag raus...
Übrigens: Eine Fritzbox als reines Modem nutzen würde bei mir bereits dafür sorgen das dein Angebot direkt in die Tonne geht. Du solltest durchaus wissen das es reine Modems gibt - und du dann eben nicht mit doppeltem NAT zu kämpfen hast,...
nun - ob eine Firewall sinnvoll ist oder nicht hängt in erster Linie davon ab ob derjenige der die einrichtet weiss was er/sie da macht. Wenn man die nur auf "any/any" stellt is das nix anderes als nen Lufterwärmer...
Die nächste Frage die sich stellt: Wieviel Erfahrung hast du damit? Welches Level hat das ganze? Ist das nen "Freundschaftsdienst" oder verkaufst du es als Dienstleister? In beiden Fällen: Welche Ausfallzeit ist da erlaubt? (Ich kenne Lager da brauchst du nach 20 Min nich mehr ankommen - wenn da 20 min. verloren gehen weiss keiner mehr was wo ist und was bereits raus ist und was nicht...). Hast du dagegen nen Lager zB. für Ferrari-Rennsport-Motoren und nur soviele Leute weil die Dinger schwer sind ist es ja einfach, da haust du nich ganz soviele am Tag raus...
Übrigens: Eine Fritzbox als reines Modem nutzen würde bei mir bereits dafür sorgen das dein Angebot direkt in die Tonne geht. Du solltest durchaus wissen das es reine Modems gibt - und du dann eben nicht mit doppeltem NAT zu kämpfen hast,...
VPN für externen Zugang zum Firmen-LAN ist doch in heutiger Zeit ein MUSS und kein KANN!
Und dann richtet sich die Firewall-HW nach der notwendigen Leistung für die gleichzeitigen VPN-Tunnel (100MB DSL? für einen Firmenanschluss mit Home-Office soll ich jetzt lachen oder weinen?)
Shop = persönl. Daten der Kunden = DSGVO = Firewall zwingend.
Jürgen
Und dann richtet sich die Firewall-HW nach der notwendigen Leistung für die gleichzeitigen VPN-Tunnel (100MB DSL? für einen Firmenanschluss mit Home-Office soll ich jetzt lachen oder weinen?)
Shop = persönl. Daten der Kunden = DSGVO = Firewall zwingend.
Jürgen
Das mit dem Remote habe ich überlesen - da natürlich vpn...
Firewall würde ich dagegen dabei bleiben -> nur wenn derjengie der davor sitzt auch weiss was er/sie macht (ansonsten ggf. jemanden holen DER das weiss). Eine Firewall die eh alles durchlässt ist dagegen ziemlich nutzlos und schafft nur eine "Pseudosicherheit" das der Kunde glaubt man is ja jetzt sicher...
Firewall würde ich dagegen dabei bleiben -> nur wenn derjengie der davor sitzt auch weiss was er/sie macht (ansonsten ggf. jemanden holen DER das weiss). Eine Firewall die eh alles durchlässt ist dagegen ziemlich nutzlos und schafft nur eine "Pseudosicherheit" das der Kunde glaubt man is ja jetzt sicher...
Laut Beschreibung der Umgebung läuft der Shop nicht im lokale Netz.
/Thomas
Zitat von @Visucius:
Ich lese das andersda …
Ich lese das andersda …
aber auch alle Deutschlandweitarbeitenden MA einen VPN Client verpassen und diese ebenfalls durch das Firmennetz auf den Shop lassen ?!
Ich lese da
Die WLAN Infrastruktur ist vor Ort das einzige was sehr wichtig ist
Die Clients sollen wohl über das Firmennetz getunnelt werden statt direkt auf den Shop zu gehen. Vielleicht hat das Admin Intrerface des Shops ja Filterrmöglichkeiten, dann ergibt das durchaus Sinn.
Nun - dann ist immer noch die Frage wie gut DU dich damit auskennst. Und auch WAS für eine Firewall? Nehmen wir nen einfachen Fall: Hau da ne kleine VM mit Linux hin und iptables (oder wie auch immer das mittlerweile heisst) drauf. Jetzt von innen nach aussen u.a. Port 80 + 443 freigegeben, fertig... bis zum Punkt wo du nen Trojaner hast der seinen Command-Server darüber zieht,... Du kannst natürlich ne "grosse" FW nehmen - die is aber eben wieder Preislich ne andere Klasse...
Von daher wäre für die Beantwortung eben ein komplettes Konzept nötig. Das gute ist: Es ist ja scheinbar DEIN Kunde, du musst das also bewerten und begründen...
Von daher wäre für die Beantwortung eben ein komplettes Konzept nötig. Das gute ist: Es ist ja scheinbar DEIN Kunde, du musst das also bewerten und begründen...
Moin.
Die Frage hatte ich Anfang des Jahres auch mal gestellt, vielleicht gibt es hier nochmal Input für dich.
KMU ohne Firewall
Die Frage hatte ich Anfang des Jahres auch mal gestellt, vielleicht gibt es hier nochmal Input für dich.
KMU ohne Firewall
Zitat von @GeestRider
Grundsätzlich wenn das Budget stimmt sollte man denke ich immer zu der Firewall greifen, aber ist es in diesem Umfang zwingend erforderlich ?
Grundsätzlich wenn das Budget stimmt sollte man denke ich immer zu der Firewall greifen, aber ist es in diesem Umfang zwingend erforderlich ?
Da sollen Leute übers Netz auf das LAN zugreifen können. Ist die Frage wirklich ernst gemeint? Ich kenn jetzt Shopware nicht, aber auf diesen 3 PC-Arbeitsplätzen werden ja wohl nicht nur unwichtige Daten drauf sein. Auch wenn DATEV in der Cloud hängt, werden da wohl auch sensible Daten vor Ort verarbeitet werden.
Nuja...stöpselt man halt hinter der Fritzbox noch eine Firewall/VPN Gateway dran.
Kann man mit Fertigprodukt machen oder einen PC mit entsprechender Software drauf.
Früher(TM) gabs ja so fertiggestrickte Linux-Distris genau für den Zweck.
Man kann ja dann die VPN für die entfernten User auch gerne per web based Portal oder so machen. Selberbasteln oder auch da schauen, ob das ein Fertiganbieter schon drin hat.
Muss man halt keinen VPN-Client verteilen.
Ich würd die Fritzbox durch ein Modem ersetzen, ist aber kein Muss. Hat man halt mit der Fritzbox noch ein schnelles Gast-(W)Lan.
Insgesamt würd ich da in ein vernünftiges WLAN investieren, da es ja doch essentiell zu sein scheint. Aus dem Bauch heraus irgendwas Ubiquiti Unify AP. Aber da hab ich so gar keine Erfahrung, wie die sich so machen.
Liegt aber, wie @maretz es schon gesagt hat, eigentlich an deinem Können, wie du das umsetzt.
Hi,
wenn die Fritzbox für Telefonie noch benötigt wird, würde ich ne OPNsense hinter die Fritzbox als exposed host stellen, damit terminieren deine Verbindungen aus dem Internet kommend schon mal auf der OPNsense. Die OPNsense würde ich auch für VPN nutzen, sprich Wireguard darauf aktivieren. Darüber kannst Du dann auch per Regelwerk definieren, wohin die VPN-User dürfen. Für die OPNsense würde ich mir ne entsprechende Hardware zulegen, z.B. Protectli (oder kostengünstig ein China Klon). Die packen dann auch einige VPN-Verbindungen parallel.
Was Du dahinter machst, sprich verschiedene VLANs, würde ich auch ein wenig davon abhängig machen, wie es da zukünftig weiter geht. Wird mit weiterem Wachstum gerechnet, würde ich gleich zu VLAN-Separierung raten...und mal ehrlich, VLAN-fähige Switche gibt es ja schon günstig. Und je "schärfer" man das Regelwerk gleich zu Beginn macht, umso leichter ist das Leben später.
Kommen z.B. mal Automatisierungen und/oder IOT dazu, würde ich allerspätestens dann VLANs einführen.
Die Fritzbox vor der Firewall bei Bedarf noch gegen Modem (z.B. Draytek) tauschen.
Braucht ihr Support bei Firewall, dann ggf. anderes Produkt/ Hersteller.
Soweit mal meine Gedanken dazu
Hoffe, das hilft etwas.
VG
crazy69
wenn die Fritzbox für Telefonie noch benötigt wird, würde ich ne OPNsense hinter die Fritzbox als exposed host stellen, damit terminieren deine Verbindungen aus dem Internet kommend schon mal auf der OPNsense. Die OPNsense würde ich auch für VPN nutzen, sprich Wireguard darauf aktivieren. Darüber kannst Du dann auch per Regelwerk definieren, wohin die VPN-User dürfen. Für die OPNsense würde ich mir ne entsprechende Hardware zulegen, z.B. Protectli (oder kostengünstig ein China Klon). Die packen dann auch einige VPN-Verbindungen parallel.
Was Du dahinter machst, sprich verschiedene VLANs, würde ich auch ein wenig davon abhängig machen, wie es da zukünftig weiter geht. Wird mit weiterem Wachstum gerechnet, würde ich gleich zu VLAN-Separierung raten...und mal ehrlich, VLAN-fähige Switche gibt es ja schon günstig. Und je "schärfer" man das Regelwerk gleich zu Beginn macht, umso leichter ist das Leben später.
Kommen z.B. mal Automatisierungen und/oder IOT dazu, würde ich allerspätestens dann VLANs einführen.
Die Fritzbox vor der Firewall bei Bedarf noch gegen Modem (z.B. Draytek) tauschen.
Braucht ihr Support bei Firewall, dann ggf. anderes Produkt/ Hersteller.
Soweit mal meine Gedanken dazu
Hoffe, das hilft etwas.
VG
crazy69