Erneuerung IT-Infrastruktur mit IT-Sicherheit im KMU Bereich
Moin,
wir ziehen demnächst mit ca 100 Mann (Tendenz steigend) in ein neues Gebäude und möchte da auch die IT-Infrastruktur erneuern. Mit dabei sind vershiedene Abteilungen (Produktion / Forschung / Vertrieb etc.). Wir haben mit einem neuen IT-Dienstleister ein Konzept erarbeitet - ich gebe mal nachfolgend ein paar Details.
IST-Bestand (durch alten IT-Dienstleister):
- keine Firewall
- 8 VMs auf HyperV
- SBS2011 / Exchange 2010
- Terminalserver für die CRM Software
- Server nicht redundant
- keine VLANs
- alte Octopus TK-Anlage
SOLL (Konzept neuer IT-Dienstleister):
(Die GF legt Wert auf IT-Sicherheit - trotzdem musste ein gewisses Budget eingehalten werden!):
- VLANs für die verschiedenen Abteilungen
(Abteilungen wie oben, Telefonie, Firewall/Internet, Server, Management etc.)
- L3 Switch für das VLAN Routing / ACLs zum Regeln des Inter-VLAN-Routing (Client nur zum Server, nicht Client-Client etc.)
- L3 Switch wird redundant / gestackt und alle Etagen Switche jeweils angebunden mit 10 GBit/s Uplink
- WatchGuard UTM für Gateway Security / Mail Security etc.
- DLP über die WatchGuard ist wichtig
- Migration auf Server 2k19 inkl. Exchange (evtl auch 2k16) Support läuft ja gleich aus, aber der 2k19 braucht gefühlt 500 GB RAM
- "Light" Redundanz durch Replica mit Veeam auf den alten Server (Cluster passte nicht ins Budget)
- neue IP TK-Anlage kommt in VLAN
- LTE Fallback für Internetausfall
- Monitoring der Server / PatchManagement Clients+Server etc.
- NAC für dynamische VLANs, 802.1x etc. ist ggf. später mal geplant - aktuell aus Kostengründen aber verworfen worden
- Wir wurden auch auf Szenarien beraten, wie Dataleaks durch ICMP Tunneling (Abfließen von Daten über ICMP)
Was wir (Intern) noch nicht geklärt haben:
- Die bisherige Domain heißt "buero.local" - finde ich etwas...naja...
Wenn wir die anpassen, müssten wir ja eine Cross-Forest-Migration machen oder einmal alles neu aufsetzten mit Exchange Migration etc.
- Macht es Sinn, VLAN ACLs so anzulegen, dass vom Client zum Server z. B. nur SMB / SQL funktioniert oder ist das zu viel des guten? Setzt man ACLs standardmäßig so, dass Any Allow vom Client zum Server funktioniert, und Any Deny von Client zu Client oder Client zu Druckern oder Client zu Managemtn-VLAN etc.
Was meint ihr zu dem geplanten Konzept? Bitte nicht vergessen, dass auch nur ein begrenztes Budget zur Verfügung steht und wir das o. g. anhand der Kosten ausgearbeitet haben...bevor jetzt jemand basht warum wir keine separaten Appliances für DLP, IDS/IPS etc verwenden
Grüße
wir ziehen demnächst mit ca 100 Mann (Tendenz steigend) in ein neues Gebäude und möchte da auch die IT-Infrastruktur erneuern. Mit dabei sind vershiedene Abteilungen (Produktion / Forschung / Vertrieb etc.). Wir haben mit einem neuen IT-Dienstleister ein Konzept erarbeitet - ich gebe mal nachfolgend ein paar Details.
IST-Bestand (durch alten IT-Dienstleister):
- keine Firewall
- 8 VMs auf HyperV
- SBS2011 / Exchange 2010
- Terminalserver für die CRM Software
- Server nicht redundant
- keine VLANs
- alte Octopus TK-Anlage
SOLL (Konzept neuer IT-Dienstleister):
(Die GF legt Wert auf IT-Sicherheit - trotzdem musste ein gewisses Budget eingehalten werden!):
- VLANs für die verschiedenen Abteilungen
(Abteilungen wie oben, Telefonie, Firewall/Internet, Server, Management etc.)
- L3 Switch für das VLAN Routing / ACLs zum Regeln des Inter-VLAN-Routing (Client nur zum Server, nicht Client-Client etc.)
- L3 Switch wird redundant / gestackt und alle Etagen Switche jeweils angebunden mit 10 GBit/s Uplink
- WatchGuard UTM für Gateway Security / Mail Security etc.
- DLP über die WatchGuard ist wichtig
- Migration auf Server 2k19 inkl. Exchange (evtl auch 2k16) Support läuft ja gleich aus, aber der 2k19 braucht gefühlt 500 GB RAM
- "Light" Redundanz durch Replica mit Veeam auf den alten Server (Cluster passte nicht ins Budget)
- neue IP TK-Anlage kommt in VLAN
- LTE Fallback für Internetausfall
- Monitoring der Server / PatchManagement Clients+Server etc.
- NAC für dynamische VLANs, 802.1x etc. ist ggf. später mal geplant - aktuell aus Kostengründen aber verworfen worden
- Wir wurden auch auf Szenarien beraten, wie Dataleaks durch ICMP Tunneling (Abfließen von Daten über ICMP)
Was wir (Intern) noch nicht geklärt haben:
- Die bisherige Domain heißt "buero.local" - finde ich etwas...naja...
Wenn wir die anpassen, müssten wir ja eine Cross-Forest-Migration machen oder einmal alles neu aufsetzten mit Exchange Migration etc.
- Macht es Sinn, VLAN ACLs so anzulegen, dass vom Client zum Server z. B. nur SMB / SQL funktioniert oder ist das zu viel des guten? Setzt man ACLs standardmäßig so, dass Any Allow vom Client zum Server funktioniert, und Any Deny von Client zu Client oder Client zu Druckern oder Client zu Managemtn-VLAN etc.
Was meint ihr zu dem geplanten Konzept? Bitte nicht vergessen, dass auch nur ein begrenztes Budget zur Verfügung steht und wir das o. g. anhand der Kosten ausgearbeitet haben...bevor jetzt jemand basht warum wir keine separaten Appliances für DLP, IDS/IPS etc verwenden
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 420804
Url: https://administrator.de/contentid/420804
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo Phil,
vertraust du dem Dienstleister oder seiner Kompetenz nicht? Dann wechsel Ihn, ansonsten sprech mit Ihm ab, was du noch nicht gut findest.
Bringt nichts ein "Konzept", wenn man die paar Zeilen ohne genaueres zu wissen auseinander zu nehmen und nur (ggf. falsche) Zweifel zu sähen.
Viele Grüße
vertraust du dem Dienstleister oder seiner Kompetenz nicht? Dann wechsel Ihn, ansonsten sprech mit Ihm ab, was du noch nicht gut findest.
Bringt nichts ein "Konzept", wenn man die paar Zeilen ohne genaueres zu wissen auseinander zu nehmen und nur (ggf. falsche) Zweifel zu sähen.
Viele Grüße
Irgendwie schon, aber wie gesagt, wenn das nicht passt, müsste man eher dem neuen Dienstleister mit Know How über die Schulter schauen, da es sonst nicht besser wird - wenn man das wünscht, es gibt da immer die Diskrepanz zwischen "perfekt haben " und "gerade so ein Minimum bezahlen" wollen.
Also wenn der Dienstleister das befriedigt: Feuer frei!
Ansonsten könnte ich einwerfen: Andere Firewall, finde die Sophos besser. (hilft dir das, wechselst du jetzt zu mir? ) denke du verstehst, worauf es hinaus läuft...
Also wenn der Dienstleister das befriedigt: Feuer frei!
Ansonsten könnte ich einwerfen: Andere Firewall, finde die Sophos besser. (hilft dir das, wechselst du jetzt zu mir? ) denke du verstehst, worauf es hinaus läuft...
Moin,
ich denke mal das hängt auch davon ab was ihr selbst machen könnt / wollt. Denn du möchtest da natürlich was aufsetzen was schon etwas komplexer ist. Wenn "heute" der Kollege kommt hängt der sich halt "irgendwo ran" und schon kann der arbeiten. Hast du div. VLANs musst du schauen (das wäre jetzt nur ein Beispiel!). Könnt ihr selbst schnell nen Port anpassen - kein Ding... Was aber wenn nicht weil euer Laden eben nur normale Office-Leute hat? Dann bist du bei jedem Request darauf angewiesen wie schnell der Provider reagiert.
Daher ist es schwer zu sagen ob das Konzept gut oder schlecht ist - es muss eben zu euch passen. Es kann durchaus ein gutes und valides Konzept sein das ich auch heute noch nen Netz mit 100 Leuten ohne Firewall betreibe. Wenn der "Kunde" eben die Firewall eh nicht bedienen kann aber selbst die Hoheit drüber haben will steht die dann so oder so auf "Any-Any" -> und ist nur nen Lufterwärmer.
Machen redundante Switches Sinn? Auch da ist die Frage wie siehts dahinter aus: Hängen beide an derselben Sicherung bringt es dir generell wenig. Da wäre nen einzelner Switch mit red. Netzteil ggf. die bessere Wahl - je nachdem wie lang die Downtime so sein darf. Auch hier geht es "von-bis" - und je mehr Geld umso besser die Verfügbarkeit (meistens). Was aber wenn dein Dienstleister dir jetzt zwar redundante Switches anbietet - aber vom Hersteller $Chinaböller_Hersteller_Hier_Eintragen?
Von daher ist es schwer nur mit nen paar Zeilen zu gucken ob so ein Konzept passt ohne die Firma zu kennen... Klar kann man irgendwas sagen - aber es macht eben einen Unterschied ob eure "Forschungsabteilung" jetzt schaut ob die Werbung vor 50 Jahren mehr blautöne als die Werbung heute enthalten hat ODER ob ihr grad zufällig die Forschung für thermo-nukleare Waffen für das US-Millitär durchführt....
ich denke mal das hängt auch davon ab was ihr selbst machen könnt / wollt. Denn du möchtest da natürlich was aufsetzen was schon etwas komplexer ist. Wenn "heute" der Kollege kommt hängt der sich halt "irgendwo ran" und schon kann der arbeiten. Hast du div. VLANs musst du schauen (das wäre jetzt nur ein Beispiel!). Könnt ihr selbst schnell nen Port anpassen - kein Ding... Was aber wenn nicht weil euer Laden eben nur normale Office-Leute hat? Dann bist du bei jedem Request darauf angewiesen wie schnell der Provider reagiert.
Daher ist es schwer zu sagen ob das Konzept gut oder schlecht ist - es muss eben zu euch passen. Es kann durchaus ein gutes und valides Konzept sein das ich auch heute noch nen Netz mit 100 Leuten ohne Firewall betreibe. Wenn der "Kunde" eben die Firewall eh nicht bedienen kann aber selbst die Hoheit drüber haben will steht die dann so oder so auf "Any-Any" -> und ist nur nen Lufterwärmer.
Machen redundante Switches Sinn? Auch da ist die Frage wie siehts dahinter aus: Hängen beide an derselben Sicherung bringt es dir generell wenig. Da wäre nen einzelner Switch mit red. Netzteil ggf. die bessere Wahl - je nachdem wie lang die Downtime so sein darf. Auch hier geht es "von-bis" - und je mehr Geld umso besser die Verfügbarkeit (meistens). Was aber wenn dein Dienstleister dir jetzt zwar redundante Switches anbietet - aber vom Hersteller $Chinaböller_Hersteller_Hier_Eintragen?
Von daher ist es schwer nur mit nen paar Zeilen zu gucken ob so ein Konzept passt ohne die Firma zu kennen... Klar kann man irgendwas sagen - aber es macht eben einen Unterschied ob eure "Forschungsabteilung" jetzt schaut ob die Werbung vor 50 Jahren mehr blautöne als die Werbung heute enthalten hat ODER ob ihr grad zufällig die Forschung für thermo-nukleare Waffen für das US-Millitär durchführt....
"Gerade so ein Minimum" will auch keiner bezahlen, trotzdem gibt es Budgets
Wenn dem so ist, dann order(!) dir einen zweiten Dienstleister der die Arbeit des ersten prüft - das wäre fundiert, aber entsprechend nieder zu legen, ansonsten bringt dir das nichts, beim Namen Netgear (und den Ansprüchen) klappen bei mir (und vielen anderen) wohl die Hände über dem Kopf zusammen. Aber, "dein" Netz, bzw deine Verantwortung. Hier im Forum bist du aber mit jeder Antwort mehr fehl am Platz.
Grundsätzlich fängt das schon ganz gut an, sagt aber nichts über die Umsetzung aus und daran scheitert es dann häufig.
Mich irritieren so Sätze wie "DLP über die Watchguard ist wichtig".
DLP ist oftmals sinnvoll und wichtig, aber warum bindest Du das an einen Hersteller? Was bietet Watchguard hier was andere nicht bieten?
Zum Thema Netgear ... kommt das von Euch oder vom Dienstleister?
Irgendwie klingt das ganze wie eine Runde aus dem Bullshitbingovertriebsmeeting.
Sorry.
Mich irritieren so Sätze wie "DLP über die Watchguard ist wichtig".
DLP ist oftmals sinnvoll und wichtig, aber warum bindest Du das an einen Hersteller? Was bietet Watchguard hier was andere nicht bieten?
Zum Thema Netgear ... kommt das von Euch oder vom Dienstleister?
Irgendwie klingt das ganze wie eine Runde aus dem Bullshitbingovertriebsmeeting.
Sorry.
Zitat von @MasterPhil:
Wir könnten auch nur Hardware beziehen und alles selbst einrichten (Firewall / VLAN) etc und auch selbst warten - das steht noch nicht fest inwieweit wir was abgeben oder selbst machen.
Könnt ihr das wirklich in Gänze?Wir könnten auch nur Hardware beziehen und alles selbst einrichten (Firewall / VLAN) etc und auch selbst warten - das steht noch nicht fest inwieweit wir was abgeben oder selbst machen.
Netze ohne Firewall (SPI) halte ich für nicht sicher - gerade in der heutigen Zeit. Was wenn z. B. Port 465/587/25 nach außen für Clients frei sind und zur Spam Schleuder werden?
Dann wirst du den infizierten Rechner wohl finden und neu installieren. Es ist ja aber auch gar nicht definiert das diese Ports automatisch durch den Einsatz von Firewalls geperrt werden.Ich meine schon dass es gewisse Standards gibt, die man bei einer Gewissen Größe haben sollte (Handwerker Meier mit 2 PCs wird keine VLANs benötigen...)
Nein, die Anforderungen richten sich nach Schutzbdarfs- und Verfügbarkeitsklassen, idelaerweise in Anlehnung an die BSI Standards, deiner Anwendungen, nicht nach der Größe Firma.Meine ich auch ja - unabhängig von der Sicherung. Es kann ja eine Hardware ausfallen / ein Port etc - fällt der L3 Switch aus, ist das gesamte Netz inkl. Telefonie tot. Ein Tag Ausfall wäre eher suboptimal....
Bei zwei Switchen hast du statistisch häufiger einen Geräteausfall als bei einem, auch hier ist das Gesamtdesign entscheidend.(Bitte jetzt nicht Netgear auf den Billig-Ruf verurteilen und mal die Specs/Protokolle mit Cisco / Extreme etc vergleichen)
Specs sind nur die halbe Miete, es gibt schon einen Grund warum trotz höherem Preis Cisco und Extreme in den RZ dieser Welt werkeln und nicht Netgear./Thomas
Hi..
Nur mal so nebenbei.. Wie sieht denn das Budget aus ?
Habt Ihr schon Angebote vom neuen Dienstleister bekommen? Arbeitet dieser nach DGSVO, arbeitet Ihr danach ?
Von Bechtle und Co würde ich eher mal die Finger lassen und einen nehmen der auch wirklich was kann - kann teurer aber erheblich besser werden!
Nehmt Euch ZEIT!!! - Überlegt was Ihr haben wollt! Die IT muss untereinander auch funktionieren.. SBS für 100 Mann ? eher unwahrscheinlich... Ihr müsst auf jeden Fall einen ganzen Batzen Geld und ZEIT! in die Hand nehmen... Lasst Euch Referenzen vorlegen und fragt auch die Referenzen...
Wie die Domain bisher heisst ist wurscht...
Gruss Globe!
Nur mal so nebenbei.. Wie sieht denn das Budget aus ?
Habt Ihr schon Angebote vom neuen Dienstleister bekommen? Arbeitet dieser nach DGSVO, arbeitet Ihr danach ?
Von Bechtle und Co würde ich eher mal die Finger lassen und einen nehmen der auch wirklich was kann - kann teurer aber erheblich besser werden!
Nehmt Euch ZEIT!!! - Überlegt was Ihr haben wollt! Die IT muss untereinander auch funktionieren.. SBS für 100 Mann ? eher unwahrscheinlich... Ihr müsst auf jeden Fall einen ganzen Batzen Geld und ZEIT! in die Hand nehmen... Lasst Euch Referenzen vorlegen und fragt auch die Referenzen...
Wie die Domain bisher heisst ist wurscht...
Gruss Globe!