Exchange-Server - richtige Firewall
Hallo!
Ich soll im Büro meines Vaters ein Netzwerk aufbauen. Das Ganze eilt nicht und ist vom Umfang her (einen Server, eine USV, ~3 Arbeitsplätze) überschaubar, daher habe ich mich dazu entschlossen, mich an die Sache heranzuwagen (während meiner Ausbildung zum IT-System-Kaufmann war ich immer mal in Netzwerkprojekte involviert, allerdings ist das schon eine paar Jahre her) um meine Kenntnisse in Sachen Netzwerk ein wenig aufzupolieren.
Kommen wir nun zur eigentlichen Frage: es soll ein Exchange-Server eingerichtet werden, über den auch Daten gesichert werden sollen. Auf den Server soll von außen zugegriffen werden können. Ich bin jetzt gerade auf der Suche nach der richtigen Firewall für dieses Vorhaben. Macht man so etwas immer mit einer DMZ oder gibt es da auch andere Varianten? Würde auch eine Software-Firewall ausreichen?
Grüße
Ich soll im Büro meines Vaters ein Netzwerk aufbauen. Das Ganze eilt nicht und ist vom Umfang her (einen Server, eine USV, ~3 Arbeitsplätze) überschaubar, daher habe ich mich dazu entschlossen, mich an die Sache heranzuwagen (während meiner Ausbildung zum IT-System-Kaufmann war ich immer mal in Netzwerkprojekte involviert, allerdings ist das schon eine paar Jahre her) um meine Kenntnisse in Sachen Netzwerk ein wenig aufzupolieren.
Kommen wir nun zur eigentlichen Frage: es soll ein Exchange-Server eingerichtet werden, über den auch Daten gesichert werden sollen. Auf den Server soll von außen zugegriffen werden können. Ich bin jetzt gerade auf der Suche nach der richtigen Firewall für dieses Vorhaben. Macht man so etwas immer mit einer DMZ oder gibt es da auch andere Varianten? Würde auch eine Software-Firewall ausreichen?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315675
Url: https://administrator.de/contentid/315675
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
23 Kommentare
Neuester Kommentar
Ist zwar Off-Topic, aber ein kleiner Hinweis:
Für den Exchange-Server braucht man einen DC. Beide Dienste würde ich nie auf einem Server installieren, sondern auf zwei verschiedenen Servern: einen als DC und einen als Exchange-Server.
Das Ganze eilt nicht und ist vom Umfang her (einen Server, eine USV, ~3 Arbeitsplätze) überschaubar.
Für den Exchange-Server braucht man einen DC. Beide Dienste würde ich nie auf einem Server installieren, sondern auf zwei verschiedenen Servern: einen als DC und einen als Exchange-Server.
Zitat von @Looser27:
Statt dem Exchange lieber Kerio connect. Ist auf jeden Fall günstiger.
Als Firewall gateprotect oder sophos oder pfsense. Am einfachsten zu administrieren dürfte Gateprotect sein.
Gruß
Looser
Statt dem Exchange lieber Kerio connect. Ist auf jeden Fall günstiger.
Als Firewall gateprotect oder sophos oder pfsense. Am einfachsten zu administrieren dürfte Gateprotect sein.
Gruß
Looser
Findest du? Gut, kann sein, dass Gateprotect weniger Features hat und deswegen einfacher ist - oder aus welchem Aspekt betrachtest du es?
Hallo,
wie auch Dani schon vorschlug, würde ich eher zu einem HostedExchange von einem deutschen Anbieter greifen. Unterm Strich ist es ganz einfach günstiger und einfacher.
Davon mal abgesehen: Wenn es um streng vertrauliche Daten geht würde ich die sowieso nicht per Email versenden.
Aber ein paar Fragen hätte ich da noch:
"... über den auch Daten gesichert werden sollen."
- Was für Daten?
- Was für Backuplösungen sind vorhanden? Sind die Exchange-fähig ?
- Was ist das überhaupt für ein Server?
Grüße
wie auch Dani schon vorschlug, würde ich eher zu einem HostedExchange von einem deutschen Anbieter greifen. Unterm Strich ist es ganz einfach günstiger und einfacher.
Davon mal abgesehen: Wenn es um streng vertrauliche Daten geht würde ich die sowieso nicht per Email versenden.
Aber ein paar Fragen hätte ich da noch:
"... über den auch Daten gesichert werden sollen."
- Was für Daten?
- Was für Backuplösungen sind vorhanden? Sind die Exchange-fähig ?
- Was ist das überhaupt für ein Server?
Grüße
Zitat von @certifiedit.net:
Moin,
Dani - es gibt immer noch Umgebungen, in denen Datenschutz eine besondere Anforderung ist. Auch, wenn das im "Alles ins Netz blasen" Snapchat Zeitalter immer unwichtiger zu werden scheint. Aber so vereinfachen zum Nachteil des/der DS ist wohl nicht zielführend?
VG
Moin,
Dani - es gibt immer noch Umgebungen, in denen Datenschutz eine besondere Anforderung ist. Auch, wenn das im "Alles ins Netz blasen" Snapchat Zeitalter immer unwichtiger zu werden scheint. Aber so vereinfachen zum Nachteil des/der DS ist wohl nicht zielführend?
VG
Moin,
das ist doch die typische Dienstleisterbrille. Das in der Hosted Exchange Umgebung eines professionellen Anbieters zu erwartende Datenschutzniveau duerfte um einiges hoeher sein als in einer Homebrew Umgebung. Das geht bei der Dokumentation der Umgebung los und endet bei regelmaessigen Securityaudits, kann man fuer drei Clients gar nicht sinnvoll leisten.
VG,
Thomas
Zitat von @Th0mKa:
(...) das ist doch die typische Dienstleisterbrille. Das in der Hosted Exchange Umgebung eines professionellen Anbieters zu erwartende Datenschutzniveau duerfte um einiges hoeher sein als in einer Homebrew Umgebung. (...)
VG,
Thomas
(...) das ist doch die typische Dienstleisterbrille. Das in der Hosted Exchange Umgebung eines professionellen Anbieters zu erwartende Datenschutzniveau duerfte um einiges hoeher sein als in einer Homebrew Umgebung. (...)
VG,
Thomas
Genau das. Zumindest auf dem Papier liefern die Hoster dann alles, was der Datenschutzbeauftragte dann sehen möchte, wenn er/sie denn wirklich mal vorbeikommt.
Servus,
hört sich für mich nach dem klassichen SBS für Kleinunternehmen an.
Leider wird dieser nicht mehr weiter entwickelt. Die letzte Version ist der SBS 2011.
Muss es ein Exchange sein?
Schau dir mal den Univention Corporate Server (UCS) an. hier
Als Firewall bin ich ein Fan von pfSense.
Schau dir dazu Tutorial an!
hört sich für mich nach dem klassichen SBS für Kleinunternehmen an.
Leider wird dieser nicht mehr weiter entwickelt. Die letzte Version ist der SBS 2011.
Muss es ein Exchange sein?
Schau dir mal den Univention Corporate Server (UCS) an. hier
Als Firewall bin ich ein Fan von pfSense.
Schau dir dazu Tutorial an!
Zitat von @cptkrabbe:
Genau das. Zumindest auf dem Papier liefern die Hoster dann alles, was der Datenschutzbeauftragte dann sehen möchte, wenn er/sie denn wirklich mal vorbeikommt.
Genau das. Zumindest auf dem Papier liefern die Hoster dann alles, was der Datenschutzbeauftragte dann sehen möchte, wenn er/sie denn wirklich mal vorbeikommt.
Ich behaupte das ist nicht nur auf dem Papier so. Welches KMU hat schon Securityteam, Netzwerkteam, Applicationteam, etc.? Ein verantwortungsvoller Admin oder Dienstleister mag ein ausreichendes Schutzniveau implementieren koennen, es ist mMn beim Hoster aber deutlich wahrscheinlicher als beim Allrounder.
VG,
Thomas
Hallo Zusammen,
ich bin auch der Meinung, dass man vermutlich mit drei Hosted Exchange Postfächern günstiger und sicherer ist. Einen Exchange für drei Arbeitsplätze zu betreiben, kann sicher in bestimmten Konstellationen richtig sein. Aber dann sollte dieser von einem Fachmann installiert und betrieben werden.
Gruss,
Java667
ich bin auch der Meinung, dass man vermutlich mit drei Hosted Exchange Postfächern günstiger und sicherer ist. Einen Exchange für drei Arbeitsplätze zu betreiben, kann sicher in bestimmten Konstellationen richtig sein. Aber dann sollte dieser von einem Fachmann installiert und betrieben werden.
Gruss,
Java667
Findest du? Gut, kann sein, dass Gateprotect weniger Features hat und deswegen einfacher ist - oder aus welchem Aspekt betrachtest du es?
Die Features sind mit Sicherheit annähernd identisch, doch gibt es für die gateprotect eine schicke eGUI, die es auch dem ambitionierten Laien möglich macht, mit ein paar Bausteinen sein Netz abzubilden und die Regeln zu erstellen.
Die Oberfläche der Sophos sagt mir persönlich nicht so zu.
Privat setze ich dagegen eine pfSense ein....aber zuhause ist probieren und spielen eben auch erlaubt
Gruß
Looser
Zitat von @Th0mKa:
das ist doch die typische Dienstleisterbrille. Das in der Hosted Exchange Umgebung eines professionellen Anbieters zu erwartende Datenschutzniveau duerfte um einiges hoeher sein als in einer Homebrew Umgebung. Das geht bei der Dokumentation der Umgebung los und endet bei regelmaessigen Securityaudits, kann man fuer drei Clients gar nicht sinnvoll leisten.
VG,
Thomas
das ist doch die typische Dienstleisterbrille. Das in der Hosted Exchange Umgebung eines professionellen Anbieters zu erwartende Datenschutzniveau duerfte um einiges hoeher sein als in einer Homebrew Umgebung. Das geht bei der Dokumentation der Umgebung los und endet bei regelmaessigen Securityaudits, kann man fuer drei Clients gar nicht sinnvoll leisten.
VG,
Thomas
Ich komm nun nicht damit, dass das die typische BWLer Brille ist.
Es gibt genug Meldungen und Szenarien, in denen sich in den letzten Jahren gezeigt hat, dass die "großen Player" mit Spezialteams bis hinunter auf die Linksklickebene nur auf dem Papier alles toll aussah. Weiterhin kommt es dabei auch immer noch drauf an, was die Firma macht und wie das Sicherheitsniveau der Firma und der Konkurrenz ist.
Also kann man sagen, dass ist die typische "man könnte es auch ordentlich machen" Brille.
Zitat von @certifiedit.net:
Es gibt genug Meldungen und Szenarien, in denen sich in den letzten Jahren gezeigt hat, dass die "großen Player" mit Spezialteams bis hinunter auf die Linksklickebene nur auf dem Papier alles toll aussah. Weiterhin kommt es dabei auch immer noch drauf an, was die Firma macht und wie das Sicherheitsniveau der Firma und der Konkurrenz ist.
Es gibt genug Meldungen und Szenarien, in denen sich in den letzten Jahren gezeigt hat, dass die "großen Player" mit Spezialteams bis hinunter auf die Linksklickebene nur auf dem Papier alles toll aussah. Weiterhin kommt es dabei auch immer noch drauf an, was die Firma macht und wie das Sicherheitsniveau der Firma und der Konkurrenz ist.
Ja, es gibt immer schwarze Schafe und es ist immer eine Betrachtung des Einzelfalls. Aber wenn hier jemand so reinkommt wie der TE dann ist nicht davon auszugehen das dort besonders viel IT Know-How und/oder Sicherheitsbeduerfnis dahinter steckt.
Und auch wenn das fuer dich natuerlich immer ein potentieller Kunde ist sollte man doch so fair sein und auch Dienstleistungen gelten lassen die andere verkaufen.
VG,
Thomas
Nein, ich nutze sie und bin sehr zufrieden damit.
Wir haben vor einigen Monaten eine kleine Bücherei mit vier "normalen" Mitarbeiter-PCs und acht weiteren PCs (Gäste, Kasse etc, jeweils ohne E-Mail-Nutzung) von SBS 2011 auf Standard-Windows-Server + vier Hosted Exchange-Konten umgestellt. Sind sehr zufrieden damit. Nutzen den Service von Hosteurope. Deren Spamfilter ist besser als der bisher verwendete Spamfilter der NG-Firewall.
Aber ja: Es handelte sich da um eine Bücherei. Da fallen natürlich kaum personenbezogenen Daten bei den E-Mails an.
Aber ja: Es handelte sich da um eine Bücherei. Da fallen natürlich kaum personenbezogenen Daten bei den E-Mails an.
@certifiedit.net
Ist mir durch aus bewusst. Der Fragesteller kann jederzeit die Notwendigkeit einer On-Primise-Lösung (un)begründet als Pflicht anmerken. Ist ist aber erstmal nicht der Fall. Aus dem ursprünglichen Informationsgehalt der Frage wäge ich ab, dass die Hosted-Lösung sowohl im Unterhalt als auch Wartung günstiger ist. Dazu mussen man nicht mal den Bleistift spitzen.
Gruß,
Dani
Dani - es gibt immer noch Umgebungen, in denen Datenschutz eine besondere Anforderung ist.
Ich weiß, ich hab hier eine solche Umgebung. Ist mir durch aus bewusst. Der Fragesteller kann jederzeit die Notwendigkeit einer On-Primise-Lösung (un)begründet als Pflicht anmerken. Ist ist aber erstmal nicht der Fall. Aus dem ursprünglichen Informationsgehalt der Frage wäge ich ab, dass die Hosted-Lösung sowohl im Unterhalt als auch Wartung günstiger ist. Dazu mussen man nicht mal den Bleistift spitzen.
Aber so vereinfachen zum Nachteil des/der DS ist wohl nicht zielführend?
DS?Gruß,
Dani
Laut Ihm ist ein On-Premise Exchange Pflicht.
Rein aus dem Kosten Aspekt muss man da sicher nicht den Bleistift spitzen, bei der Abwägung sowohl des Datenschutzes als auch der Datensicherheit eben schon und das fehlt mir oft genug bei der "Cloud ist günstiger" Diskussion. Denn, auch wenn es ein deutsches RZ ist, wer sagt denn, dass entsprechende Daten nicht hier abgezogen werden, ganz analog zu der Vibrator Diskussion in den Staaten (dort nach Kanada) - falls du es mit bekommen hast.
VG,
Christian
Rein aus dem Kosten Aspekt muss man da sicher nicht den Bleistift spitzen, bei der Abwägung sowohl des Datenschutzes als auch der Datensicherheit eben schon und das fehlt mir oft genug bei der "Cloud ist günstiger" Diskussion. Denn, auch wenn es ein deutsches RZ ist, wer sagt denn, dass entsprechende Daten nicht hier abgezogen werden, ganz analog zu der Vibrator Diskussion in den Staaten (dort nach Kanada) - falls du es mit bekommen hast.
VG,
Christian
, bei der Abwägung sowohl des Datenschutzes als auch der Datensicherheit eben schon und das fehlt mir oft genug bei der "Cloud ist günstiger" Diskussion. Denn, auch wenn es ein deutsches RZ ist, wer sagt denn, dass entsprechende Daten nicht hier abgezogen werden...
Wer überwacht im eigenen Netzwerk den Datenschutz bzw. Datensicherheit. Der Admin selber? Wer härtet seinen IIS nach einer Installation von Exchange oder anderen Webdiensten? Wer schaut regelmäßig Ereignisanzeige zw. Dienstbezogene Logfiles nach evtl. Unregelmäßigkeiten durch?Bei den meisten Penetrationstests bei KMUs stellte sich heraus, dass zwar die Haustüre abgeschlossen ist, aber der Schlüssel steckt. Ich habe schon ganze IT-Abteilungen (6-30 Mann) rödeln sehen, als der Tester nicht durch die Haustür sondern zum Küchenfenster eingestiegen ist.
ganz analog zu der Vibrator Diskussion in den Staaten (dort nach Kanada) - falls du es mit bekommen hast.
Das habe ich versäumt... ich war die letzten Tage viel unterwegs. Aber ich werde deine Bedenken weitergeben. Mal schauen, was meine bessere Hälfte dazu meint. Die Antwort kenne ich schon... Aber lassen wir den Fragesteller nun auch mal zu Wort kommen...
Gruß,
Dani
Na, wenn du Sie fernsteuerst, weiß nun vermutlich ein Kanadier (natürlich hochanonymisiert) wie und auf welche Weise. Ich denke, du merkst, in welche Richtung das läuft?
Da ist aber die Frage, wie passiert das beim Hoster und, ist das "Küchenfenster" dann nicht der HiWi Admin, um die Kosten dort zu senken? Unpersönlich und wenig Couragiert?
Außerdem - ist es bei einem Hosted Exchange nicht auch so, dass man sich trotzdem um das interne Netz kümmern muss? Da ist es keine Tür, kein Küchenfenster, sondern ein Amazonas (weil der Datenstrom mäanderartig zu den einzelnen Clientpcs streut). Also kann man hier die Problematik nur durch den Einsatz von entsprechendem Mitteleinsatz beheben. Der den Kosten/Nutzenfaktor bereits relativiert.
Dazu kommen noch die Probleme, dass man im fremden RZ (vermutlich in größeren Firmen in eigenen noch mehr) selbst nie genau weiss, wer denn jetzt darf und wer nicht oder - wer tut. Siehe HiWi, siehe div. GAUs und siehe die Rekrutierungsstrategie div. Firmen.
Stichwort: Hochsicherheitstür wird wegen Luftstrom offen gehalten. Da gibt es ein paar ganz interessante Spieltheoretische Ansätze, die gerade in größeren Szenarien eher greifen als in kleinen.
Last but not Least muss man dann noch anführen - ich greife lieber eine große Firma an, in der ich
a) im Grundrauschen untergeh und
b) mehr Return zu erwarten hab, als ne kleine klitsche, die im Zweifelsfall Ihr Know How besser beschützt als die großen und schneller jemand zur Stelle ist.
Wenn eine IT-Abteilung 6-30 Mann ins Rödeln kommt - ab wann geschieht das nicht mehr und wie groß ist die IT-Abteilung eines Hosters dann um nicht ins Rödeln zu kommen - oder ist dies nicht eher eine qualitative und keine quantitive Frage (Hier wieder, treibt den Kostenfaktor)? Wir wissen alle, wie die "Audits" ablaufen.
Freue mich auf deine kritische Antwort.
Schöne Gute Nacht,
Christian
Da ist aber die Frage, wie passiert das beim Hoster und, ist das "Küchenfenster" dann nicht der HiWi Admin, um die Kosten dort zu senken? Unpersönlich und wenig Couragiert?
Außerdem - ist es bei einem Hosted Exchange nicht auch so, dass man sich trotzdem um das interne Netz kümmern muss? Da ist es keine Tür, kein Küchenfenster, sondern ein Amazonas (weil der Datenstrom mäanderartig zu den einzelnen Clientpcs streut). Also kann man hier die Problematik nur durch den Einsatz von entsprechendem Mitteleinsatz beheben. Der den Kosten/Nutzenfaktor bereits relativiert.
Dazu kommen noch die Probleme, dass man im fremden RZ (vermutlich in größeren Firmen in eigenen noch mehr) selbst nie genau weiss, wer denn jetzt darf und wer nicht oder - wer tut. Siehe HiWi, siehe div. GAUs und siehe die Rekrutierungsstrategie div. Firmen.
Stichwort: Hochsicherheitstür wird wegen Luftstrom offen gehalten. Da gibt es ein paar ganz interessante Spieltheoretische Ansätze, die gerade in größeren Szenarien eher greifen als in kleinen.
Last but not Least muss man dann noch anführen - ich greife lieber eine große Firma an, in der ich
a) im Grundrauschen untergeh und
b) mehr Return zu erwarten hab, als ne kleine klitsche, die im Zweifelsfall Ihr Know How besser beschützt als die großen und schneller jemand zur Stelle ist.
Wenn eine IT-Abteilung 6-30 Mann ins Rödeln kommt - ab wann geschieht das nicht mehr und wie groß ist die IT-Abteilung eines Hosters dann um nicht ins Rödeln zu kommen - oder ist dies nicht eher eine qualitative und keine quantitive Frage (Hier wieder, treibt den Kostenfaktor)? Wir wissen alle, wie die "Audits" ablaufen.
Freue mich auf deine kritische Antwort.
Schöne Gute Nacht,
Christian