yozora27
Goto Top

Exchange-Server - richtige Firewall

Hallo!

Ich soll im Büro meines Vaters ein Netzwerk aufbauen. Das Ganze eilt nicht und ist vom Umfang her (einen Server, eine USV, ~3 Arbeitsplätze) überschaubar, daher habe ich mich dazu entschlossen, mich an die Sache heranzuwagen (während meiner Ausbildung zum IT-System-Kaufmann war ich immer mal in Netzwerkprojekte involviert, allerdings ist das schon eine paar Jahre her) um meine Kenntnisse in Sachen Netzwerk ein wenig aufzupolieren.

Kommen wir nun zur eigentlichen Frage: es soll ein Exchange-Server eingerichtet werden, über den auch Daten gesichert werden sollen. Auf den Server soll von außen zugegriffen werden können. Ich bin jetzt gerade auf der Suche nach der richtigen Firewall für dieses Vorhaben. Macht man so etwas immer mit einer DMZ oder gibt es da auch andere Varianten? Würde auch eine Software-Firewall ausreichen?

Grüße

Content-ID: 315675

Url: https://administrator.de/contentid/315675

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

certifiedit.net
certifiedit.net 19.09.2016 um 20:31:02 Uhr
Goto Top
Hallo Yozora,

ich würde dir eine Sophos UTM nahelegen.

Du darfst gerne auch in Hinsicht der Umsetzung des Projekts auf mich zu kommen, solltest du Unterstützung brauchen (Server, Software, Lizenzierung + Umsetzung).

Viele Grüße,

Christian
keine-ahnung
keine-ahnung 19.09.2016 um 20:47:20 Uhr
Goto Top
Moin,
es soll ein Exchange-Server eingerichtet werden, über den auch Daten gesichert werden sollen
????

LG, Thomas
Dani
Dani 19.09.2016 um 20:51:15 Uhr
Goto Top
Moin,
ich will ehrlich zu dir sein... miete drei Exchange-Hosted-Postfächer an und gut ist. Das kostet euch nur einen Bruchteil von dem was ihr für Exchange-Lizenzen, Wartung und Zeit investieren müsstet. Abgesehen von Backups, Maleware-Filter, etc...


Gruß,
Dani
certifiedit.net
certifiedit.net 19.09.2016 um 21:22:32 Uhr
Goto Top
Moin,

Dani - es gibt immer noch Umgebungen, in denen Datenschutz eine besondere Anforderung ist. Auch, wenn das im "Alles ins Netz blasen" Snapchat Zeitalter immer unwichtiger zu werden scheint. Aber so vereinfachen zum Nachteil des/der DS ist wohl nicht zielführend?

VG
Looser27
Looser27 19.09.2016 um 21:47:54 Uhr
Goto Top
Statt dem Exchange lieber Kerio connect. Ist auf jeden Fall günstiger.
Als Firewall gateprotect oder sophos oder pfsense. Am einfachsten zu administrieren dürfte Gateprotect sein.

Gruß

Looser
honeybee
honeybee 19.09.2016 um 22:05:52 Uhr
Goto Top
Ist zwar Off-Topic, aber ein kleiner Hinweis:

Das Ganze eilt nicht und ist vom Umfang her (einen Server, eine USV, ~3 Arbeitsplätze) überschaubar.

Für den Exchange-Server braucht man einen DC. Beide Dienste würde ich nie auf einem Server installieren, sondern auf zwei verschiedenen Servern: einen als DC und einen als Exchange-Server.
certifiedit.net
certifiedit.net 19.09.2016 um 22:24:04 Uhr
Goto Top
Zitat von @Looser27:

Statt dem Exchange lieber Kerio connect. Ist auf jeden Fall günstiger.
Als Firewall gateprotect oder sophos oder pfsense. Am einfachsten zu administrieren dürfte Gateprotect sein.

Gruß

Looser

Findest du? Gut, kann sein, dass Gateprotect weniger Features hat und deswegen einfacher ist - oder aus welchem Aspekt betrachtest du es?
MrFlow
MrFlow 20.09.2016 um 06:52:39 Uhr
Goto Top
Hallo,

wie auch Dani schon vorschlug, würde ich eher zu einem HostedExchange von einem deutschen Anbieter greifen. Unterm Strich ist es ganz einfach günstiger und einfacher.

Davon mal abgesehen: Wenn es um streng vertrauliche Daten geht würde ich die sowieso nicht per Email versenden.

Aber ein paar Fragen hätte ich da noch:

"... über den auch Daten gesichert werden sollen."
- Was für Daten?

- Was für Backuplösungen sind vorhanden? Sind die Exchange-fähig ?

- Was ist das überhaupt für ein Server?

Grüße
Th0mKa
Th0mKa 20.09.2016 um 08:08:47 Uhr
Goto Top
Zitat von @certifiedit.net:

Moin,

Dani - es gibt immer noch Umgebungen, in denen Datenschutz eine besondere Anforderung ist. Auch, wenn das im "Alles ins Netz blasen" Snapchat Zeitalter immer unwichtiger zu werden scheint. Aber so vereinfachen zum Nachteil des/der DS ist wohl nicht zielführend?

VG

Moin,

das ist doch die typische Dienstleisterbrille. Das in der Hosted Exchange Umgebung eines professionellen Anbieters zu erwartende Datenschutzniveau duerfte um einiges hoeher sein als in einer Homebrew Umgebung. Das geht bei der Dokumentation der Umgebung los und endet bei regelmaessigen Securityaudits, kann man fuer drei Clients gar nicht sinnvoll leisten.

VG,

Thomas
cptkrabbe
cptkrabbe 20.09.2016 um 08:27:27 Uhr
Goto Top
Zitat von @Th0mKa:
(...) das ist doch die typische Dienstleisterbrille. Das in der Hosted Exchange Umgebung eines professionellen Anbieters zu erwartende Datenschutzniveau duerfte um einiges hoeher sein als in einer Homebrew Umgebung. (...)
VG,
Thomas

Genau das. Zumindest auf dem Papier liefern die Hoster dann alles, was der Datenschutzbeauftragte dann sehen möchte, wenn er/sie denn wirklich mal vorbeikommt.
jenni
jenni 20.09.2016 um 08:40:13 Uhr
Goto Top
Servus,

hört sich für mich nach dem klassichen SBS für Kleinunternehmen an.
Leider wird dieser nicht mehr weiter entwickelt. Die letzte Version ist der SBS 2011.

Muss es ein Exchange sein?

Schau dir mal den Univention Corporate Server (UCS) an. hier

Als Firewall bin ich ein Fan von pfSense.
Schau dir dazu Tutorial an!
Th0mKa
Th0mKa 20.09.2016 um 08:44:11 Uhr
Goto Top
Zitat von @cptkrabbe:
Genau das. Zumindest auf dem Papier liefern die Hoster dann alles, was der Datenschutzbeauftragte dann sehen möchte, wenn er/sie denn wirklich mal vorbeikommt.

Ich behaupte das ist nicht nur auf dem Papier so. Welches KMU hat schon Securityteam, Netzwerkteam, Applicationteam, etc.? Ein verantwortungsvoller Admin oder Dienstleister mag ein ausreichendes Schutzniveau implementieren koennen, es ist mMn beim Hoster aber deutlich wahrscheinlicher als beim Allrounder.

VG,

Thomas
java667
java667 20.09.2016 um 08:53:59 Uhr
Goto Top
Hallo Zusammen,

ich bin auch der Meinung, dass man vermutlich mit drei Hosted Exchange Postfächern günstiger und sicherer ist. Einen Exchange für drei Arbeitsplätze zu betreiben, kann sicher in bestimmten Konstellationen richtig sein. Aber dann sollte dieser von einem Fachmann installiert und betrieben werden.

Gruss,
Java667
Looser27
Looser27 20.09.2016 um 10:27:10 Uhr
Goto Top
Findest du? Gut, kann sein, dass Gateprotect weniger Features hat und deswegen einfacher ist - oder aus welchem Aspekt betrachtest du es?

Die Features sind mit Sicherheit annähernd identisch, doch gibt es für die gateprotect eine schicke eGUI, die es auch dem ambitionierten Laien möglich macht, mit ein paar Bausteinen sein Netz abzubilden und die Regeln zu erstellen.

Die Oberfläche der Sophos sagt mir persönlich nicht so zu.

Privat setze ich dagegen eine pfSense ein....aber zuhause ist probieren und spielen eben auch erlaubt face-wink

Gruß

Looser
certifiedit.net
certifiedit.net 20.09.2016 aktualisiert um 11:02:40 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @certifiedit.net:

das ist doch die typische Dienstleisterbrille. Das in der Hosted Exchange Umgebung eines professionellen Anbieters zu erwartende Datenschutzniveau duerfte um einiges hoeher sein als in einer Homebrew Umgebung. Das geht bei der Dokumentation der Umgebung los und endet bei regelmaessigen Securityaudits, kann man fuer drei Clients gar nicht sinnvoll leisten.

VG,

Thomas

Ich komm nun nicht damit, dass das die typische BWLer Brille ist. face-wink

Es gibt genug Meldungen und Szenarien, in denen sich in den letzten Jahren gezeigt hat, dass die "großen Player" mit Spezialteams bis hinunter auf die Linksklickebene nur auf dem Papier alles toll aussah. Weiterhin kommt es dabei auch immer noch drauf an, was die Firma macht und wie das Sicherheitsniveau der Firma und der Konkurrenz ist.

Also kann man sagen, dass ist die typische "man könnte es auch ordentlich machen" Brille.
Th0mKa
Th0mKa 20.09.2016 um 12:23:59 Uhr
Goto Top
Zitat von @certifiedit.net:

Es gibt genug Meldungen und Szenarien, in denen sich in den letzten Jahren gezeigt hat, dass die "großen Player" mit Spezialteams bis hinunter auf die Linksklickebene nur auf dem Papier alles toll aussah. Weiterhin kommt es dabei auch immer noch drauf an, was die Firma macht und wie das Sicherheitsniveau der Firma und der Konkurrenz ist.

Ja, es gibt immer schwarze Schafe und es ist immer eine Betrachtung des Einzelfalls. Aber wenn hier jemand so reinkommt wie der TE dann ist nicht davon auszugehen das dort besonders viel IT Know-How und/oder Sicherheitsbeduerfnis dahinter steckt.
Und auch wenn das fuer dich natuerlich immer ein potentieller Kunde ist sollte man doch so fair sein und auch Dienstleistungen gelten lassen die andere verkaufen.

VG,

Thomas
certifiedit.net
certifiedit.net 20.09.2016 um 12:27:55 Uhr
Goto Top
Pardon, anders herum gefragt: Verkaufst du Hosted Exchange Lösungen?
Th0mKa
Th0mKa 20.09.2016 um 15:15:31 Uhr
Goto Top
Zitat von @certifiedit.net:

Pardon, anders herum gefragt: Verkaufst du Hosted Exchange Lösungen?

Nein, ich nutze sie und bin sehr zufrieden damit.
Muesliriegel
Muesliriegel 20.09.2016 um 16:17:42 Uhr
Goto Top
Wir haben vor einigen Monaten eine kleine Bücherei mit vier "normalen" Mitarbeiter-PCs und acht weiteren PCs (Gäste, Kasse etc, jeweils ohne E-Mail-Nutzung) von SBS 2011 auf Standard-Windows-Server + vier Hosted Exchange-Konten umgestellt. Sind sehr zufrieden damit. Nutzen den Service von Hosteurope. Deren Spamfilter ist besser als der bisher verwendete Spamfilter der NG-Firewall.

Aber ja: Es handelte sich da um eine Bücherei. Da fallen natürlich kaum personenbezogenen Daten bei den E-Mails an.
Dani
Dani 20.09.2016 um 21:22:44 Uhr
Goto Top
@certifiedit.net
Dani - es gibt immer noch Umgebungen, in denen Datenschutz eine besondere Anforderung ist.
Ich weiß, ich hab hier eine solche Umgebung. face-smile

Ist mir durch aus bewusst. Der Fragesteller kann jederzeit die Notwendigkeit einer On-Primise-Lösung (un)begründet als Pflicht anmerken. Ist ist aber erstmal nicht der Fall. Aus dem ursprünglichen Informationsgehalt der Frage wäge ich ab, dass die Hosted-Lösung sowohl im Unterhalt als auch Wartung günstiger ist. Dazu mussen man nicht mal den Bleistift spitzen.

Aber so vereinfachen zum Nachteil des/der DS ist wohl nicht zielführend?
DS?


Gruß,
Dani
certifiedit.net
certifiedit.net 20.09.2016 um 22:43:26 Uhr
Goto Top
Laut Ihm ist ein On-Premise Exchange Pflicht.

Rein aus dem Kosten Aspekt muss man da sicher nicht den Bleistift spitzen, bei der Abwägung sowohl des Datenschutzes als auch der Datensicherheit eben schon und das fehlt mir oft genug bei der "Cloud ist günstiger" Diskussion. Denn, auch wenn es ein deutsches RZ ist, wer sagt denn, dass entsprechende Daten nicht hier abgezogen werden, ganz analog zu der Vibrator Diskussion in den Staaten (dort nach Kanada) - falls du es mit bekommen hast.

VG,

Christian
Dani
Dani 20.09.2016 aktualisiert um 23:37:32 Uhr
Goto Top
, bei der Abwägung sowohl des Datenschutzes als auch der Datensicherheit eben schon und das fehlt mir oft genug bei der "Cloud ist günstiger" Diskussion. Denn, auch wenn es ein deutsches RZ ist, wer sagt denn, dass entsprechende Daten nicht hier abgezogen werden...
Wer überwacht im eigenen Netzwerk den Datenschutz bzw. Datensicherheit. Der Admin selber? Wer härtet seinen IIS nach einer Installation von Exchange oder anderen Webdiensten? Wer schaut regelmäßig Ereignisanzeige zw. Dienstbezogene Logfiles nach evtl. Unregelmäßigkeiten durch?
Bei den meisten Penetrationstests bei KMUs stellte sich heraus, dass zwar die Haustüre abgeschlossen ist, aber der Schlüssel steckt. Ich habe schon ganze IT-Abteilungen (6-30 Mann) rödeln sehen, als der Tester nicht durch die Haustür sondern zum Küchenfenster eingestiegen ist.

ganz analog zu der Vibrator Diskussion in den Staaten (dort nach Kanada) - falls du es mit bekommen hast.
Das habe ich versäumt... ich war die letzten Tage viel unterwegs. Aber ich werde deine Bedenken weitergeben. Mal schauen, was meine bessere Hälfte dazu meint. Die Antwort kenne ich schon... face-smile

Aber lassen wir den Fragesteller nun auch mal zu Wort kommen...


Gruß,
Dani
certifiedit.net
certifiedit.net 20.09.2016 um 23:54:57 Uhr
Goto Top
Na, wenn du Sie fernsteuerst, weiß nun vermutlich ein Kanadier (natürlich hochanonymisiert) wie und auf welche Weise. Ich denke, du merkst, in welche Richtung das läuft?

Da ist aber die Frage, wie passiert das beim Hoster und, ist das "Küchenfenster" dann nicht der HiWi Admin, um die Kosten dort zu senken? Unpersönlich und wenig Couragiert?
Außerdem - ist es bei einem Hosted Exchange nicht auch so, dass man sich trotzdem um das interne Netz kümmern muss? Da ist es keine Tür, kein Küchenfenster, sondern ein Amazonas (weil der Datenstrom mäanderartig zu den einzelnen Clientpcs streut). Also kann man hier die Problematik nur durch den Einsatz von entsprechendem Mitteleinsatz beheben. Der den Kosten/Nutzenfaktor bereits relativiert.

Dazu kommen noch die Probleme, dass man im fremden RZ (vermutlich in größeren Firmen in eigenen noch mehr) selbst nie genau weiss, wer denn jetzt darf und wer nicht oder - wer tut. Siehe HiWi, siehe div. GAUs und siehe die Rekrutierungsstrategie div. Firmen.
Stichwort: Hochsicherheitstür wird wegen Luftstrom offen gehalten. Da gibt es ein paar ganz interessante Spieltheoretische Ansätze, die gerade in größeren Szenarien eher greifen als in kleinen.

Last but not Least muss man dann noch anführen - ich greife lieber eine große Firma an, in der ich
a) im Grundrauschen untergeh und
b) mehr Return zu erwarten hab, als ne kleine klitsche, die im Zweifelsfall Ihr Know How besser beschützt als die großen und schneller jemand zur Stelle ist.

Wenn eine IT-Abteilung 6-30 Mann ins Rödeln kommt - ab wann geschieht das nicht mehr und wie groß ist die IT-Abteilung eines Hosters dann um nicht ins Rödeln zu kommen - oder ist dies nicht eher eine qualitative und keine quantitive Frage (Hier wieder, treibt den Kostenfaktor)? Wir wissen alle, wie die "Audits" ablaufen.

Freue mich auf deine kritische Antwort.

Schöne Gute Nacht,

Christian