Wieviele einzelne Geräte für externe Sicherheit (Internetzugriff)

Mitglied: Ghent74

Ghent74 (Level 1) - Jetzt verbinden

03.05.2021 um 11:54 Uhr, 680 Aufrufe, 7 Kommentare

Hallo zusammen.

Ich hoffe, dass die Kategorie Sicherheit/Allgemein richtig gewählt wurde, denn meine Frage passt in mehrere Bereiche.

Ich habe hier im Forum schon lesen können, dass es für die Sicherheit gegen externen Zugriff am Besten ist, dass die Firewall als erstes, einzelnes Gerät direkt hinter das Modem kommen sollte.
Des weiteren braucht man für VPN Zugriff mit mehreren Geräten auch ein performates Gerät (z.B. Fritzbox leistet das nicht und auch Synology NAS je nach Ausstattung nur bedingt).
Ich möchte aber, auch aus Gründen des Stromverbrauchs, nicht x Geräte betreiben müssen bzw. die Geräte evtl. zu fett auslegen.
Daher zielt meine Frage in die Richtung: Was könnte man in einem Gerät zusammenfassen und was sollte auf jeden Fall ein Einzelgerät werden und wie performant müssen die Geräte sein.

Aktuell betreiben wir die Fritzbox ganz normal als Router + DECT Telefonie (was auch mehr recht als schlecht funktioniert seit der 7590) und dahinter dann die einzelnen PCs + eine Diskstation als NAS + AD/DNS + VPN (für gelegentliche Verbindungen).

Zukünftig wollen wir versärkt auf die VPN Verbindungen setzen.
Dazu soll mehr auf RDS und (Terminal-)server gesetzt werden um lokal und via VPN die gleiche Arbeitsumgebung zu schaffen ohne das jeder Rechner konstant laufen muss bzw. per WOL aufgeweckt werden muss.
Auch haben wir halt festgestellt, dass die eingesetzten Rechner mit ihren bis zu 16 Kernen eh die meiste Zeit sich nur langweilen und wir die Leistung nur punktuell benötigen. Daher der Gedanke eines performanten Servers, der die Leistung bereitstellt, wenn sie denn gebraucht wird.
Dazu muss unser gesamtes Netz auch besser von außen abgesichert sein.

Also wird wird es auf das Setup:
Modem
Firewall
DNS-Server (a la pi-Hole)
VPN-Server
(Terminal-)server
herauslaufen.

Was davon könnte man hier zusammenfassen?
Die Firewall muss sicherlich einzeln sein, damit bei einem Angriff nicht das ganze System lahm gelegt wird.

Ich hoffe ihr könnt mir folgen und mir ein paar Tipps geben.

Gruß
Mitglied: Doskias
03.05.2021 um 12:43 Uhr
Hallo Ghent74,

nicht falsch verstehen aber laut deinem Profil bist du nur Endbenutzer und kein Administrator. Wieso musst du dich mit so etwas rumschlagen und nicht jemand der sich damit auskennt? Deine Ansätze sind schon gut und richtig, aber da gibt es eine ganze Menge was es zu beachten gibt und um dir wirklich helfen zu können fehlen einfach genug Infos über deine jetzigen Server, System und Software. Ich würde mir an deiner Stelle zwei bis drei Systemhäuser vorbeikommen lassen, die dich vor Ort beraten und das ggf. umsetzen.

Kurz gesagt (meine Meinung):
- ja Fritzbox durch eine anständige Firewall tauschen
- anständigen Switch dahinter
- Server virtualisieren (Lizenzproblematik, Backup, etc.)
- DC keine weiteren Rollen außer DC geben
- Nas als einer von mehreren Backupstores ok, als Fileserver ungeeignet.
- Clients dann als RDP-Client nur noch verwenden

Gruß
Doskias
Bitte warten ..
Mitglied: brammer
03.05.2021 um 13:12 Uhr
Hallo,

das hört sich danach an als wenn das kein Haushaltsübliches Netzwerk ist sondern ein wachsende Firma.
Abhängig von der Branche und den Sicherheitsanforderungen sollte man dann von Fritzbox weg zu einem Gerät aus dem Professionellen Umfeld wechseln.
Zugriff per VPN soll für die Homeoffice Anforderungen sein? Also zum kontinuierlichen Arbeiten? Oder nur für Gelegentliche Zugriffe?

Beim Zusammenfassen geht es ja auch um die Anzahl der Nutzer. Da benötigst du dann andere Hardware
Ist ja die Frage ob 10; 50 oder 500 Leute per VPN was machen sollten

brammer
Bitte warten ..
Mitglied: aqui
03.05.2021 um 13:58 Uhr
Ein VPN Server gehört niemals in ein internes Netzwerk sondern immer in die Peripherie (Router, Firewall).
Bitte warten ..
Mitglied: Ghent74
03.05.2021 um 14:25 Uhr
Hallo.
Naja, extremes Wachstum glaube ich nicht.
Ist ein technisches Büro, da skaliert man nicht so schnell (allein weil die Fachkräfte mangeln).

Ich würde daher sagen:
Remotezugriff gesamt: 10 Personen
Davon VPN gleichzeitig: 5 Personen (perspektivisch alle)

Fritzbox:
Wie gesagt, es spricht nichts gegen ein anderes Modem, im Gegenteil.
Wichtig ist nur, dass die DECT Geräte irgendwie weiter funktionieren bzw. man Geräte (Mobilteile) hat, die anderweitig das Telefon gewährleisten.
Telekomanschluss DSL 100/50
Bitte warten ..
Mitglied: Ghent74
03.05.2021 um 14:26 Uhr
Zitat von @aqui:

Ein VPN Server gehört niemals in ein internes Netzwerk sondern immer in die Peripherie (Router, Firewall).

Also ein Modem + ein Gerät was Firewall/VPN/Router bereitstellt oder Router nochmals gesondert, weil bei Angriff sonst evtl. auch das Netzwerk ausfällt?
Bitte warten ..
Mitglied: aqui
03.05.2021, aktualisiert um 15:03 Uhr
Das kommt drauf an ob Router/Firewall ein integriertes Modem haben oder nicht. Aber wenns ein Breitband Gerät ohne integriertes Modem dann ist die Kombination richtig.
Ein Cisco 926 oder 1112 Router z.B. hat ein integriertes xDSL Modem plus VPN Server plus SPI Firewall alles in einem Gerät, da brauchst du dann nur eine Box. Siehe hier. Bei Lancom, Bintec und den anderen üblichen Verdächtigen ist das ähnlich.
Bei einer pfSense Firewall oder einem reinen Ethernet Breitband Router z.B. hat diese nur Ethernet Ports und da brauchst du dann immer noch ein NUR Modem wie Vigor 165 oder Zyxel VMG3006 dazu. Hat aber den Vorteil das man unabhängig von der jeweiligen WAN Infrastruktur, Kabel-TV, Glasfaser, xDSL ist.
Eine VPN Server im internen netz zu platzieren scheidet immer aus da du so ja ungeschützten VPN Traffic ins interne Netz lassen muss. Ein sicherheitstechnischer GAU bzw. ein NoGo. Wenn man überhaupt sowas macht dann immer in eine richtige DMZ. Wobei hier keine "Exposed Host" DMZ gemeint ist sondern ein komplett abgetrenntes und gesichertes IP Segment.
Bitte warten ..
Mitglied: TomTomBon
05.05.2021 um 09:38 Uhr
Moin Moin,
Der Kaffee wirkt noch nicht richtig, aber Ich denke manche werden sich die Fragen auch stellen.
Ich hatte das Thema auch schon, in der Ausbildung vor 20 Jahren.
Seit Server 2k hat sich ein wenig geändert ;-) face-wink

Das Prinzip was du angedeutet hast ist ja das Ich einen VPN Tunnel habe der vor meiner Firewall ankommt.
Ich werde durch den Wald mit verfressenen Ungeheuern und anderem Schadzeug (das Internet) getunnelt und stehe dann vor dem Burggraben.
(Ich habe eine Schwäche für Allegorie'n ;-) face-wink )
Klar, jetzt muß Ich anklopfen, mich Authentifzieren mit Name und Passwort, und komme rein.
Nur, mit was für einem Service?

Eine AD Anmeldung ließe mich verwundern, aber wie gesagt, mein Kenntnisstand ist zu alt und zu schwach.
Denn das Ziel nach einer erfolgreichen Authentifizierung,
die man ja natürlich auch noch etwas sichern kann mit Zertifikaten zB. (Radius würde Ich mir in einem solchen Fall auch anschauen),
ist die "komplette" Nutzung des Ziels.
Mit VM´s ist dies meines erachtens nach einfacher, da muss man nur einen Software Client auf seiner entfernten Maschine haben der hierdurch zugreifen kann und arbeiten kann.
Ich habe in der Praxis schon so etwas als Anwender (!) mit VM ThinClients, Citrix, Igel gemacht.
Ein anderer Fall wäre die Nutzung von Outlook z.B. durch solche Tunnel.
Und ob man jetzt z.B. mit RDP als einer von vielen auf einem TS Server oder jeder in einer eigenen Umgebung arbeitet hat vieles viele Vor und Nachteile.
Denke Ich hier nicht Zielführend.

Aber wie mache Ich die Anmeldung?

Den Aufbau einer solchen Umgebung würde Ich prinzipiell so machen:
Eingang mit Firewall, (Ob 1 oder 2 Geräte ist für mich die Frage nach lokalem Szenario und was bekomme Ich wie günstig. --> Mit Glasfaser / DSL / Koax / LTE ist der eine Punkt. Bekomme Ich kombinierte Geräte, die "Ich" beherrschen kann, billiger? )
Dahinter der VPN Punkt.
Und dann die Domäne die abgesichert wurde.
Davor vielleicht noch eine FW?

Aber hier ist wieder der Punkt der mich stark zweifeln läßt in punkto Sicherheit.
Eine normale Authentifizierung?
Wie man sie bei SMB v2 ja auch macht?
Wie gesagt, Radius würde Ich in jedem Fall dazu ziehen als Absicherung wenn Ich so etwas nutze.
Und ein "mitschneiden" von Daten sollte zwischen Ausgang VPN und Eingang Domäne theoretisch nicht klappen.
Ich würde hier auch nicht mit DHCP und DNS arbeiten sondern alles fest fest zurren mit manueller Eingabe IP.
Und Doku sollte dort etwas ausfallen ;-) face-wink

Aber Zweifel habe Ich trotzdem noch, bei einer "normalen" Anmeldung wie sie auch INNERHALB der Domäne gemacht wird, mal abgesehen davon das Ich die Firewall überprüfen lassen würde ob die wirklich dicht ist wenn alles klappt.
Würde meinem Bauchgefühl besser tun und meinem Chef / Kunden gegenüber hätte Ich dann auch einen Nachweis ;-) face-wink

Klar, nichts ist unüberwindbar. Man kann nur die Zäune so bauen das nicht jeder Judgendliche Anlauf nimmt und mit aufgehaltenen Händen eines Zweiten über den Zaun springen kann.
Aber momentan werden Angriffe gefühlt häufiger auch gegenüber "kleineren", weniger einträglichen, gemacht.

Meine Gedanken :-) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzen für Virtualisierungshost
TakworianVor 1 TagFrageWindows Server16 Kommentare

Hallo, ich werde demnächst einen HA-Cluster aus 3 x HP DL580 in Betrieb nehmen. Der Cluster wird unter Proxmox betrieben und es sollen diverse ...

Router & Routing
Suche Tipps für Selfmade-Load-Balancing-Router auf HP MicroServer Gen10+
gelöst MagicChris86Vor 1 TagFrageRouter & Routing7 Kommentare

Hi Leute, ich habe einen HP MicroServer Gen10+ Performance übrig, der bei einer Kundin rausgeflogen ist, weil sie mehr Power brauchte für Desktopvirtualisierung für ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 11 StundenAllgemeinNetzwerke11 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Windows 7
Win7 64bit - ssd - Dateien verschwinden
rellixVor 1 TagFrageWindows 77 Kommentare

Grüße in die Runde, ich hab nach 20+ Jahren IT Erfahrung viel gesehen und schreibe hier meist erst, wenn ich keine Idee mehr habe ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 20 StundenFrageWebentwicklung3 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Netzwerke
Sporadisch, temporäre nicht erreichbare IPs
BlueBookVor 1 TagFrageNetzwerke7 Kommentare

Hallo zusammen, ich habe ein Problem seit mehreren Monaten schon mit meinem Netzwerk. Ich hoffe jemand hat eine Idee oder einen Tipp. Hin und ...

Router & Routing
Routing Verständnisfrage
gelöst GrueneSosseMitSpeckVor 1 TagFrageRouter & Routing6 Kommentare

Moin, ich steh gerade etwas auf dem Schlauch. Ich habe im Wesentlichen zwei Netze: 1.) 192.168.0.0 / 24 Das ist das Netz hinter meinem ...

Netzwerkgrundlagen
Aufgabe - Subnetting
gelöst cornflakes01Vor 1 TagFrageNetzwerkgrundlagen5 Kommentare

Hi, bin zufällig auf diese Seite gestoßen und habe eine Frage bezüglich Subnetting. Wir haben kurz vor unserer Abiturprüfung eine Aufgabenstellung im Unterricht behandelt, ...