8
Wieviele einzelne Geräte für externe Sicherheit (Internetzugriff)
Hallo zusammen.
Ich hoffe, dass die Kategorie Sicherheit/Allgemein richtig gewählt wurde, denn meine Frage passt in mehrere Bereiche.
Ich habe hier im Forum schon lesen können, dass es für die Sicherheit gegen externen Zugriff am Besten ist, dass die Firewall als erstes, einzelnes Gerät direkt hinter das Modem kommen sollte.
Des weiteren braucht man für VPN Zugriff mit mehreren Geräten auch ein performates Gerät (z.B. Fritzbox leistet das nicht und auch Synology NAS je nach Ausstattung nur bedingt).
Ich möchte aber, auch aus Gründen des Stromverbrauchs, nicht x Geräte betreiben müssen bzw. die Geräte evtl. zu fett auslegen.
Daher zielt meine Frage in die Richtung: Was könnte man in einem Gerät zusammenfassen und was sollte auf jeden Fall ein Einzelgerät werden und wie performant müssen die Geräte sein.
Aktuell betreiben wir die Fritzbox ganz normal als Router + DECT Telefonie (was auch mehr recht als schlecht funktioniert seit der 7590) und dahinter dann die einzelnen PCs + eine Diskstation als NAS + AD/DNS + VPN (für gelegentliche Verbindungen).
Zukünftig wollen wir versärkt auf die VPN Verbindungen setzen.
Dazu soll mehr auf RDS und (Terminal-)server gesetzt werden um lokal und via VPN die gleiche Arbeitsumgebung zu schaffen ohne das jeder Rechner konstant laufen muss bzw. per WOL aufgeweckt werden muss.
Auch haben wir halt festgestellt, dass die eingesetzten Rechner mit ihren bis zu 16 Kernen eh die meiste Zeit sich nur langweilen und wir die Leistung nur punktuell benötigen. Daher der Gedanke eines performanten Servers, der die Leistung bereitstellt, wenn sie denn gebraucht wird.
Dazu muss unser gesamtes Netz auch besser von außen abgesichert sein.
Also wird wird es auf das Setup:
Modem
Firewall
DNS-Server (a la pi-Hole)
VPN-Server
(Terminal-)server
herauslaufen.
Was davon könnte man hier zusammenfassen?
Die Firewall muss sicherlich einzeln sein, damit bei einem Angriff nicht das ganze System lahm gelegt wird.
Ich hoffe ihr könnt mir folgen und mir ein paar Tipps geben.
Gruß
Ich hoffe, dass die Kategorie Sicherheit/Allgemein richtig gewählt wurde, denn meine Frage passt in mehrere Bereiche.
Ich habe hier im Forum schon lesen können, dass es für die Sicherheit gegen externen Zugriff am Besten ist, dass die Firewall als erstes, einzelnes Gerät direkt hinter das Modem kommen sollte.
Des weiteren braucht man für VPN Zugriff mit mehreren Geräten auch ein performates Gerät (z.B. Fritzbox leistet das nicht und auch Synology NAS je nach Ausstattung nur bedingt).
Ich möchte aber, auch aus Gründen des Stromverbrauchs, nicht x Geräte betreiben müssen bzw. die Geräte evtl. zu fett auslegen.
Daher zielt meine Frage in die Richtung: Was könnte man in einem Gerät zusammenfassen und was sollte auf jeden Fall ein Einzelgerät werden und wie performant müssen die Geräte sein.
Aktuell betreiben wir die Fritzbox ganz normal als Router + DECT Telefonie (was auch mehr recht als schlecht funktioniert seit der 7590) und dahinter dann die einzelnen PCs + eine Diskstation als NAS + AD/DNS + VPN (für gelegentliche Verbindungen).
Zukünftig wollen wir versärkt auf die VPN Verbindungen setzen.
Dazu soll mehr auf RDS und (Terminal-)server gesetzt werden um lokal und via VPN die gleiche Arbeitsumgebung zu schaffen ohne das jeder Rechner konstant laufen muss bzw. per WOL aufgeweckt werden muss.
Auch haben wir halt festgestellt, dass die eingesetzten Rechner mit ihren bis zu 16 Kernen eh die meiste Zeit sich nur langweilen und wir die Leistung nur punktuell benötigen. Daher der Gedanke eines performanten Servers, der die Leistung bereitstellt, wenn sie denn gebraucht wird.
Dazu muss unser gesamtes Netz auch besser von außen abgesichert sein.
Also wird wird es auf das Setup:
Modem
Firewall
DNS-Server (a la pi-Hole)
VPN-Server
(Terminal-)server
herauslaufen.
Was davon könnte man hier zusammenfassen?
Die Firewall muss sicherlich einzeln sein, damit bei einem Angriff nicht das ganze System lahm gelegt wird.
Ich hoffe ihr könnt mir folgen und mir ein paar Tipps geben.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666330
Url: https://administrator.de/contentid/666330
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo Ghent74,
nicht falsch verstehen aber laut deinem Profil bist du nur Endbenutzer und kein Administrator. Wieso musst du dich mit so etwas rumschlagen und nicht jemand der sich damit auskennt? Deine Ansätze sind schon gut und richtig, aber da gibt es eine ganze Menge was es zu beachten gibt und um dir wirklich helfen zu können fehlen einfach genug Infos über deine jetzigen Server, System und Software. Ich würde mir an deiner Stelle zwei bis drei Systemhäuser vorbeikommen lassen, die dich vor Ort beraten und das ggf. umsetzen.
Kurz gesagt (meine Meinung):
- ja Fritzbox durch eine anständige Firewall tauschen
- anständigen Switch dahinter
- Server virtualisieren (Lizenzproblematik, Backup, etc.)
- DC keine weiteren Rollen außer DC geben
- Nas als einer von mehreren Backupstores ok, als Fileserver ungeeignet.
- Clients dann als RDP-Client nur noch verwenden
Gruß
Doskias
nicht falsch verstehen aber laut deinem Profil bist du nur Endbenutzer und kein Administrator. Wieso musst du dich mit so etwas rumschlagen und nicht jemand der sich damit auskennt? Deine Ansätze sind schon gut und richtig, aber da gibt es eine ganze Menge was es zu beachten gibt und um dir wirklich helfen zu können fehlen einfach genug Infos über deine jetzigen Server, System und Software. Ich würde mir an deiner Stelle zwei bis drei Systemhäuser vorbeikommen lassen, die dich vor Ort beraten und das ggf. umsetzen.
Kurz gesagt (meine Meinung):
- ja Fritzbox durch eine anständige Firewall tauschen
- anständigen Switch dahinter
- Server virtualisieren (Lizenzproblematik, Backup, etc.)
- DC keine weiteren Rollen außer DC geben
- Nas als einer von mehreren Backupstores ok, als Fileserver ungeeignet.
- Clients dann als RDP-Client nur noch verwenden
Gruß
Doskias
Hallo,
das hört sich danach an als wenn das kein Haushaltsübliches Netzwerk ist sondern ein wachsende Firma.
Abhängig von der Branche und den Sicherheitsanforderungen sollte man dann von Fritzbox weg zu einem Gerät aus dem Professionellen Umfeld wechseln.
Zugriff per VPN soll für die Homeoffice Anforderungen sein? Also zum kontinuierlichen Arbeiten? Oder nur für Gelegentliche Zugriffe?
Beim Zusammenfassen geht es ja auch um die Anzahl der Nutzer. Da benötigst du dann andere Hardware
Ist ja die Frage ob 10; 50 oder 500 Leute per VPN was machen sollten
brammer
das hört sich danach an als wenn das kein Haushaltsübliches Netzwerk ist sondern ein wachsende Firma.
Abhängig von der Branche und den Sicherheitsanforderungen sollte man dann von Fritzbox weg zu einem Gerät aus dem Professionellen Umfeld wechseln.
Zugriff per VPN soll für die Homeoffice Anforderungen sein? Also zum kontinuierlichen Arbeiten? Oder nur für Gelegentliche Zugriffe?
Beim Zusammenfassen geht es ja auch um die Anzahl der Nutzer. Da benötigst du dann andere Hardware
Ist ja die Frage ob 10; 50 oder 500 Leute per VPN was machen sollten
brammer
Ein VPN Server gehört niemals in ein internes Netzwerk sondern immer in die Peripherie (Router, Firewall).
Hallo.
Naja, extremes Wachstum glaube ich nicht.
Ist ein technisches Büro, da skaliert man nicht so schnell (allein weil die Fachkräfte mangeln).
Ich würde daher sagen:
Remotezugriff gesamt: 10 Personen
Davon VPN gleichzeitig: 5 Personen (perspektivisch alle)
Fritzbox:
Wie gesagt, es spricht nichts gegen ein anderes Modem, im Gegenteil.
Wichtig ist nur, dass die DECT Geräte irgendwie weiter funktionieren bzw. man Geräte (Mobilteile) hat, die anderweitig das Telefon gewährleisten.
Telekomanschluss DSL 100/50
Naja, extremes Wachstum glaube ich nicht.
Ist ein technisches Büro, da skaliert man nicht so schnell (allein weil die Fachkräfte mangeln).
Ich würde daher sagen:
Remotezugriff gesamt: 10 Personen
Davon VPN gleichzeitig: 5 Personen (perspektivisch alle)
Fritzbox:
Wie gesagt, es spricht nichts gegen ein anderes Modem, im Gegenteil.
Wichtig ist nur, dass die DECT Geräte irgendwie weiter funktionieren bzw. man Geräte (Mobilteile) hat, die anderweitig das Telefon gewährleisten.
Telekomanschluss DSL 100/50
Zitat von @aqui:
Ein VPN Server gehört niemals in ein internes Netzwerk sondern immer in die Peripherie (Router, Firewall).
Ein VPN Server gehört niemals in ein internes Netzwerk sondern immer in die Peripherie (Router, Firewall).
Also ein Modem + ein Gerät was Firewall/VPN/Router bereitstellt oder Router nochmals gesondert, weil bei Angriff sonst evtl. auch das Netzwerk ausfällt?
Das kommt drauf an ob Router/Firewall ein integriertes Modem haben oder nicht. Aber wenns ein Breitband Gerät ohne integriertes Modem dann ist die Kombination richtig.
Ein Cisco 926 oder 1112 Router z.B. hat ein integriertes xDSL Modem plus VPN Server plus SPI Firewall alles in einem Gerät, da brauchst du dann nur eine Box. Siehe hier. Bei Lancom, Bintec und den anderen üblichen Verdächtigen ist das ähnlich.
Bei einer pfSense Firewall oder einem reinen Ethernet Breitband Router z.B. hat diese nur Ethernet Ports und da brauchst du dann immer noch ein NUR Modem wie Vigor 165 oder Zyxel VMG3006 dazu. Hat aber den Vorteil das man unabhängig von der jeweiligen WAN Infrastruktur, Kabel-TV, Glasfaser, xDSL ist.
Eine VPN Server im internen netz zu platzieren scheidet immer aus da du so ja ungeschützten VPN Traffic ins interne Netz lassen muss. Ein sicherheitstechnischer GAU bzw. ein NoGo. Wenn man überhaupt sowas macht dann immer in eine richtige DMZ. Wobei hier keine "Exposed Host" DMZ gemeint ist sondern ein komplett abgetrenntes und gesichertes IP Segment.
Ein Cisco 926 oder 1112 Router z.B. hat ein integriertes xDSL Modem plus VPN Server plus SPI Firewall alles in einem Gerät, da brauchst du dann nur eine Box. Siehe hier. Bei Lancom, Bintec und den anderen üblichen Verdächtigen ist das ähnlich.
Bei einer pfSense Firewall oder einem reinen Ethernet Breitband Router z.B. hat diese nur Ethernet Ports und da brauchst du dann immer noch ein NUR Modem wie Vigor 165 oder Zyxel VMG3006 dazu. Hat aber den Vorteil das man unabhängig von der jeweiligen WAN Infrastruktur, Kabel-TV, Glasfaser, xDSL ist.
Eine VPN Server im internen netz zu platzieren scheidet immer aus da du so ja ungeschützten VPN Traffic ins interne Netz lassen muss. Ein sicherheitstechnischer GAU bzw. ein NoGo. Wenn man überhaupt sowas macht dann immer in eine richtige DMZ. Wobei hier keine "Exposed Host" DMZ gemeint ist sondern ein komplett abgetrenntes und gesichertes IP Segment.
Moin Moin,
Der Kaffee wirkt noch nicht richtig, aber Ich denke manche werden sich die Fragen auch stellen.
Ich hatte das Thema auch schon, in der Ausbildung vor 20 Jahren.
Seit Server 2k hat sich ein wenig geändert
Das Prinzip was du angedeutet hast ist ja das Ich einen VPN Tunnel habe der vor meiner Firewall ankommt.
Ich werde durch den Wald mit verfressenen Ungeheuern und anderem Schadzeug (das Internet) getunnelt und stehe dann vor dem Burggraben.
(Ich habe eine Schwäche für Allegorie'n )
Klar, jetzt muß Ich anklopfen, mich Authentifzieren mit Name und Passwort, und komme rein.
Nur, mit was für einem Service?
Eine AD Anmeldung ließe mich verwundern, aber wie gesagt, mein Kenntnisstand ist zu alt und zu schwach.
Denn das Ziel nach einer erfolgreichen Authentifizierung,
die man ja natürlich auch noch etwas sichern kann mit Zertifikaten zB. (Radius würde Ich mir in einem solchen Fall auch anschauen),
ist die "komplette" Nutzung des Ziels.
Mit VM´s ist dies meines erachtens nach einfacher, da muss man nur einen Software Client auf seiner entfernten Maschine haben der hierdurch zugreifen kann und arbeiten kann.
Ich habe in der Praxis schon so etwas als Anwender (!) mit VM ThinClients, Citrix, Igel gemacht.
Ein anderer Fall wäre die Nutzung von Outlook z.B. durch solche Tunnel.
Und ob man jetzt z.B. mit RDP als einer von vielen auf einem TS Server oder jeder in einer eigenen Umgebung arbeitet hat vieles viele Vor und Nachteile.
Denke Ich hier nicht Zielführend.
Aber wie mache Ich die Anmeldung?
Den Aufbau einer solchen Umgebung würde Ich prinzipiell so machen:
Eingang mit Firewall, (Ob 1 oder 2 Geräte ist für mich die Frage nach lokalem Szenario und was bekomme Ich wie günstig. --> Mit Glasfaser / DSL / Koax / LTE ist der eine Punkt. Bekomme Ich kombinierte Geräte, die "Ich" beherrschen kann, billiger? )
Dahinter der VPN Punkt.
Und dann die Domäne die abgesichert wurde.
Davor vielleicht noch eine FW?
Aber hier ist wieder der Punkt der mich stark zweifeln läßt in punkto Sicherheit.
Eine normale Authentifizierung?
Wie man sie bei SMB v2 ja auch macht?
Wie gesagt, Radius würde Ich in jedem Fall dazu ziehen als Absicherung wenn Ich so etwas nutze.
Und ein "mitschneiden" von Daten sollte zwischen Ausgang VPN und Eingang Domäne theoretisch nicht klappen.
Ich würde hier auch nicht mit DHCP und DNS arbeiten sondern alles fest fest zurren mit manueller Eingabe IP.
Und Doku sollte dort etwas ausfallen
Aber Zweifel habe Ich trotzdem noch, bei einer "normalen" Anmeldung wie sie auch INNERHALB der Domäne gemacht wird, mal abgesehen davon das Ich die Firewall überprüfen lassen würde ob die wirklich dicht ist wenn alles klappt.
Würde meinem Bauchgefühl besser tun und meinem Chef / Kunden gegenüber hätte Ich dann auch einen Nachweis
Klar, nichts ist unüberwindbar. Man kann nur die Zäune so bauen das nicht jeder Judgendliche Anlauf nimmt und mit aufgehaltenen Händen eines Zweiten über den Zaun springen kann.
Aber momentan werden Angriffe gefühlt häufiger auch gegenüber "kleineren", weniger einträglichen, gemacht.
Meine Gedanken
Der Kaffee wirkt noch nicht richtig, aber Ich denke manche werden sich die Fragen auch stellen.
Ich hatte das Thema auch schon, in der Ausbildung vor 20 Jahren.
Seit Server 2k hat sich ein wenig geändert
Das Prinzip was du angedeutet hast ist ja das Ich einen VPN Tunnel habe der vor meiner Firewall ankommt.
Ich werde durch den Wald mit verfressenen Ungeheuern und anderem Schadzeug (das Internet) getunnelt und stehe dann vor dem Burggraben.
(Ich habe eine Schwäche für Allegorie'n
)Klar, jetzt muß Ich anklopfen, mich Authentifzieren mit Name und Passwort, und komme rein.
Nur, mit was für einem Service?
Eine AD Anmeldung ließe mich verwundern, aber wie gesagt, mein Kenntnisstand ist zu alt und zu schwach.
Denn das Ziel nach einer erfolgreichen Authentifizierung,
die man ja natürlich auch noch etwas sichern kann mit Zertifikaten zB. (Radius würde Ich mir in einem solchen Fall auch anschauen),
ist die "komplette" Nutzung des Ziels.
Mit VM´s ist dies meines erachtens nach einfacher, da muss man nur einen Software Client auf seiner entfernten Maschine haben der hierdurch zugreifen kann und arbeiten kann.
Ich habe in der Praxis schon so etwas als Anwender (!) mit VM ThinClients, Citrix, Igel gemacht.
Ein anderer Fall wäre die Nutzung von Outlook z.B. durch solche Tunnel.
Und ob man jetzt z.B. mit RDP als einer von vielen auf einem TS Server oder jeder in einer eigenen Umgebung arbeitet hat vieles viele Vor und Nachteile.
Denke Ich hier nicht Zielführend.
Aber wie mache Ich die Anmeldung?
Den Aufbau einer solchen Umgebung würde Ich prinzipiell so machen:
Eingang mit Firewall, (Ob 1 oder 2 Geräte ist für mich die Frage nach lokalem Szenario und was bekomme Ich wie günstig. --> Mit Glasfaser / DSL / Koax / LTE ist der eine Punkt. Bekomme Ich kombinierte Geräte, die "Ich" beherrschen kann, billiger? )
Dahinter der VPN Punkt.
Und dann die Domäne die abgesichert wurde.
Davor vielleicht noch eine FW?
Aber hier ist wieder der Punkt der mich stark zweifeln läßt in punkto Sicherheit.
Eine normale Authentifizierung?
Wie man sie bei SMB v2 ja auch macht?
Wie gesagt, Radius würde Ich in jedem Fall dazu ziehen als Absicherung wenn Ich so etwas nutze.
Und ein "mitschneiden" von Daten sollte zwischen Ausgang VPN und Eingang Domäne theoretisch nicht klappen.
Ich würde hier auch nicht mit DHCP und DNS arbeiten sondern alles fest fest zurren mit manueller Eingabe IP.
Und Doku sollte dort etwas ausfallen
Aber Zweifel habe Ich trotzdem noch, bei einer "normalen" Anmeldung wie sie auch INNERHALB der Domäne gemacht wird, mal abgesehen davon das Ich die Firewall überprüfen lassen würde ob die wirklich dicht ist wenn alles klappt.
Würde meinem Bauchgefühl besser tun und meinem Chef / Kunden gegenüber hätte Ich dann auch einen Nachweis
Klar, nichts ist unüberwindbar. Man kann nur die Zäune so bauen das nicht jeder Judgendliche Anlauf nimmt und mit aufgehaltenen Händen eines Zweiten über den Zaun springen kann.
Aber momentan werden Angriffe gefühlt häufiger auch gegenüber "kleineren", weniger einträglichen, gemacht.
Meine Gedanken
Hi,
auch wenn ich das Thema arbeitsbedingt etwas ruhen lassen musste ist es nicht tot. ;)
Ich hab mir jetzt mal den LANCOM 1926VAG angeschaut.
Wäre das was?
Zu klein oder zu overpowered? (eher letzteres)
Der hätte ein VDSL eingebaut,
kann VPN,
Firewall,
IP-Telefon,
und wohl sogar rudimentär WAF.
Web Application Firewall wäre nämlich auch interessant, da wir zwar Internet für diverse Herstellerseiten benötigen, wir jedoch nicht alles freigeben wollen. Am besten dann noch user-, bzw. gruppenabhängig steuerbar. Aktuell regeln wir das per GPO über den Browser. Benutzerfreundlich ist es jedoch nicht.
auch wenn ich das Thema arbeitsbedingt etwas ruhen lassen musste ist es nicht tot. ;)
Ich hab mir jetzt mal den LANCOM 1926VAG angeschaut.
Wäre das was?
Zu klein oder zu overpowered? (eher letzteres)
Der hätte ein VDSL eingebaut,
kann VPN,
Firewall,
IP-Telefon,
und wohl sogar rudimentär WAF.
Web Application Firewall wäre nämlich auch interessant, da wir zwar Internet für diverse Herstellerseiten benötigen, wir jedoch nicht alles freigeben wollen. Am besten dann noch user-, bzw. gruppenabhängig steuerbar. Aktuell regeln wir das per GPO über den Browser. Benutzerfreundlich ist es jedoch nicht.
