Wieviele einzelne Geräte für externe Sicherheit (Internetzugriff)

Mitglied: Ghent74

Ghent74 (Level 1) - Jetzt verbinden

May 03, 2021 um 11:54 Uhr, 728 Aufrufe, 7 Kommentare

Hallo zusammen.

Ich hoffe, dass die Kategorie Sicherheit/Allgemein richtig gewählt wurde, denn meine Frage passt in mehrere Bereiche.

Ich habe hier im Forum schon lesen können, dass es für die Sicherheit gegen externen Zugriff am Besten ist, dass die Firewall als erstes, einzelnes Gerät direkt hinter das Modem kommen sollte.
Des weiteren braucht man für VPN Zugriff mit mehreren Geräten auch ein performates Gerät (z.B. Fritzbox leistet das nicht und auch Synology NAS je nach Ausstattung nur bedingt).
Ich möchte aber, auch aus Gründen des Stromverbrauchs, nicht x Geräte betreiben müssen bzw. die Geräte evtl. zu fett auslegen.
Daher zielt meine Frage in die Richtung: Was könnte man in einem Gerät zusammenfassen und was sollte auf jeden Fall ein Einzelgerät werden und wie performant müssen die Geräte sein.

Aktuell betreiben wir die Fritzbox ganz normal als Router + DECT Telefonie (was auch mehr recht als schlecht funktioniert seit der 7590) und dahinter dann die einzelnen PCs + eine Diskstation als NAS + AD/DNS + VPN (für gelegentliche Verbindungen).

Zukünftig wollen wir versärkt auf die VPN Verbindungen setzen.
Dazu soll mehr auf RDS und (Terminal-)server gesetzt werden um lokal und via VPN die gleiche Arbeitsumgebung zu schaffen ohne das jeder Rechner konstant laufen muss bzw. per WOL aufgeweckt werden muss.
Auch haben wir halt festgestellt, dass die eingesetzten Rechner mit ihren bis zu 16 Kernen eh die meiste Zeit sich nur langweilen und wir die Leistung nur punktuell benötigen. Daher der Gedanke eines performanten Servers, der die Leistung bereitstellt, wenn sie denn gebraucht wird.
Dazu muss unser gesamtes Netz auch besser von außen abgesichert sein.

Also wird wird es auf das Setup:
Modem
Firewall
DNS-Server (a la pi-Hole)
VPN-Server
(Terminal-)server
herauslaufen.

Was davon könnte man hier zusammenfassen?
Die Firewall muss sicherlich einzeln sein, damit bei einem Angriff nicht das ganze System lahm gelegt wird.

Ich hoffe ihr könnt mir folgen und mir ein paar Tipps geben.

Gruß
Mitglied: Doskias
May 03, 2021 um 12:43 Uhr
Hallo Ghent74,

nicht falsch verstehen aber laut deinem Profil bist du nur Endbenutzer und kein Administrator. Wieso musst du dich mit so etwas rumschlagen und nicht jemand der sich damit auskennt? Deine Ansätze sind schon gut und richtig, aber da gibt es eine ganze Menge was es zu beachten gibt und um dir wirklich helfen zu können fehlen einfach genug Infos über deine jetzigen Server, System und Software. Ich würde mir an deiner Stelle zwei bis drei Systemhäuser vorbeikommen lassen, die dich vor Ort beraten und das ggf. umsetzen.

Kurz gesagt (meine Meinung):
- ja Fritzbox durch eine anständige Firewall tauschen
- anständigen Switch dahinter
- Server virtualisieren (Lizenzproblematik, Backup, etc.)
- DC keine weiteren Rollen außer DC geben
- Nas als einer von mehreren Backupstores ok, als Fileserver ungeeignet.
- Clients dann als RDP-Client nur noch verwenden

Gruß
Doskias
Bitte warten ..
Mitglied: brammer
May 03, 2021 um 13:12 Uhr
Hallo,

das hört sich danach an als wenn das kein Haushaltsübliches Netzwerk ist sondern ein wachsende Firma.
Abhängig von der Branche und den Sicherheitsanforderungen sollte man dann von Fritzbox weg zu einem Gerät aus dem Professionellen Umfeld wechseln.
Zugriff per VPN soll für die Homeoffice Anforderungen sein? Also zum kontinuierlichen Arbeiten? Oder nur für Gelegentliche Zugriffe?

Beim Zusammenfassen geht es ja auch um die Anzahl der Nutzer. Da benötigst du dann andere Hardware
Ist ja die Frage ob 10; 50 oder 500 Leute per VPN was machen sollten

brammer
Bitte warten ..
Mitglied: aqui
May 03, 2021 um 13:58 Uhr
Ein VPN Server gehört niemals in ein internes Netzwerk sondern immer in die Peripherie (Router, Firewall).
Bitte warten ..
Mitglied: Ghent74
May 03, 2021 um 14:25 Uhr
Hallo.
Naja, extremes Wachstum glaube ich nicht.
Ist ein technisches Büro, da skaliert man nicht so schnell (allein weil die Fachkräfte mangeln).

Ich würde daher sagen:
Remotezugriff gesamt: 10 Personen
Davon VPN gleichzeitig: 5 Personen (perspektivisch alle)

Fritzbox:
Wie gesagt, es spricht nichts gegen ein anderes Modem, im Gegenteil.
Wichtig ist nur, dass die DECT Geräte irgendwie weiter funktionieren bzw. man Geräte (Mobilteile) hat, die anderweitig das Telefon gewährleisten.
Telekomanschluss DSL 100/50
Bitte warten ..
Mitglied: Ghent74
May 03, 2021 um 14:26 Uhr
Zitat von @aqui:

Ein VPN Server gehört niemals in ein internes Netzwerk sondern immer in die Peripherie (Router, Firewall).

Also ein Modem + ein Gerät was Firewall/VPN/Router bereitstellt oder Router nochmals gesondert, weil bei Angriff sonst evtl. auch das Netzwerk ausfällt?
Bitte warten ..
Mitglied: aqui
May 03, 2021, aktualisiert um 15:03 Uhr
Das kommt drauf an ob Router/Firewall ein integriertes Modem haben oder nicht. Aber wenns ein Breitband Gerät ohne integriertes Modem dann ist die Kombination richtig.
Ein Cisco 926 oder 1112 Router z.B. hat ein integriertes xDSL Modem plus VPN Server plus SPI Firewall alles in einem Gerät, da brauchst du dann nur eine Box. Siehe hier. Bei Lancom, Bintec und den anderen üblichen Verdächtigen ist das ähnlich.
Bei einer pfSense Firewall oder einem reinen Ethernet Breitband Router z.B. hat diese nur Ethernet Ports und da brauchst du dann immer noch ein NUR Modem wie Vigor 165 oder Zyxel VMG3006 dazu. Hat aber den Vorteil das man unabhängig von der jeweiligen WAN Infrastruktur, Kabel-TV, Glasfaser, xDSL ist.
Eine VPN Server im internen netz zu platzieren scheidet immer aus da du so ja ungeschützten VPN Traffic ins interne Netz lassen muss. Ein sicherheitstechnischer GAU bzw. ein NoGo. Wenn man überhaupt sowas macht dann immer in eine richtige DMZ. Wobei hier keine "Exposed Host" DMZ gemeint ist sondern ein komplett abgetrenntes und gesichertes IP Segment.
Bitte warten ..
Mitglied: TomTomBon
May 05, 2021 um 09:38 Uhr
Moin Moin,
Der Kaffee wirkt noch nicht richtig, aber Ich denke manche werden sich die Fragen auch stellen.
Ich hatte das Thema auch schon, in der Ausbildung vor 20 Jahren.
Seit Server 2k hat sich ein wenig geändert ;-) face-wink

Das Prinzip was du angedeutet hast ist ja das Ich einen VPN Tunnel habe der vor meiner Firewall ankommt.
Ich werde durch den Wald mit verfressenen Ungeheuern und anderem Schadzeug (das Internet) getunnelt und stehe dann vor dem Burggraben.
(Ich habe eine Schwäche für Allegorie'n ;-) face-wink )
Klar, jetzt muß Ich anklopfen, mich Authentifzieren mit Name und Passwort, und komme rein.
Nur, mit was für einem Service?

Eine AD Anmeldung ließe mich verwundern, aber wie gesagt, mein Kenntnisstand ist zu alt und zu schwach.
Denn das Ziel nach einer erfolgreichen Authentifizierung,
die man ja natürlich auch noch etwas sichern kann mit Zertifikaten zB. (Radius würde Ich mir in einem solchen Fall auch anschauen),
ist die "komplette" Nutzung des Ziels.
Mit VM´s ist dies meines erachtens nach einfacher, da muss man nur einen Software Client auf seiner entfernten Maschine haben der hierdurch zugreifen kann und arbeiten kann.
Ich habe in der Praxis schon so etwas als Anwender (!) mit VM ThinClients, Citrix, Igel gemacht.
Ein anderer Fall wäre die Nutzung von Outlook z.B. durch solche Tunnel.
Und ob man jetzt z.B. mit RDP als einer von vielen auf einem TS Server oder jeder in einer eigenen Umgebung arbeitet hat vieles viele Vor und Nachteile.
Denke Ich hier nicht Zielführend.

Aber wie mache Ich die Anmeldung?

Den Aufbau einer solchen Umgebung würde Ich prinzipiell so machen:
Eingang mit Firewall, (Ob 1 oder 2 Geräte ist für mich die Frage nach lokalem Szenario und was bekomme Ich wie günstig. --> Mit Glasfaser / DSL / Koax / LTE ist der eine Punkt. Bekomme Ich kombinierte Geräte, die "Ich" beherrschen kann, billiger? )
Dahinter der VPN Punkt.
Und dann die Domäne die abgesichert wurde.
Davor vielleicht noch eine FW?

Aber hier ist wieder der Punkt der mich stark zweifeln läßt in punkto Sicherheit.
Eine normale Authentifizierung?
Wie man sie bei SMB v2 ja auch macht?
Wie gesagt, Radius würde Ich in jedem Fall dazu ziehen als Absicherung wenn Ich so etwas nutze.
Und ein "mitschneiden" von Daten sollte zwischen Ausgang VPN und Eingang Domäne theoretisch nicht klappen.
Ich würde hier auch nicht mit DHCP und DNS arbeiten sondern alles fest fest zurren mit manueller Eingabe IP.
Und Doku sollte dort etwas ausfallen ;-) face-wink

Aber Zweifel habe Ich trotzdem noch, bei einer "normalen" Anmeldung wie sie auch INNERHALB der Domäne gemacht wird, mal abgesehen davon das Ich die Firewall überprüfen lassen würde ob die wirklich dicht ist wenn alles klappt.
Würde meinem Bauchgefühl besser tun und meinem Chef / Kunden gegenüber hätte Ich dann auch einen Nachweis ;-) face-wink

Klar, nichts ist unüberwindbar. Man kann nur die Zäune so bauen das nicht jeder Judgendliche Anlauf nimmt und mit aufgehaltenen Händen eines Zweiten über den Zaun springen kann.
Aber momentan werden Angriffe gefühlt häufiger auch gegenüber "kleineren", weniger einträglichen, gemacht.

Meine Gedanken :-) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
Data privacy
FAX ist nicht mehr Datenschutzkonform
brammer1 day agoInformationData privacy49 Comments

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin9523 hours agoGeneralHumor (lol)16 Comments

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Exchange Server
Exchange 2019 als VM?
Mr.Vain1 day agoQuestionExchange Server9 Comments

Hallo zusammen, wir nutzen derzeit Exchange 2013 mit allen Rollen auf einem physischen Server (Ca. 260 Postfächer, Server 2012R2, Xeon E-2603v3 6Core, 16GB RAM, ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
solved Coreknabe1 day agoQuestionWindows Update12 Comments

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgborn1 day agoInformationExchange Server4 Comments

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Networking Basics
Statische Route auf UTM
solved Ex0r2k1611 hours agoQuestionNetworking Basics30 Comments

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausB1 day agoQuestionExchange Server8 Comments

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
Ormenson1 day agoQuestionSAN, NAS, DAS10 Comments

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...