Prowler

1) Sorry, dachte der Projektantrag wäre länger 2) DMZ schirmt systeme ab, die von außen und innen zugänglich sein müssen: Du hast z.B. 4 Netze: LAN, WAN (die Werbetafel übers inet angebunden), Werbetafel-LAN, DMZ. Jetzt kannst du dem Server erlauben auf das Werbetafel-LAN auf port 123 (beispiel) zuzugreifen. Dennoch hast du dein LAN geschützt + die Werbetafel PCs, da man sich vom Server aus nicht per ssh oder so auf andere Kisten aufschalten kann. eine FW ist ja keine schwarz/weiß geschichte, sondern du kannst schon recht genau steuern wer in welches Netz mit welchem protokoll zugreifen darf.

Also du hast einen Projektantrag, der genehmigt wurde? Dann Teile den doch mal mit uns! Ansonsten geht die Diskussion hier in eine total falsche Richtung, weil hier komplett aus dem zusammenhang gerissene Details diskutiert werden, die evtl. für dein Fachgespräch wichtig sind, aber nicht für deine Projektarbeit. Deine Fragen: DHCP: Sicherlich eine nette sache, kommt auf die Anzahl der IPs an - wenn der Overhead zu groß ist nutzt es dir nicht wirklich viel Thema DMZ: Ich kenne jetzt euere Software im Detail nicht, aber wieso soll das nicht gehen? Du hast Drei Netze: Außen, DMZ, Innen. Zwischen diesen wird geroutet, wenn es entsprechende FW Regeln gibt. Wenn du in der Firewall dem Server erlaubst mit den Clients zu quatschen, wieso soll das dann nicht gehen? Angriff auf OSI2: Typisch wäre eine Man-in-the-Middle Attacke mittels arpspoofing. Verhindern kannst du das, indem du Netze aufteilst und zwischen den Netze routest bzw eine FW dazwischen klemmst. Was du eigentlich tun solltest: Zu den ersten beiden Punkten kann dir hier warscheinlich keiner einen Tipp geben, weil keiner euere Systeme kennt. verschiedene Möglichkeiten aufzuzeigen.. eine Sichere Anbindung ermöglichen. D.h. du sollst verschiede Möglichkeiten Diskutieren und dich für eine Entscheiden. Zunächst hasta du mal die Möglichkeit mittels "Secureprotokollen" zu verschlüsseln - sprich https, sftp, ssh etc. Dann natürlich noch die Möglichkeit einfach mittels ipsec, wobei du nichts an deiner Software ändern musst und mittels Tunnel verhindern kannst, dass jemand aus oder einbricht. Die DMZ schottet deinen Server dann soweit ab, dass er zwar noch aus beiden Netzen erreichbar ist, aber man nicht direkt im LAN steht, wenn doch jemand die kiste übernimmt. Mit was realisiert man VPNs: Natürlich stellen alle großen Netzwerkhersteller entsprechende hard- und software zur verfügung, aber die kostet. Was mir immer wieder über den Weg läuft, ich jedoch bis jetzt nicht selbst getestet habe ist pfsence. Das ist eine Firewall, die Kosten sind eher moderat und neben Firewalling sollte auch VPN unterstützt werden.

Was soll das bringen? zu1: Ich spiel jetzt mal gemein ihk prüfer "und wenn in zukunft noch mehr geräte dazu kommen ändern Sie alles ab? Sicherheitstechnisch ist das auch nicht wirklich sinnvoll, da es zwar verhindert, dass sich ein weiterer client mit neuer ip ins netz hängt, aber gegen angriffe z.B. auf osi 2 hilft dir das absolut gar nichts zu 2: Windows AD und Netzwerksicherheit? Auch hier sind OSI2 attacken weiterhin möglich zu 4. WINDOWS FIREWALL?!?!?!?!?!?!?!1^ zu 5. Ja. (siehe unten) Genau das ist der Sinn einer DMZ Inet -> FW -> DMZ/Server -> FW -> LAN mit den Zwei firewalls kannst du das von dir oben genannte umsetzen. Ziel ist es, dass wenn dein Server gekapert werden sollte, der Bösewicht nicht weiter ins LAN vordringen kann (siehe gema hack ) Das beste vorgehen wäre wohl an beiden Enden ein VPN-Gateway in Form eines Routers zu installieren und zwischen diesen einen Tunnel aufzubauen (ipsec).

Anbei ein paar Gedanken zu deiner Projektidee, ohne zu wissen obs in die richtig Richtung geht, weil ohne Antrag ist das irgendwie schwer Wie du richtig geschrieben hast, musst du Entscheidungen treffen und unterschiedliche Möglichkeiten gegeneinander abwägen. Als erstes würde ich erst mal unterschiedliche Technologien vergleichen, z.B. ssl oder ipsec (ggf -> bezug aufs osi-modell herstellen = steilvorlage fürs fachgespräch!? ) Wenn du dich für zB ipsec entschieden hast, geht es daran wie du das implementierst. mit hardware? Software? Hier hast du faktoren wie kosten/nutzen/performance. Danach kommen die Überlegungen in welche Netze du das Pakst, das ist zwar wichtig, aber für die Projektdoku der ihk eher unbedeutend, denn wichtig ist hier eher die entscheidungsfindung. Und eine DMZ hat eher wenig mit verschlüsselter Kommunikation über das internet zu tun. Gegen eine DMZ spricht in der Regel relativ wenig, sobald du Server hast (z.B. Proxy Mailserver DNS) die sowohl aus dem LAN und Internet erreicht werden müssen ;-)