Netzwerk Umstrukturieren

[crazymetzel]

Hallo

Ich fange in einem Monat einen neuen Job als Admin bei einer Firma an, und mache mir gerade Gedanken über die Umsetzung meines ersten projektes. Also folgendes, ich bin dort der einzige Admin, es bestehen 2 Abteilungen ca 25 Rechner pro Abteilung, jede Abteilung einen eigenen Netzwerk IP Bereich, eigener Server eigene Sicherungslösung, eigenen Internetzugang(normales DSL 16000 über Router).

Da bisher jeweils einer der einzelnen Abteilung nebenbei den Abteilungsadmin gespielt hat, ist das alles 2 mal gebaut worden. Hat alles riesen NAchteile.

Mein Vorhaben: es gibt nach einem Umbau einen zentralen Serverraum.

Ich möchte die beidem Domainserver so belassen wie Sie sind, da die Domaintrennung durchaus sinnvoll ist. Was ich zusammenlegen möchte: Es wird einen Zentralen Sicherungsserver geben, also nen Rechner mit gaaaanz vielen Platten :-). Das ist kein Problem ist auch schon genehmigt. Jetzt aber eine Frage an euch, da ich bisher an solche Themen nur in kleinen Firmen rangekommen bin. Ist es möglich einen Firewallrechner vorzuschalten, also zwischen Router und netz, evtl auf ipcop Basis, vpn wäre in dem zuge auch nett, aber nicht 100 prozent nötig, und ist es möglichen diesen Firewallrechner mit beiden Internetanschlüssen zu "füttern" um die Lasten besser aufzuteilen, und diesen einen Firewallrechner dann beiden Netzen vorzuschalten????

Ich freue mich auf konstruktive hilfreiche Antworten :-)

p.s ich bin Ausgebildeter Fisi aber bisher in ner kleinen Klitsche, bei einem Chef der leider vor 3 Jahren aufgehört hat weiterzulernen und stehengeblieben ist. Wir haben diese Firma bisher betreut und ich habe die Hände über dem Kopf zusammengeschlagen dass Diese Firma mit insgesamt über 100 PC-Arbeitsplätzen als einziges Sicherheitskonzept Einen Kaspersky antivirus und eine Fritzbox, und als einzige Datensicherung 3 Externe USB Festplatten in Verbindung mit einem Acronis True Image pro Server hat :-/ Aber auf mich hat keiner gehört. Jetzt nach vielen problemen hat mich diese Firma quasi abgeworben und jetz soll ich das da richten :-)

[Thanks-and-Goodbye]

OK, fangen wir mal an mit Gedankenspielen und Hintergrundfragen:

Was sind das für Domains? Standard Windows Server oder etwa 2003 SBS?

Zentraler Sicherungsserver: Das Problem an dieser Stelle sind die Zugriffrechte. Unter Windows könnte man das in der Form lösen, dass man ihn als Member in eine der beiden Domains reinstellt, dann über einen internen Router beide Domains verbindet, so dass schon mal IP-Traffic zwischen den Domains möglich ist.

Als nächster Schritt können dann Vertrauensstellungen zwischen den Domains aufgebaut werden, so dass Zugriffe zwischen den Domains möglich sind und die andere Domain auf den Sicherungsserver zugreifen kann.

Dann könnte man überlegen, ob der Router eine Doppelfunktion bekommt: einmal zwischen den Domains routen und zusätzlich den Traffic nach draussen ins Inet routen.

Das Gedankenspiel basiert darauf, dass beide Domains in der bisherigen Form erhalten bleiben.

Alternativ könnte man überlegen, ob der geplante Backupserver genug Leistung hat, um ihn als übergeordneten DC laufen zu lassen, um dann folgende AD Struktur zu erhalten:

Firma.lan

Abteilung1.Firma.lan

Abteilung2.Firma.lan

Hat den Vorteil einer zentralen Benutzerverwaltung. Diese Migration wäre mein Favorit, ist sauberer, aber deutlich mehr Arbeit, bis es läuft.

Sprich: auf neuem Server Firma.lan aufbauen, mit dem ADMT (Active Directory Migration Tool von Microsoft) alle Ressourcen der beiden Domains auf den neuen Server verschieben, mit dcpromo die Server herunterstufen, in die Domain als Member integrieren, mit dcpromo eine Subdomain erstellen und die entsprechenden Ressourcen wieder in die Subdomain verschieben.

Erste Lösung: schneller und einfacher implementiert, aber höherer Folgeadministrationsaufwand

Zweite Lösung: aufwändiger zu implementieren mit einfacherer Administration in der Folgezeit.

Zum eigentlichen Routing und Firewalling überlasse ich das Feld den Netzwerkern.

[crazymetzel]

Hi

Sicherungsserver ist nur als datenspeicher gedacht, also 2 netzwerkkarten rein , an beide netze gestöpselt und einfach freigegeben, das war der plan fürs erste. das erstmal was steht und sichert. das wichtigste wäre die firewallösung und das zusammenlegen der internetanschlüsse.

Es sind normale 2003 server beide mit aufgesetztem Tobit david v8 deswegen eher ungern migrieren, vor allem weil ich nie soviel zeit habe ohne die arbeit der Abteilungen zu stören:-/

[crazymetzel]

Ah btw traffic ist schon möglich zwischen den domains, da der Leiter der unteren abteilung auf den Tobit terminkalender der oberen Abteilung zugreifen kann!!!

[hades]

Denkbar waere auch eine Vertrauensstellung zwischen den beiden bestehenden Domains.

Das wird oft bei solchen Szenarien eingesetzt, um gewachsene Strukturen miteinander zu verbinden.

Mit NTFS-Berechtigungen koennen dann die Berechtigungen eingeschraenkt/erweitert werden.

Firewall:

Ipcop ist eine gute Loesung.

IPcop bietet Dir neben einer Firewall (iptables), Proxy (squid) einen caching DNS-Server (dnsmasq) sowie ueber Plugins:

ein IDS (snort)

ein Antispam-Filter (Spamassassins)

einen URLFilter (z.B. squidguard, netfilter)

einen VPN-Server (OpenVPN)

einen Virenscanner (ClamAV)

u.v.m.

Allerdings solltest Du hier fuer 100 MA keinen ausgemusterten PC mehr einsetzen. Gerade das IDS und der Antispam-Filter benoetigen aktuelle CPU-, RAM- und Netzwerkleistungen eines Servers.

mehr siehe IPCop.org :: The bad packets stop here!

Die kostenpflichtige Alternative zu ipcop ist IMHO nur der MS ISA Server 2006. Den ISA gibt es auch als Hardware-Appliance. Das ISA "Addon" IAG (Intelligent Application Gateway) fuer die Unterstuetzung von SSL-VPN ist nur in einer ISA-Appliance erhaeltlich.

Fuer Loadbalancing von mehreren DSL-Leitungen sind beide allein nicht geeignet.

Dafuer muesstest Du vor ipcop bzw. ISA einen weiteren Router einsetzen.

[crazymetzel]

Danke für die antworten. also ausgemusterte pcs sind in dieser firma alle im p4 3ghz bereich mit 2 gb ram, dort wird hauptsächlich mit cad gearbeitet und die lebenszeit eines rechners ist dort 1-1,5 jahre.

Also router sindja wie gesagt bei jeder abteilung jeweils eine fritzbox vorhanden. mit isaserver mag ich nicht arbeiten, ich möchte so wenig wie möglich mit ms zutun haben, denke beim sicherungsserver auch an linux, allerdings bin ich noch linux neuling und gerade erst am einarbeiten. bisher eben nur mit ******* zutun gehabt....

[hades]

mit isaserver mag ich nicht arbeiten, ich möchte so wenig wie möglich mit ms zutun haben.

Was spricht gegen den ISA Server ausser Deiner persoenlichen Vorlieben?

Dem Vorgaenger ISA Server 2004 wurden durch das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) die international hoechstmoeglichen Common Criteria EAL 4+ bescheinigt.

Die CC EAL 4+ fuer ISA 2006 ist derzeit in Bearbeitung.

Der ISA kann aus Sicherheitssicht mehr als viele linux-basierte Hardware-Appliances.

Z.B. koennen viele linux-basierten Appliances keinen SSL-verschluesselten Traffic untersuchen und auch keine Application Layer Filter auf Signaturen von P2P-Software, Messenger u.a nicht erwuenschter Software setzen.

(Ich meine damit nicht grundlegende Dinge wie Protokolle auf Layer 3 und Ports auf Layer 4 sperren/zulassen.)

TUViT Presse 2005

http://www.bsi.de/zertifiz/zert/reporte/0387b.pdf

http://www.bsi.de/zertifiz/zert/reporte/0262b.pdf

Also von vornherein wuerde ich den ISA Server nicht ausschliessen.

Gerade als Hardware-Appliance mit dem IAG ist dieser einen Blick wert.

Dazukommt: Manche Unternehmen legen Wert auf unabhaengig zertifizierte Hard- und Software.

[crazymetzel]

Einen Blick ist er wert das ist wahr allerdings gehe ich trotzdem denke ich auf einen linuxbasierenden Rechner