Z
zanubi
Grünschnabel
Hi all,
ich hab mich heute einmal an eine ganz spezielle Netzwerkkonzeption gesetzt. Speziell, da es einige außergewöhnliche Anforderungen hat. So, sollte eigentlich keine Verbindung zum Internet bestehen. Kein Client und keiner der beiden Hauptserver soll Kontakt zum Internet haben, umso perfekt abgesichert zu sein. Nichtsdestotrotz will man ja auf den Internetzugriff nicht gänzlich verzichten.
Graphische Darstellung von Konzept 1 (105KB)
Graphische Darstellung von Konzept 1 (klein) (19KB)
Lösung: Die Server und die Clients bekommen nur Zugriff auf den Proxy. Dadurch kann ich die HW-Firewall eigentlich komplett zumachen, den Proxy jetzt einmal ausgenommen. Eventuell wäre ja dann auch ein VPN denkbar. Die eigentliche Firewall (ein normaler Server mit openBSD und pf) könnte dann einige Ports der Server aus der DMZ zur HW-Firewall durchstellen.
Diese HW-Firewall ist eine Zyxel 10W. Diese wurde einmal bei ebay um 1€ ersteigert, soweit ich weiß ist sie von 2004-2005. Die sollte dann den Großteil der Attacken auf da Netz abwehren und nebenbei noch via IPsec den Nutzern wirklich sichern Zugriff auf die beiden Hauptserver erlauben. Das Problem ist, ich traue dem Gerät nicht wirklich, aber für was Größeres fehlt das Geld ...
Darum hätte ich mir noch eine andere Zusammenstellung überlegt:
Graphische Darstellung von Konzept 2 (103KB)
Graphische Darstellung von Konzept 2 (klein) (19KB)
Ich stelle die Server einfach zu den Clients, und forwarde die benötigten Ports einfach zur Firewall. Diese würde nun auch als VPN-Server dienen, und die HW-Firewall würde etwas stiefmütterlich behandelt werden.
Natürlich, wenn ich statt der Zyxel irgendetwas mit einer DMZ anschaffen würde, würde sich das Problem in Luft auflösen, aber dazu fehlt derzeit einfach das Geld. Bei der zweiten Möglichkeit könnte ich mir ja auch sparen, den Proxy mit dem VPN zu verbinden. Dieser muss ja vom RADIUS die Benutzerkennungen erhalten und so hätte ich wieder ein Sicherheitsplus, was auch die Hauptsache dieser Konstruktion ist ...
Welcher der beiden Konzepte würde ihr bevorzugen? Oder würdet ihr es mit derselben Hardware komplett anders machen? Seht ihr irgendwelche großen Schwächen?
Ich hoffe ich habe alles verständlich erklärt ...
Danke !!
ich hab mich heute einmal an eine ganz spezielle Netzwerkkonzeption gesetzt. Speziell, da es einige außergewöhnliche Anforderungen hat. So, sollte eigentlich keine Verbindung zum Internet bestehen. Kein Client und keiner der beiden Hauptserver soll Kontakt zum Internet haben, umso perfekt abgesichert zu sein. Nichtsdestotrotz will man ja auf den Internetzugriff nicht gänzlich verzichten.
Graphische Darstellung von Konzept 1 (105KB)
Graphische Darstellung von Konzept 1 (klein) (19KB)
Lösung: Die Server und die Clients bekommen nur Zugriff auf den Proxy. Dadurch kann ich die HW-Firewall eigentlich komplett zumachen, den Proxy jetzt einmal ausgenommen. Eventuell wäre ja dann auch ein VPN denkbar. Die eigentliche Firewall (ein normaler Server mit openBSD und pf) könnte dann einige Ports der Server aus der DMZ zur HW-Firewall durchstellen.
Diese HW-Firewall ist eine Zyxel 10W. Diese wurde einmal bei ebay um 1€ ersteigert, soweit ich weiß ist sie von 2004-2005. Die sollte dann den Großteil der Attacken auf da Netz abwehren und nebenbei noch via IPsec den Nutzern wirklich sichern Zugriff auf die beiden Hauptserver erlauben. Das Problem ist, ich traue dem Gerät nicht wirklich, aber für was Größeres fehlt das Geld ...
Darum hätte ich mir noch eine andere Zusammenstellung überlegt:
Graphische Darstellung von Konzept 2 (103KB)
Graphische Darstellung von Konzept 2 (klein) (19KB)
Ich stelle die Server einfach zu den Clients, und forwarde die benötigten Ports einfach zur Firewall. Diese würde nun auch als VPN-Server dienen, und die HW-Firewall würde etwas stiefmütterlich behandelt werden.
Natürlich, wenn ich statt der Zyxel irgendetwas mit einer DMZ anschaffen würde, würde sich das Problem in Luft auflösen, aber dazu fehlt derzeit einfach das Geld. Bei der zweiten Möglichkeit könnte ich mir ja auch sparen, den Proxy mit dem VPN zu verbinden. Dieser muss ja vom RADIUS die Benutzerkennungen erhalten und so hätte ich wieder ein Sicherheitsplus, was auch die Hauptsache dieser Konstruktion ist ...
Welcher der beiden Konzepte würde ihr bevorzugen? Oder würdet ihr es mit derselben Hardware komplett anders machen? Seht ihr irgendwelche großen Schwächen?
Ich hoffe ich habe alles verständlich erklärt ...
Danke !!