Hallo! Ich hab ein leider theoretisches Problem, wo ich mal wüssen müssten, ob das geht.

Ich hab für ne Fremdfirma nen IP Cop zu installieren, als Interne/Externe Firewall/Router.

Zur Grafik:


Router von Netzdienste. Ist fremdverwaltet. Steht aktuell auf 192.168.16.xx . Soll eine interne IP von 172.16.1.1. bekommen.

Von aussen bestehen Portforwardings auf diesem Router auf nen OWA / Server 2003 auf 192.168.16.3.

Neu hinzukommt der IP Cop mit Extern: 172.16.1.120, Intern 192.168.16.120.

Jetzt das Problem des Portforwadings. Auf welche IP und Port muss der "Netzdienste " Router ein Portforwading machen?

Ich vermute mal auf die 172.16.1.120:443 ?

Dann müsste IP Cop noch ein Forwarding von 172.16.1.1:443 auf 192.168.16.3:443

Richtig? Gehen also 2 Portforwardings?

http://666kb.com/i/afpmh87vh7vajq5w3.jpg

Wenn ich dich richtig verstanden habe, sollte es so gehen, wie du es dir gedacht hast.

0.0.0.0/0 -> externe Router IP --(NAT)--> 172.16.1.120 --(NAT)--> 192.168.16.3

Ich habs im IP Cop Forum angesprochen. Mit Änderung des Gateway und DNS in IPCOP auf den Fremdrouter sollte es gehen.

Wird lustig. mein erstes Firewall-Projekt :(. Danach lach ich über jede Astaro :)

Etwas OT, aber mit welchem Tool hast du das Schaubild gezeichnet? :)

Also ich finde es schon ein starkes Stück, das du einen Thread nach dem anderen über deine Arbeit aufmachst, wenn du deinen Job nicht hinbekommst soll dein Chef einen Trainer (inhouse oder extern - je nachdem) oder Seminar für dich zahlen.
Oder einfach ein anderer deinen Job machen, hart aber ehrlich.

Zudem kannst du ja auch einmal 'Fachliteratur' dir abends nach Feierabend durchlesen.

Und das was da auf dem Netzplan steht ..... bitte, bitte nicht .... holt jemanden der sich mit Netzwerk Planung und Sicherheit auskennt, bitte.

Wuzel[/POST]']Also ich finde es schon ein starkes Stück, das du einen Thread nach dem anderen über deine Arbeit aufmachst, wenn du deinen Job nicht hinbekommst soll dein Chef einen Trainer (inhouse oder extern - je nachdem) oder Seminar für dich zahlen.
Oder einfach ein anderer deinen Job machen, hart aber ehrlich.

Zudem kannst du ja auch einmal 'Fachliteratur' dir abends nach Feierabend durchlesen.

Und das was da auf dem Netzplan steht ..... bitte, bitte nicht .... holt jemanden der sich mit Netzwerk Planung und Sicherheit auskennt, bitte.

Ne, hart find ich es nicht. Ich habs ihm selbst gesagt, dass ich mit der Thematik in meiner Ausbildung weniger zu tun hatte. Hat ihn nicht gejuckt. Was soll ich denn da machen?

Ich sags auch gleich: das ganze soll Un-IPCop mässig auf nem Server2003 auf ner Vmware laufen. Jetzt darfste genauso den Kopf schütteln, wie ich.

Hab ich aber schon im Einstellungs-Gespräch gesagt. Als Novell-Netware-Fachmann durft ich mich schon am zweiten Tag um nen Exchange-Server kümmern.

Am 1. Tag hing ich schon fett in MS-SQL. Davor nie was gemacht. Spitze. Einweisung, Einarbeitung? Null.

Besonders Spass machts nicht. Das Netzwerk ist ein graus. Daheim in meiner Schublade mit Kabeln ists aufgeräumter.

Ansonsten: Bleib On Topic, und wenn Kritiken da sind, dann sags.

Zuerst musst ich mich mit nem Fli4L Router rumplagen. Gottseidank durft ich dann mit IPCop arbeiten.

Gast[/POST]']Etwas OT, aber mit welchem Tool hast du das Schaubild gezeichnet? :)

Mit MS Visio.

Quantenfeldtheorie[/POST]']Mit MS Visio.
Ok, schade, dachte das wäre irgendwas, das unter Linux läuft :(
Die Symbole schauen ganz nett aus...

Der OWA gehört in eine DMZ und nicht ins interne LAN!!!

Kritik am Konzept:

-Wo ist die DMZ?
-Warum ist der OWA nicht in der DMZ?
-Warum wird der Affentanz mit 2 Filtern gemacht, wenn SSH durchgetunnelt wird und das noch auf eine Maschine, die nicht in der DMZ hängt?
-Warum wird outbound alles erlaubt? Ist ein Rechner offen (SSH ist da manchmal ein netter kandidat), gehört das ganze Netz dem Angreifer.
-Firewalking ist möglich.

Kurzum: Das ganze Konzept ist überarbeitungsbedürftig.

Privatmeinung: Das Konzept ist dampfende Affenscheiße.

Gruß,
QFT

Edit: Um die Eingangsfrage zu beantworten: Ja, es geht.

-Wo ist die DMZ?
-Warum ist der OWA nicht in der DMZ?

Cheffs Idee. "Hauptsache von aussen kommt nix rein. Nehmen sie 2 Netzwerkbereiche"

Ich find die Idee selbst schwachsinnig, nen Server, der DNS/ADS/Files/Exchange/Backup hostet, dazu zu nutzen, komplett im Inet stehen zu lassen.

-Warum wird der Affentanz mit 2 Filtern gemacht, wenn SSH durchgetunnelt wird und das noch auf eine Maschine, die nicht in der DMZ hängt?


Den Router bekomm ich nicht weg. Das ist ein Fremgerät. Ansonsten sind das keine zwei filtern. Das ist ein IPCop mit rot/grün.

-Warum wird outbound alles erlaubt? Ist ein Rechner offen (SSH ist da manchmal ein netter kandidat), gehört das ganze Netz dem Angreifer.

Cheffs Idee...





Privatmeinung: Das Konzept ist dampfende Affenscheiße.


Kannste gerne übernehmen. Ich reiss mich nicht gerne um solche Aufgaben.

Du hättest sollen mal die Ignoranz mitbekommen sollen, als ich das

http://www.ipcop-forum.de/unipcop.php

auch nur ansatzweise gezeigt hab. Und das war noch zu Fli4L-Würg zeiten.

Siehst also. Und ich bin immer noch der Meinung, dass ein billiger Router/FW-App für - 500 Euro für alles dicke gelangt hätte. Und das wär ne Appliance.

Ach, übrigens:

Bewerbungen sind für andere Firmen am laufen. Ich kann in sowas nicht arbeiten. Besonders mit solcher Ignoranz nicht.

ist es nicht dein job dem chef zu vermitteln was sinnvoll ist und was was nicht?
mein chef hat auch immer ideen was er haben will. er hat die visionen und ich setzt es machbar für die IT um.

An deiner Stelle würd ich das gleiche tun, falls er es doch auf eine "falsche" art und weise haben will, setz eine schriftliche Erklärung auf, dass du die sicherheit und bla mit diesem aufbau nicht garantierst und keinerlei verantwortung dafür übernimmst.

2 tage später wird es so gemacht wie du es willst.

Und die nächsten Wochen hab ich 24/7 Arschkarte und Überstunden am Hals.

Ist es nicht auch der Job von VOrgesetzten, Anregungen und Kritiken der Mitarbeiter entgegegen zu nehmen?

ja das ist er, aber es ist auch dein job denen die techn. details und lösungen so zu präsentieren dass sie es einsehen.

ich hab noch in keinem deiner postings rausgelesen, dass du nen vorschlag oder so gemacht hättest.

war ja nur ein kleiner tipp von mir mit dem schreiben usw. wenn was passiert bist nämlich du dran und nicht dein chef der es so haben wollte

Wieso? Dann ist die Firma dran. In deren Namen läuft das ganze. Kann mir höchsten der CHeff in den Arsch treten. Und ic hsagen: Hab ich damals schon gesagt und gezeigt.

alpha-centauri[/POST]']Wieso? Dann ist die Firma dran. In deren Namen läuft das ganze. Kann mir höchsten der CHeff in den Arsch treten. Und ich sagen: Hab ich damals schon gesagt und gezeigt.mmm...

Aus dem Grund kam der Tip, das alles irgendwie schriftlich abzusichern ;). Später heißt es nämlich nur "der IT- Dödel hat den Mist aufgebaut, er ist schuld" ... das ist das schöne daran, wenn man Chefs hat, die keine Ahnung von der EDV haben ;) ...alpha-centauri[/POST]']Cheffs Idee. "Hauptsache von aussen kommt nix rein. Nehmen sie 2 Netzwerkbereiche"
Ich find die Idee selbst schwachsinnig, nen Server, der DNS/ADS/Files/Exchange/Backup hostet, dazu zu nutzen, komplett im Inet stehen zu lassen. Als IT- Verantwortlicher wäre die einzige richtige Antwort meiner Meinung, dass OWA abgeschaltet wird, fertig. Alles andere stellt ein potentielles Sicherheitsrisiko da. Alleine OWA und AD auf einer Kiste laufen zu lassen, nunja, nur meine Meinung ...

sorry, irgendwie machst du auf meine einen unreifen eindruck.

grad fertig mit der fachinformatiker ausbildung?

CoconutKing[/POST]']sorry, irgendwie machst du auf meine einen unreifen eindruck.

grad fertig mit der fachinformatiker ausbildung?mmm...

Wen meinst du? :| Falls du mich meinst, finde ich dich ziemlich unreif und kann mich Grendels Kommentar nur anschliessen:Grendel[/POST]']Der OWA gehört in eine DMZ und nicht ins interne LAN!!! Nur gehört das AD nicht in die DMZ :| ...

Alleine OWA und AD auf einer Kiste laufen zu lassen, nunja

Small Business Server 2003 .

Anyway. Das ganze läuft Problemlos. Ich komm nur nicht von extern auf den IP Cop per https. Dafür gehts mit SSH.

Ich hatte in meiner Ausbildung andere Schwerpunkte, als Firewall-Konzepte aufzubauen. Leider.

Alpha, genau aus diesem Grunde lässt man ja auch ungeschulte Menschen keine Sicherheitskonzepte betreuen und implementieren.
Dazu gehört in deinem Fall auch die Einrichtung von Firewalls...in einer VMWare Session *schauder*
Wenn du dich mit dem Zeug herumschlagen musst, nicht geschult wirst, du an dich den Anspruch hast, zu wissen was du falsch und richtig machst, dann bleibt dir nur die Lektüre einschlägiger Bücher über Sicherheitskonzepte und Firewalling. Und das in Eigenregie und selbstständig...und unbezahlt.

Ralf Spenneberg hat einige schöne Bücher im Bereich IT-Security verbrochen, die imho sehr lesenswert sind. http://www.amazon.de/exec/obidos/ASIN/3827321360/linuxcert/028-3177428-7348531

Zudem kann ich dir das Buch "Protect Your Windows Network. From Perimeter to Data" von Jesper M. Johansson und Steve Riley sehr ans Herz legen, wenn du dich viel mit Windosen tummelst. Meiner Meinung nach die Referenz aktuell in diesem Bereich.
http://www.amazon.de/gp/product/0321336437/028-3177428-7348531?v=glance&n=52044011

Gruß,
QFT

spenneberg bücher zum download: http://www.os-t.de/buecher_new.php :)

Öhm...
was soll ich sagen...DANKE!!!
Du bist auf jeden Fall User des Tages. :)
Vielen, vielen, vielen Dank!!!!

Gruß,
ein erfreuter QFT.

Quantenfeldtheorie[/POST]']Alpha, genau aus diesem Grunde lässt man ja auch ungeschulte Menschen keine Sicherheitskonzepte betreuen und implementieren.
Dazu gehört in deinem Fall auch die Einrichtung von Firewalls...in einer VMWare Session *schauder*

Seh ich ja ein. Aber was soll ich denn da tun? Ich hab selbst gesagt: "Wenigstens den IP Cop auf ner physischen Maschine laufen lassen". Gab taube Ohren und ein "machen sie es auf Vmware".

Ich mein, der Krempel läuft. Besser als ne Software-Desktop-Firewall ists sicher allemal. Aber mich stellts auch nicht zufrieden.

In meiner alten Company wars so, dass alle 2 Jahre eine neue FWall aufgezogen wurde. Entsprechende Konzepte erstellt und durchgeführt. Das wurd von ner Fremdfirma gemacht. Ca 250 Mitarbeiter war meine alte Firma groß. klar, die haben dann 1000 Acken am tag genommen.

Und nachdem man 3x die Astaro wegen Hardwaredefekt austauschte, lief es auch dann irgendwann. Aber das sind andere verhältnisse.

Ich find aber dennoch: Mit kleinem aufwand, kann man auch ein kleines netzwerk günstig absichern.

Nächste Woche bin ich beim anderen cheff eingesetzt. Thema Projekt-Management / Kundenbetreung . Mal gucken, was da dabei rauskommt.

Übrigens: Gibt ne andere möglichkeit als Backend-Exchange/Frontend-OWA(dmz)?

In meiner aktuellen Firma ists nämlich auch so. Da ist OWA=DNS=ADS=usw.

Warum muss ich eigentlich ein 60 Euro Teures buch kaufen, wenns das als PDf gibt? Komisch...