PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Server-/ Netzarchitektur - was ist sinnvoll?



socrates
26.01.04, 10:45
hallo leute,
ich habemich am wochenende dazu entschlossen eine neue server-/ netzarchitektur aufzubauen, da momentan alles auf einem rechner läuft.

die hardware:
dsl-router (hardware von qsc - ohne firewall)
linux1: amd 1800+
linux2: amd k6II 550
linux3: penti1 200
windows: amd 2200+

mein jetziges netz sieht so aus:

dsl-router
|
linuxrechner1(webserver, samba, firewall, IDS , router, mailserver, db)
|
windowsrechner(für büroprog) linux2(stagesys) linux3(testsys)

nun möchte es es so aufbauen:

dsl-router
|
linux3 (ids,firewall,router)
|
linux1(webserver,db) - linux2(mail) - windows

ist das sinnvoll, oder sollte das ids vor der firewall auf einem getrennten system sein?
wie sollte ein netz aufgebaut sein?
thx soc.

filou
26.01.04, 17:16
Imho würde ich das DS mit auf die Firewall nehmen. Du hast ja immer noch die Option, die Logfiles von FW und IDS auf einem anderen Rechner zu speichern.

Alternativ kannst du natürlich auch eine DMZ aufbauen. In der stellst du dann Mailserver und Webserver - alles was von außen zugänglich sein muss, auf.

Da hast du dann praktisch 2 Firewalls.
Einfach mal googlen nach DMZ + Firewall. Dazu gibt es jede Menge Infos im Netz.

mfg

Doh!
26.01.04, 17:19
Sagt mal, wenn einer bei Euch an der Tür klingelt, dann haltet Ihr dem aber keine Pump-Gun unter die Nase, oder? :cool:

Nein im Ernst. Sicherheit ist natürlich ok, DS sollte sinnigerweise nicht auf der FW laufen. Ne DMZ bei so einem kleinen Netz ist eher übertrieben

filou
26.01.04, 17:48
Original geschrieben von Doh!
Sagt mal, wenn einer bei Euch an der Tür klingelt, dann haltet Ihr dem aber keine Pump-Gun unter die Nase, oder? :cool:
[..]

Naja, wenn er es bis zur Klingel schafft, da sind ja noch die Wachhunde, der Stacheldraht, der Burggraben....:D

Ne, is scho recht - aber eine Option ist es allemal. Wenn in dem Netz jetzt sehr vertrauliche Sachen liegen würden....
Es ist aber auch ein erheblich größerer Adminaufwand das ganze zum Laufen bekommen.
Egal - 100% Sicherheit gibt es eh nicht - außer man benutzt den Seitenschneider.

mfg

socrates
26.01.04, 18:26
hi leute,
danke für eure antworten.
das mit den daten ist so ne sache, da liegen kunden- und andere wichtige daten, die schon schützenswert sind.
wenn das ids (wollte snort) einstezen nicht auf der Fw laufen soll, dann davor?
und die firewall mit router direkt dahinter sehe ich das richtig?
hinter der fw dann die anderen rechner?
soc.

filou
26.01.04, 21:23
Ui ui,

Firewall is so ein komplexes Thema:eek:

Also, zum IDS:
IDS können sowoh vor der FW eingesetzt werden, wie auch auf oder hinter der FW.
Vor der FW können IDS als Frühwarnsystem agieren.
Hinter der FW können sie ggf. helfen einen "Durchbruch" zu erkennen. Hast dir nen Trojaner/Backdoor/Rootkit eingefangen, das nun deine Passwörter nach außen schicken möchte.
Auf der FW eingesetzt hilft es, Attacken gegen die FW zu erkennen.

Natürlich kannst du auch alle drei Methoden kombinieren.

Am sinnvollsten ist es wohl, ein IDS zu benutzen, dass als eine Art Vorwarnsystem funktioniert. Das heißt, das IDS muss vor die FW. Das, was das IDS dir dann mitteilt, bei ordentlichen Regeln, ist das recht viel :) - benutzt du dann um deine FW entsprechend zu "stärken".

Deine Reihenfolge aus Richtung Internet kommend: IDS -> Router -> FW -> LAN

Besorg dir am besten Literatur, im Netz oder als Buch und lies dich ein. FW ist nicht nur Software, sondern ein Konzept. Es nützt nix ein paar Rules aufzustellen und dann auf die FW nie wieder ein Auge zu werfen.

mfg

socrates
26.01.04, 21:34
hi filou,
habe mir die literatur von o'reilly zugelegt und schon fleissig gelesen.
"sichere server mit linux", "linux-firewalls" und "linux server hacks".
wie schon die klitschkos sagten "schwere kost" :ugly: .
werde mich dann am we mal hinstezen und mein sys umbauen.
mal sehen, was dabie rauskommt.
nochmal sdanke an alle!
soc.