PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : E-Mail und Internet Gateway gestalten



mullfreak
25.02.05, 09:50
Hallo,
ich muss für eine Firma mit ca. 50 Mitarbeiter eine Sicherheitslösung bezüglich E-Mailing (Spam und Virus) und einen Internetgateway entwerfen.
Aufgrund der Kostenfrage werden wir uns für Linux Suse 9.1 entscheiden und nicht auf kommerzielle Anbieter zurückgreifen.
Nun will ich zur Internetverteilung Squid als Proxy einsetzen. Als Firewall reichen mir die Suse 9.1 internen Bordmittel völlig aus. Als E-Mail Gateway will ich Postfix mit Spamassassin einsetzen.
Jetzt geht mir noch eine Antivirenlösung für den E-Mail Verkehr ab. Was kann ich hier verwenden? Reichen die obigen Komponenten aus um einen Gateway aufzubauen?
Die Abholung der Mails wird nicht mit Fetchmail oder so gestaltet. Es gibt MX-Einträge beim Provider die auf die feste öffentliche IP des Kunden zeigen.

Grüsse
Mullfreak

f_m
25.02.05, 10:18
Hallo,
ich muss für eine Firma mit ca. 50 Mitarbeiter eine Sicherheitslösung bezüglich E-Mailing (Spam und Virus) und einen Internetgateway entwerfen.
Aufgrund der Kostenfrage werden wir uns für Linux Suse 9.1 entscheiden und nicht auf kommerzielle Anbieter zurückgreifen.
auch SuSE ist ein kommerzieller Anbieter ;)

Nun will ich zur Internetverteilung Squid als Proxy einsetzen. Als Firewall reichen mir die Suse 9.1 internen Bordmittel völlig aus.
ja, ist kein Problem - SuSEfirewall2 als iptables firewall und zus. den Squid als apllication level Fw. sollte wenn gut konfiguriert recht sicher sein - hab' ich hier bei mir auch :)
Cisco &Co. ist natürlich noch besser aber halt 'ne Kostenfrage ...

Als E-Mail Gateway will ich Postfix mit Spamassassin einsetzen.
Jetzt geht mir noch eine Antivirenlösung für den E-Mail Verkehr ab. Was kann ich hier verwenden?
antivir ist glaub ich frei ...
bei 'nem Unternehmen mit doch 50MA wäre es aber vielleicht überlegenswert doch einen professionellen Virenscanner einzusetzen wie NOD32, Norton, ...

Gruß, f_m

bla!zilla
25.02.05, 10:31
Hallo,
ich muss für eine Firma mit ca. 50 Mitarbeiter eine Sicherheitslösung bezüglich E-Mailing (Spam und Virus) und einen Internetgateway entwerfen.


Meine Frage ist nicht böse gemeint, aber hast du das KnowHow für sowas? Das ist ja jetzt nicht mehr "Ich bringe unsere WG ins Internet", sondern schon etwas ernster.



Aufgrund der Kostenfrage werden wir uns für Linux Suse 9.1 entscheiden und nicht auf kommerzielle Anbieter zurückgreifen.


SUSE ist ein kommerzieller Anbieter. Ich denke du meinst Anbieter wir TrendMicro, die ja die komplette Bandbreite an Gateway-Security Produkten haben.



Nun will ich zur Internetverteilung Squid als Proxy einsetzen.


Sicher das bei dem Kunden keine Anwendungen vorhanden sind, die nicht mit einem Proxy umgehen können?



Als Firewall reichen mir die Suse 9.1 internen Bordmittel völlig aus.


Die solltest du aber per Hand nacharbeiten und auf die Kundenbedürfnisse anpassen.



Als E-Mail Gateway will ich Postfix mit Spamassassin einsetzen.
Jetzt geht mir noch eine Antivirenlösung für den E-Mail Verkehr ab. Was kann ich hier verwenden? Reichen die obigen Komponenten aus um einen Gateway aufzubauen?


Ob das ausreicht hängt von den Kundenwünschen ab.



Die Abholung der Mails wird nicht mit Fetchmail oder so gestaltet. Es gibt MX-Einträge beim Provider die auf die feste öffentliche IP des Kunden zeigen.


Dann solltest du dir auf jeden Fall genau überlegen was du machst. Läuft das von dir installierte Gateway nicht, bekommt der Kunde keine Mails. Hast du bei der Relaykonfiguration geschlafen, missbrauchen wohlmöglich Spammer den Server zum Versand ihrer Spammails usw.

mullfreak
25.02.05, 11:15
Hallo,
danke für Eure Antworten.
Ich denke das KnowHow ist vorhanden, bis auf Postfix. Hier muss ich noch nacharbeiten.
Was ein größeres Problem wird, ist die Veröffentlichung von z. B. Outlook Web Access oder Terminalserver z. B.
Ich denke, hier reicht ein Reverse Proxy, z. B. mit einem Apache der die Anfragen von außen an die jeweiligen internen Server weiterleitet.
Bisher dürfen nur zwei Rechner beim Kunden "richtig" im Internet surfen. Also ohne Beschränkung. Alle anderen dürfen nur Port 80 und sonst nix verwenden. Dies müsste mit Squid realisierbar sein wenn man feste IP Adressen verwenden kann.
Die ganze Umgebung muss natürlich vorher gut getestet werden. Am besten produktiv, d. h. ich werde in unserer Firma unseren ISA 2004 gegen solch einen Gateway austauschen und eine Zeit laufen lassen.
Da ich keinen Zeitdruck habe, kann ich mich perfekt auf diese Konfiguration einarbeiten und ausarbeiten.
Ich werde wieder berichten.

Grüsse
Mullfreak

bla!zilla
25.02.05, 11:21
Hallo,
danke für Eure Antworten.
Ich denke das KnowHow ist vorhanden, bis auf Postfix. Hier muss ich noch nacharbeiten.

Gerade Postfix ist äußerst kritisch. Ein Fehler und der Server steht samt IP bei diversen Blacklists.



Was ein größeres Problem wird, ist die Veröffentlichung von z. B. Outlook Web Access oder Terminalserver z. B.


Vorsicht! Habt ihr einen Exchange in einer DMZ, der als Frontend Server dient? Wenn nicht, Finger weg! OWA ist viel zu kritisch um es von außen einfach durchzulassen. Wenn ihr Dienste wie WTS usw. hinter einer Firewall nutzen sollt, denkt über ein VPN nach.



Ich denke, hier reicht ein Reverse Proxy, z. B. mit einem Apache der die Anfragen von außen an die jeweiligen internen Server weiterleitet.


Dann doch lieber iptables und Port-Forwarding. Da hat man IMHO mehr Möglichkeiten.



Bisher dürfen nur zwei Rechner beim Kunden "richtig" im Internet surfen. Also ohne Beschränkung. Alle anderen dürfen nur Port 80 und sonst nix verwenden. Dies müsste mit Squid realisierbar sein wenn man feste IP Adressen verwenden kann.


Du kannst auch über Domainnames oder mittels User-Auth reglementieren. Alles eine Frage wie man die ACL setzt.

steve-bracket
25.02.05, 12:36
Hi

Also Antivir von HBEDV ist nicht frei, um das Programm inklusive Updatefunktion benutzen zu können ist ein Schlüssel erforderlich.
Dieser wird Privatanwendern kostenlos angeboten, nachdem es sich in deinem Fall um keinen Privatanwender handelt fällt Antivir flach. (verständlicherweise)

Ein möglicher Antivirenscanner wäre wohl CLAMAV. (man möge mich verbessern falls ClamAV auch lizensiert ist)

Was den MTA angeht, UNBEDINGT voher einlesen.
Postfix und SuSE sind zwar in der DefaultConfig sofort einsatzbereit, aber die Anforderungen sind nicht überall gleich, sodass gewisse Punkte einfach in keine Standartconfig passen.

Wobei (als gut gemeinten Rat) eine Businessprodukt von SuSE/RH/welcher Distributor auch immer wohl vernünftiger wäre.
(längere Produktlaufzeiten usw..............)

Viele Grüsse
Steve