Hallo Zusammen,
wir sind gerade dabei unsere Server Struktur auf einen neuen Stand zu bringen und wollen dafür von Server 2003 auf 2012 umstellen. Aufgrund der in den letzten Jahren massiv angestiegenen Gefahren durch Viren, Würmer etc., haben wir für die Server 2012 Umgebung folgenden Gedanken, der zwar nur halb etwas mit Lancom zu tun hat, mich aber trotzdem einmal Eure Gedanken und Vorschläge dazu interessieren würden.
Es handelt sich um eine klassische virtuelle Terminalserverumgebung, mit Domänencontroller bzw. AD, Printserver, Terminalserver etc. Wir wollen alle Server komplett per Deny-all Regel vom Internet trennen. Es soll lediglich einen Update Server für Windows- und Antivirenupdates geben, mit dem aber sonst keine Aufgaben im Internet wahrgenommen werden sollen. Es soll dann ein weiterer Internet-Terminalserver installiert werden, der nur für den Internetzugang gedacht ist und per Firewall auch dafür freigeschaltet ist. Der Browser vom Internet-Terminalserver soll dann per Remote-App in die Terminalserversession eingebunden werden, so dass der Internetzugang nur auf dem einem, dafür vorgesehenen Server stattfindet. Ggf. soll auch die Snapshot-Funktion genutzt werden, um den Server ab und an zurückzusetzen, so dass potentielle Infektionen definitiv gelöscht werden.
Der Internet-Terminalserver muss natürlich auch ins AD mit eingebunden sein, die Netzlaufwerke des jeweiligen Users müssen auch eingebunden sein damit ein Zugriff auf heruntergeladene Dateien besteht. Insofern stellt sich mir nun die Frage, was Ihr erstens grundsätzlich von diesem Aufbau haltet und wie ich den Internet-Terminalserver am besten einbinde. Soll er im gleichen Netz stehen, oder in einem durch unseren Lancom 7110+ separierten Internetzugangs-Netz (VLAN Funktionalität ist vorhanden)...Hat jemand einen ähnlichen Aufbau und kann ggf. Tipps geben??
Viele Grüße
blackeagle2002de
Virtueller Server für Internetzugang
Moderator: Lancom-Systems Moderatoren
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
-
garfield0815
Re: Virtueller Server für Internetzugang
Ist bestimmt alles machbar
Hat halt dan alles mit vlan und routing zu tuhen
Ich personlich bevorzuge da eine kombi aus utm und virenscanner am besten von 2 verschiedenen herstellern
Und zusetzlich die firewall im lancom
Hat halt dan alles mit vlan und routing zu tuhen
Ich personlich bevorzuge da eine kombi aus utm und virenscanner am besten von 2 verschiedenen herstellern
Und zusetzlich die firewall im lancom
-
crypticvision
- Beiträge: 157
- Registriert: 22 Mai 2009, 21:58
Re: Virtueller Server für Internetzugang
Wir haben auch mittlerweile etliches virtualisiert. Du kannst z.B. einen Proxy bzw. Firewall oder im einfachsten Falle einen RRAS Server in einer virtuellen Maschine aufsetzen und bindest das externe Interface an eine wirklich separate Netzwerkkarte, welche dann z.B. auf einen Lancom schaut, der für den eigentlichen Internetzugang zuständig ist. Ich halte das für sehr sicher. Bei allen Vorteilen von Virtualisierung, sollte man immer darauf achten, dass einem das ganze Konstrukt um die Ohren fliegt, wenn der Host den Geist aufgibt. Deshalb sind hier Backupszenarien unabdingbar.
Mal so als Wunsch fürs neue Jahr. Ich hätte gern einen virtuellen Lancom, den ich z.B. im Hyper-V einbinden kann. Wäre mir egal, wenn das Image genau so viel kostet, wie ein richtiger Router. Für die entsprechenden physikalischen Schnittstellen müsste man freilich selbst sorgen, aber ansonsten halte ich das für einen interessanten neuen Absatzmarkt für Lancom.
Mal so als Wunsch fürs neue Jahr. Ich hätte gern einen virtuellen Lancom, den ich z.B. im Hyper-V einbinden kann. Wäre mir egal, wenn das Image genau so viel kostet, wie ein richtiger Router. Für die entsprechenden physikalischen Schnittstellen müsste man freilich selbst sorgen, aber ansonsten halte ich das für einen interessanten neuen Absatzmarkt für Lancom.
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Virtueller Server für Internetzugang
Hi,
1. Man sollte aus Sicherheitsgründen nie einen gerouteteten Internetzugang für die Terminal User bereit stellen wegen Schadsoftware die es gleich mit ausnutzt, Ausnahme ist 4.
2. Hauptproblem bleibt ein gescheites Contentfiltering für versch. Kerberos/AD Usergruppen und das geht bei Terminal Servern nur mit Proxylösung - schließlich haben alle User die gleiche Terminal Server IP. Vergiss die Variante, dass ein User eine eigene IP für seine Sitzung erhalten kann. Das hat sich nicht bewährt. Ein Contentfilter blockt den ganzen Schadmüll sehr gut weg. 100% Sicherheit gibt es nie.
3. Wenn der User einen Download macht, landet es doch wieder auf den heiligen Terminal Servern.
4. Es gibt IMMER irgendeine Software, die selbst einen gerouteten Internetzugang braucht und auf jedem Terminal Server benötigt wird, z.B. Bankprogramm (Proficash) ... -> Firewall Regel auf Internet Ziel IP
5. Eine gescheite Terminalserver Farm funktioniert nur mit identischen Servern. Blöd wenn der eine "Internet" Terminal gerade mal nicht geht und vor allem nur dort die Internetzugriffsprogramme (Bankprogramm) verfügbar sind.
6. Unbedingt eine terminalserverfähige Virenschutzlösung einsetzen. Je nach Produkt braucht diese selbst vielleicht auch einen Internetzugang oder eigenen AV Server installieren?
7. Die User sollten keinen Zugriff auf die lokalen Laufwerke (C:\,D:\...) des Terminal Servers haben und zusätzlich ausblenden -> GPOs
8. Die User sollten keine Adminrechte in ihrer Terminal Sitzung haben.
9. Es versteht sich von selbst, dass man auf einem Terminal Server mit einem Mailprogramm arbeitet, welches an einem Hauseigenen Mailserver angeschlossen ist, da hat kein Pop3, smtp Abruf ausm Internet was auf einem Terminal Server verloren.
10. Müssen wirklich die lokalen Laufwerke des Arbeitsplatz Computers in die Terminal Sitzung eingebunden werden?
11. Man sollte die Terminal Sitzung mit GPOs echt beschnibbeln. Du brauchst Tipps? -Schreib ne PN.
Wir haben seit 8 Jahren Terminal Server, inzwischen 4 virtuelle Terminal Server unter 2008R2 mit Session Broker. Darauf sind max ca. 160 User eingeloggt (aber nie alle da). Die Server sind völlig identisch, ich kann problemlos einen, notfalls 2 vom Netz nehmen und es geht weiter. Der Internetzugang geht für alle über Proxy Baraccuda Webfilter (vorher Websense gehabt). Die Gateway IP ist für jeden Terminal Server der Lancom 1781EF mit Deny All für Internet und Allow All für VPN Tunnel. Es gibt Ausnahmen für Deny All Internet wie oben unter 4. Das Mailprogramm ist Outlook mit Exchange Server. Unsere User sind neben 160 Mitarbeitern ca. 100 Jugendliche, die echt alles ausprobieren, aber es gab noch nie ernsthafte Probleme mit Viren. Die Terminal Server stehen alle im gleichen IP Netz wie alle anderen Server und Clients, abgesehen von den anderen VPN Standorten. Die lokalen Laufwerke des Arbeitsplatz Computers werden bei niemandem in die Session eingebunden. Könnte ja jeder per USB Stick Daten (Viren) mitbringen.
Terminal Server hat man sehr gut im Griff. Sie werden sehr gut abgesichert mit GPOs und man überlegt 3x mal, bevor man etwas auflockert. Dagegen sind Einzelplatz Computer eine echte Seuche. USB Sticks, Kameras, CDs der ganze Kram wird eingeschleppt. Vielleicht noch ein gerouteter Internetzugriff und der User hat auch noch Admin Rechte, dann sind Viren und Co schneller da im Netz als man denkt.
vg Heiko
DNS Auflösung ins Internet braucht man aber auch.Wir wollen alle Server komplett per Deny-all Regel vom Internet trennen. Es soll lediglich einen Update Server für Windows- und Antivirenupdates geben, mit dem aber sonst keine Aufgaben im Internet wahrgenommen werden sollen.
Die Lösung ist eher nicht zu empfehlen.Es soll dann ein weiterer Internet-Terminalserver installiert werden, der nur für den Internetzugang gedacht ist und per Firewall auch dafür freigeschaltet ist. Der Browser vom Internet-Terminalserver soll dann per Remote-App in die Terminalserversession eingebunden werden, so dass der Internetzugang nur auf dem einem, dafür vorgesehenen Server stattfindet.
1. Man sollte aus Sicherheitsgründen nie einen gerouteteten Internetzugang für die Terminal User bereit stellen wegen Schadsoftware die es gleich mit ausnutzt, Ausnahme ist 4.
2. Hauptproblem bleibt ein gescheites Contentfiltering für versch. Kerberos/AD Usergruppen und das geht bei Terminal Servern nur mit Proxylösung - schließlich haben alle User die gleiche Terminal Server IP. Vergiss die Variante, dass ein User eine eigene IP für seine Sitzung erhalten kann. Das hat sich nicht bewährt. Ein Contentfilter blockt den ganzen Schadmüll sehr gut weg. 100% Sicherheit gibt es nie.
3. Wenn der User einen Download macht, landet es doch wieder auf den heiligen Terminal Servern.
4. Es gibt IMMER irgendeine Software, die selbst einen gerouteten Internetzugang braucht und auf jedem Terminal Server benötigt wird, z.B. Bankprogramm (Proficash) ... -> Firewall Regel auf Internet Ziel IP
5. Eine gescheite Terminalserver Farm funktioniert nur mit identischen Servern. Blöd wenn der eine "Internet" Terminal gerade mal nicht geht und vor allem nur dort die Internetzugriffsprogramme (Bankprogramm) verfügbar sind.
6. Unbedingt eine terminalserverfähige Virenschutzlösung einsetzen. Je nach Produkt braucht diese selbst vielleicht auch einen Internetzugang oder eigenen AV Server installieren?
7. Die User sollten keinen Zugriff auf die lokalen Laufwerke (C:\,D:\...) des Terminal Servers haben und zusätzlich ausblenden -> GPOs
8. Die User sollten keine Adminrechte in ihrer Terminal Sitzung haben.
9. Es versteht sich von selbst, dass man auf einem Terminal Server mit einem Mailprogramm arbeitet, welches an einem Hauseigenen Mailserver angeschlossen ist, da hat kein Pop3, smtp Abruf ausm Internet was auf einem Terminal Server verloren.
10. Müssen wirklich die lokalen Laufwerke des Arbeitsplatz Computers in die Terminal Sitzung eingebunden werden?
11. Man sollte die Terminal Sitzung mit GPOs echt beschnibbeln. Du brauchst Tipps? -Schreib ne PN.
Wir haben seit 8 Jahren Terminal Server, inzwischen 4 virtuelle Terminal Server unter 2008R2 mit Session Broker. Darauf sind max ca. 160 User eingeloggt (aber nie alle da). Die Server sind völlig identisch, ich kann problemlos einen, notfalls 2 vom Netz nehmen und es geht weiter. Der Internetzugang geht für alle über Proxy Baraccuda Webfilter (vorher Websense gehabt). Die Gateway IP ist für jeden Terminal Server der Lancom 1781EF mit Deny All für Internet und Allow All für VPN Tunnel. Es gibt Ausnahmen für Deny All Internet wie oben unter 4. Das Mailprogramm ist Outlook mit Exchange Server. Unsere User sind neben 160 Mitarbeitern ca. 100 Jugendliche, die echt alles ausprobieren, aber es gab noch nie ernsthafte Probleme mit Viren. Die Terminal Server stehen alle im gleichen IP Netz wie alle anderen Server und Clients, abgesehen von den anderen VPN Standorten. Die lokalen Laufwerke des Arbeitsplatz Computers werden bei niemandem in die Session eingebunden. Könnte ja jeder per USB Stick Daten (Viren) mitbringen.
Terminal Server hat man sehr gut im Griff. Sie werden sehr gut abgesichert mit GPOs und man überlegt 3x mal, bevor man etwas auflockert. Dagegen sind Einzelplatz Computer eine echte Seuche. USB Sticks, Kameras, CDs der ganze Kram wird eingeschleppt. Vielleicht noch ein gerouteter Internetzugriff und der User hat auch noch Admin Rechte, dann sind Viren und Co schneller da im Netz als man denkt.
vg Heiko
Man lernt nie aus.
-
Christoph_vW
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: Virtueller Server für Internetzugang
da gibt es bessere Lösungen...
EMET und AppLocker (mit DLL Regeln) auf alle Clients und Server ausrollen und Ruhe ist. Dann können die auch noch so viele USB Sticks anschliessen oder Trojaner runterladen - die werden dann nur nicht mehr funktionieren.
EMET und AppLocker (mit DLL Regeln) auf alle Clients und Server ausrollen und Ruhe ist. Dann können die auch noch so viele USB Sticks anschliessen oder Trojaner runterladen - die werden dann nur nicht mehr funktionieren.