nicht angemeldet
Neustrukturierung eines Netzwerkes
Hallo Forum,
ich brüte gerade über einer möglichen Neukonfiguration unseres kanzleiweiten Netzwerkes. Folgendes ist der aktuelle Stand:
- Server mit Windows 2000 Terminal Server,
- 20 Arbeitsplätze mit verschiedensten lokalen Betriebssystemen (Windows 98, Windows 2000 und Windows XP Pro),
- Jeder Mitarbeiter kann von seinem Arbeitsplatz aus über den IE (Version 5.5 bzw. 6.0) ins Internet (Zugang über LAN),
- T-DSL Flat (permanent online)
Nun habe ich Bedenken bezüglich der Mandantendaten. Es ist zwar eine Firewall installiert, aber die kann man ja - wenn man will - knacken. Die Serversoftware kann ich nicht ändern, sonst funzt unser Beratungsprogramm nicht mehr. Die Mitarbeiter brauchen zu 99% einen Onlinezugang für verschiedenste Sachen. Was haltet ihr von der obigen Lösung (gut oder weniger gut), was denkt ihr könnte man optimieren.
Vielen Dank
Euer Siechfred
-
Hallo Forum,
Hallo Du!
- Server mit Windows 2000 Terminal Server,
- 20 Arbeitsplätze mit verschiedensten lokalen Betriebssystemen (Windows 98, Windows 2000 und Windows XP Pro),
- Jeder Mitarbeiter kann von seinem Arbeitsplatz aus über den IE (Version 5.5 bzw. 6.0) ins Internet (Zugang über LAN),
- T-DSL Flat (permanent online)
Hm. Router oder ICS? (Internetverbindungsfreigabe, Gemeinsame Nutzung des Netzwerkes?
Ich würde einen der gängigen Harwarerouter für's DSL benutzen. Die haben gar nicht mal so üble Firewalls und bei richtiger Konfiguration sind die kaum zu knacken, eben weil die Dingens eben fast nichts können.
fastix®
Natürlich werden gleich ein paar schreien, die eine professionellere Lösung vorschlagen. Aber meine ist bezahlbar... -
Hi Siechfred,
Es ist zwar eine Firewall installiert, aber die kann man ja - wenn man will - knacken.
Je weniger die Firewall kann und tun muß, um so niedriger ist die Komplexität ihrer Software und die Wahrscheinlichkeit, daß sie einen Bug enthält.
Verwende etwas möglichst Primitives und Spezialisiertes - am besten eine separate Hardware-Lösung, nicht etwa eine "Personal Firewall" auf einem PC oder so. Dieser Baustein wird nicht der billigste in Deinem Netzwerk werden - sowohl, was die Hardware angeht, als auch bezüglich der Zeit, die Du zum Konfigurieren und Pflegen brauchen wirst ...
Und überlege Dir, ob Du Inhalte filtern willst (ggf. auch Java-Applets und ActiveX-Zeug - es gibt seeehr leistungsfähige und teuere Firewalls ... bei uns werden z. B. sogar HTML-Dokumente geparsed und dynamisch umgeschrieben) und ob Du eine Adreßübersetzung zwischen der realen Welt und Deinem Büro verwenden möchtest.
"Firewall-Administrator" ist ein eigener Beruf, wenn Du es richtig machen willst.Die Mitarbeiter brauchen zu 99% einen Onlinezugang für verschiedenste Sachen.
Aber nur über einen Proxy-Server, den Du in die Browser-Konfiguration eines jeden einzelnen Arbeitsplatzes manuell eintragen kannst. (Damit sehen fremde Maschinen schon mal nicht mehr die IP-Adressen der Arbeitsplatz-PCs, sondern nur noch diejenige des Proxy-Servers.)
Ein direkter DSL-Anschluß am Arbeitsplatz ist nicht notwendig.Was der Proxy können muß, hängt davon ab, was Deine Mitarbeiter tun müssen - wahrscheinlich reicht aber erst mal ein HTTP-Proxy (ggf. können HTTPS und FTP hinzukommen).
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)-
Aber nur über einen Proxy-Server, den Du in die Browser-Konfiguration eines jeden einzelnen Arbeitsplatzes manuell eintragen kannst. (Damit sehen fremde Maschinen schon mal nicht mehr die IP-Adressen der Arbeitsplatz-PCs, sondern nur noch diejenige des Proxy-Servers.)
Ein direkter DSL-Anschluß am Arbeitsplatz ist nicht notwendig.Was der Proxy können muß, hängt davon ab, was Deine Mitarbeiter tun müssen - wahrscheinlich reicht aber erst mal ein HTTP-Proxy (ggf. können HTTPS und FTP hinzukommen).
Im Prinzip hast du ja recht... ich muss nur bemerken das bei 20 Mitarbeitern ein Router wesentlich besser ist da ein Proxy die Leitung nach den angemeldeten Stationen verteilt, das heisst das auch bei nichgenutzten Arbeitzplätzen die bei einem proxy angemeldet sind die Leitung mit bereitgestellt wird und so die Performance der anderen erheblich eingeschränkt wird. Ein Router verteilt je nach Bedarf. Zur Sicherheit gibt es zugegeben nicht ganz billige aber dafür effiziente Firewallboxen die einfach zwischengeschaltet werden. Ich denke für sensible Daten wie die von MAndanten sollte doch der effizienteste Schutz aber ohne Performanceeinbuß genommen werden.
-
Hi dave,
Im Prinzip hast du ja recht... ich muss nur bemerken das bei 20 Mitarbeitern ein Router wesentlich besser ist da ein Proxy die Leitung nach den angemeldeten Stationen verteilt, das heisst das auch bei nichgenutzten Arbeitzplätzen die bei einem proxy angemeldet sind die Leitung mit bereitgestellt wird und so die Performance der anderen erheblich eingeschränkt wird. Ein Router verteilt je nach Bedarf.
Ob die NAT via Proxy oder via intelligenter Hardware erfolgt, ist in der Tat eine Frage von Preis, Kenntnissen und Performance-Ansprüchen - full Ack.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
-
-
Hallo Michael,
"Firewall-Administrator" ist ein eigener Beruf, wenn Du es richtig machen willst.
Nee, danke ;-)
Aber nur über einen Proxy-Server, den Du in die Browser-Konfiguration eines jeden einzelnen Arbeitsplatzes manuell eintragen kannst. [...] Ein direkter DSL-Anschluß am Arbeitsplatz ist nicht notwendig.
Ist schon geschehen, das Problem ist, dass die Datenbank des Beratungsprogrammes auf dem Server liegt, auf den lokalen Rechnern ist außer mitarbeiterspezifischen Programmen nichts wirklich schützenswertes.
Was der Proxy können muß, hängt davon ab, was Deine Mitarbeiter tun müssen - wahrscheinlich reicht aber erst mal ein HTTP-Proxy (ggf. können HTTPS und FTP hinzukommen).
HTTPS muss sein (für die Abwicklung von Zahlungsverkehr; Stichwort Onlinebanking).
mfg Torsten
--
Opinions are like assholes: everybody has one.
ss:| zu:| ls:# fo:| de:[ va:| ch:? n4:& rl:? br:& js:| ie:% fl:( mo:}
-