Sicherheitskonzept

U

uhassold

Neuling
Thread Starter
Mitglied seit
19.09.2009
Beiträge
8
Hallo,

ich habe eine Frage, was haltet ihr von folgenden Sicherheitskonzept?
Folgende Komponenten sollen verwendet:
1. Router: Cisco 2821 Router mit ADSL Modem und NAC Modul
2. Firewall Appliance: Cisco ASA 5510 mit IDS/IPS Modul
3. Proxy Server: Microsoft ISA 2006 bzw. den neuen TMG Server, Symantec Endpoint Protection, Exchange Edge Server

a)Nun habe ich ein paar Fragen: Was haltet ihr von der von mir vorgeschlagenen Lösung?
b)Würdet ihr das VPN auf dem Router oder auf der ASA verarbeiten?
c)Da der Router als auch die ASA Firewalldienste bereitstellt, welche sollen auf dem Router aktiviert werden und welche auf der ASA? Oder würdet ihr auf dem Router nur mit ACLs arbeiten?
d)An welcher Stelle würdet ihr die APs installieren, ein isolierter Gast-WLAN soll möglich sein.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Sollte das Projekt wirklich zustande kommen...:

Hast Du dir über die Folgekosten Gedanken gemacht?
Klar, Cisco ist toll, keine Frage. Die Funktionen sind auch großartig...
Leider ist der Support aber nicht gerade der Beste (vorallem wenn er ausgelaufen ist) und man zahlt dafür auch nicht wenig. Ob man Cisco unbedingt benötigt außer vielleicht als Gateway zwischen zwei Standorten?
In meinen Augen eher etwas für Rechenzentren die ihre eigenen Techniker haben.
Mit "mal eben umkonfigurieren" ist halt nicht.


Aber fangen wir mal von vorne an:

Was benötigst Du wirklich? Wie groß ist das Unternehmen?
Welches jährliches Budget kann sie für IT ausgeben? Gibt es interne ITler?
Wieviele Standorte gibt es? Worüber sind sie angebunden? Welchen Provider gibt's?
Wie ist die interne Verkabelung?

Alles in allem würde ich hier auf eine redundante Lösung setzen und eine UTM-Appliance bevorzugen (bzw zwei)...
 
Ich würde halt gerne bei folgenden Herstellern bleiben da bei uns das wie folgt aufgeteilt ist und wir bis jetzt sehr gute Erfahrungen gemacht haben:

Hardware Server/Drucker/Storage: Hewlett Packard
Hardware Netzwerk/TK: Cisco
Server: nur Windows Server, vereinzelt sind Mac Notebooks angeschlossen

Nun zu deinen Fragen:
Standort bis jetzt einer!
Es sind etwa 30 Mitarbeiter in unseren tätig.
Zur Verkabelung: bis jetzt läuft alles Zentral über einen 48 Port 3750 Switch 1000 Mbit von Cisco. Zusätzlich haben wir noch einen 2940 Admin Switch welcher keinen Internetverbindung hat, worüber die Geräte im Rack administriert werden.
 
Wie schon erwähnt, Cisco ist gut. Keine Frage. Schlechtreden möchte ich Cisco bestimmt nicht.. sonst wäre das Geld ja rausgeschmissen ;-)

Ich dachte wir sprechen hier von 2-3 Standorten mit > 100 Mitarbeitern...

Jedoch hinkt dort das P/L Verhältnis hinterher und in einem 30 Mann Unternehmen wirklich nicht gerade kostengünstig...
Wer administriert die Dinger denn? Interne, Externe?

Ich frage mich immer was die Kunden wünschen:
Ausfallsicherheit oder ein "großer" Name der auf den Geräten steht.
Viel Überzeugungsarbeit benötigt es dann nicht mehr gerade wenn man von dem "was man kennt" in eine intuitive Bedienung kommt....

Zudem verstehe ich schon den Sinn nicht zwei Geräte zu benutzen... der Konfigurationsaufwand steigt, die Fehleranalyse dauert länger, Hardware- und Stromkosten steigen.
Wenn eins ausfällt ist trotzdem erstmal sense (was bei 30 Mitarbeitern vielleicht noch zu verkraften ist)

Mit den Geräten machst Du nichts "falsch", ob ihr sie benötigt bezweifel ich jedoch stark.
Es gibt ja guten und leicht zu konfigurierbaren Ersatz mit klasse Service.

Das WLan kannst Du getrost in eine DMZ stecken und dann nur HTTP durchlassen. Sollte i.d.R. reichen...

Gleiches gilt übrigens für die Endpoint Protection... wenn man bei der "Konkurrenz" für den Preis mindestens doppelt so viele Clients inkl Server und Exchange versorgen kann und es schneller läuft... dann merkt man schnell dass sich ein Wechsel lohnt...

Entschuldige... aber dass ist meine Ansicht nachdem ich mit Cisco und anderen Herstellern arbeiten durfte.

Das VPN soll nur für die Mitarbeiter sein, ja?

VPN würde ich auf die Firewall legen und auch nur diese Konfigurieren.
Ob Du mit verschiedenen Netzen arbeitest bleibt dir überlassen... ;-)

Viele Grüße,
Daenni
 
naja ehrlich gesagt sind wir noch am überlegen was evtl. besser ist:

2x Cisco ASA 5510 mit folgenden Modulen 1x IDS/IPS, 1x Anti-X
oder eben
1x Cisco ASA 5510 und einmal Microsoft ISA

Konfiguriert und administriert wird das von jemand intern, wobei das schöne an HP und Cisco ist wenn etwas defekt ist was bisjetzt nur bei Festplatten vorgekommen ist wir innerhalb von 4 Stunden ersatz haben.
Ein paar Fragen habe ich jedoch noch:

a) Welche Software würdest du anstatt Endpoint Protection wählen, diese sollte allerdings auch Macs unterstützen.

b) Ist es sinnvoll den Edge Server auf dem ISA Server zu installieren.

c) Macht ein WLAN Kontroller bei 2-3 Access Points Sinn?

d) Würdest du die DMZ an der ASA oder am ISA platzieren.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh