Peter Kuechler
Gestern bekam ich mitgeteilt, das die das ganze Gerödel von einer Fremdfirma auf MS Windows2000/XP umstellen lassen, alles mit Active Directory:-(
Kann mir jemand einen Tip geben, was da bei der Umstellung auf mich zukommt? Kann man das mit Samba regeln?
Beileid :( ... Leider kann ich Dir zu Active Directory nichts gross sagen. Tut mir leid.
Genau so hatte ich ursprünglich eine zweistufige Firewall mit zwei getrennten Linuxrechnern und DMZ dazwischen geplant. Davon wollen sie die Innere auch gleich einkassieren, weil das alles so schön passt und man die Ip-Adressen, die Zugangsrechte zum Internet usw. alles automatisch mit Windows von diesem Rechner aus machen kann.
Ähm ... Wenn ich Dich richtig verstanden habe (Bitte sag mir, dass es nicht so ist!!) wollen die: 1) Keine DMZ (D.h. von aussen zugängliche Server sind innerhalb des lokalen Netzes? Und als Server soll gar IIS eingesetzt werden?) 2) Die Firewall / Router zum Netz soll auf Windows liegen? Zu beiden Dingen muss ich sagen: Ich bin ratlos. a) Ich würde NIE Windows als Firewall für ein Netzwerk nehmen. Begründung: Je grösser und komplexer etwas ist, desto grösser sind die Fehlermöglichkeiten. Eine Firewall bei mir ist eine Firewall. Ich gebe lieber etwasmehr Geld aus und kaufe eine embedded Lösung oder ich baue ein minimales System auf. Auf keinen Fall ist die Firewall veränderbar! (Wenn die Firewall gehackt wird, dann können alle Regeln nach belieben von den Angreifern geändert werden!) Also eine Read-Only Lösung muss her. www.fli4l.de ist eine Lösung (für dich weniger geeignet) und SuSE Firewall Lösung oder sentrycd oder so schon eher was gutes! b) Eine DMZ ist eine Gefahr. Ein IIS sowieso! Irgend wer hat vor kurzem ja geschrieben, wie man den IIS sicher bekommt (So ohne Netzverbindung in einem geschlossenen Behälter tausende Meter unter Wasser umgeben von Schlamschichten mit über 100 m Dicke und vielen Giften, so dass da auch wirklich nie ein lebewen dran kommen kann) :-)) Jeder Zugriff von Aussen kann ein Angriff sein. Selbst im Apache mach ein Bug drin sein. Irgend eine Anfälligkeit halt. Auf diese Server kann von aussen zugegriffen werden. Auf das interne Netz darf aber NIE ein Zugriff von aussen kommen. Zugriffe lasse ich maximal von innen nach aussen zu und auch dann am besten nur zu bestimmten Servern (z.B. Zugriff nur via Proxies). Und dann scanne ich alle Zugriffe, die so auflaufen. (Nimda, Code Red und wie sie alle heissen sollte doch noch ein begriff sein! So fahrlässig können die doch gar nicht handeln wollen! Sag das mal deinem Chef!)
Ich könnte wetten, wenn ich nicht noch die SPARC-Clients hätte, dann hätte er die Fileserver gleich auch noch in sein "Konzept" mit eingebunden:-(
Naja - dagegen spricht ja nichts. Es mag durchaus auch Gründe für Windows geben. Aber in gewisse Bereiche gehören sie absolut nicht! Wie kann ich einen Rechner als Firewall nutzen wollen, wenn der Hersteller behauptet, dass sich selbst der Webbrowser nicht entfernen lässt. Es MUSS!!! ein minimales System sein! Und das kriegt man mit W2K oder XP 100% NICHT hin. Ein Embedded Windows würde ich zur Not akzeptieren, aber doch nicht so eine Schrott Lösung. Spielconsole und Firewall in einem Rechner passt nunmal nicht! Ich würde dagegen nicht zu sehr protestieren (Weil Du damit nicht zuviel erreicht). Bleib ruhig und sag dem Chef ganz deutlich, was für Bauchschmerzen Du damit hast! Am besten schriftlich! Bitte Ihn, zur Not eine weitere unabhängige Meinung einzuholen. Symantec hat z.B. auch so embedded Devices als Firewall und so im Angebot. Er kann sich ja z.B. von denen beraten lassen. Das kostet nichts und er kriegt - wenn er geschickt ist - auch eine Bewertung bzw. Gegenargumente zu Windows als Firewall. (Und unter uns gesagt: Ich würde eine solche Professionele Firewall einer Linux-Firewall vorziehen. Die Linux-Lösung erzeugt in mir immer das Gefühl des "gebastelten" / "Provisoriums". Da würde ich bei wichtigen Dingen nicht ruhig schlafen können. Hinzu kommen die Update- Intervalle. Linux ist active work. Wie oft kommen neue Kernels raus (stable!!! Ich rede nicht von 2.5.x oder so!!!). Wie viele Updates kommen da so im Jahr? Sind Dinge, die ich z.B. bei AIX nicht ganz so massiv habe. (= Weniger Arbeit = Weniger Kosten) Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53