Nyt net vaerk skal etableres, hvad har jeg brug for at koebe

du skal bruge

En ordentlig router, der heldst har stateful inspection og gerne vpn mulighed.

En firewall med mindst 3 netkort. Dette kunne f.eks. være en linuxbox der sagtens kan håndterer denne opgave.

Resten er opsætning af maskiner og servere i forskellige fysiske zoner (netkort i firewallen) hvor meget du gør ud aftingene afhænger af dit sikkerhedsbehov.

Du kan f.eks., hvis du ønsker stor sikkerhed på mail siden, køre med mail relay. En sådan mail relay server kan bl.a. bringes til at rense header oplysninger fra udgående mail og til at foretage virusscanning af mail inden det kommer ind i nettet.

Vil du have forøget sikkerhed også på web, kan du på linux boxen installerer Squid der giver dig applikations proxy level filtrering på http (web)

Løsningen jeg her skitserer giver rigtig god sikkerhed og er meget scallerbar.

Spørg hvisder er ting du ikke helt forstår

Tak for det hurtige svar.
Ja der er en hel del jeg ikke forstaar.

"En ordentlig router, der heldst har stateful inspection og gerne vpn mulighed."
Kan du komme med et eksempel paa en sadan en?

"En firewall med mindst 3 netkort. Dette kunne f.eks. være en linuxbox der sagtens kan håndterer denne opgave."
Betyder det jeg skal have to maskiner koerende?
Kan det ikke foregaa paa min server?
Hvis ikke kan man koebe en faerdig box?

Du skrev ikke noget med VPN, betyder det at det bare skal saettes op?

Skal jeg overhovedet brug ISA 2004 serveren med den loesning du skitserer?

Jeg har selv en Linksys AG041, denne model laves dog ikke mere. Grunden til jeg har en linksys er at det er et datter selskab af Cisco der er markedsførende på området. Et alternativ kunne være en Cisco 2600 serie router der kan fås med flere interfaces og det der hedder firewall featureset. Hvad den koster er jeg ikke helt sikker på, men det er en god professionel router.

En firewall må(bør) ikke være installeret direkte på en server. En rigtig firewall skal placeres foran det den beskytter. og skal du opdele tingene i zoner, er det helt nødvendigt at den sidder foran, da den jo skal fordele trafikker. Begrebsforvirringen opstår fordi de personlige firewalls også kalder sig selv firewalls. Det du skal ligge mærke til er at en personlig firewall er lavet til at beskytte en personlig computer (kaldet en pc) og ikke en server.

VPN kan gøres på to måder. Det der hedder transport mode, hvor du laver tunnelen fra en klient til noget andet, eller Tunnel mode hvor deter to netværk man sætter sammen med en VPN tunnel. Hvis du køber en VPN router, vil du kunne koble to netværk sammen via en VPN tunnel så du kan kommunikerer gennem tunnelen somom de to netværk var et. En VPN router kan også anvendes hvis du skal kunne lave opkobling hjemmefra via VPN.

ISA serveren kan du anvende istedet for linux boxen, men så skal den kun køre som ISA server og du skal have konfigureret firewall på din router. Hvis du vil have forøget sikkerhed placerer du isa serveren bag linux boxen så den beskytter dit interne net

Hvis du vil have lidt gonatlæsning, så har jeg lavet en opgave til min sikkerhedscertificering der handler om at strikke netværket sammen med sikkerheden i top for en lille virksomhed der sagtens kunne være det du vil sætte op.

Opgaven kan du hente her

http://www.giac.org/certified_professionals/practicals/GCFW/0526.php

Små 100 sider på engelsk, men meget af det er firewall konfiguration, routeropsætning m.m, Der er gode oversigtstegninger der illustrere det jeg har beskrevet ovenfor

Ok det som jeg naesten kan forstaa, er at jeg kan slippe afsted med folgende saet op

Internet access -> VPN / FIREWALL ROUTER - > Small business server og normale PC'er.
Den router jeg har er folgende:
http://www.misco.co.uk/productinformation/~43315~/NETGEAR%20FVS318%20CABLE%2FDSL%20FIREWALL%20ROUTER%20WITH%208%20VPN%20TUNNELS%20AND%208%20PORT%20SWITCH.htm

Det kan lade sig gøre og giver rimelig sikkerhed, dog i den lave ende af rimelig. En IT sikkerhedsmand som mig skal se følgende problemer.

Routeren har indbygget firewall. Der er her tale om pakkefiltrerings router og ikke stateful inspection. Dette er det laveste firewall niveau og vil ikke holde folk dervil ind, ude. Hvis truslen er lav er det dog acceptabelt.

Du har de servere der skal tilgås udefra (mail og web) på samme net som dine interne maskiner. Dette betyder at du kun har et lag af sikkerhed. Hackes web serveren (og det er relativt let) er din net hacket. Normalt placeres disse tjenester i det der hedder DMZ der er en net zone for sig selv. DMZ betyder at hackes web serveren, skal hackeren gennem firewaææen for at komme ind til de andre tjenester

Tak for hjælpen.

velbekommen og vend bare tilbage hvis du har flere spørgsmål