Deling af internet - windows 2000 advanced server.

Hmmmm normalt ville man sætte det op lidt anderledes da det sikkerhedsmæssigt ikke er klogt at have sin server direkte på og slet ikke er klogt at lade sin server tage sig af kritiske sikkerheds ting. Serveren bør være bagerst. Det kunne f.eks. se sådan her ud

internettet-----router-------firewall--------interne net-----isa----serverer
                                |_____DMZ net.

Man kan diskuterer om firewallen kan være en isa. De fleste i branchen mener ikke at man bør sætte en isa forest, det er den ikke sikker nok til. jeg vil derimod sagtens forsvare at bruge en isa som proxy til at screene mine servere og også evt som prosy til at screene min DMZ

Dit net kunne se således us


internettet ------- router med firewall-----switch-----interne net med klienter
                                              |------ISA-----server

Hvis du har maskiner nok til dette. Din router kan kører dhcp, du kan bruge extern dns server og så beskytte dit ad ordentligt

skitserne har rykket sig lidt. DMZ kommer ud af firewallen i den øverste og isa----server kommer ud af switchen i den nederste

Jeg har mulighed for at bruge en computer til server og en computer til at teste client delen på. Derudover har jeg en D-Link router med mulighed for dhcp (men jeg er blevet stillet til opgave at have dhcp kørende på serveren) - firewall skal denne server også håndtere.

internet----router----server---client(er)

Det er den opstilling jeg har at arbejde med, eventuelt kan jeg lade serveren agere router også. Serveren skal som sagt have internetsignalet ind og videregive det til de clienter der modtager en ip fra dhcp på serveren. Der vil blive installeret firewall og antivirus software på serveren selvfølgelig (nogen anbefalinger på dette område?).
Om dette er den rigtige opstilling kommenterer jeg i det skriftlige arbejde jeg afleverer. Men dette er umiddelbart de ting jeg har at arbejde med. Kunne man lave det meget bedre med en ekstra maskine, til at klare nogen opgaver, som du nævner? Måske kunne jeg (hvis jeg har god dokumentation for hvorfor) få endnu en maskine ind i opstillingen.

den opstilling kan godt gå, det kommer lidt an på serverens rolle. Den placering du har for serveren indikerer at serveren skal gennemføre trafikfiltrering eller routning, altså virke enten som firewall eller router, ellers er der ingen grund til at placerer den således. Normalt indeholder servere virksomhedernes kritiske ressourcer som filer, mail og andet og det ønsker man at beskytte bedst muligt, hvorfor servere normalt placeres bagest i forhold til nettet.

Du skal også vide at det ikke betragtes som god latin kun at beskytte servere med firewalls der er installeret på serveren. Firewallen skal side foran serveren så en evt. hacker ikke umiddelbart "kan få fat" i serveren. er firewallen installeret på serveren, så har hackeren fat i serveren når han gå løs på firewalle. Det er heller ikke god latin at have andet end firewall software/system installeret på en firewall, jo mere andet jo flere potentielle huller.

Hvis du gerne vil have ressourcer om dette so er sitet giac.org et godt sted for dig. GIAC certificerer internationalt og alle giacs certificeringer kræver (sådan var det i hvert tilfælde da jeg blev GCFW certificeret) at du skriver en større opgave. Disse opgaver publiceres på sitet. Du kan læse min opgave her

http://www.giac.org/certified_professionals/practicals/gcfw/0526.php

Det er ikke utænkeligt at du kan anvende noet af den og der ligger masser af gode opgaver på sitet