Benutzer mit den meisten Antworten
Infrastruktur Lync

Frage
Antworten
-
Eine saubere und sichere Umgebung setzt entweder eine Firewall (TMG etc) auf der internen und externen Seite der DMZ voraus. Aus Buget Gründen würde auch ein TMG reichen. Aber damit diese Umgebung fehlerfrei und supported läuft, bräuchte der TMG mehrere Netzwerkkarten (unterschiedliche Netze auf einer Karte führt zu Problemen und Sicherheitslücken)
Netzwerkkarte 1 - Public Internet
Netzwerkkarte 2 - Internal Netzwerk (Firmen LAN)
Netzwerkkarte 3 - DMZ intern
Netzwerkkarte 4 - DMZ extern
Wenn in der DMZ nur der Edge stehen sollen, können die 3 und 4 direkt auf dem Edge konnektiert werden.
Gruß
FalkUC Blog http://blogs.pepperhost.de
- Als Antwort markiert Hei_G Donnerstag, 8. März 2012 07:47
Mittwoch, 7. März 2012 22:31
Alle Antworten
-
Ja genau, der Edge steht in der DMZ mit einer Lan und einer Netzwerkkarte in der DMZ.
regards Holger Technical Specialist UC- Als Antwort vorgeschlagen kontraschub Mittwoch, 22. Februar 2012 11:33
- Nicht als Antwort vorgeschlagen kontraschub Mittwoch, 22. Februar 2012 11:33
Dienstag, 20. Dezember 2011 18:34 -
Hallo zusammen,
diese Konstruktion finde ich aus Sicherheitsgründen bedenklich. Hackt sich jemand über eine Lync-Sicherheitslücke auf den Edge Server, so ist er unter Umgehung des TMG direkt im LAN. Du hättest also einen Bypass gelegt.
Ich habe aus diesem Grund meinen Edge Server mit 2 NIC's ausgestattet, die beide in der DMZ sind. Am liebsten hätte ich eine Konfiguration mit nur einer NIC gehabt, was aber nicht möglich ist.
Gruß Günther
Mittwoch, 22. Februar 2012 11:41 -
Hallo Hei_G,
eine zusätzliche Firewall vor dem TMG mach meiner Meinung nach nicht viel Sinn. Was Günther meint (und ich auch sinnvoll finde) ist, dass die "interne" Schnittstelle ebenfalls ins DMZ Netzwerk (beziehungsweise zusätzliches DMZ Netzwerk einrichtet - meine Implementierung). Dadurch ist die Netzwerkkommunikation nach "innen" zusätzlich nochmals geschützt. Das heißt bei einem erfolgreichen Hack auf den EDGE Server muss sich der Angreifer nochmals durch die Firewall biegen.
Zum Verhalten, eine zusätzliche Firewall bedeutet nur dass ich die Packete noch mehr durchschiebe und immer mehr mit NAT und Co. aufpassen muss. ein TMG reicht normalerweise völlig aus, wenn dieser sauber konfiguriert wird.
Grüße
Markus
Freitag, 2. März 2012 09:42 -
Hallo,
vielleicht habe ich mich auch falsch ausgedrückt, der Edge hängt mit beiden Netzwerkkarten in der DMZ also eine Firewall Richtung Internet und eine Firewall Richtung LAN und es sind dann nur die benötigten Ports für die Kommunikation entsprechend geöffnet.
regards Holger Technical Specialist UC
Mittwoch, 7. März 2012 12:02 -
Eine saubere und sichere Umgebung setzt entweder eine Firewall (TMG etc) auf der internen und externen Seite der DMZ voraus. Aus Buget Gründen würde auch ein TMG reichen. Aber damit diese Umgebung fehlerfrei und supported läuft, bräuchte der TMG mehrere Netzwerkkarten (unterschiedliche Netze auf einer Karte führt zu Problemen und Sicherheitslücken)
Netzwerkkarte 1 - Public Internet
Netzwerkkarte 2 - Internal Netzwerk (Firmen LAN)
Netzwerkkarte 3 - DMZ intern
Netzwerkkarte 4 - DMZ extern
Wenn in der DMZ nur der Edge stehen sollen, können die 3 und 4 direkt auf dem Edge konnektiert werden.
Gruß
FalkUC Blog http://blogs.pepperhost.de
- Als Antwort markiert Hei_G Donnerstag, 8. März 2012 07:47
Mittwoch, 7. März 2012 22:31