Hallo!
Am Donnerstag, 11. März 2004 15:37 schrieb Andreas Kretschmer:
am 11.03.2004, um 15:15:14 +0100 mailte Thomas Schmidt folgendes:
Ich habe fünf Netzwerkstücke: 1-Internet (Router, Firewall, VPN-Server) 2-Server (File/Datenbank/Mail/Web) darf zu allen Kontakt aufnehmen 3-Gruppe A: darf nur an den Server (Daus mit besonders wichtigen Anwendungen) 4-Gruppe B: darf nur an den Server und ins Internet (auch Daus) 5-Gruppe C: darf nur an den Server und ins Internet (Trojanerimporteure)
Was ist Unterschied zwischen 4 und 5? Daus und Trojanerimporteure sind (für mich) dasselbe.
Technisch keiner. Nur sollen die Daus vor den Trojanern geschützt werden, deshalb zwei Gruppen. Aber das muß nicht unbedingt sein.
Die Gruppen können intern kommunizieren. Also brauche ich eine Kiste mit fünf Anschlüssen, die das alles verbindet und sich weigert, Pakete von 1<->3, 3<->4, 4<->5 und 3<->5 auszuliefern. Ein erweiterter Switch, oder? Gibt es so etwas oder gehe ich die Aufgabe falsch an? Zweck soll sein, daß dann nur noch der Server ein Sicherheitsproblem
Bietest Du Dienste im Internet an?
Über VPN ja, über WWW eventuell. Von außen muß man auf den Server zugreifen können.
ja: Kiste mit 3 NICs, Internet, lokales netz, DMZ
Und was kommt zwischen DMZ und lokalem Netz? Der Server mit zwei Netzwerkkarten? Das würde gehen, dann wären also 4 und 5 in der DMZ, richtig?
Gibt es nicht eine fertige Kiste zu kaufen, die so etwas macht? Schließlich geht gar nichts mehr, wenn das ausfällt.
Thomas