Security/Reality Server
Wie sollte das Netzwerk nach meiner Meinung nun eigentlich aussehen? Fangen wir doch am Besten mit dem heutigen Gesichtspunkt der 'Security' an.
In der Regel haben Sie (KMU) einen async. DSL-Router für die Verbindung ins Internet. Es handelt sich meistens um Router von AVM (kein Modem!), der schon gewisse Funktionaltäten für ein Netzwerk beinhaltet. In der Regel sind dies eine Firewall, DHCP, Zeitgeber usw.. Da sich des Öfteren eine gewisse Fehleranfälligkeit dieser DSL-Router gezeigt hat, bauen wird nach dieser 1. Firewall eine zweite Firewall auf. Hinter dieser 2. Firewall entsteht unserer eigentliches Netzwerk, wo Sie ihre(n) Server und Arbeitsplatz-Rechner und Drucker wieder finden.
Die folgende von mir entwickelte Lösung ist eigentlich ein Standartschema eines Netzwerkes, es hört sich reichlich kompliziert an, es zu warten, aber es ist mit der Auswahl der richtigen Komponenten recht leicht zu managen, vieles kann per Remote gelöst werden.
Zuerst kümmern wir uns um den Server. Der Server ist ein Linux-System (ohne Graphische Oberfläche) mit mindestens 16GB RAM sowie über ein mindestens 1TB RAID-5 Plattenspeicher. Er spielt in diesem Netzwerk den Host-Rechner (engl. Wirt,Gastgeber), denn er soll als Grundlage für die virtuellen Server dienen.
Sie müssen sich nur entscheiden, wie luxeriös diese Zimmer sich dem Gast und Host darstellen sollen. Es gibt VmWare, was etwas teuere Zimmer-Dienste als die vBox zu Verfügung stellen kann.
Oder wollen Sie nicht Host-Rechner spielen, sondern direkt den Gast in Ihr Haus lassen? Es gibt für diese beiden Möglichkeiten sowohl Vorteile als auch Nachteile. Beide Alternativen wollen sorgsam im Rahmen einen Kundesgespäches gegeneinander abgewogen werden.
Jeder Service ob SQL-, WEB-Services oder Buchhaltung-Systeme laufen in eigenen abgeschotteten 'Gast-Zimmern', meistens ausgestatteten mit Linux. Auf jeden Fall gibt es mehrere gute Alternativen zu Exchange, die einfacher zu Handhaben sind. Gerade für eine überschaubare Anzahl an Anwendern sind diese alternativen Linux-E-Mail Systeme performant genug und die Datensicherung stellt sich für den 'Administrator' recht einfach dar.
Alle Alternativen Systeme versuchen Heute mit Hilfe von Samba eine Mircosoft ähnliche Arbeitsumgebung für die Anwender-Computer dar zu stellen.
Hierzu einige Links um sich näher mit dieser Thematik 'Samba4 und Microsoft' vertraut zu machen:
Samba-4 als Ersatz für Microsoft Active Directory
Samba-4 als Active-Directory-Domain-Controller einrichten
Migration Windows-AD zu Samba-4
Samba 4 als Domain Controller
Ein Punkt steht noch aus, was man als ursprüngliste Funktion eines Servers im eigenen Netzwerk ansehen kann. Der Dienst als Fileserver, der zentrale Ort wo die Dateien abgelegt werden und für andere im Netzwerk sichtbar und für den Zugriff auch änderbar sind.
Es gibt jetzt zwei Möglichkeiten für die Einrichtung eines Fileserver.
"In kleinen Unternehmen ist die DMZ normalerweise als separater Computer konfiguriert (auch als Host bezeichnet), über den die von den Nutzern innerhalb des privaten Netzwerks versandten Anforderungen zum Öffnen externer Webseiten laufen. Die DMZ initiiert daraufhin im öffentlichen Netzwerk Sitzungen für diese Anforderungen. Allerdings kann die DMZ keine Sitzung in das private Netzwerk hinein öffnen: Sie kann nur bereits angeforderte Pakete weiterleiten.
Vom öffentlichen Netzwerk aus können Nutzer nur auf den DMZ-Host zugreifen. Normalerweise befinden sich in der DMZ auch die Webseiten des Unternehmens, um sie so der Öffentlichkeit zugänglich zu machen. Allerdings verhindert die DMZ zugleich den Zugriff auf andere Unternehmensdaten. Falls ein Nutzer von außerhalb die Sicherheit des DMZ-Host kompromittiert, kann er lediglich die Webseiten des Unternehmens manipulieren, ein Zugriff auf die Unternehmensdaten im privaten Netzwerk ist so nicht möglich. Als führender Hersteller von Routern vertreibt Cisco auch Produkte für die Einrichtung einer DMZ. "
Quelle: http://www.searchsecurity.de/definition/DMZ-Demilitarisierte-Zone
In einer DMZ werden häufig eigene Web-Server oder eigene Clouds fürs Internet betrieben. In größeren Unternehmen stehen E-Mail Server mit ausschließlicher Relay-Funktionalität . Bei unseren Kunden (KMU) kommt der Einsatz dieses E-Mail Relay-Server nicht zum Einsatz. Es sei nur der Vollständigkeit einmal hier erwähnt.
Die Mitarbeiter Ihres Unternehmens sollten sich angewöhnen auf diesen Cloud-Server keine Daten aufzuheben, die besonders wichtig (keine Internas) wichtig sind. Er wird zum einem nicht in das Backup aufgenommen, zum einen gehören keine Firmendaten auf einen (öffentlichen) Cloud, der vom Internet erreichbar ist. In der Regel muß dieser Cloud über eine VPN-Verbindung angesprochen werden. So ist zumindesten eine gewissen Datensicherheit gegeben. Clouds ob öffentlich oder privater (inhouse) Natur dienen dem schnellen Datenaustausch mit mobilen Endgeräten. In der Regel steht die 'öffentliche - firmeneigene' Cloud in der DMZ, es kann bei Bedarf aber auch eine Cloud im Intranet auf einem eventuell vorhandenen NAS-Server eingerichtete werden.
Liste der benötigten Teile:
1. DSL-Router mit Firewall-Funktionalität
2. DMZ-Rechner (nur bei Bedarf kann es ein NAS-Gerät oder kleiner Rechner sein)
3. Firewall-Rechner
4. Host-Rechner
5. NAS-Rechner (nur bei Bedarf)
Alle anderen Server, die hier erwähnt wurden, müssen nur als Installtions-CD oder ISO-Datei zur Verfügung stehen.
Äußere Sicherheit
Sind alle Vorkommnisse "Intrusion detection" die über die beiden Firewalls erfolgen. Um diese zu Entdecken und geeignete Abwehrmaßnahmen zu ergreifen gibt es genügend Systeme im Internet.
Dieses IDS = Intrusion Detection System bedarf einer ständigen Kontrolle durch einen Menschen, der letzlich entscheiden muß was getan werden kann und getan werden muß.
Innere Sicherheit
Die innere Sicherheit unterteilt sich in den menschlichen und technischen Faktor. Ich werde hier nur ganz kurz auf den menschlichen Faktor eingehen.
Zum Faktor Mensch in der EDV habe ich beispielhaft folgende Links für Sie zusammengetellt:
1. Der Mensch und die neue EDV
2. Der Faktor "Mensch"...
3. IT-Sicherheit: Faktor Mensch
4. IT-Sicherheit: Der Faktor Mensch - Das schwächste Glied
5. FAKTOR MENSCH BEI DER IT-SICHERHEIT:
6. BSI: Studie zur IT-Sicherheitin kleinen und mittleren Unternehmen
Der technische Faktor der Sicherheit ist ca. seit Anfang der 90 ein Thema des BSI.
Das Bundesamt für Sicherheit in der Informationstechnik kurz BSI mit seinem "IT-Grundschutz" Katalog(e) ist ein sehr guter Leitfaden sowohl für den Kunden als auch für meine Tätigkeiten.
Ich bin aber nicht als "Auditor" nach BSI-Richtlinien zertifiziert und will es auch gar nicht sein!
Vielmehr sind die aufgestellten Richtlinien des BSI ein Werkzeug die getroffenen Entscheidungen und seine Handlungen danach zu überdenken, denn oft verliert man ganz ehrlich den Überblick oder man realisiert mal ebenso eine "quick and dirty" Lösung, nur weil es wie gesagt "schnell gehen muß".
Das Wichtigste oder genauer gesagt ein Standbein der Inneren-Sicherheit ist die Datensicherung. Es gelten für den E-Mail-Verkehr und für alle eingescannte Dokumente besondere gesetzliche Bestimmungen an die Art der Daten-Sicherung.
Siehe hierzu:
Da die E-Mails unter die GoBD fallen muß eine rechtssichere E-Mail-Archivierung mit einem entsprechend zertifiziertem Programm erfolgen. Das Problem ist unter Linux entsprechende Programme zu finden. Aber die Thematik der Rechtssicherheit des Backups ist nur dann von Relevanz, wenn Sie in Ihrem Unternehmen die Buchhaltung in rein elektronischer Form durchführen wollten. In der Regel jedoch führt ein Steuerberater die Buchführung und die Steuererklärung für Sie durch. Hierdurch ist ein Teil der Problematik mit der Datensicherung in eleganter Weise auf andere 'Schultern' gelastet worden. Rechnungen, die durch E-Mail verschickt wurden, drucken Sie einfach aus. Schon ist eine weitere Hürde genommen! Die Order des Ausdruckens gilt sowohl für Rechnungen, die Sie verschickt haben als auch für die, die Sie erhalten haben. Papier kann geduldig bis zu 10 Jahre warten ohne zu murren bevor der Reiswolf in Aktion treten darf. Vorraussetzung fürs Warten ist natürlich, das Sie genügend Lagerraum zu Verfügung haben. Man könnte zwar die Thematik auch recht teuren Datensicherungsprogrammen übergeben, aber die Lösen leider nicht zur Zufriedenheit das Problem der Haltbarkeit der Datenträger. Auch würde heutzutage das Problem auftreten, was Sie vor 5 Jahren mit dem Programm X gesicher haben, kann Heute mit dem Programm Y nicht mehr gelesen werden. Das einzige System bzw. Kompimieringssystem das bis Heute wirklich 10 bzw. 20 Jahre überlebt hat sind "zip, tar oder rar" Komprimierungs-Programme. Diese Programme sind aber nicht Rechtskonform! Daher kann ich nur raten (das ist ganz alleine mein Meinung) bleiben Sie beim Papier, das System kann nur durch Diebstahl oder Brand vernichtet werden. Immer hin sind Sie ein kleines Unternehmen mit nur begrenzte Resourcen für die EDV und Datensicherung.
In der Linuxwelt existieren genügend günstige Lösungen, die ein sauberes und vollständiges Backup Ihrer Daten ermöglichen!
Wichtige Links:
Datensicherung der E-Mails : Mailstore Server
Erfolgreiche Datensicherung in KMU
Reddoxx: Elektronische Rechnung und E-Mail-Archivierung
IT-Grundschutz-Kataloge des BSI
Qualitätnachweis nach BSI durch eine "ISO-27001 Zertifizierung auf Basis von IT-Grundschutz".