Intenet aansluiten op de server

Windows RRAS is de keyword.

In hoeverre wil je het internet controleren?

Als je websites wil blokkeren of downloads wilt scannen op virussen kun je eens kijken naar een Sophos UTM virtual appliance bijvoorbeeld.

Het is geen 2003 meer toen dat standaard gedaan werd. Regel een degelijke firewall die ook web filtering kan, als je toegang tot je server wilt beperken moet je hem vooral rechtstreeks op het internet hangen

Je kunt er een firewall tussen stoppen als "voordeur".

Fatsoenlijke router met firewall en dan zowel de clients als de server daar op aansluiten?

Randy.A schreef op zaterdag 12 november 2016 @ 22:48:
Mijn vraag
Binnen ons bedrijf hebben wij een domein netwerk met als server Windows 2012 editie met 15 clients eraan gekoppeld.
Wij willen graag onze server koppelen aan een KPN modem om internet aan te bieden voor de clients.
Het internet verkeer willen wij dus graag via de server gecontroleerd laten lopen naar de eindgebruikers.
De server is voorzien van 2 netwerk kaarten voor intern en extern verkeer.

De vraag is:hoe kan ik het beste de bovenstaande configureren op de server? En moet er ook nog iets gebeuren op de data switch?

Mijn vraag.

Binnen ons bedrijf hebben wij een domein netwerk met als server Windows 2012 editie met 15 clients er aan gekoppeld.
Wij willen graag onze server met data aan de hele wereld open stellen door deze met een KPN modem aan internet te koppelen zodat niet alleen onze clients maar ook alle hackers en andere gevaren door deze belangrijke server heen gaan.
Deze server, een active directory controller, is tegen iedere best practice in, voorzien van twee netwerk kaarten waardoor wij heel veel problemen krijgen en hebben, zodat we een interne en externe problematische kant hebben.

De vraag is: hoe kan ik het zo bedenken op deze server? Moet er ook iets gebeuren op de data switch.

Antwoord:
Beste mede Tweaker,

• In een Domein Controller is het "Best Practice" om "geen" twee netwerk kaarten te plaatsen. Dit geeft zo veel veel problemen dat de gekozen oplossing niet echt bij draagt aan de betrouwbaarheid van de omgeving.
• Daarnaast is het van belang dat op Windows Updates na (als je geen WSUS of iets dergelijks hebt) uit den boze om zelfs maar een internet site te bezoeken op een Server. Het is not done, en voorkomt gewoon heel veel ellende. Als ik dat zou merken dat iemand aan het internetten is op een Domein Controller of Server dan wordt daarvan de server toegang direct ontzegt. Risico is heden ten dagen gewoon veels te groot. Dus Internet verkeer van gebruikers door deze server heen, nooit niet!
• Koop een goede router met firewall tussen Internet en het netwerk in, waarin je desnoods met authenticatie werk, bijvoorbeeld een Juniper of ander device welke dat ondersteund, jullie huisleverancier kan je vast adviseren.

Wanneer je een Tweaker bent en je hebt tijd en zin dan kan je misschien ook kiezen voor een wat oudere (Core2 PC 64-bit) met wat geheugen (2-4GB) en kijken naar pfSense als oplossing. Daarmee kan je het zelfde. Voordeel van pfSense is dat je ook web caching hebt (proxy) en uitgebreide logging.

Overigens, zo maar loggen en de logbestanden inkijken, is niet toegestaan. Een jurist maakt gehakt van een case wanneer dit niet goed is ingeregeld. Het personeel moet namelijk op de hoogte zijn, het moet schriftelijk zijn vastgelegd en alles moet procedureel en Juridisch helemaal dicht getimmerd zijn.

Dit brengt je ook op een ander punt. Zolang er juridisch niet is geregeld en geen beleid is, kan je zeggen "wel" internet, "geen" internet. Maar toegang verlenen op "gebruik", bijvoorbeeld Facebook afsluiten omdat je in de logs ziet dat Facebook veel bezocht wordt, kan niet en mag niet zolang er niks is vastgelegd en personeelsleden niks ondertekend hebben (arbeidsvoorwaarden, geratificeerd personeelshandboek).