Small IT Solution - Entwerfen des Netzwerkes

Herstellen einer sicheren Verbindung zum Internet

Veröffentlicht: 24. Jul 2004

In diesem Abschnitt wird anhand eines Nutzungsszenarios der Planungsprozess für die Herstellung einer Verbindung zum Internet erläutert, und es werden die geeigneten Empfehlungen gegeben.

Auf dieser Seite

	Ermitteln übergeordneter Faktoren
	Planen der Internetkonnektivität

Ermitteln übergeordneter Faktoren

Mithilfe des Internets können kleine Unternehmen mit Kunden, Partnern und der übrigen Welt in Kontakt treten. Aufbauend auf einer gut geplanten Technologieinfrastruktur verbessert das Internet die Produktivität der Mitarbeiter, da hiermit sowohl im Büro als auch von außerhalb des Büros auf Geschäftsdaten zugegriffen werden kann.

Zu den übergeordneten Internetnutzungsszenarien, die unter Small IT Solution besprochen werden, gehören die folgenden:

•	Business-to-Business-Konnektivität: Ermöglicht den ständigen Kontakt zu Partnern und Kunden.
•	Websites und -dienste: Sorgen dafür, dass Mitarbeiter, Kunden und Partner im Internet auf Dienste und Informationen zugreifen können.
•	Kommunikation: Stellt E-Mail-Dienste und andere elektronische Mittel zur Zusammenarbeit (z. B. Instant Messenger und Webportale) bereit.
•	Remotezugriff: Ermöglicht Mitarbeitern den Zugriff auf Informationen und Anwendungen am Arbeitsplatz von Remotestandorten aus.
•	Kundenzugriff: Ermöglicht Kunden den Zugriff auf die Unternehmenswebsite.
•	Remoteverwaltung und -support: Mit Remoteverwaltung und -support kann der Kosten- und Zeitaufwand für die Verwaltung, Problembehandlung und Reparatur von Computern gesenkt werden.

Zum Seitenanfang

Planen der Internetkonnektivität

Zu den Planungsaufgaben bei der Anbindung eines kleinen Unternehmens an das Internet gehören die folgenden:

•	Auswählen eines Internetdienstanbieters
•	Registrieren eines Internetdomänennamens
•	Erwerben einer Hardwarefirewall
•	Erstellen von Regeln für die Firewall

Auswählen eines Internetdienstanbieters

Auswahlmöglichkeiten

Die für kleine Unternehmen zur Verfügung stehenden Möglichkeiten sind in der nachstehenden Tabelle aufgeführt.

Verbindungstyp	Bandbreite	Kosten	Empfehlung
ADSL	Bis zu 2 MBit/s beim Download und 320 KBit/s beim Upload	Gering	Empfehlenswert
SDSL	Bis zu 4 MBit/s beim Download und beim Upload	Mittel	Empfehlenswert
T1-Verbindungen	Bis zu 1,5 MBit/s beim Download und beim Upload	Hoch	Wenn die Servicelevel-Anforderungen (Service Level Agreement - SLA) hoch sind.
Analog/Modem	Bis zu 56 KBit/s	Gering	Wenn keine andere Alternative besteht.

Tabelle 5. Wahlmöglichkeiten bei Internetdienstanbietern

Aspekte

Bei der Auswahl eines Internetdienstanbieters sollten folgende Aspekte berücksichtigt werden:

•	Betriebszeit: Die Zuverlässigkeit des Internetdienstanbieters.
•	Übertragungsrate: Der Internetdienstanbieter sollte eine hohe Uploadgeschwindigkeit zum Internet bieten. Normalerweise können Internetdienstanbieter lediglich eine hohe Downloadgeschwindigkeit bieten.
•	Technische Anforderungen: Der Internetdienstanbieter sollte den technischen Anforderungen für das Hosten von Diensten genügen, auf die über Internet zugegriffen werden kann.
•	Preis: Die Kosten der Internetverbindung.
•	Dienste: Der bevorzugte Dienstanbieter kann idealerweise auch noch weitere Dienste bereitstellen, die kleine Unternehmen benötigen, wie DNS-Server oder Datensicherung der E-Mail-Warteschlange.

Empfehlungen

Bei der Auswahl eines Internetdienstanbieters sollten folgende Empfehlungen berücksichtigt werden:

Fall 1

Ein DSL-Modem ist für die meisten kleinen Unternehmen ausreichend. In diesem Fall sollten Sie sich vergewissern, dass der Internetdienstanbieter die folgenden Dienste bereitstellt:

•	Statische IP-Adresse Hinweis: In Verbindung mit Internetdiensten wie www.no-ip.com ist es möglich, dynamisch zugewiesene IP-Adressen von Internetdienstanbietern zu verwenden. Diese IP-Adressen funktionieren, allerdings ist es in Anbetracht von DNS-Caching und den hiermit einhergehenden Gebühren sinnvoller, über eine statische IP-Adresse zu verfügen.
•	Der Internetdienstanbieter muss den eingehenden Datenverkehrsfluss auf den Ports zulassen, die in der Tabelle Firewallregel an späterer Stelle in diesem Kapitel aufgeführt sind.
•	Wenn es erforderlich ist, große Datenmengen aus dem verkabelten LAN durch das Internet zu transportieren, muss der Internetdienstanbieter für Upload und Download die gleiche Bandbreite (Übertragungsgeschwindigkeit) bereitstellen.
•	In den Endbenutzervereinbarungen des Internetdienstanbieters müssen Server und Dienste zugelassen sein, auf die über das Internet zugegriffen werden kann.

Fall 2

Wenn große Datenmengen aus dem verkabelten LAN in das Internet übertragen werden müssen oder wenn es angebundene Zweigstellen gibt, kommen auch für kleine Büros T1-Leitungen in Betracht. T1-Leitungen sind allerdings wesentlich teurer (die Kosten liegen bei mehreren 100 Euro, die für ein DSL- oder Kabelmodem hingegen unter 50 Euro). T1-Leitungen erfordern zudem qualitativ bessere Firewalls als die unter Small IT Solution empfohlenen. Wenn Sie sich für T1-Leitungen entscheiden, sollten Sie als Basis die Medium IT Solution zugrunde legen.

Registrieren eines Internetdomänennamens

Damit ein kleines Unternehmen unter einem eingängigen URL über das Internet erreicht werden kann, muss bei einem Namensregistrierungsdienst ein Internetdomänenname erworben werden. Die Registrierung eines Internetdomänennamens umfasst folgende Aufgaben:

•	Registrieren eines Domänennamens bei einer Registrierungsstelle für Domänennamen
•	Festlegen der maßgeblichen DNS-Server im Internet für das Auflösen der vollqualifizierten Domänennamen (FQDNs) der Domäne

Registrieren eines Domänennamens bei einer Registrierungsstelle für Domänennamen

Wenn Ihr Unternehmen noch nicht über einen Domänennamen verfügt, müssen Sie einen solchen registrieren lassen. Das Registrieren eines Domänennamens bei einer Registrierungsstelle umfasst folgende Aufgaben:

•

Ermitteln einer Registrierungsstelle für Domänennamen: Es gibt mehrere Registrierungsstellen für Domänennamen. Zum Ermitteln einer Registrierungsstelle für Domänennamen durchsuchen Sie das Internet mit der Suchzeichenfolge Domänennamenregistrierung. Eine Möglichkeit zum Registrieren eines Domänennamens bietet auch der folgende URL:

http://www.microsoft.com/smallbusiness/products/online/wh/detail.mspx

•

Auswählen einer Registrierungsstelle: Bei der Auswahl der Registrierungsstelle sollten die folgenden Punkte berücksichtigt werden:

•	Ruf: Entscheiden Sie sich für eine bekannte Registrierungsstelle, die einen guten Ruf und Erfahrung in der Branche hat.
•	Preis: Wählen Sie eine Registrierungsstelle mit einem vernünftigen Preis-Leistungs-Verhältnis aus. Die Preise variieren je nach Anbieter.
•	Dienst: Wählen Sie eine Registrierungsstelle aus, die über die Fähigkeit verfügt, die Registrierung des Domänennamens automatisch zu erneuern.
•	Verfügbarkeit von DNS-Servern: Entscheiden Sie sich für eine Registrierungsstelle, deren DNS-Server DNS-Einträge für Ihr Unternehmen erstellt, wenn diese Registrierungsstelle für Ihren Domänennamen maßgeblich sein soll. Andere Auswahlmöglichkeiten und Kriterien finden Sie im nächsten Abschnitt.

•

Auswählen eines Domänennamens: Wählen Sie einen eingängigen Domänennamen aus, vorzugsweise aus der .com- oder .de-Domäne. Wenn der gewünschte Name in diesen Domänen nicht verfügbar ist, empfehlen sich .org- oder .net-Domänen.

•

Bereitstellen von Kontaktinformationen: Stellen Sie hier Informationen bereit, die längerfristig unverändert bleiben. Geben Sie als Kontaktadresse eine andere als Ihre primäre E-Mail-Adresse an. Die Kontaktinformationen sind öffentlich und können zu übermäßigem Spamming (Überschwemmung des E-Mail-Kontos mit unverlangten E-Mail-Nachrichten) führen. Die E-Mail-Adresse sollte bei einem populären E-Mail-Dienst eingerichtet werden, bei dem mittelfristig keine Geschäftsaufgabe zu befürchten ist, z. B. beim E-Mail-Dienst http://www.hotmail.com.

Festlegen der maßgeblichen DNS-Server im Internet

Wählen Sie einen primären und einen sekundären maßgeblichen Namensserver für Ihre Domäne aus. In diesem Abschnitt werden die Auswahlmöglichkeiten im Hinblick auf Namensserver erläutert.

Auswahlmöglichkeiten

Kleinen Unternehmen stehen die folgenden Möglichkeiten offen:

•	Namensserver bei der Registrierungsstelle
•	Small Business Server als Namensserver
•	Namensserver eines Internetdienstanbieters

Aspekte

Bei der Auswahl eines Namensservers sollten folgende Aspekte berücksichtigt werden:

•	Zuverlässigkeit: Der Dienst sollte äußerst zuverlässig sein, denn wenn der Namensserver ausfällt, können Sie von außerhalb des Büros oder fern des Arbeitsplatzes nicht mehr auf Ihr Unternehmensnetzwerk zugreifen.
•	Sicherheit: Namensserver können unter Ausnutzung von Schwachstellen in DNS extern angegriffen werden, daher sollte der Server umfassend gesichert sein.
•	Anforderung: Der Namensserver sollte die Erstellung von MX-, A- und CNAME-Einträgen zulassen.

Empfehlungen

In den meisten Fällen kann eine zuverlässige Registrierungsstelle für Domänennamen, die über einen DNS-Server verfügt, als Namensserver für die Domäne dienen. Stellen Sie sicher, dass es sich bei dem gewählten Anbieter um ein etabliertes und bekanntes Unternehmen handelt.

Hinweis: Eine Liste der DNS-Einträge, die auf dem Namensserver erstellt werden müssen, finden Sie im Kapitel Dienste für kleine Unternehmen von Small IT Solution.

Erwerben einer Hardwarefirewall

Damit die Internetverbindung eines kleinen Unternehmens kostengünstig und sicher ist und darüber hinaus Remoteverwaltung und -support möglich sind, muss die Firewall, über die das kleine Büro mit dem Netzwerk des Internetdienstanbieters verbunden ist, die folgenden Anforderungen erfüllen:

•	Sie muss als statusbehaftete Überwachungsfirewall agieren.
•	Sie muss den Durchgang von VPN-Protokollen (virtuelles privates Netzwerk) wie PPTP (Point-to-Point Tunneling-Protokoll), IPSec (Internet Protocol Security) und L2TP (Layer Two Tunneling-Protokoll) zulassen.
•	Sie muss VPN-Dienste als Reservefunktion für die Remoteverwaltung für den Fall bereitstellen, dass auf eine serverbasierte VPN-Lösung nicht zugegriffen werden kann.
•	Sie muss SNMP (Simple Network Management-Protokoll) oder eine Systemprotokollierung unterstützen.
•	Sie muss das Durchleiten und Sperren von Ports und Protokollen zulassen.

Bei Abschluss eines Vertrags mit einem Internetdienstanbieter stellt dieser ggf. DSL- oder Kabelmodems (oder DSUs/CSUs für Punkt-zu-Punkt- oder Frame Relay-Leitungen) bereit. Diese Geräte verfügen vielfach bereits über integrierte Modem-, Router-, Firewall- und VPN-Funktionen. In den meisten Fällen sind diese Geräte die erste Wahl, sofern sie die vorstehend aufgeführten Anforderungen an Firewalls erfüllen. Diese Geräte sollten schon deshalb bevorzugt werden, weil sie vom Internetdienstanbieter besser unterstützt werden und insgesamt zu geringeren Gesamtunterhaltungskosten beitragen.

Empfehlungen

Vergewissern Sie sich, dass die für die Lösung gewählte Firewall den in diesem Abschnitt genannten Anforderungen entspricht. Über diese Anforderungen hinaus kann auch ein Anbieter von Mehrwertdiensten (Value Added Provider - VAP) oder ein Wiederverkäufer von Mehrwertdiensten (Value Added Reseller -VAR) weitere Empfehlungen betreffend die Anschaffung einer Firewall geben. Diese Empfehlungen umfassen ggf. die Möglichkeit zum Filtern von E-Mail-Nachrichten oder die Einbruchserkennung und -überwachung.

Wenn mehrere Verteidigungsringe gewünscht werden, kann als Basis eine Hardwarefirewall für die Internetverbindung implementiert und eine robustere Softwarefirewall tiefer im Netzwerklayout eingesetzt werden. Eine solche Option steht z. B. mit Microsoft ISA Server (Internet Security and Acceleration) bereit. Dieser Server bietet zahlreiche Funktionen zum Steuern des Webzugriffs für interne Netzwerkbenutzer sowie weitere Features wie das Scannen von E-Mail-Nachrichten auf Viren. Der Einsatz von ISA Server wird unter Small IT Solution nicht explizit erläutert, ist jedoch eine Option, wenn mehr Sicherheit gefordert wird.

Gehen Sie beim Erstellen und Pflegen der Firewallregeln mit der gebotenen Sorgfalt vor. Wenn eine Regel für den eingehenden Zugriff nicht mehr benötigt wird, sorgen Sie dafür, dass diese umgehend deaktiviert oder entfernt wird.

Erstellen von Regeln für die Firewall

Firewallgeräte für kleine Büros müssen mit Regeln versehen werden, um eingehenden und ausgehenden LAN-Verkehr zu ermöglichen. Die meisten Firewalls sind standardmäßig so konfiguriert, dass der gesamte Verkehr aus dem Internet blockiert und der gesamte Verkehr in das Internet zugelassen wird. Sie müssen daher Regeln konfigurieren, um ausgewählten Verkehr aus dem Internet zuzulassen. Diese Regeln müssen mit sehr viel Sachverstand definiert und verwaltet werden. Wenn eine bestimmte Regel nicht mehr benötigt wird, sollten sie umgehend deaktiviert werden.

Eingehender Datenverkehr

In der folgenden Tabelle sind die Ports und Protokolle aufgeführt, die offen sein müssen, damit im Netzwerk eines kleinen Büros bestimmte Dienstzugriffe möglich sind. Wählen Sie die Dienste, die aktiviert werden müssen, nach Maßgabe der im Kapitel Dienste für kleine Unternehmen in Small IT Solution definierten Anforderungen aus.

Dienst	Port	Protokoll	Quelle	Ziel
Webserver	80 (HTTP) 443 (HTTPS)	TCP TCP	Internet	Webserver oder Server unter Small Business Server
Remotedesktop-Proxy	4125	TCP	Internet	Spezifisch für Small Business Server
PPTP-VPN	1723 47	TCP Protokoll 47	Internet	Routing und RAS-Server oder VPN-Gerät
L2TP/IPSec-VPN	1701 500 4500 ESP und AH	UDP UDP UDP Protokoll 50 und 51	Internet	Routing und RAS-Server oder VPN-Gerät
SMTP (Simple Mail Transfer-Protokoll)	25	TCP	Internet	Mailserver
FTP (File Transfer-Protokoll) (optional)	21	UDP	Internet	FTP-Server
NNTP (Network News Transfer-Protokoll) (optional)	119 oder 563	TCP	Internet	Newsserver
IMAP4 (Internet Messaging Access-Protokoll 4) (optional)	143	TCP	Internet	IMAP-Server
POP3 (Post Office-Protokoll 3) (optional)	110	TCP	Internet	POP-Server

Tabelle 6. Regeln für die Firewall

Zum Seitenanfang

In diesem Beitrag

•	Small IT Solution - Überblick
•	Einführung Small IT Solution
•	Entwerfen des Netzwerkes
•	Dienste für kleine Unternehmen
•	Remoteverwaltungs- und Supportdienste
•	Windows-Storage
•	Testen der 'Small IT Solution'

Einführung Unterkapitel

Einführung

Entwerfen eines verkabelten lokalen Netzwerkes

Herstellen einer sicheren Verbindung zum Internet

Bereitstellen von sicheren drahtlosen Diensten

Zusammenfassung