Optimale Windows Netzwerk für kleinen Betrieb

Ich hatte schon befürchtet das ich mich zu allgemein ausgedrückt habe 😉
• 4-5 x Drucker, sagen wir einfach als Beispiel 5 Drucker
• mit keine Portweiterleitung nach außen meine ich das keine Ports von außen nach innen geleitet werden. Mit meiner Aussage „nach außen“ meinte ich das kein interner Dienst über eine Portfreigabe von außen erreichbar ist
• openVPN läuft z.Bsp. über eine FIP-Box (feste-IP.net), da braucht es keine Portfreigaben
• also ich habe schon an mehreren Fritzboxen Telefon angeschlossen, auch SIP Telefone, eine Portfreigabe war hier nie notwendig
• Fritzbox macht auch die TK Anlage, läuft mit Telekom SIP, kein analog, kein ISDN
• Windows als Fileserver mit Backup auf NAS war auch eine Idee gegen Verschlüsslungstrojaner
• als openVPN Server nutze ich bisher eine FIP-Box von feste-IP.net
Spiele aber mit dem Gedanken in Zukunft das Fritzbox VPN zu nutzen.
Zum einen ist es im letzten Jahr deutlich schneller geworden und zum anderen arbeitet es in Zukunft mit WireGuard
• nochmal zu den IP-Telefonen – ich brauche keine Portfreigabe, wenn ich die Fritzbox als TK Anlage nehme, und solange nur grundlegende Anforderungen gestellt werden reicht diese vollkommen aus
• Zum Thema Backup, ich nutze auf den Clients selbst Veeam um ein wöchentliches Backup anzulegen und auf dem NAS zu speichern.
Zusätzlich sichere ich die Windows Server und den Fileserver auf das NAS.
Und als letzte Maßnahme, sichert das NAS seinen Inhalt 1x Woche verschlüsselt in der Cloud

Ich präzisiere nochmal meine Anforderungen:
• 15 x Windows 10 Clients
• alle Mitarbeiter nutzen Office 365 + Teams
• kein eigener Mailserver, Mails laufen über 365
• 4 x Abteilungen
• 5 x Drucker, jeweils einer pro Abteilung + 1 x Flur
• MS SQL Server wird benötigt
• 15 x IP Telefone
• Telekom Glasfaser Anschluss + SIP Trunk für Telefonie
• FIP-Box von feste-IP.net für openVPN oder in Zukunft Fritzbox mit WireGuard
• Backup auf den Clients + Server per veeam Backup auf NAS
• Windows Server als AD
• Windows Server als Fileserver (Backup per veeam auf NAS)
• Backup vom NAS verschlüsselt in die Cloud oder auf Offline Medium
• täglicher SQL-Dump auf das NAS
• USV für Server + NAS
• Stillstand von einem Werktag möglich

Ich glaube das beschreibt mein Beispiel besser und trifft so mehr oder weniger auf die meisten kleinen Betriebe & Firmen zu die ich kenne.

Ich will einmal grundsätzlich geklärt haben was ein kleiner Betrieb, mit durchschnittlichen Anforderungen, wirklich an Netzwerk Hard- und Software braucht.
Aber danke für den netten Kommentar.
Ich bin der Meinung einfach kann oft sicherer & stabiler sein als teuer & kompliziert aufgebaute Systeme.
Und was bitte, ist konkret dein Problem?
Wo ist die große Lücke über die du dich lustig machst?
Ich drücke mich manchmal umständlich aus, das ist wahr, aber meistens meine ich schon das richtige ;)

Mal ehrlich, habt ihr euch mal in kleinen Betrieben umgeschaut?
In der Regel herrscht dort IT technisch Sodom und Gomorrha.
Ihr meckert über die Fritzbox? Viele kleineren Betriebe haben einen Telekom Speedport, oft noch die alte Version.
Ihr meckert über die VPN Lösung mit der FIP-Box?
Wie oft sehe ich in Betrieben eine Portweiterleitung im Router direkt zum entsprechenden PC mit Windows RDP.
Backups?
Die werden, wenn überhaupt sporadisch auf eine USB Festplatte gemacht.
USB-Sticks sind immer und überall erlaubt – eine Horrorvorstellung.
Oft werden diese Systeme von Mitarbeitern oder Freunden Stück für Stück zusammengestellt.
Warum?
Weil die meisten Betriebe die Kosten für eine aufwendige IT scheuen.
Und auch der Komfortverlust, der mit steigender Sicherheit einhergeht, ist den meisten zu viel.
Den letzten Grund darf ich gerade hier wieder sehen.
Hier wird aus grundsätzlichen, einfachen Anforderungen ein Elefant gemacht und sich in Details reingesteigert.
Dadurch wird für den kleinen Betrieb alles zu kompliziert und teuer.
Was macht es für einen Unterschied ob 10 oder 20 Clients? In der Regel keinen!
Und was glaubt ihr wie unterschiedlich die Anforderungen sind?
Die Mehrheit der kleinen Betriebe hat fast exakt die gleichen Anforderungen.
Die haben eine Software im Einsatz die einen MS SQL Server voraussetzt und das war es in den meisten Fällen auch schon.
Das gleiche beim Telefon, in den meisten Betrieben ist es vollkommen ausreichend wenn jedes Telefon seine eigene Durchwahl hat, Weiterleitungen möglich sind, Übernahmen und Anrufbeantworter.
All das kann die Fritzbox, warum also ein paar Hundert Euro mehr für eine externe Lösung ausgeben?
Und ja, es gibt Firmen die wollen mehr Extra, okay, dann muss auch mehr her.
Aber der Großteil will und braucht das alles nicht!

Aber nochmal zu euren Punkten:

„ja, die fritte ist etwas schneller geworden, aber gut ist anders...“
Erstens spiele ich nur mit dem Gedanken und zweitens ging es explizit um die WireGuard Umsetzung, die ist nochmal schneller.

„alleine für die FIP-Box von feste-IP.net würde ich dich aus dem Haus jagen... wie kommst du nur auf so einen Blödsinn?
jeder VPN Router macht da mehr sinn, und ist sicherer!“
Auf der Suche nach einer schnellen Lösung für DS-Lite. Und was ist daran so unsicher, bzw. unsicherer als VPN selbst zu implementieren und dabei eventuell Fehler zu machen?
Ich konnte im Netz keine großartig negativen Berichte über feste-ip.net finde und die FIP-Box ist auch nichts anderes als ein RaspberryPi mit entsprechend konfiguriertem Debian-Linux.
Also konkret, wo ist das Problem?
Ich denke eine eigene, fehlerhafte, Umsetzung ist gefährlicher.

„du hast keine AV Lösung...“
Spam-Filter für Mails Anbindung von Office365 an NoSpamProxy.
Auf den Clients selbst der MS Defender.
Dazu noch USB-Sticks sperren, bzw. nur eingetragene erlauben.
Ansonsten eventuell Bitdefender GravityZone?


„schön, das du die Clients jede woche sicherst, macht das wirklich sinn?!?! schaue lieber nach einer offline sicherung (RDX)
darfst du die Daten den in der cloud sichern? hast du das vom Kunden schriftlich, wo er das wünscht?“
Erstens, natürlich in die Cloud nur nach Absprache mit dem Kunden. Hallo, was denkst du?
Zweitens würden die Daten erst verschlüsselt und dann in die Cloud wandern.
Und drittens habe ich ja geschrieben: oder auf Offline Medium!

„mir fehlt noch die E-Mail-Archivierung...“
Das gehört meiner Meinung nach nicht zur Einrichtung eines Windows Netzwerks.
Beschreibt auch sehr schön was ich meine mit > in Details reingesteigert<.


„stell dir immer den notfall vor "Verschlüsselungstrojaner"“
Das stelle ich mir immer vor und das ist auch immer meine Hauptsorge.
Überhaupt geht meiner Meinung nach hauptsächlich davon eine reale Bedrohung aus.
Deswegen die Mehrfachsicherungen, deswegen auch die Clientsicherungen um diese schneller wieder herzustellen.
Deswegen das sperren von USB-Sticks, etc…


„Hardware ->Modem, Router, Firewall, Switch, Server, Client“
Modem, Router, Switch sind selbstverständlich, hatte ich deswegen nicht erwähnt.
Aber gerade auch um die Frage ob eine dedizierte Firewall nötig ist geht es ja.


„Wie sieht deiner Meinung nach, ein Infrastruktur von großen /größeren Betrieben aus? An welchen Stelle soll sie kompliziert und teuer sein? Und warum kann man diese nicht auf einen Kleinbetrieb anwenden?“
Z.Bsp. hat eine größere Firme meist mehre IP-Bereiche, was bereits ein anderes Routing (und mehr Aufwand) benötigt.
Dazu braucht es mehr Ausfallsicherheit, deswegen gibt es immer einen Secondary Domain Controller der im Notfall einspringt.
Das AD muss ordentlich repliziert werden.
Eventuell muss eine Außenstelle angebunden werden.
Bei 100 oder mehr Telefonen kommt natürlich auch die Fritzbox an Ihre Grenzen.
Die VPN Lösung muss ganz anders aufgebaut sein was die Leistungsfähigkeit angeht, macht halt ein Unterschied ob 5-6 x VPN Tunnel gleichzeitig genutzt werden oder 50.
Es braucht generell mehr Ausfallsicherheit, da ein Tag Stillstand in einem großen Betrieb in der Regel(!) wesentlich teurer ist, als in einem kleinen Betrieb.


„Dein Geschreibe liest sich nunmal einfach nach: "Ich hab keine Ahnung und will das mal irgendwie so machen, was meint ihr?"“
Es sollte mehr bedeuten ich bin kein Profi und würde es in Zukunft gerne richtig machen.

„Nicht wirklich was konkretes. 10-20 Clients (sehr dehnbarer Begriff bei der Anzahl). Anders als wenn ich sage 100 oder 110 Clients.“
Was macht das in der Realität für einen Unterschied, ob 10 oder 20?
Natürlich gibt es immer wieder Spezialfälle mit speziellen Anforderungen an Sicherheit, Verfügbarkeit, etc…
Aber der große Teile der kleineren Betriebe hat fast exakt die gleichen Anforderungen an Sicherheit & Co..
Es geht mir auch nicht um ein konkretes Beispiel, sondern um den größeren Rahmen.

„Wenn man wirklich keine Ahnung hat, sprich eine einfache "Lösung" haben will, sollte man das dann doch vielleicht eher im privaten Umfeld bei sich zu Hause machen.“
Genau das System will ich mir hier zuhause virtuell zusammenbauen, natürlich mit weniger Clients, und eine Weile testen.
Und keine Ahnung würde ich nicht sagen, ich habe schon vor 15 Jahren einen root-Server im Internet betrieben, gentoo Linux selbst installiert, samt Webserver, TS-Server und CS-Server und das Ding ohne Probleme jahrelang betrieben.
Das gleiche gilt für openXchange Server (heißen jetzt anders) oder MS Exchange Server.
Alles ohne Probleme, alles ohne das jemals irgendwer sich ein Virus, Trojaner oder Verschlüsslungstrojaner gefangen hat.
Hatte ich Glück, wahrscheinlich auch, aber so falsch kann ich das alles auch nicht gemacht haben.
Wie schon oft gesagt, es geht mir hier um ein grundsätzliches(!) System, das so auf ca. 50% der kleinen Betriebe passt und dabei ein Gleichgewicht findet zwischen Sicherheit, Kosten und Komfort.


„Du teilst uns ja nicht mal mit um was es für ein Unternehmen (Branche) es geht. Es gibt Branchen in denen eine richtige Firewall Pflicht ist.“
Auch hier wieder, es geht um kein spezielles Unternehmen. Und Branchen, in denen einen Firewall Pflicht ist zählen nicht zum großen Durchschnitt, um solche Spezialfälle geht mir explizit nicht.


„Es klingt auch nicht danach, als wenn du wüsstest wie du das NAS dann auch entsprechend schützt, dass eben kein Zugriff für Verschlüsselungstrojaner möglich ist.“
Was ist daran so schwierig? Das sichere Backup liegt in einem Bereich, der nicht direkt erreichbar ist, Zugangsdaten dazu liegen nur in der Veeam Software vor.
Damit hat auch nur diese Software Zugriff auf diesen Bereich.
Und ja, mit genug krimineller Energie kommt man trotzdem ran, aber es geht um Verschlüsslungstrojaner, die können die Zugangsdaten nicht aus Veeam auslesen.


„deine Beschreibungen!“
Danke, hilft ungemein.
Aber nichts Konkretes.


„du sollst schon sagen und schreiben, was gemeint ist, oder sollen deine Kunden raten und hoffen, das du das richtige meinst!“
Es geht nicht um einen Kunden.
Ich mache das immer mal wieder für Bekannte.
Und in diesem Thread geht es nicht(!) um ein konkreten Fall.


„stellt dich bei jedem kunden mit Verstand schon ins Abseits... und das zurecht!“
So, dann sag mir mal bitte welche Gefahr lauert, wenn ich keine Portfreigabe eingerichtet habe und keine extra Firewall benutze.
Also mit Gefahr meine ich eine realistische Bedrohung. Kein ausgeklügelter Angriff der NSA mit ZeroDays.
Nicht falsch verstehen, zum einen hat die Fritzbox eine Firwall und natürlich die Windows Firewall auf den Geräten.
Wenn ich „keine Firewall“ schreibe, dann meine ich damit natürlich nicht das die alle ausgeschaltet sind, sondern das keine extra Firewall angeschafft wird.
Man kann das auch mit Absicht alles falsch verstehen.
Jetzt haben wir also das Beispiel eines kleinen Betriebs, die nutzen z.Bsp. nur Lexware, Office, Email und den Browser (das ist grob die Regel).
Wie gesagt keine Portfreigaben.
Natürlich haben die Nutzer auch keine Admin-Rechte, nur beschränkte Rechte auf dem Fileserver und die installierte Software ist auch kuratiert.
Was bringt mir jetzt noch eine Extra-Firewall?
Wie schützt die mich gegen einen Verschlüsslung Trojaner?
Und das ist die Gefahr in 99% aller Fälle.
Kleine Firmen werden in der Regel nicht von Profis gezielt angegriffen und wenn doch sind das sehr spezielle Firmen -> Sonderfälle.


Hier wird, Entschuldigung vorab, einiges mit Absicht falsch verstanden.

Eins noch: Backup liegt in einem Bereich der nicht direkt erreichbar ist. Erzähl uns doch mal wie du das umsetzen willst.

Wie schon geschrieben, Freigabe auf NAS mit speziellen Backup Nutzer der Zugriff darauf hat.
In Veeam trage ich die Freigabe und die Zugangsdaten ein.

Wo ist mein Denkfehler, ehrlich?

Sinnvollerweise trennt man die Buchhaltung von anderen Netzen. Das WLAN vom LAN usw. usw.

Wie ich schonmal geschrieben habe, das ist Wunschdenken und in der freien Wildbahn bei Betrieben mit weniger als 25 Mitarbeiter kaum anzutreffen, im Bereich von 10 oder weniger so gut wie nie.
Da kann man schon froh sein wenn ein Gäste WLAN für die Mitarbeiter Smartphones durchgeht.
Bleibt doch bitte mal in der Realität und kommt von eurem Unternehmensdenken runter.

Ach noch was: Emailarchivierung gehört nicht zur Einrichtung eines Windowsnetzwerkes? Meinst du nicht ernst oder?

Es wird mit Office 365 gearbeitet, Mails laufen auch in der Regel darüber oder bei den meisten anderen bei Strato/Ionos & Co.
Dann bucht man dort einfach den entsprechenden Service dazu, bietet nämlich jeder an, und gut ist.
Also nochmal, was hat das mit meinem Netzwerk zu tun?
Es sein den ich habe meinen eigenen Mailserver, aber welcher Idiot tut sich das heute noch in einem kleinen Betrieb freiwillig an?
Oder soll ich meine Mails intern archivieren, geht auch, ist aber stressig und meiner Meinung nach fehleranfälliger als den entsprechenden Service bei Microsoft zu buchen.

Alles wieder Beispiele wo viel zu groß gedacht wird.
Ja, auch kleine Betriebe werden angeriffen.
Aber in 99% der Fälle durch automatische Angriffe mit Verschlüsslungstrojaner.

Danke, ich bin auch bedient.
Ist wie so oft mit den Foren im Internet und den "hohen" Herren.
An realitätsfremden Ausnahmen aufhängen aber keine konkreten Beispiele nennen.
Ich zermartere mir immer noch das Hirn was an dem Backup-System Veeam->NAS angreifbar ist, also wenn man keinen Profi mit ZeroDays darauf ansetzt.
Natürlich, wenn die SMB-Implementierung auf dem NAS Fehler hat, oder das NAS selbst, dann hilft das nicht.
Aber ich muss doch davon ausgehen, das ein QNAP NAS zumindest die Basics richtig beherrscht.

Gegenfrage: Was bist du denn für diese Unternehmen oder was willst du sein?
In der Regel ein Mitarbeiter der zu Beginn das Chaos vorfindet.

Und hier geht es mir doch darum zu erfahren wie ich es in Zukunft besser machen kann.
Aber außer Kritik kommt nichts, mal ein Tip/Hinweis/Link? Fehlanzeige.
Wir reden ja nicht über Raketenwissenschaft, und es geht auch nicht um Spezialfälle - was spricht dagegen das zu lernen?
Und genau das will ich und dabei vielleicht den ein oder anderen Tip oder Link zu einem guten, aktuellen Tutorial bekommen.

@Vision2015:

Du bist mein Held, ich verbeuge mich in Demut vor dir.
Ich habe mehrmals geschrieben das ich eben kein Profi bin, aber du lässt den Dicken raushängen.
Wenn es nach dir geht, dann müssten ca. 90% aller Betriebe auf dieser Welt sofort ihre IT offline nehmen - weil viel zu unsicher.
Und eine IT nach deiner Vorstellung würden den finanziellen Rahmen der meisten kleinen Betriebe komplett sprengen.

Nur mal zu deinem Veeam Kommentar, den Link mal durchgelesen?
Da geht es um die grundsätzliche Regel das Backups nochmal gesichert werden sollen - ich hatte NIE etwas anderes vor oder behauptet.
Da geht es aber nicht darum das es für einen Trojaner einen Weg gibt an die Freigabe zu kommen, es sein den das NAS ansich hat einen Fehler - für diesen seltenen Fall dann ja das extra Backup.
Bei veeam steht wörtlich "Bei NAS-Systemen sollten nur dem Veeam Service-Account die Freigaberechte für das Backup Repository erteilt werden."
Und nirgendwo, wirklich nirgendwo, steht das es eine Möglichkeit gibt an diese Zugangsdaten zu kommen.
Und nur darum ging es.
Das mit dem zusätzlichen Backup war ja von Anfang an eingeplant und hat damit nichts zu tun.
Du wolltest wissen wie ich einen sicheren Bereich schaffe, und das ist so sicher wie eben möglich.

Und zum Thema VPN, ist natürlich viel sicherer das ganze einem Cisco VPN Router anzuvertrauen, genau.

@Vision2015:

Außerdem du Angeber, was hat eine gentoo Linux Installation auf einem root-Server mit setup.exe zu tun?
Überhaupt ne Ahnung was das ist?