Server Win2000 vom Internet aussperren, Clients aber nicht! |
||
---|---|---|
#0
| ||
21.11.2002, 14:15
...neu hier
Beiträge: 3 |
||
|
||
21.11.2002, 15:00
Ehrenmitglied
Beiträge: 2283 |
#2
Zur Konfigurtaion schau Dir mal: Konfiguration des Routers an.
Im Prinzip musst Du den Router so konfigurieren, daß er NAT macht - reicht in den meisten Fällen. Jedoch würde ich dann mit Hilfe einer Access List alle nicht benötigten Dienste auf den Server verbieten - rein wie raus. Des Weiteren würde ich auch für die Clients nur definierte Dienste zulassen! Im Zweifelsfall mach sich ein Proxy auch nicht schlecht. Du bist natürlich nicht davor gefeiht, das Schädlingsprogramme auf einem der Clients aktiv wird und Daten vom Server abzieht. R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... Dieser Beitrag wurde am 21.11.2002 um 15:01 Uhr von Robert editiert.
|
|
|
||
21.11.2002, 22:13
Member
Beiträge: 11 |
#3
Ich habe mal bei Cisco nachgeschaut...
http://www.cisco.com/warp/public/779/smbiz/flash/crws/crws.htm Prinzipiell habe ich der Seite entnommen, das Du auf dem Router - WebInterface nur auf "configuring features" gehen musst. Dort sollte es eine Möglichkeit geben, einzelne IPs vom I-Net Verkehr auszuschließen... Nochwas: Du solltest wohl mit NAT auf dem Router gut bedient sein. Über das NAT sollte es nicht mehr so einfach möglich sein, auf interne Clients zuzugreifen. Das schützt natürlich nicht vor Trojanern, die verschleppt wurden. Wenn ein User innen ein Datensammeltool (Trojaner oder was...) laufen hat, nutzt es Dir natürlich nix. Sowie ich das verstanden habe, ist aber auch eine FW-Funktionalität im Soho806 enthalten. Die solltest Du richtig konfigurieren. Wenn Du absolut sicher gehen willst, dann schaltest Du alle Protokolle ab und gibst nach und nach alles frei was Du brauchst. (Ist sicher dauert aber lange...) Ansonsten gibt es viele gute Rulebases bei denen man spicken kann . __________ ______________ Please sign here Dieser Beitrag wurde am 21.11.2002 um 22:19 Uhr von nigga editiert.
|
|
|
||
21.11.2002, 23:09
Tschingiskan
zu Gast
Themenstarter |
#4
Erstmal vielen Dank für die Mühe! Das Board gefällt mir schon!
@nigga: Die Trojaner könnte man ja mit einer PersonalFirewall auf den Clients blockieren, oder? Virenscanner ist natürlich installiert. Aber eine PF ist wohl auf jeden Fall sicherer. Was ist eigentlich mit FW-Funktionalität gemeint? |
|
|
||
22.11.2002, 07:34
Ehrenmitglied
Beiträge: 2283 |
#5
Der Router benutzt eine Stateful Packet Inspection, d.h. er lässt nur Pakete durch, die durch Verbindungen aus dem LAN initiiert wurden. Dies sollte vor den am meisten verbreitesten Gefahren schützen.
__________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
22.11.2002, 11:06
...neu hier
Themenstarter Beiträge: 3 |
#6
@Robert:
Danke für den Hinweis. Ich denke mal daß der Router sicher genug ist. Hauptsache die HobbyCracker kommen nicht an die Daten! |
|
|
||
22.11.2002, 13:01
Member
Beiträge: 11 |
#7
Also eine PersonalFW auf den Clients finde ich übertrieben. Ich weiß ja nicht wer im Volk diese Paranoia verbreitet. Wenn Du schon in Deinem Router ne FW hast und auch NATest und SPI unterstützt reicht das vollkommen aus.
Die Frage ist halt immer: Sind meine Daten wirklich so geheim dass sie keiner sehen darf? Klar müssen Geschäftsdaten vor unbefugtem Einblick geschützt werden, aber wenn Du die Lizenzkosten von PersFWs dann noch mit dazu nimmst wird es langsam teuer für ein bisschen Internet... Zu den Trojanern, dagegen kannst Du Dich nur wirksam schützen, wenn die Mitarbeiter aufgeklärt werden. Zusätzlich solltest Du allen Usern verbieten Executables runterzuladen. Dann kannst Du es schon mal wirksam bremsen. Die PersonalFWs schränken zudem die Produktivität ein und geben nur pseudo Sicherheit! Wirklich sicher wird es dann mit einem Contentscanner MIME-sweeping usw. Da kommst Du aber um mehrere Server nicht herum. __________ ______________ Please sign here |
|
|
||
da wir in der Firma seit dieser Woche endlich DSL haben, möchte ich eine "sichere" Internetverbindung für alle Clients (3-4) realisieren und den Server aber vom Internet komplett aussperren. In der Firma haben wir einen Windows 2000 Server als Daten- und Druckserver eingerichtet. Dieser soll aber keinesfalls an das Internet angebunden werden. Mailserver brauchen wir nicht!
Die Clients sollen über den Cisco Soho806 Router mit integrierter Firewall in das Internet gelangen.
Jetzt meine eigentliche Frage:
Kann ich den server vom Internet soweit aussperren, daß irgendwelche Hacker und Co. weder über den Router direkt auf den Server zugreifen noch über den Umweg Internet --> Router --> Client --> Server zugreifen können.
Benötige ich zu der Firewall von Cisco zusätzlich noch eine Firewall (z.Bsp.: eine PersonalFirewall auf den Clients?)
weil: Theoretisch könnte sich ja jemand auf den Client hacken und von dort aus auf die Daten des Servers zugreifen