Logischer Standort Firewall?

#31 Nun denn,da jetzt schon drei von drei Spezis darlegen, dass die MD5-Geschichte unnötig sein soll, zwei letzte Fragen zu dem Thema (das leider immer noch keine Antwort gefunden hat):

1. "Angriffe" von innen
Wie sieht es denn aus, wenn von innen, z.B. durch Benutzung infizierter Disketten ein Trojaner die Möglichkeit erhält, das System (welches auch immer) zu infiltrieren? Macht mein MD5-Geschwafel da nicht wieder Sinn?

2. Vorschläge
Was schlagt ihr denn nun vor? Wie kann ich das beschriebene System und auch das angeschlossene LAN im gewünschten Umfang schützen, ohne ein Vermögen ausgeben zu müssen und ohne zusätzliche Rechner?

Mich würde in dem Zusammenhang interessieren, ob der Grundgedanke eines Paketfilters in Kombination mit einem Intrusion Detector System und ohne NAT Sinn macht oder nicht?
Denn dann genügen wohl WinRoute und der Einsatz von Proxys auf dem Gateway völlig, oder?

Bin gespannt!

rebooter

#32 Zur Diskette du musst das System natürlich Passwort schützen und eine
GroupPolice erstellen dann kann keiner was mit einer Diskette machen.

IDS Systeme machen schon Sinn man erkennt eine ganze Menge von Angriffen.
Wie groß ist den dein Netzwerk überhaupt?
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#33 Zu 1.
Ja, dann würde es Sinn machen. Dann müssten die Application-Firewalls (Tiny) aber auf den Clients laufen, da ja eigentlich nur diese "infiltriert" werden können (dein Gateway soll ja bewusst(!) unangetastet bleiben.)
Das hatte ich übrigens schonmal geschrieben...
"Geschwafel" ist das übrigens nicht.

Zu 2.
Wenn die Clients sowieso nur über einen Proxy ins Internet kommen sollen, ist WinRoute eigentlich etwas übertrieben, da seine eigentliche Funktion als NAT-Router gar nicht genutzt werden würde.
Sofern du den Gateway richtig konfigurierst, sauber hälst und regelmäßig Patches für deine Server-Apps einspielst, hast du von außen nichts zu befürchten, da dein gesamtes Netzwerk gar keine Angriffsfläche bietet.
Von innen sind dann eigentlich nur die Clients gefährdet, da du auf denen bestimmt auch mal ein paar nicht soo sichere Dinge tust, oder?
Also für die Clients einen guten Virenscanner und u.U. eine Dektop-Firewall.
(beides kann auf dem Gateway auch nicht schaden, wäre aber in diesem Fall eher unnütz.)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#34 Nun denn.
Dann werde ich im Laufe der nächsten Tage nochmal einen Test-Server aufsetzen und den ganzen Kram probieren.
So ganz sicher bin ich mir dabei noch nicht, aber das werde ich ja dann herausfinden.
Auf jeden Fall will ich um die Installation von PFWs auf allen Clients herumkommen. Der Aufwand wird mir zu hoch.
Ich weiss nur noch nicht, wie ich einen Angriff von aussen mit getürkten IP-Adressen realisieren soll.

@spunki:
Das Netzwerk ist nicht besonders gross. Es handelt sich um einen PDC, ein Gateway (Gegenstand dieses Threads ), einen SQL2000-Server, einen SMS-Server, einen Fileserver und 12 Clients aller erdenklichen Bauarten (6x Win2000, 3x WinNT, 1x Win98, 1x Win95, 1x Linux).
Das Ganze ist produktiv im Familienbereich (4 Nasen ackern da dran) und soll gleichzeitig als Testumgebung für das reale Firmen-Netzwerk auf NT4- und 2000-Basis dienen. Im Firmenumfeld gibt es da schon mal das ein oder andere Problem, das sich in dieser produktiven Umgebung auch am Wochenende nicht so einfach lösen lässt (4 Standorte, 3500 User, gemischte Domänenstruktur, Telearbeit, RAS, Inhouse-LAN, VPN).

Ich denke, nach meinen Versuchen werdet ihr hier wieder von mir hören und mein unabänderliches Urteil üder die beste Verwirklichung der angestrebten Funktionalität lesen können.

Weiterhin gespannt bin ich trotzdem. Vielleicht meldet sich ja der eine oder andere nochmal zu Wort und hat ein paar zündende Ideen.

Bis dahin

rebooter

#35 Ähmmmmmmmmmmmmmm, bei einem Netz mit 3500 Usern würde ich dann dochmal drüber nachdenken wirklich professionelle Software einzusetzen und entsprechende Leute ran zulassen - nur mal so als Tipp.

Ansonsten wünsche ich Dir viel Spaß!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#36 @Robert:
Das ist ja auch kein Test für das Firmennetz. So blauäugig bin ich dann nun doch nicht.

Es dreht sich vielmehr darum, wie verschiedene Funktionalitäten aufgebaut sind und wie sie verändert werden können.

Die Firewall-Geschichte ist auch nur für die private Komponente des Heimnetzes gedacht; schließlich will ich mich auch schützen. Es geht hier rein um das eigene Interesse. Daneben gilt für mich: soviel lernen, wie irgend möglich!
Hat bis jetzt gut geklappt.

Dank für die guten Wünsche, hoffentlich hilft's...

rebooter

#37 Hallo Gemeinde!

Kleiner Zwischenbericht zum Stand der Dinge:
Es ist in Sachen Firewall NIX passiert, weil ich bis jetzt jeden Abend und fast jede Nacht nur an einem Problem gesessen habe:
---BROWSER-Dienste unter Windows---

So ein Schwachfugskram, stellt man sich nicht vor. Da gibt es keine vernünftigen Fehlermeldungen; es geht einfach nicht richtig und das war's!

Problem:
sowie sich ein Client über RAS auf dem Gateway einwählt, brechen in unkoordinierter Reihenfolge und Ausprägung im ganzen Netzwerk alle Browserdienste zusammen! Keiner findet keinen mehr und es hagelt Fehlermeldungen im Ereignisprotokoll (die auch nicht unbedingt immer mit dem eigentlichen Fehler zusammenhängen müssen ).

Lösung:
teilweise falsch eingestellte Clients (LMHOSTS-Auflösung aktiviert, obwohl keine LMHOSTS vorhanden ist) und automatische DNS-Registrierung auch bei ein- und ausgehenden RAS- bzw. Modem-Verbindungen (standardmässig voreingestellt, ... kaum zu entdecken!)
Das Zusammenspiel führte in Tateinheit mit DHCP-aktivierter IP-Adressen-Zuteilung via eigenem DHCP-Server mit DDNS-Server (und somit auch im Zusammenhang mit WINS zur primären Namensauflösung) zum fast kompletten Schlafausfall in der letzten Woche!

So ein Sch...

Sorry, es kann also noch aweng dauern, bis der Bericht zur "besten" Konfiguration eines Gateways mit integrierter Firewall-Funktionalität hier rübergereicht werden kann.

Also, bis dann.

rebooter