Firewall oder nicht ?? -> Netzwerk schützen

#1 hallo zusammen

bin neu hier und habe eine frage betreff schutz eines kleinen netzwerks,
es sind vier pc`s im netzt alle win98, eine station davon fungiert als file-server, nun ist die idee dass alle stationen über einen adsl-router zugang zum internet bekommen, meine vorstellung war anfänglich die dass ich einen router mit integrierter firewall kaufe (zyxel prestige 650) da diese installtion für einen freund von mir ist der ein kleines geschäft betreibt kam die frage auf ist dass notwendig mit der firewall, (es wird niemand dort sein der den router bedienen kann) es werden auch keine heikle daten gelagert, so dachte ich mir wir installieren tcp/ip und netBui und installieren auf dem file-server nur netbui und gewähren diesem kein zugang ins wan, jetzt hab ich aber gehört dass sich diese variante, ohne firewall leicht hacken lassen würde ... ???
kann mir jemand sagen wie dass den so ist, netbui ist nicht routebar und so kann man die station von aussen doch überhaupt nicht sehen oder ??

danke jetzt schon für etwelche tips
gruss fredovski

#2 Moin fredovski,

ich kenn' mich mit NetBUI leider nicht mehr sooo gut aus. Wenn ich mich recht erinner, gibt's das standardmäßig nur noch bis win98 und wurde als Protokoll für PC-Direktverbinungen genutzt. D.h. zwei PC, die direkt mit einem entsprechenden Laplink-Kabel über den parallelen Port miteinander verprömmelt werden. Da NetBUI keine Adressierung via IP-Adresse zuläßt, glaube ich nicht mal, dass du über dieses Protokoll überhaupt ein Netz mit mehr als zwei Rechnern aufgebaut bekommst. Aber da lass ich mich gern eines Besseren belehren

Es geht aber auch viel einfache. Legt euch ruhig den Router zu. Der kostet nicht die Welt und bietet euch den passenden Grundschutz, hat allerdings keine integrierte Firewall. Das was die als Firewall bezeichnen ist lediglich ein "einfacher" Paketfilter... zu ner Firewall gehört mehr Baut das Netz nach folgendem Prinzip auf:

4x Client --> Switch/Hub --> (NAT)Router --> Internet

Durch das NAT werden die intern vergebenen IP-Adressen für's LAN "maskiert", d.h. von außen ist das Netzwerk nicht erkennbar. Der integrierte Paketfilter sorgt zusätzlich dafür, dass sich auf netbios-Ebene (Datei- und Druckerfreigabe) nichts bewegt, was da nicht hingehört. Bietet der Router außerdem ein Silent Deny als Oprion für's NAT werden die netbios-Ports nicht mal als "gefiltert" rausgegeben, wenn jemand eure IP scant.

Wichtig vielleicht noch am Rande: schafft euch in jedem Fall eine leistungsfähige Antivirensoftware an... und... aktualisiert die Betriebssystem vielleicht auf w2k oder XP

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#3 Also eine Aktualisierung des Betriebssystems ist auf jeden Fall ratsam, da es für Windows 98 keine Unterstützung mehr - also keine Patches gibt. Somit können neue Sicherheitslücken leicht genutzt werden.

Zum Thema NetBUI (mit Umweg über NetBIOS) sei folgendes gesagt:

NetBIOS wurde 1984 von IBM eingeführt. Der Name verdeutlicht am simpelsten die Funktionen dieses Protokolles. Das Network-BIOS (Basic Input Output System) stellt für ein Netzwerk dieselben grundlegenden Funktionen zur Verfügung wie das BIOS für einen Computer. Es ist hardwareunabhängig. Im OSI-Referenzmodell umfasst es die Schichten 3-5. Dabei ist zu beachten, dass die Schicht 3 (Netzwerkschicht) nur als Nullschicht implementiert ist. Dies bedeutet, dass NetBIOS jedes beliebige Transportprotokoll verwenden kann. Ursprünglich kam das NetBUI zum Einsatz, es kann aber auch beispielsweise TCP verwendet werden.

Das NetBIOS Extended User Interface (NetBUI) ist ein 1995 von IBM entwickeltes Transportprotokoll, welches nicht routingfähig ist. Somit eignet sich die Kombination aus NetBIOS und NetBUI vor allem für kleine Netze, die kein Routing beinhalten. Durch die Einfachheit der Protokolle erreichen sie eine hohe Netzwerkleistung.


Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 Der Einsatz von Windows 2000 oder Windows XP hätte den Vorteil, daß Du allein mit Hilfe des Betriebssystemes noch zusätzliche Schutzmaßnahmen einleiten kannst:

- Zugang zum Computer nur mit gültigem Useraccount
- Verschlüsselung der Daten mit Hilfe von EFS ( http://www.different-thinking.de/efs.php )
- individuelle Benutzerrechte
- zentrale Administration

Ich denke auch, daß eine NAT-Router (zur NAT-Technik: http://www.different-thinking.de/nat.php ) ein ausreichendes Maß an Schutz bietet. Möglicherweise habt Ihr ja Interesse etwas mehr Geld auszugeben, dann würde ich beispielsweise zu einem Bingo DSL Router mit SIF-Technik oder einen kleinen Cisco Router und entsprechenden Access Control Lists (ACL) raten. Setzt natürlich voraus, daß man sich auch etwas damit beschäftigt.

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Ich würde den Einsatz von Windows 2000 Pro workstations, einen Windows 2000 Server Domänenkontroller und was wohl noch ellegant wäre wer ein linux/*BSD router der als firewall dient.

Ich selber mag keine (billigen) Hardware Router also Cisco wäre schon ratsam weil die billigen dinger kann man nicht gut konfigurieren mein kollege hat son billig teil naja maximal 9 regeln im Packetfilter das ist schon bissl sehr arm. Aber auf jedenfall ist die Benutzung von win9x/me in einem solchen Netzwerk untersagt :)

Es wäre ein viel zugroßes sicherheits leck damit meine ich nicht nur netbios sondern auch die ganze Topologie von 9x/me systemen erstens sind sie veraltet zweitens gehören sie nicht in ein Netzwerk.

Ähm ich meinte das natürlich bezogen auf ein Professionelles Netz wenn du ein Home Netz machst brauchst du keine 2000er dann reicht ein Router wohl aus ich wollte nur mal meinen Generellen Standpunkt dazu sagen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode