Netzwerk-Anmeldungs über das Internet ausstellen.

#1 Hi,

und zwar hab ich folgendes Problem. Wir haben ein feste IP und ein paar Rechner am Netzwerk laufen. Mit Benutzernamen und Rechten usw. Allerdings
kann man sich auch von zu Hause aus über das Internet über Netbios im Netzwerk anmelden und hat zugriff. Was muss ich machen damit die User nur noch von den lokalen Rechnern ins Netzwerk kommen und nicht auch übers
Internet. Hat da jemand ein Rat für mich.

peter

#2 Du solltest Dir mal ernsthaft Gedanken über die Konfiguration des Internetzugangs machen!

Da Du zur Struktur nicht viel gesagt hast, kann ich Dir nur ein paar allgemeine Hinweise geben:

- physikalische Netztrennung durchführen (Zugriff aus und auf Internet nur über spez. Gateway)
- NetBios von der externen Netzwerkkarte entbinden
- Router so konfigurieren, daß nur die Ports geöffnet werden, die auch benötigt werden (HTTP, FTP ...)

Möglicherweise jemanden dafür bezahlen, daß er es sich mal ansieht und entsprechende Konzepte erarbeitet. Aber vorher kannst Du auch uns mit mehr Informationen (Internetanschluss, Netzstruktur, BS ...) versorgen - wir helfen kostenfrei!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 danke erstmal für die antwort, mir geht es eigentlich nur darum das man nicht mehr über das internet auf das netzwerk zugreifen kann. ich denke mal keine zeit und leider auch nicht die nötigen mittel für so einem system mit spez. gateways. Es muss doch eine Einstellung geben die das Unterbinden kann. ???

peter

#4 Wie gesagt:

- NetBios von der externen Netzwerkkarte entbinden


Aber das löst das Problem auf keine Fall - wenn Du es sicher machen willst, dann kommst Du um einen Gateway nicht drum rum.

Habt Ihr keinen Router?

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Hab ich das richtig verstanden? Die einfache Datei und Druckerfreigabe ist bereits deaktiviert, und trotzdem kann man von ausserhalb auf das Netzwerk zugreifen? Ein Freund hatte ein ähnliches Problem und bei ihm lag es an der einfachen Datei und Druckerfreigabe. Diese haben wir abgeschaltet und jeweils Benutzer auf den beiden PCs angelegt, so dass man sich jeweils vom einen auf den anderen PC einloggen konnte. Der Bruder war fortan ausgesperrt.
Aber wenn es das nicht ist, dann weiss ich auch nicht, sorry!
@Robert
Gibts denn ne gute Anleitung im Netz nach der man vorgehen kann um sein
Netzwerk abzusichern? Oder wie man ein Gateway einrichtet?
Kann im Moment nicht selber suchen, da ich auf der Arbeit bin. Falls du also einen Link parat hättest würde ich mich freuen.
Gruss
Der Zatu

#6 Eine Anleitung gibt es sicher - leider habe ich keinen Link parat. Aber wenn es auch mein wirren Gedanken tun, dann lies jetzt weiter:

Am wichtigsten ist eigentlich, daß man sich im Vorfeld Gedanken macht:

- was will ich schützen
- welche Gefahren bedrohen mein Netzwerk
- was kann im schlimmsten Fall geschehen, wenn das Netzwerk nicht verfügbar ist
- welche Ausfallzeiten kann ich ausgleichen - ab wann wird es unternehmenskritisch
- welche Auswirkung hat es, wenn Daten gestohlen werden
- was darf es kosten (Vergleich Nutzen - Kosten)

Anhand solcher oder ähnlicher Fragen sollte durch das Management (!) eine Art Vorgabe (Security-Policy) für die IT-Abteilung definiert werden. Diese enthält dann genaue Angaben darüber welche Systeme/Bereiche kritisch sind und welches Maß an Schutz an den einzelnen Stellen gewünscht wird. Dies ist nun die Vorlage für die IT-Abteilung - diese muß mit technischen Mitteln versuchen die Wünsche des Managements umzusetzen - es ist nicht unüblich, daß man in der Planungsphase nun zusammen mit dem Management Kompromisse schließt um die Kosten im Rahmen zu halten.

Der Vorteil dieses Vorgehens liegt klar auf der Hand: Die Leitung des Unternehmens ist in den Security-Prozess klar eingebunden. Nur sie kann die Vorgaben machen und muß diese dann auch nach außen vertreten. Die IT ist nur zur Umsetzung und zur Beratung da. Dies hat den kleinen Nebeneffekt, daß man als Admin den schwarzen Peter an die richtige Stelle abgegeben hat.

Nach der theoretischen Lektion, nun noch einige praktische Hinweise, wie man unabhängig von den verwendeten Systemen das Netz absicher kann:

- physikalische Netztrennung --> kein direkter Zugriff auf interne Ressourcen aus dem Internet
- Konfiguration der ACL auf dem verwendeten Router (alles schließen, nur benötigte Zugriff erlauben)
- Zugriff auf Internet nur über Proxy
- Gateway muß ein eigenständiger Rechner (oder was auch immer) sein, der keine andere Funktion im Netz hat.
- Zugriffe auf interne Systeme nur über Gateway oder besser noch VPN

Also in einem kleinen Netz (6 Server, 200 Clients) hatte ich zum Beispielfolgende Konfiguration:

- Internetzugang mit Standleitung und einem Cisco 2610 Router
--> Access Lists auf dem Router konfiguriert, so daß nur best. Ports erlaubt waren - in dem Fall 443 für Outlook Webaccess, spez. Ports für Versionnsverwaltung - der Rest verboten
--> nach außen waren nur Port 80, 21, 20 und 443 offen
--> Router hatte IP 1xx.79.55.1

- Gatewayrechner mit 2 Netzwerkkarten
--> IP1: 1xx.79.55.2
--> IP2: 192.168.113.2

- auf Gatewayrechner lief Proxyserver WinProxy ( www.ositis.com )
--> alle Zugriffe auf Web und von Web nur über diesen Proxy (exessives Logging aktiviert)
--> verschiedene Usergruppen (alle durften HTTP/HTTPS, manche FTP oder NNTP; alles andere gab es nicht(!))
--> Kontrolle von HTTP, FTP und eMail durch integrierten Virenscanner
--> Contentfilterung für HTTP und FTP

- Exchangeserver / Fileserver
--> Einsatz eines weiteren Virenscanners für Mailboxen und Files

- Zugriff auf interene Ressourcen nur über RAS
--> stark beschränkter Kreis von Nutzern


Rein von der Netzstruktur ist es sicherlich nicht das nonplusultra, aber für die finanziellen Verhältnisse das Maximum und für den Gefährdungsgrad das Optimum.

Man kann sich da noch sehr viel mehr einfallen lassen - das wird dann richtig spaßig, aber wie gesagt - wird es auch benötigt?

Noch ein paar Stichworte, wenn Du Netze auf Windows 2000 Basis sichern willst:

- Nutzung von GPOs - keine flasche Scheu - der größte Feind des Netzes sitzt meist im Inneren
- EFS nutzen
- DHCP/DNS als AD-integriert definieren

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#7 auf jedenfall IP-NAT einschalten über software-router oder hab ich eben gelesen cisco-router dr kann das natürlich auch muss auf dem interner filter vom äusseren interface eingeschaltet werden dann wird alles was von drinnen kommt auf die äussere ip-adresse umgesetzt zusätzlich natürlich noch telnet und netbios ports schliessen das ist eine minimum firewall nat gehört einfach dazu