Router und (gute) Firewall am Server ???

#1 Es begrüßt euch ein neuer User.
Endlich habe ich mal ein kompetentes Forum gefunden.
Und keine Angst, ich habe vor meiner Frage die Suchfunktion benutzt.

Es geht um folgendes:
Ich habe einen Server auf XP Basis mit der IP 192.168.1.1
Weiterhin Clients (XP) mit den Folge-IPs (192.168.1.n)

Momentan habe ich auf jeden Client die Desktop-Firewall Norton-Internet-Security 2002 installiert.
Auf dem Server läuft WinRoute 4.2 Pro.
Jetzt möchte ich von Norton weg.

Ich hätte gerne auf dem Server eine gute Firewall, die nicht nur sich selber "scannt" (weil Desktop-Firewall), sondern auch die
gerouteten Verbindung der Clients.

Nach Suchen bin ich auf Kerio/Tiny Firewall 3.x gestossen.


Lohnt sich eine Kombination von WinRoute und Kerio/Tiny?

Oder ist WinRoute (weil auch von Kerio) genau so sicher, wie
die separate Firewall?

Kann ich WinRoute so einstellen, dass es die Verbindung durch
die Firewall aufbaut. Und damit meine ich auch die Anfragen der Clients.
Die momentane Desktop-Firewall prüft nämlich nur die Verbindung des lokalen
Servers (127.0.0.1)


Was haltet ihr von AVM Ken DSL 2.0 zum Routen der Verbindung?

Danke für eure Hilfe

#2 Hi,

WinRoute besitzt eine Paketfilter-Funktion, mit der du theoretisch den Internet-Verkehr der Clients regeln kannst. Allerdings läuft der Filter nicht Application-basiert, d.h. du kannst nur sagen, welche Adressen und ports für *alle* Programme zugelassen sind.
Eine Desktop-FW, die spezielle Programm-Regeln benutzt, ist da wesentlich sicherer.

Deshalb finde ich deine bisherige Konfiguration (FW's auf allen Rechnern) besser; bei mir läuft im Prinzip das gleiche, nur habe ich statt Norton die (bessere) KerioFW 2.x.

Ich weiß nicht, ob es nicht auch FW's gibt, die auf dem Server den Client-Verkehr applications-basiert regeln können, wage aber zu bezweifeln, dass es die neue Tiny 3.0 (die meintest du doch?) kann...

Vielleicht weiß jemand anderes mehr.

Also, an deiner Stelle würde ich auf allen Rechnern (auch dem Server) die KerioFW 2.x installieren. Da die Clients vom Internet aus sowieso nicht angreifbar sind, haben die FW's dort nur die Aufgabe, home-phoning u.ä. zu verhindern.

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Nein soweit ich weis ist Application basierende Firewall extern nicht möglich die applikation wird soweit ich weis am Socket bestimmt den sie öffnet. Natürlich könnte man eine art Client installieren die das der externen Firewall mitteilt.

Ich habe keine ahnung wie schnell Winrout ist aber ich nehme an das es ganz ordentlich funktioniert und einen gut gegen Angreifer Schütz. Allerdings kann spyware jetzt immer noch nach ausen Packete senden da der Port 80 ja offen wäre Trojaner können allerdings bei NAT nichts machen da kein Remot port besteht.

Meine empfehlung Kerio personal Firewall installieren um Spyware zu bekämpfen
was allerdings auch Spyware sucher machen können normalerweis reicht eigentlich eine externe Firewall z.B eine Nat Router.
wenn wirklich ein guter Hacker kommt ist man sowieso dran
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#4

Zitat

spunki postete
wenn wirklich ein guter Hacker kommt ist man sowieso dran

Und genau das soll er ja nicht. ;-)

Nein, okay. So schlimm ist es nicht. Wir viel Zeit ins Hacken investiert, der hat es irgendwann auch verdient.

Ich habe nur kein Bock auf die 14jährigen, die einen Portscanner einsetzen, um auf der Gegenseite nach Trojanern zu suchen.

Es geht mir um die Standard-Wie-werde-ich-Hacker-Handbuch-Yuppies

Lokal ist der Rechner zu mittels FW und Virenscanner.
Solche Dinge, wie WebBugs etc. blockt WebWasher.
Gegen Dialer brauche ich mich nicht schützen, da DSL.
Und gegen SpyWare kann ich nichts machen ausser regelmäßiges Scanner mit Ad-Aware.

Aber ihr habt ja Recht, wenn ihr sagt, dass man Anwendungen nur dort stoppen kann, wo sie die Ports öffnen. Also lokal. Schade eigentlich.

Dann werde ich doch weiterhin überall Norton Internet Security einsetzen müssen.
WinRoute soll sich dann mittels NAT etc. um die anderen Kleinigkeiten kümmern. Außerdem bin ich in zwei Sub-Netze, weil ich zwei Netzwerkkarten für DSL und intern benutze.

Welche großen Vorteile mit dem dazugehörenden Konfigurationsaufwand hat den Tiny Personal Firewall gegenüber Norton IS?

#5

Zitat

forge77 postete
Da die Clients vom Internet aus sowieso nicht angreifbar sind, haben die FW's dort nur die Aufgabe, home-phoning u.?. zu verhindern.

Aber hallo... ?ber die Br?cke w?rd ich aber nicht gehen Bei 'ner schlecht konfigurierten Datei- und Druckerfreigabe innerhalb des Rulesets der FW, maschiert man ohne ein Hacker zu sein durch's komplette Netzwerk Allerdings gilt das in erster Linie f?r die FW auf dem Server... geht da schon was durch, n?tzt sie auf dem Client auch nicht mehr viel.

Gr??e, dicon

#6

Zitat

´dicon postete

Zitat

forge77 postete
Da die Clients vom Internet aus sowieso nicht angreifbar sind, haben die FW's dort nur die Aufgabe, home-phoning u.?. zu verhindern.

Aber hallo... ?ber die Br?cke w?rd ich aber nicht gehen Bei 'ner schlecht konfigurierten Datei- und Druckerfreigabe innerhalb des Rulesets der FW, maschiert man ohne ein Hacker zu sein durch's komplette Netzwerk Allerdings gilt das in erster Linie f?r die FW auf dem Server... geht da schon was durch, n?tzt sie auf dem Client auch nicht mehr viel.

Gr??e, dicon

Oops, dann sollte ich vielleicht ein wenig die Rulessets studieren. Auch wenn ich nicht genau verstehe was du damit meinst.

#7 N' abend,

@dicon
Das interessiert mich jetzt aber!
Ich dachte bisher, man könnte im Falle einer falsch konfigurierten Datei- und Druckerfreigabe nur auf die freigegebenen Dateien auf dem Internet-Rechner zugreifen!?
Was du sagst hieße ja, der Server gibt zusätzlich Dateien von anderen Rechnern (den Clients) frei!? Direkt auf einen Rechner innerhalb des Netzwerks zugreifen kann man doch wohl (hoffentlich) nicht?!

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#8 Neues Thema --> neuer Thread --> http://board.protecus.de/t444.htm

Robert

#9 Neues Problem --> neuer Thread und bitte im richtigen Forum!

---> http://board.protecus.de/t632.htm

Robert

#10 Upsss... da wär ich ja fast ne Antwort schuldig geblieben - sorry

@ forge77... Wenn auf dem Server die Datei- und Druckerfreigabe mit Bindung zum LAN und Internet eingerichtet wurde, stehen über den Server (es reicht ein offener Port 139) alle freigegebenen Resourcen des LANs offen zur Verfügung. Kommt dann noch dazu... leider auch nicht so selten... das der Server mit Admin-Account hochgefahren wurde gibt's noch mehr Probleme.

Es ist daher für den Server wichtig, dass der Zugriff für's LAN via Datei- und Druckerfreigabe klar für den privaten Netzwerkbereich geregelt ist, z.b. nur für die IPs 192.168.x.x Ob das via FW oder Router-Switch/Hub-Kombi passiert, spielt dabei erstmal keine Rolle. Natürlich gehört die Bindung ans I-Net für die Datei- und Druckerfreigabe auch gekickt

Grüße, dicon