Ausreichender Schutz?

#1 Hallo Leute,

ich benötige fachlichen Rat bezüglich der internen NAT-Firewall des SMC-Barricate 7004ABR Routers bzw. allgemeine Schutzinformation.

Ich möchte demnächst unser kleines Firmennetzwerk über eine Flatrate mit statischer IP an das Internet anbinden. Nun stelle ich mir natürlich die Frage wie ich unsere Daten und uns optimal schützen kann. Ein Freund sagte mir das der o.g. Router hierfür ausreichend ist.

Könnt Ihr das bestätigen, oder muss ich weitere oder gar komplett andere Schutzmechanismen einbauen?

Vielen Dank für Eure Hilfe

Gruß GOSA

#2 Wieviel Leute sind im Netzwerk?
Sind irgendwelche Attacken zu befürchten?
Welche Finanzielle Verluste drohen bei ausfall? <-Lohnt sich eine teure lösung

Schau mal hier http://board.protecus.de/t694.htm

Für ein kleines Netzwerk reicht dein Router aus, wichtiger wär es auf jeden Pc einen Antivirus zu installieren, alle Patchs zu installieren. Ich würde auch empfehlen
I.E und outlook gegen www.mozilla.org oder www.opera.com auszutauschen.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#3 Hallo Spunki,

erst mal vielen Dank für Deine Unterstützung

Wieviel Leute sind im Netzwerk?

Insgesamt befinden sich 25 Rechner, 1 x NT-4 Domain-Controller und 2 x Windows-2000 Fileserver im Netzwerk. Ca. 8 Rechner sollen einen Zugriff auf das Internet erhalten. Z.Z. haben 4 von diesen bereits Zugriff über Dial-In per ISDN. Diese habe ich bisher mit Norton Anti-Virus 2002/2003 und ZoneAlarm 2.6 geschützt.

Sind irgendwelche Attacken zu befürchten?

Muss man wohl von ausgehen

Welche Finanzielle Verluste drohen bei ausfall?

- Ausfälle wären ärgerlich, würden uns aber nicht das Genick brechen...
- Es geht mir eher um unsere sensiblen Daten -> Auftragsabwicklung, Kundenkonditionen, Finanzbuchhaltung, etc.

Gruß GOSA

#4 Ich würde auf jeden Fall noch einen Proxyserver einbauen. Über diesen sollte dann jeglicher Zugriff egal in welche Richtung gesteuert werden. Soll heißen du nimmst einen weiteren(!) Computer und installierst dort den Proxyserver und gibst nur die Verbindungen (Protokolle) frei, die Du auch zulassen möchtest.

Des Weiteren sollte das alles so konfiguriert werden, daß alle Verbindungen die aus dem Internet kommen (sollte dies der Fall sein) auch über den proxy müssen. Dazu empfiehlt es sich dem Rechner zwei Netzwerkkarten zu verpassen und die eine und den Router in ein anderes Netz zu nehmen.

Der Vorteil dieser Lösung liegt in folgenden Punkten:

- Kontrolle des Internetaccess (Logfiles)
- nur Anwendungen die Du möchtest
- zusätzlich (je nach Produkt) Untersuchung auf Viren von HTTP/FTP/Mail
- zusätzlich (je nach Produkt) Contentfilterung
- zusätzlich (je nach Produkt) Zugriffskontrolle

Ich empfehle gern WinProxy von www.ositis.com

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Ich würde ein GNU/Linux // NetBSD Proxy empfehlen wenn du auf der ganz sicheren Seite sein willst. NAT könnte vielleicht irgendwie ausgenutzt werden.
Allerdings brauchst du noch AntiViren Scanner usw. dagegen hilft ein Server natürlich nicht aber hattest du ja eh schon. Wenn du deine sensiblen Daten irgendwo hinter dem Proxy packst kann da auch niemand dran, natürlich evntl. von innen. Aber nicht von außen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6 Dann sieht die Konfiguration wohl so aus?

DSL-Modem verbinden mit dem Barricate 7004 ABR. Im Router die NAT-Firewall aktivieren. Diesen mit der erster Netzwerkkarte in einem Win-2000 PC verbinden. Auf diesem den WinProxy installieren. Dann zweite Netzwerkkarte mit dem Switch des internen Netzwerkes verbinden.

Wenn Du das so gemeint hast, wie muss ich dann die Gateway Einstellungen konfigurieren bzw. die einzelnen PC?

Kannst Du mir auch noch sagen, wieviel der WinProxy kostet?

Gruß GOSA

#7 Also ich kann Dir jetzt nur den Listenpreis meines Händlers nennen:

25 Userlizenz = 375 User

Ich bin allerdings der Meinung, daß eine Lizenz für 10 ausreichen könnte. D.h. 10 Leute können gleichzeitig aufs Internet zugreifen. Die würde 187 Euro kosten.

http://alltrotec.cad-shopping.com/openshop?000000000000000500037029000000040a2e98fe

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#8 @Robert

Lizenzen für einen Proxy??

Das geht alles ohne viel Kohle zu bezahlen. Gibt natürlich auch Leute die wollen den teuren Weg und haben genug Geld
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Schau Dir mal die Features an: http://www.ositis.com/english/products/WinProxy/pd_overview_en.asp

Sorry, aber das ist eine Lösung für den Business Bereich inkl. guten techn. Support und das lass ich mir im Zweifelsfall wirklich etwas kosten. Die TCO sind da sicherlich günstiger als mit Squid und Co., da das KnwoHow schon da ist und nicht erst erarbeitet werden muß.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#10 @Robert

Nein danke kein interesse. Win ... Proxy ah ne 'Win' reicht schon damit ich weiß das is nix vernünftiges
Da würde ich keinen Pfennig für ausgeben. Okay das mit dem KnowHow ist natürlich nen Grund auf sowas zurück zu greifen. Aber anstatt son mist zu kaufen, bezahle ich dann lieber leute die mir was Vernünftiges auf die Beine stellen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 O.K Jungs, ich sehe schon hier treffen mal wieder zwei Welten aufeinander.

Hier noch einmal ein paar Details.

1. Ich bin ein absolutes Greenhorn was Firewalls und Linux (welch eine Schande) angeht.

2. Die Firma ist absolut geizig und der Chef (was für ein Idiot) möchte am Liebsten eine Stand-Alone Lösung haben.

3. Ich möchte meinen Kopf bzw. Arbeitsplatz behalten und brauche deshalb eine einfach zu integrierende, kostengünstige und relative sichere Lösung.

An dieser Stelle möchte ich euch beiden auch schon mal für Eure Hilfe danken...

Gruß GOSA

#12 Lass es mich mal so sagen: Der Proxy wäre ein weiterer Baustein zur Sicherheit - er würde vor allem den Feind im Inneren eines Netzes bekämpfen. Er bietet aber auch die Möglichkeit des Virenschutzes - was sicherlich an solch zentraler Stelle nicht zu verachten ist.

Im Endeffekt ist es aber eine entscheidung des Geldes. Stell Deinem Chef die Frage was passiert, wenn der DC oder die Fileserver aufgrund von beispielsweise Virenbefall nicht verfügbar sind. Nehmen wir mal ganz Milmädchenmäßig an, daß dann 10 Leute nicht arbeiten können - der Ausfall dauert wenn Ihr gut seid 3 Stunden - ohne Datenverlust macht das dann Kosten von 1350 Euro, wenn ich davon ausgehe, daß eine Stunde nicht arbeiten die Firma 45 Euro pro Person kostet - somit wäre selbst wenn man durch diese Investition nur eine Stunde Ausfall verhindert, das Geld sehr gut investiert. Wenn Dein Chef aber sagt es wäre ihm zu teuer, dann würde ich es an Deiner Stelle schriftlich machen, ihm Risiken darlegen und vermerken, daß dies auf seinen ausdrücklichen Wunsch geschah und er die volle Verantwortung trägt.

Noch zwei Sachen:

1. Ein falsch oder ungenügend konfigurierter Proxy ist schlimmer als gar keiner
2. Ich glaub der Virenschutz kostet nach dem 1. Jahr etwas zusätzlich - schau nochmal genau nach!

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#13 @Robert

Naja man läßt ers mal windows vonne server weg dann passiert auch nichts
Wieviele Viren gibt es schon für unix, das sind bestimmt nicht so viele. Dann kommt noch dazu 'wer ist schon so bescheuert und läßt ein vermutliches viren infiziertes Programm unter root laufen?' Und scho hat man keine Sorgen mir. Squid und/oder Dante reichen mehr als aus. Fakt ist jedenfalls Linux oder NetBSD kostet dich null euros und ist sicher. Wobei NetBSD in der sicherheit auf alle Fälle vorzuziehen ist. Es gibt verschiedene möglichkeiten einen DC komplett mit samba zu ersetzen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#14 @Xeper: Es geht hier nicht um darum ob nun Linux oder Windows - das Thema hatten wir schon und ich bin es ehrlich gesagt leid - jedes BS ist bei entsprechender Konfiguration sicher! Es hilft GOSA nicht weiter!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#15 'schuldigung das ich mich hier so reinhänge... bin grad etwas auf Krawall gebürstet, drumm passt es ganz gut:

Xeper... nimm's mir nicht übel, aber wie viel Ahnung hast du eigentlich von Windows? Wahrscheinlich genauso viel wie ich von Linux, OpenBSD, NetBSD... nämlich keine. Entsprechendes KnowHow vorausgesetzt, ist ein Windows-System ebenso sicher wie jedes andere. Dazu kommt, dass Lizenzen etc. wohl in der Anschaffung etwas teurer sind, sich aber spätestens dann rechnen, wenn es um Support und Erweiterungen geht. Unternehmen müssen darauf achten, dass die Technik auch noch funktioniert, wenn der Admin mal gefeuert wird. Bei Windows eher kein Problem... alles andere kann ziemlich teuer werden.

Außerdem: Wie man an diesem Thread erkennt, ist es einfacher kompetente Hilfe zu Windows zu bekommen, als für ein anderes System... für einen Laien sicher ein guter Grund mehr, sich damit zu befassen.

@ GOSA... damit von mir auch noch was konstruktives kommt: Grundsätzlich würde ich alle "sensiblen" Rechner generell weitestgehend vom WAN trennen, also keine Verbindungen erlauben. Etwas weniger restriktiv aber wirkungsvoll ist die beschriebene Proxy-Variante. Bleibt noch der Mail-Verkehr. Ich würde mir überlegen, einen lokalen Mailserver aufzusetzen. Mein persönlicher Tipp ist der Mercury-Server von Pegasus. Dieser nimmt alle Mails von außerhalb an und verteilt sie intern an die Empfänger. Ausgehende Mails werden genauso behandelt: die Benutzer schicken ihre Mails auf den lokalen SMTP-Server, der sorgt dann für das Relaying (Zustellen). Entsprechende Regel- und Filtermöglichkeiten bieten dir eine ziemlich komfortable Möglichkeit, den Mail-Verkehr der Firma zu administrieren, und... es gibt keinen direkten Zugriff auf das LAN von außen... auch nicht via Mail.

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.