Security-Gateway mit PFW & AVP einrichten

#0
08.09.2003, 14:53
Member

Beiträge: 25
#1 Hallo erstmal!

Also zuerst mal Sorry dafür, dass ich schon wieder einen Thread zu diesem Thema eröffne, zu dem es ja eigentlich bereits mehr als genug gibt.
Aber unter den bisherigen Threads kam ich einfach nicht zu einer geeigneten Antwort auf meine Problematik.

Also probier ich es jetzt doch mal mit nem eigenen Thread:

Das Prob ist folgendes:

Ich habe ein kleines Netzwerk mit 2 Clients und einem Internet-Gateway, der die 2 Clients SICHER ins Netz bringen soll. Alles WinXP-Pro.

Das habe ich mir folgendermaßen gedacht:
Auf dem Gateway laufen div. Schutzprogramme, wie ne Firewall, Virenscanner etc., die den Verkehr nach draußen überwachen.
Meine 2 Clients können so irre gemütlich durch's Netz surfen, ohne sich besonders Gedanken über Sicherheit machen zu müssen und ohne, dass ständig lästige Hintergrund-Progs Ressourcen verbraten.
(Richtiger Denkansatz oder schon hier Quatsch?)

Speziell sollen Würmer, Homecalls etc. verhindert werden.

Jetzt hab ich mir schon div Kerio Programme drauf gepackt (WinRoute Pro, WinRoute Lite, WinRouteFirewall und letzlich wieder die PFW mit der ich schon ganz gute Erfahrungen gemacht hatte).
Bei der PFW habe ich das Problem, dass alle Aktivitäten des Netzwerks über die svchost.exe oder die alg.exe stattfinden.
D.h.: Wenn ich beispielsweise den Port 80 für Opera frei gebe, ist dieser auch automatisch für Nero-Homecalls o.ä. offen.
Bei allen anderen Anwendungen hatte ich eigentlich ähnliche Probleme: Nämlich, dass ich bloß Ports sperren oder frei geben konnte, allerdings keine Programmzugriffe.

Kann mir jemand ne halbwegs "sichere" (ich weiß: Software-Lösungen sind nie sicher und so...) Lösung sagen?
Hab mir auch schon überlegt, ob ich auf den Clients auch noch ne PFW installieren soll, aber das würde ja eigentlich der Grundidee mit dem Ressourcen sparen entgegen stehen.
Probleme über Probleme...

Von Virenscannern und eMail-Sicherheit mal ganz zu schweigen... :-/

Schöne Grüße,
Martin
Dieser Beitrag wurde am 08.09.2003 um 14:53 Uhr von RedAlert editiert.
Seitenanfang Seitenende
08.09.2003, 20:42
Member

Beiträge: 813
#2

Zitat

Auf dem Gateway laufen div. Schutzprogramme, wie ne Firewall, Virenscanner etc., die den Verkehr nach draußen überwachen.
Meine 2 Clients können so irre gemütlich durch's Netz surfen, ohne sich besonders Gedanken über Sicherheit machen zu müssen und ohne, dass ständig lästige Hintergrund-Progs Ressourcen verbraten.
(Richtiger Denkansatz oder schon hier Quatsch?)
Leider schon hier nicht sehr sinnvoll...
Ein Virenscanner auf dem Gateway ist nicht in der Lage, dein Netzwerk vor Virenbefall zu schützen.
Genausowenig kann ein PFW/Paketfilter auf dem Gateway _applikationsbasiert_ den Datenverkehr der Clients filtern (genau das Problem, das du weiter unten beschrieben hast), so dass keinerlei Schutz vor Home-Phoning oder Outgoing-Trojanern gegeben ist.

Eigentlich sollte es sogar völlig unnötig sein, den Gateway mit irgendwelcher Software zu schützen, da (im Idealfall ;) ) auf diesem sowieso "nichts laufen" sollte (keine anfälligen Programme, kein Surfen, kein E-Mail, kein Ausführen von Dateien etc.)

Du wirst also imho kaum drumrumkommen, auf den Clients zumindest gute Virenscanner zu installieren - ob PFW's wirklich nötig sind, ist eine Sache für sich... ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
09.09.2003, 12:12
Member

Themenstarter

Beiträge: 25
#3 Ok, danke für die, nicht gerade zufrieden stellende, aber trotzdem (oder deshalb) sehr hilfreiche Antwort.

Vielleicht belassse ich es auf meinem Gateway auch einfach bei einem Programm, dass mir einige Ports dicht macht und den Rest regele ich von den Clients aus...
Seitenanfang Seitenende
09.09.2003, 14:49
Member

Beiträge: 813
#4 Wenn du WinRoute auf dem Gateway einsetzt, kannst du den Gateway quasi wie einen Client betreiben, d.h. Datenpakete von außen kommen nur dann bei ihm an, wenn du die entsprechenden Ports auf ihn mappst.
Standardmäßig sind dann also alle Ports des Gateways ohnehin 'dicht.' ;)

Ansonsten würde ich aber eher darauf setzen, die Ports manuell zu schließen, soweit dies möglich ist:
http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823

http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html

(Vorsicht, einige Schritte führen bei deiner Netzwerk-Konfig wahrscheinlich zu Problemen - am besten schrittweise vorgehen.)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 09.09.2003 um 14:49 Uhr von forge77 editiert.
Seitenanfang Seitenende
09.09.2003, 15:46
Member

Beiträge: 141
#5 Hi,
Auch mal wieder was von mir *g probiers mal hiermit:
Viren und Würmer:
http://www.f-secure.de/products/anti-virus/totalsuite/index.shtml
dürfte allerdings nich billig sein und imho overburn für Deine Config aba vielleicht is da ja was dabei das dich reizt.

Die Scanleistung kann ich allerdings net beurteilen, zu teuer ;) (für mich)
Evaluationsdownloads:
http://www.europe.f-secure.com/download-purchase/list.shtml

Muss Dein Gateway auch andere Funktionen übernehmen ausser das routing zum bzw. vom Internet (bsw. Filesharing, Webserver, ...)?

Firewalls:
Vielleicht hier was http://board.protecus.de/t2523.htm siehe unten

Greetz
Smaggmampf

Man möge mir verzeihen falls bullshit gepostet ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: