DSL-Anbindung Firmennetzwerk, Firewall nötig? wie?

#1 Hallo,

ich bin zufällig in das protecus-Forum gelangt und habe beim Durchlesen einiger Postings das Gefühl, dass ich hier Hilfe bekommen könnte.

Allerdings ist mein Problem, dass ich als Bauingenieur nichts davon habe, wenn ich mit tausend tausend Fachbegriffen zugeworfen werde, bitte daher Antworten "für Dummies".

Ich habe ein kleines Ingenieurbüro für Tiefbau, NT 4.0-Netzwerk mit Server und ca. 10 NT-Clients. Netzanbindung mit SDSL von kkfNet (feste IP) und netopia-Router. Nutzung nur als Internetzugang sowie E-Mail.

Obwohl wir bisher trotz vielfältigstem Datenaustauch und bisher scheinbar fehlender Firewall noch nie Probleme in Sachen Viren oder Hacker hatten, stellt man sich irgendwann natürlich doch die Frage, ob das Netzwerk, an dem letztendlich die Existenz der Firma hängt, nicht geschützt werden muss.

Unser Netzwerkberater meinte, wir sollten einen Linux-Rechner mit
einer Firewall- und Virenscan-Software Lösung dazwischenhängen, Investitionskosten für Hard- und Software rd. 4.800 Euro und später dann wahrscheinlich Pflege etc.

kkfNet fand das nicht so gut und hat uns stattdessen
eine physikalische Firewall (PIX) von Cisco empfohlen, die sie selber anbieten. Kosten 500 Euro in der Einrichtung, und 99 Euro jeden Monat. Insbesondere die Monatsrate hab ich nicht verstanden, denn die machen nach der Installation eigentlich nichts mehr.

Irgendwie sagen mir beide Lösungen nicht zu, und ich hab auch den Eindruck, hier wollen alle beide gut verdienen.

Aufgrund eines Artikels in einer Fachzeitschrift habe ich dann mal so einen Online-scan (scan.sygate.com) gemacht und da gab es gleich eine ganze Menge Hinweise auf "closed" (aber scheinbar risikobehaftete) Ports und einen offenen (TELNET) Port. Bewerten kann ich diese Aussagen aber auch nicht.

Oder es hat mir mal jemand gesagt, ich sollte alle nicht benötigten Ports ausser z.B. HTTP, HTTPS,FTP, SMTP, POP3, DNS, ARP schliessen, aber wie macht man denn so was überhaupt? Kann man den Router denn selbst konfigurieren oder geht das nur extern seitens des DSL-Providers?

Wie packt man denn dieses Problem eigentlich an, wo findet man kompetente Ansprechpartner, denen nicht die Dollars in den Augen blinken?

Mit unserem Netzwerkbetreuer (externe Firma) bin ich eigentlich ganz zufrieden, aber in dieser Sache hat er glaube ich nicht richtig Ahnung.
Oder kauft man irgendein Gerät und hat dann wirklich Ruhe?

Würde mich freuen, wenn ich hier den rettenden Hinweis bekommen kann,

#2 Hallo Windrider

Die Lösung mit dem Ciscorouter ist gut, wird aber auf die Dauer sehr teuer.
Du hast recht mit der Vermutung, dass den Netzwerkbetreuer mit Dir
verdienen will - Sicherheit soll man sich zwar etwas kosten lassen, aber
wenn´s billiger geht und genauso gut funktioniert...!

Die variante mit einem selbst konfigurierten linuxrouter ist viel billiger
und sicher(firewallhilfen gibt es jede Menge im Internet).

Ein alten rechner 486 aufwärts tuts da schon.
Kostenpunkt < 100 EUR
2 Netzwerkkarten 34,- EUR
Linux Distribution (SuSE oder Debian) direkt aus dem Netz installieren.
Kostenpunkt = 0 EUR (oder in Buchhandlund kaufen mit Manual in Buchform 79,- EUR)

Für linux-Neueinsteiger ist wohl SuSE die einfachere Distribution.
SuSE bietet mit Yast ein sehr bequemes config tool, das man auch
als Anfänger versteht. (ein bisschen sollte man sich mit Netzwerken schon aus kennen)

einfachster weg!
Bootdisketten vom (z.B ftp.suse.com/../../disks) runterladen mit rawrite erstellen
Installation aus dem Netz (min. 64 MB RAM) (pfad beachten)(aktuelle 8.0)
Netzwerkkarten einrichten (eine muss ins bestehende Netz)
Dsl einrichten
ausprobieren - wenns geht!
Firewall konfigurieren - starten - geht alles mit yast!

cu christoph

#3 ich stimme shorty zu ich würde aber mandrake benutzen das lässt sich sogar einfacher als Suse installieren (wenn das überhaupt noch geht) und ist kostenlos und enthält schon vorinstallierte Firewall,proxy oder nat,emailserver,webserver
www.mandrake.org

Zu den Netzwerk bertreuer der Linux auf allen Pc installieren will ich glaube nicht das das eure Architektur Programme (oder wie ihr das nennt um die Konstruktionen zu berechnen) darauf laufen. Also würde ich nur ein Linux router nehmen und windows Clients


Übrigens der cisco router kann sogar sehr sinvoll sein vieleicht sind die 90€ ein Versicherung gegen ausfälle sind sodass wenn das Netzwerk ausfällt ihr den dadurch enstandenen schaden bezahlt bekommt.

Hier gibts noch den test eines Router mit vorinstallierten Linux http://www.de.tomshardware.com/praxis/02q2/020522/index.html aber auch net gerade billig
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#4 Ich würde an Deiner Stelle den Cisco Router favourisieren! Es mag sein, daß 99 EUR im Monate auf den ersten Blick etwas hoch sind, jedoch gilt darauf zu achten, was diese Gebühr beinhaltet. Wenn dies Konfiguration, Wartung und Logkontrolle beinhaltet, dann denke ich ist dies gerechtfertigt. Das sollte jedoch geklärt werden! Wenn keine weiteren Kosten bei Euren Wünschen (Umkonfiguration, ...) entstehen, kann sich dasserh schnell rechnen.

In meinen Augen hat ein profesionell konfigurierter Cisco-Router wesentliche Vorteile gegenüber einem Linuxrechner. Das Cisco IOS bietet wesentlich flexiblere Konfigurationsmöglichkeiten. Es ist in meinen Augen eine Investition in die Zukunft. Das Ganze ist auch wesentlich unanfälliger für Fehler.

Schau Dich vielleicht auch mal bei www.uunet.de als Provider um, da ist der Router in der normalen Monatsgebühr mit drin!
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Danke schon einmal für die Hinweise, klar, dass nicht alle die gleiche Meinung haben. Spunki hatte mich scheinbar falsch verstanden, unser Netzwerk (Server und Clients) soll auf Windows-NT-Basis bleiben, es ging nur um den Router.

Oder verstehe ich das überhaupt richtig
Zur Zeit: DSL - Netopia-Router - Switch - Netzwerk
zukünftig: DSL - Netopia-Router??? - Linux-Router - Switch - Netzwerk
oder DSL - Linux-Router - Switch - Netzwerk ??

Würde der Linux-Router also den im DSL-Zugang Netopia-Router ersetzen oder ergänzen?

#6 Noch ne Ergänzung zu Roberts Hinweisen
Leider ist der Support in der Monatsgebühr nicht drin, nur in den ersten Wochen, nennt sich dann Welcome-Service. Danach sind Anpassungen und Umkonfigurationen gebührenpflichtig, und nicht zu knapp.
Ich habe mich wirklich gefragt, wofür diese Monatsrate denn überhaupt ist.

#7 dsl- Linux router -netzwerk der server ist dann der router
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#8

Zitat

windrider71 postete
Noch ne Ergänzung zu Roberts Hinweisen
Leider ist der Support in der Monatsgebühr nicht drin, nur in den ersten Wochen, nennt sich dann Welcome-Service. Danach sind Anpassungen und Umkonfigurationen gebührenpflichtig, und nicht zu knapp.
Ich habe mich wirklich gefragt, wofür diese Monatsrate denn überhaupt ist.

Wenn das so ist, dann würde ich den Linuxrechner nehmen. Ich würde es so konfigurieren:

Internet - Netopia-Router - Switch - Linuxrechner & Netzwerke

Netopia Router und Linuxrechner sollten in einem eigenen Subnetz liegen und der Linuxrechner braucht zwei Netzwerkkarten. Er hat dann die Funktionen Proxy (Squid) und Firewall (IPTables). IMHO hat ein potentieller Angreifer dadurch zwei Hürden zu überwinden - Router und Linuxrechner.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Roberts vorschlag mit den 2 Routern ist gut!
Wenn Du diesen router eh´schon besitzt, kannst Du
die Sicherheit in Netz noch mal erhöhen.

Wenn Deine Daten primär vor Datenverlust geschützt werden sollen
und nicht vor den Augen dritter, musst Du sowieso auf eine regelmäßige
Datensicherung setzen.
Trotz alledem sollte man niemanden den zugang ins "private"-Lan
erlauben.
Der Ciscorouter ist auf Dauer sicherlich die sicherste Lösung,
aber beim Nutzen-Kosten vergleich für ein 10 Client-Netz liegt der
Linuxrouter wieder vorn. Es ist allerdings etwas mehr Eigenleistung
zu erbringen die hier nicht mitberücksichtigt wurde.
Man sollte sich auf jeden Fall im bereich Firewall etwas Fit machen,
und die Grundbefehle von Linux beherschen.
Für einen Bauing. sollte das keine unlösbare Aufgabe sein.
(Aber das sind schon noch ein paar Stunden vor dem Rechner)

Absolute Sicherheit gibt es sowieso nicht - das muss Dir klar sein.
Die Benutzer im Lan sind eh die größte Sicherheitslücke.
Mit etwas Disziplin der User - Passworter regelmäßig ändern,
länge der Passwörter, nicht jede email öffnen, keine .exe-attachments öffnen ... u.s.w - können die häufigsten Angriffe, Viren schon verhindert werden.

cu

#10 HI,
allerdings würde mich

Zitat

einen offenen (TELNET) Port

stutzig machen, denn damit wäre der Router jetzt schon per telnet von aussen erreichbar. Kann der Router denn nicht eingestellt werden, dass dies nur von innen geht (Interface zum LAN binden)?
Gruss
Smaggmampf

#11 ich denke das der offene telnet port für den Systemadmin ist wie winrider sagt
"Mit unserem Netzwerkbetreuer (externe Firma) bin ich eigentlich ganz zufrieden, aber in dieser Sache hat er glaube ich nicht richtig Ahnung."
Ich denke das er den Router fernwartet es ist ja auch nicht schlimm wenn der Telnet port offen ist vorausgesetzt das passwort ist sicher und der Deamon ist aktualisiert. Sinnvoll wäre hier vieleicht wenn der Admin eine Standleitung hat den Telnet port an eine ip zu binden.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#12 Und solange er mit SSH rangeht.

#13 Ich staune.
Es kommt ja doch eine Menge an Informationen rüber.
auch wenn beim letzten Posting SSH mich schon wieder überfordert.

Zu Shortys Anmerkungen mit der Eigeninitiative dann doch die Klarstellung, dass ich sooo unbeleckt von der DV dann doch nicht bin, Einstieg war 1987 auf einer SUN unter UNIX, aber heute ist es eher das Zeitproblem, und der Baubranche geht es zur Zeit nicht so gut, dass man einige Stunden ausprobieren kann, ohne Geld zu verdienen. War mal so, wird hoffentlich mal wieder.

#14 ssh ist eine verschlüsselung denn wäre die verbindung unverschlüsselt könnte man bei der passwort übertragung das Passwort abhören.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}