Willkommen im #Neuland
Login wie bei quake.ingame.de zuvor, die Passwörter aus der alten Datenbank wurden aber gelöscht - einmal hier neu anfordern.
Wer seine E-Mail-Adresse nicht mehr hat oder kennt, bitte eine Nachricht mit Infos schicken o. im Discord melden.

PQ Discord Server: #planetquake                                                                                                                                         Spenden? Hier entlang!

Netzwerk schützen... wie?

Netzwerk- und Internettechnik, Lan-Partys, IRC, Eggdrops uvm.
Antworten
derblob_inaktiv

Netzwerk schützen... wie?

Beitrag von derblob_inaktiv »

Hallo,

ich bin am grübeln, wie ich ein bestimmtes Netzwerk am besten schützen sollte. Es ist per Elsa Lancom schießmichtot ans Internet angebunden und beinhaltet mehrere Clients und einen Active Directory Server.

Möglichkeiten:

1) Taugt die Firewall in den Elsa Routern was? Da hat sich in den Monaten durch Firmwareupgrades wohl was getan, zumindest gibts jetzt deutlich mehr Optionen - was das alles taugt, was ich leider nicht.

2) Linux Kiste mit iptables aufsetzen. Ist wohl recht sicher (wenn gut konfiguriert), aber mitunter nervig in der Installation und wohl nicht so ganz Wartungsfrei. Außerdem ziehts ordentlich Strom.

3) Firewall auf den AD Server draufnehmen. Welche? Birgt das (große) Gefahren?

4) Überall Personal Firewalls installieren. Nur welche? Ich hatte mal die Tiny Personal Firewall im Einsatz, und habe jetzt die Kerio getestet. Kann es sein, dass die Kerio irgendwie schlecht zu konfigurieren ist? Wo habe ich eine Übersicht über meine Regeln, bzw wie lege ich eine Regel in der Art IP1 darf nur über Port1 mit IP2 sprechen? Ich finde nur Anwendungsweite Regeln, was doof ist, da viele Anwendungen nur mit bestimmten Remotepoints reden sollten.


Viel Text, hoffe, es liest jmd. Fänd ich zumindest gut :>
Vielen Dank für die Anregungen und Tipps schonmal im Voraus!
saftig
Biker
Biker
Beiträge: 1025
Registriert: Jun 2001

Beitrag von saftig »

Es ist doch immer das gleiche: Du musst Dir erstmal im klaren sein was vom Internet aus bei Dir erreichbar sein soll und was momentan erreichbar ist.

Dann schaltest Du diese Services entweder ab oder verbirgst Sie mit einer Firewall.

Ich kenne die Elsa Router nicht vermute aber mal das die nur stateless inspection koennen. -> schlecht fuer UDP,ftp,...

Wenn das keine Rolle spielt mach einfach alles dicht was nicht offen sein muss.
Mithrandir
Razor
Razor
Beiträge: 1962
Registriert: Aug 2000
Wohnort: Aachen

Beitrag von Mithrandir »

Sicher ist das Netzwerk sowieso erst wenn du das Kabel ausziehst. Alles andere könnte irgendwie umgangen werden.

Überleg dir was du zulassen willst und was nicht. Dann guck nach, was derzeit offen ist (linux -> nmap). Unterschiede aufschreiben und dichtmachen per Firewall. Probier mal ob das mit deinem Router geht, ist die einfachste Option, bietet aber nicht viel Komfort und Einstellungsfreiheiten.
[small]Viele Namen habe ich in vielen Ländern. Mithrandir heiße ich bei den Elben, Tharkûn bei den Zwergen;
Olórin war ich in meiner Jugend im Westen, der vergessen ist, im Süden Incánus, im Norden Gandalf; in den Osten gehe ich nicht.


J.R.R. Tolkien - The Lord Of The Rings[/small]
Master
Patriot
Patriot
Beiträge: 1264
Registriert: Mär 2001

Beitrag von Master »

Wenn die Leute das Internet nutzen sollen, von aussen aber niemand drauf soll (du also keine Dienste fürs Internet laufen lässt), reicht der Router mit seinem Portfilter vollkommen aus.

Wenn jemand von extern versucht auf die IP Adresse zu kommen "sieht" er nur den Router und solange der keine Ports weitergeleitet und/oder nicht gerade einen Bug in der Software hat, ist das Netzwerk "sicher".

Du solltest wirklich ein wenig Doku ueber die funktionsweise von Routern und wie man ein Firewall Konzept erstellt lesen.
derblob_inaktiv

Beitrag von derblob_inaktiv »

Ich kenne die Funktionsweise von Routern und Firewalls ;)
Ich weiß nur nicht, welche Lösung die Beste ist, bzw wenn ich irgendwo eine Software installiere, welche ich da am Besten nehmen sollte, da ich nirgends einen objektiven Test von Firewall Software finde...
Mithrandir
Razor
Razor
Beiträge: 1962
Registriert: Aug 2000
Wohnort: Aachen

Beitrag von Mithrandir »

Dann überleg mal logisch: ne zentrale Lösung ist einfacher zu warten. -> Jeder ne eigene "Personal Firewall" scheidet aus. (Abgesehen davon dass PFW verboten gehört, weils nix taugt)

Nen zusätzlichen Rechner abzustellen für diese Aufgabe ist ein wenig überdimensioniert, kostet viel Geld, Strom etc.

Die billigste & einfachste Methode: dein Router (sofern er deine Wünsche umsetzen kann)
[small]Viele Namen habe ich in vielen Ländern. Mithrandir heiße ich bei den Elben, Tharkûn bei den Zwergen;
Olórin war ich in meiner Jugend im Westen, der vergessen ist, im Süden Incánus, im Norden Gandalf; in den Osten gehe ich nicht.


J.R.R. Tolkien - The Lord Of The Rings[/small]
derblob_inaktiv

Beitrag von derblob_inaktiv »

Original erstellt von MithrandiR
Dann überleg mal logisch: ne zentrale Lösung ist einfacher zu warten. -> Jeder ne eigene "Personal Firewall" scheidet aus. (Abgesehen davon dass PFW verboten gehört, weils nix taugt)

Nen zusätzlichen Rechner abzustellen für diese Aufgabe ist ein wenig überdimensioniert, kostet viel Geld, Strom etc.

Die billigste & einfachste Methode: dein Router (sofern er deine Wünsche umsetzen kann)
Da wärem wir dann bei der Frage 'taugt der Router was' =)
Oder halt auf dem AD Server ne Firewall installieren, nur welche...

Danke für die Antworten.
Master
Patriot
Patriot
Beiträge: 1264
Registriert: Mär 2001

Beitrag von Master »

Ich weiss nicht so recht was du eigentlich willst. Für mich hört sich das so an, als wolltest du hinter dem Lancom Router eine "Firewall" installieren. Das brauchst du allerdings gar nicht, denn alles was hinter dem Lancom Router hängt, ist für das Internet erst sichtbar, wenn du entsprechende Ports am Router weiterleitest. Laut deinem ersten Post ist das aber nicht gewollt, daher kannst du dir den Firewallstuss schenken.

Einen Linuxrouter mit iptables _anstelle_ vom Lancom Router würde da schon eher Sinn ergeben, allerdings brauchst du den eigentlich nur bei Speziallösungen (zB VPN und du hast bereits die notwendige Hardware, denn ein VPN tauglicher (guter) "Hardware"-Router ist recht teuer.
Antworten