Hallo,
ich bin am grübeln, wie ich ein bestimmtes Netzwerk am besten schützen sollte. Es ist per Elsa Lancom schießmichtot ans Internet angebunden und beinhaltet mehrere Clients und einen Active Directory Server.
Möglichkeiten:
1) Taugt die Firewall in den Elsa Routern was? Da hat sich in den Monaten durch Firmwareupgrades wohl was getan, zumindest gibts jetzt deutlich mehr Optionen - was das alles taugt, was ich leider nicht.
2) Linux Kiste mit iptables aufsetzen. Ist wohl recht sicher (wenn gut konfiguriert), aber mitunter nervig in der Installation und wohl nicht so ganz Wartungsfrei. Außerdem ziehts ordentlich Strom.
3) Firewall auf den AD Server draufnehmen. Welche? Birgt das (große) Gefahren?
4) Überall Personal Firewalls installieren. Nur welche? Ich hatte mal die Tiny Personal Firewall im Einsatz, und habe jetzt die Kerio getestet. Kann es sein, dass die Kerio irgendwie schlecht zu konfigurieren ist? Wo habe ich eine Übersicht über meine Regeln, bzw wie lege ich eine Regel in der Art IP1 darf nur über Port1 mit IP2 sprechen? Ich finde nur Anwendungsweite Regeln, was doof ist, da viele Anwendungen nur mit bestimmten Remotepoints reden sollten.
Viel Text, hoffe, es liest jmd. Fänd ich zumindest gut :>
Vielen Dank für die Anregungen und Tipps schonmal im Voraus!
Willkommen im #Neuland
Login wie bei quake.ingame.de zuvor, die Passwörter aus der alten Datenbank wurden aber gelöscht - einmal hier neu anfordern.
Wer seine E-Mail-Adresse nicht mehr hat oder kennt, bitte eine Nachricht mit Infos schicken o. im Discord melden.
PQ Discord Server: #planetquake Spenden? Hier entlang!
Login wie bei quake.ingame.de zuvor, die Passwörter aus der alten Datenbank wurden aber gelöscht - einmal hier neu anfordern.
Wer seine E-Mail-Adresse nicht mehr hat oder kennt, bitte eine Nachricht mit Infos schicken o. im Discord melden.
PQ Discord Server: #planetquake Spenden? Hier entlang!
Netzwerk schützen... wie?
-
saftig
- Biker
- Beiträge: 1025
- Registriert: Jun 2001
Es ist doch immer das gleiche: Du musst Dir erstmal im klaren sein was vom Internet aus bei Dir erreichbar sein soll und was momentan erreichbar ist.
Dann schaltest Du diese Services entweder ab oder verbirgst Sie mit einer Firewall.
Ich kenne die Elsa Router nicht vermute aber mal das die nur stateless inspection koennen. -> schlecht fuer UDP,ftp,...
Wenn das keine Rolle spielt mach einfach alles dicht was nicht offen sein muss.
Dann schaltest Du diese Services entweder ab oder verbirgst Sie mit einer Firewall.
Ich kenne die Elsa Router nicht vermute aber mal das die nur stateless inspection koennen. -> schlecht fuer UDP,ftp,...
Wenn das keine Rolle spielt mach einfach alles dicht was nicht offen sein muss.
-
Mithrandir
- Razor
- Beiträge: 1962
- Registriert: Aug 2000
- Wohnort: Aachen
Sicher ist das Netzwerk sowieso erst wenn du das Kabel ausziehst. Alles andere könnte irgendwie umgangen werden.
Überleg dir was du zulassen willst und was nicht. Dann guck nach, was derzeit offen ist (linux -> nmap). Unterschiede aufschreiben und dichtmachen per Firewall. Probier mal ob das mit deinem Router geht, ist die einfachste Option, bietet aber nicht viel Komfort und Einstellungsfreiheiten.
Überleg dir was du zulassen willst und was nicht. Dann guck nach, was derzeit offen ist (linux -> nmap). Unterschiede aufschreiben und dichtmachen per Firewall. Probier mal ob das mit deinem Router geht, ist die einfachste Option, bietet aber nicht viel Komfort und Einstellungsfreiheiten.
[small]Viele Namen habe ich in vielen Ländern. Mithrandir heiße ich bei den Elben, Tharkûn bei den Zwergen;
Olórin war ich in meiner Jugend im Westen, der vergessen ist, im Süden Incánus, im Norden Gandalf; in den Osten gehe ich nicht.
J.R.R. Tolkien - The Lord Of The Rings[/small]
Olórin war ich in meiner Jugend im Westen, der vergessen ist, im Süden Incánus, im Norden Gandalf; in den Osten gehe ich nicht.
J.R.R. Tolkien - The Lord Of The Rings[/small]
-
Master
- Patriot
- Beiträge: 1264
- Registriert: Mär 2001
Wenn die Leute das Internet nutzen sollen, von aussen aber niemand drauf soll (du also keine Dienste fürs Internet laufen lässt), reicht der Router mit seinem Portfilter vollkommen aus.
Wenn jemand von extern versucht auf die IP Adresse zu kommen "sieht" er nur den Router und solange der keine Ports weitergeleitet und/oder nicht gerade einen Bug in der Software hat, ist das Netzwerk "sicher".
Du solltest wirklich ein wenig Doku ueber die funktionsweise von Routern und wie man ein Firewall Konzept erstellt lesen.
Wenn jemand von extern versucht auf die IP Adresse zu kommen "sieht" er nur den Router und solange der keine Ports weitergeleitet und/oder nicht gerade einen Bug in der Software hat, ist das Netzwerk "sicher".
Du solltest wirklich ein wenig Doku ueber die funktionsweise von Routern und wie man ein Firewall Konzept erstellt lesen.
-
derblob_inaktiv
-
Mithrandir
- Razor
- Beiträge: 1962
- Registriert: Aug 2000
- Wohnort: Aachen
Dann überleg mal logisch: ne zentrale Lösung ist einfacher zu warten. -> Jeder ne eigene "Personal Firewall" scheidet aus. (Abgesehen davon dass PFW verboten gehört, weils nix taugt)
Nen zusätzlichen Rechner abzustellen für diese Aufgabe ist ein wenig überdimensioniert, kostet viel Geld, Strom etc.
Die billigste & einfachste Methode: dein Router (sofern er deine Wünsche umsetzen kann)
Nen zusätzlichen Rechner abzustellen für diese Aufgabe ist ein wenig überdimensioniert, kostet viel Geld, Strom etc.
Die billigste & einfachste Methode: dein Router (sofern er deine Wünsche umsetzen kann)
[small]Viele Namen habe ich in vielen Ländern. Mithrandir heiße ich bei den Elben, Tharkûn bei den Zwergen;
Olórin war ich in meiner Jugend im Westen, der vergessen ist, im Süden Incánus, im Norden Gandalf; in den Osten gehe ich nicht.
J.R.R. Tolkien - The Lord Of The Rings[/small]
Olórin war ich in meiner Jugend im Westen, der vergessen ist, im Süden Incánus, im Norden Gandalf; in den Osten gehe ich nicht.
J.R.R. Tolkien - The Lord Of The Rings[/small]
-
derblob_inaktiv
Da wärem wir dann bei der Frage 'taugt der Router was' =)Original erstellt von MithrandiR
Dann überleg mal logisch: ne zentrale Lösung ist einfacher zu warten. -> Jeder ne eigene "Personal Firewall" scheidet aus. (Abgesehen davon dass PFW verboten gehört, weils nix taugt)
Nen zusätzlichen Rechner abzustellen für diese Aufgabe ist ein wenig überdimensioniert, kostet viel Geld, Strom etc.
Die billigste & einfachste Methode: dein Router (sofern er deine Wünsche umsetzen kann)
Oder halt auf dem AD Server ne Firewall installieren, nur welche...
Danke für die Antworten.
-
Master
- Patriot
- Beiträge: 1264
- Registriert: Mär 2001
Ich weiss nicht so recht was du eigentlich willst. Für mich hört sich das so an, als wolltest du hinter dem Lancom Router eine "Firewall" installieren. Das brauchst du allerdings gar nicht, denn alles was hinter dem Lancom Router hängt, ist für das Internet erst sichtbar, wenn du entsprechende Ports am Router weiterleitest. Laut deinem ersten Post ist das aber nicht gewollt, daher kannst du dir den Firewallstuss schenken.
Einen Linuxrouter mit iptables _anstelle_ vom Lancom Router würde da schon eher Sinn ergeben, allerdings brauchst du den eigentlich nur bei Speziallösungen (zB VPN und du hast bereits die notwendige Hardware, denn ein VPN tauglicher (guter) "Hardware"-Router ist recht teuer.
Einen Linuxrouter mit iptables _anstelle_ vom Lancom Router würde da schon eher Sinn ergeben, allerdings brauchst du den eigentlich nur bei Speziallösungen (zB VPN und du hast bereits die notwendige Hardware, denn ein VPN tauglicher (guter) "Hardware"-Router ist recht teuer.