planetquake.eu

Hallo,

ich bin am grübeln, wie ich ein bestimmtes Netzwerk am besten schützen sollte. Es ist per Elsa Lancom schießmichtot ans Internet angebunden und beinhaltet mehrere Clients und einen Active Directory Server.

Möglichkeiten:

1) Taugt die Firewall in den Elsa Routern was? Da hat sich in den Monaten durch Firmwareupgrades wohl was getan, zumindest gibts jetzt deutlich mehr Optionen - was das alles taugt, was ich leider nicht.

2) Linux Kiste mit iptables aufsetzen. Ist wohl recht sicher (wenn gut konfiguriert), aber mitunter nervig in der Installation und wohl nicht so ganz Wartungsfrei. Außerdem ziehts ordentlich Strom.

3) Firewall auf den AD Server draufnehmen. Welche? Birgt das (große) Gefahren?

4) Überall Personal Firewalls installieren. Nur welche? Ich hatte mal die Tiny Personal Firewall im Einsatz, und habe jetzt die Kerio getestet. Kann es sein, dass die Kerio irgendwie schlecht zu konfigurieren ist? Wo habe ich eine Übersicht über meine Regeln, bzw wie lege ich eine Regel in der Art IP1 darf nur über Port1 mit IP2 sprechen? Ich finde nur Anwendungsweite Regeln, was doof ist, da viele Anwendungen nur mit bestimmten Remotepoints reden sollten.


Viel Text, hoffe, es liest jmd. Fänd ich zumindest gut :>
Vielen Dank für die Anregungen und Tipps schonmal im Voraus!

Es ist doch immer das gleiche: Du musst Dir erstmal im klaren sein was vom Internet aus bei Dir erreichbar sein soll und was momentan erreichbar ist.

Dann schaltest Du diese Services entweder ab oder verbirgst Sie mit einer Firewall.

Ich kenne die Elsa Router nicht vermute aber mal das die nur stateless inspection koennen. -> schlecht fuer UDP,ftp,...

Wenn das keine Rolle spielt mach einfach alles dicht was nicht offen sein muss.

Sicher ist das Netzwerk sowieso erst wenn du das Kabel ausziehst. Alles andere könnte irgendwie umgangen werden.

Überleg dir was du zulassen willst und was nicht. Dann guck nach, was derzeit offen ist (linux -> nmap). Unterschiede aufschreiben und dichtmachen per Firewall. Probier mal ob das mit deinem Router geht, ist die einfachste Option, bietet aber nicht viel Komfort und Einstellungsfreiheiten.

Wenn die Leute das Internet nutzen sollen, von aussen aber niemand drauf soll (du also keine Dienste fürs Internet laufen lässt), reicht der Router mit seinem Portfilter vollkommen aus.

Wenn jemand von extern versucht auf die IP Adresse zu kommen "sieht" er nur den Router und solange der keine Ports weitergeleitet und/oder nicht gerade einen Bug in der Software hat, ist das Netzwerk "sicher".

Du solltest wirklich ein wenig Doku ueber die funktionsweise von Routern und wie man ein Firewall Konzept erstellt lesen.

Ich kenne die Funktionsweise von Routern und Firewalls
Ich weiß nur nicht, welche Lösung die Beste ist, bzw wenn ich irgendwo eine Software installiere, welche ich da am Besten nehmen sollte, da ich nirgends einen objektiven Test von Firewall Software finde...

Dann überleg mal logisch: ne zentrale Lösung ist einfacher zu warten. -> Jeder ne eigene "Personal Firewall" scheidet aus. (Abgesehen davon dass PFW verboten gehört, weils nix taugt)

Nen zusätzlichen Rechner abzustellen für diese Aufgabe ist ein wenig überdimensioniert, kostet viel Geld, Strom etc.

Die billigste & einfachste Methode: dein Router (sofern er deine Wünsche umsetzen kann)

Original erstellt von MithrandiR
Dann überleg mal logisch: ne zentrale Lösung ist einfacher zu warten. -> Jeder ne eigene "Personal Firewall" scheidet aus. (Abgesehen davon dass PFW verboten gehört, weils nix taugt)

Nen zusätzlichen Rechner abzustellen für diese Aufgabe ist ein wenig überdimensioniert, kostet viel Geld, Strom etc.

Die billigste & einfachste Methode: dein Router (sofern er deine Wünsche umsetzen kann)

Da wärem wir dann bei der Frage 'taugt der Router was' =)
Oder halt auf dem AD Server ne Firewall installieren, nur welche...

Danke für die Antworten.

Ich weiss nicht so recht was du eigentlich willst. Für mich hört sich das so an, als wolltest du hinter dem Lancom Router eine "Firewall" installieren. Das brauchst du allerdings gar nicht, denn alles was hinter dem Lancom Router hängt, ist für das Internet erst sichtbar, wenn du entsprechende Ports am Router weiterleitest. Laut deinem ersten Post ist das aber nicht gewollt, daher kannst du dir den Firewallstuss schenken.

Einen Linuxrouter mit iptables _anstelle_ vom Lancom Router würde da schon eher Sinn ergeben, allerdings brauchst du den eigentlich nur bei Speziallösungen (zB VPN und du hast bereits die notwendige Hardware, denn ein VPN tauglicher (guter) "Hardware"-Router ist recht teuer.