renzel
Goto Top

Bestehendes Netzwerk absichern

Ein bestehendes Firmennetzwerk muss neu konfiguriert und abgesichert werden.

Hallo liebe Gemeinde,

ich habe die Aufgabe bekommen, ein bestehendes Firmennetzwerk abzusichern.

Netzwerkkomponenten:

Router vom Provider mit Firewallfunktion;
Windows 2003 Server;
14 Clients, Mac und PC;
1 PC mit Verwaltungssoftware

Der Windows 2003 Server soll lediglich als Fileserver genutzt werden. Bisher arbeitet er aber zusätzlich als Domänencontroller und DHCP-Server.

Es laufen folgende Serverdienste:

AD-Verbunddienst oder AD-Verbindungsdienstproxy
Anwendungsserver
Dateiserver
Dateiserver für Macintosh
DHCP-Server
DNS-Server
Domänencontroller (Active Directory)
Middle-Tier-Anwendungsserver (COM+/DTC)
SNMP-Server
SNMP-Trap-Server

Zwischen ISP-Router und Firmennetz soll eine zusätzliche Firewall geschaltet werden, weil die Windows-interne (SCW) sicherlich nicht ausreicht. Macht das Sinn?
Kann eine Firewall dann nicht auch als DHCP eingerichtet werden, sodass der Win2003-Server tatsächlich nur als Fileserver betrieben werden kann? Oder bietet der Windows-Server genügend Sicherheitsfunktionen, um auf zusätzliche Maßnahmen verzichten zu können?

Ich denke mir, je weniger Dienste auf dem Win2003-Server laufen, desto geringer ist die Chance, ihn anzugreifen. Ich würde in dem Falle dann alle nicht benötigten Serverdienste abschalten.

Ist meine Denkweise grundsätzlich richtig? Oder sollte ich alles so belassen und lediglich die zusätzliche Firewall vor das Netz schalten?

Für ein paar Tipps und Erklärungen wäre ich sehr dankbar.

Content-ID: 115071

Url: https://administrator.de/contentid/115071

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

mrtux
mrtux 30.04.2009 um 16:28:59 Uhr
Goto Top
Hi !

Zitat von @Renzel:
Firewall geschaltet werden, weil die Windows-interne (SCW) sicherlich
nicht ausreicht. Macht das Sinn?

Eine Softwarefirewall wird von einem gut programmierten Virus mal kurz zwischen Frühstück und Vesper gekillt. Grundsätzlich ist eine "echte" Firewall niemals durch sowas zu ersetzen.

Ist meine Denkweise grundsätzlich richtig? Oder sollte ich alles
so belassen und lediglich die zusätzliche Firewall vor das Netz
schalten?

Ich würde erstmal von innen her für Sicherheit sorgen, was nützen Dir die ganzen tollen Firewalls, wenn so ein Superheld hergeht und einen infizierten USB-Stick einsteckt. Oft wird vergessen die Benutzer des Systems in Sachen Sicherheit zu schulen, weil keine Zeit oder kein Geld dafür da ist. Passiert dann aber mal was, ist das Gejammere da und schuld ist dann sowieso immer der Admin face-smile

mrtux
maretz
maretz 30.04.2009 um 16:29:00 Uhr
Goto Top
Moin,

erstmal: Wenn du dir nicht sicher bist dann würde ich bei sowas nicht grade in einem Firmennetzwerk anfangen. Ansonsten lies ruhig weiter ;)

Eine Firewall sollte bei einem Firmennetzwerk GENERELL zwischen Internet und Firmen-LAN stehen. Es ist unerheblich ob das der Router vom Provider ist oder nicht - ich weiss nicht was der Provider einstellt. Also eine eigene Firewall...

Eine Firewall ist genau eines: Eine Firewall. KEIN DHCP, KEIN Fileserver, KEIN ... -> sondern NUR eine Firewall (ggf. mit Virenscanner für den Datenverkehr o.ä.). Und wenn man sich ein klein wenig aus dem Fenster lehnen möchte dann ggf. noch ein Proxy-Server auf die Firewall ->

Der Windows-Server sollte definitiv ein Domain-Controller bleiben - und die Clients (Windows) in die Domain aufgenommen werden. Dazu kann man auf dem DC noch den WSUS-Updateserver installieren - so haben die Clients auch immer ein aktuelles Windows... (die beste Firewall bringt nix wenn der Client einmal mit dem IE auf einen Link klickt und dann sich 1000 Schad-Programme auf der Kiste befinden)

Das abschalten der Server-Dienste ist generell natürlich richtig - wenn man genau weiss was man da tut! Ansonsten: Finger weg - es gibt Dinge die Windows so gar nicht mag... (Z.B. das Abschalten des DNS-Servers auf dem DC kommt meist weniger komisch für die Domänen-Verwaltung...)
jadefalke
jadefalke 30.04.2009 um 16:33:44 Uhr
Goto Top
Ist meine Denkweise grundsätzlich richtig? Oder sollte ich alles so belassen und lediglich die zusätzliche Firewall vor das Netz schalten

Deine Denkweise ist nicht richtig. Aus dem Grund dass du dich nciht richtig Informiert hast was die Funktion einer Firewall angeht.
Aber von Anfang.

Ihr habt einen Domänenkontroller ? Der ist sicherlich nicht gundlos installiert worden. Infomiere dich über die Funktionen und Vorteile eines Domänenkontrollers in einem Firmennetzwerk. Das wird dir die Antworten geben warum er bestehen bleiben soll.
Genauso seine DNS und DHCP Funktionen.
Auch wenn es nur 14 Clients sind, mach es vieles Leichter einen Domänenkontroller zu haben.

Es macht durchaus Sinn eine Firewall zwischen dem Internetrouter und dem Internen Netz zu schalten. Und ich rede von einer professionellen Firewall, und kein zusätlichem Rechner mit Zone Alarm.
Warum ?
Weil man dadurch mehr Sicherheit bekommt durch das Transfernetz, dass man schaffen sollte. (Das Netzwerksegment zwischen dem Router und der Firewall hat einen anderen IP Kreis als das Netz zwischen Firewall und internes Netzwerk.)
Das Transfernetz sollte "gesubnettet" sein mit einem 30er Bitcount.
Durch die richtige Konfiguration solch einer Firewall kannst du nicht nur bestimmen was von "Außen" ins Netzwerk reinkommen darf, sondern auch was von "Innen" ins Internet darf.

Eine andere Alternative wäre keine professionelle / hardwarebasierende Firewall anzuschaffen, sondern auf den bestehenden Server den MS ISA 2004/2006 zu installieren und mit 2 Netzwerkkarten zu konfigurieren. Hier schafft man zwischen Router und externe Netzwerkkarte auch ein Transfernetz.

Ansonsten kann ich meinen 2 Vorschreiber nur zustimmen. Erst Sicherheit von Innen schaffen.
GPO´s einführen / überarbeiten
Benutzerrechte anpassen - grundsätzlich darf der normale Domänenbenutzer gar nix, ausser arbeiten ! face-smile
Zugriffsrechte auf Server / Laufwerke überarbeiten
mrtux
mrtux 30.04.2009 um 16:43:29 Uhr
Goto Top
Hi !

Zitat von @jadefalke:
Eine andere Alternative wäre keine professionelle /
hardwarebasierende Firewall anzuschaffen, sondern auf den bestehenden
Server den MS ISA 2004/2006 zu installieren und mit 2 Netzwerkkarten
zu konfigurieren. Hier schafft man zwischen Router und externe
Netzwerkkarte auch ein Transfernetz.

Da hast Du aber eine ganz tolle Lösung vorgeschlagen, vor allem das mit dem "bestehenden Server" gefällt mir besonders gut face-smile

mrtux
jadefalke
jadefalke 30.04.2009 um 16:50:02 Uhr
Goto Top
Zitat von @mrtux:
Hi !

> Zitat von @jadefalke:
> ----
> Eine andere Alternative wäre keine professionelle /
> hardwarebasierende Firewall anzuschaffen, sondern auf den
bestehenden
> Server den MS ISA 2004/2006 zu installieren und mit 2
Netzwerkkarten
> zu konfigurieren. Hier schafft man zwischen Router und externe
> Netzwerkkarte auch ein Transfernetz.

Da hast Du aber eine ganz tolle Lösung vorgeschlagen, vor allem
das mit dem "bestehenden Server" gefällt mir besonders
gut face-smile

mrtux

OK dumme Idee!
Manche die ein SBS Premium haben wollen eben nicht mehr Zahlen, da wird dann sowas eingerichet.

Schaff dir eine hardware basierene Firewall UND ein ISA Server 2004/2006... an! Wenn das Geld reicht face-smile
mrtux
mrtux 30.04.2009 um 17:07:27 Uhr
Goto Top
Hi !

Zitat von @jadefalke:
OK dumme Idee!

Nein, eigentlich nicht, nur würde ich den ISA nicht auf den Fileserver installieren, da das evt. mehr Sicherheitsprobleme bringt als vermeidet.

Manche die ein SBS Premium haben wollen eben nicht mehr Zahlen, da
wird dann sowas eingerichet.

Ahh ich sehe, ich bin nicht allein face-smile

mrtux
jadefalke
jadefalke 30.04.2009 um 17:11:41 Uhr
Goto Top
Zitat von @mrtux:
Hi !

> Zitat von @jadefalke:
> ----
> OK dumme Idee!

Nein, eigentlich nicht, nur würde ich den ISA nicht auf den
Fileserver installieren, da das evt. mehr Sicherheitsprobleme bringt
als vermeidet.

um den ISA auf eine andere Maschine zu installieren benötigt man ja wiederrum eine Windows Server Lizenz für ein neues Betriebsystem. Wäre ja auch zu empfehlen. Kommt ja auf das Geld an.

> Manche die ein SBS Premium haben wollen eben nicht mehr Zahlen,
da
> wird dann sowas eingerichet.

Ahh ich sehe, ich bin nicht allein face-smile


face-smile Ich spreche von Kunden. Zum glück habe wir etwas mehr in die Tasche gegriffen.
wiesi200
wiesi200 30.04.2009 um 17:56:28 Uhr
Goto Top
Eine Softwarefirewall wird von einem gut programmierten Virus mal
kurz zwischen Frühstück und Vesper gekillt.
Grundsätzlich ist eine "echte" Firewall niemals durch
sowas zu ersetzen.

Wenn du unter einer "echten" Firewall eine Hardware Firewall verstehst, dann muss ich fragen ob dir eigentlich schon klar ist das das auch nur ein Rechner mit ner Software ist?
maretz
maretz 30.04.2009 um 19:49:17 Uhr
Goto Top
Das ist zwar auch nur ein rechner mit software - aber mit einigen kleinen aber relevanten Unterschieden:

a) wird auf einer richtigen HW-Firewall im allgemeinen keine Software dazu installiert

b) Ist auf der Firewall normal kein User angemeldet -> d.h. keine aktiven Downloads oder Link-Aufrufe

c) Ist dort meist ein System installiert welches nicht jedes Script/jede Exe sofort ausführt

d) Kommen da normal nur User ran die sich mit sowas etwas auskennen

...

Und DAHER ist eine Hardware-Firewall trotzdem was komplett anderes als eine Firewall auf nem Windows-Server o.ä.
wiesi200
wiesi200 30.04.2009 um 21:14:24 Uhr
Goto Top
Zitat von @maretz:
Das ist zwar auch nur ein rechner mit software - aber mit einigen
kleinen aber relevanten Unterschieden:

a) wird auf einer richtigen HW-Firewall im allgemeinen keine Software
dazu installiert

Auf jeder HW-Firewall ist Software drauf sonst würde die nicht laufen.

b) Ist auf der Firewall normal kein User angemeldet -> d.h. keine
aktiven Downloads oder Link-Aufrufe

Muss bei nem Server auch nicht sein

c) Ist dort meist ein System installiert welches nicht jedes
Script/jede Exe sofort ausführt

Gut Windows ist da etwas schlechter als Linux aber auch keine Katastrophe

d) Kommen da normal nur User ran die sich mit sowas etwas auskennen

Also ich lass an meine Server auch keinen ran der sich nicht damit auskennt.

Und DAHER ist eine Hardware-Firewall trotzdem was komplett anderes
als eine Firewall auf nem Windows-Server o.ä.

Eigentlich nicht.

Im Grund muss ich zwar sagen dass mir ne Hardware Firewall auch lieber ist. Da ist einfach das ganze abgespeckt und auf das wesentlich minimiert. Aber im Grunde kann man das gleiche mit nem normalen PC sei es unter Windows oder Linux auch erledigen.
Lassen wir mal das ganze Personal Firewall zeug außen vor. Im Endeffekt macht es den Unterschied wie du Sie einstellst. Ne Panzertür bringt dir auch nichts wenn du Sie offen lässt.
mrtux
mrtux 01.05.2009 um 02:00:24 Uhr
Goto Top
Hi !

face-smile Ich spreche von Kunden. Zum glück habe wir etwas mehr in die
Tasche gegriffen.

Ich spreche natürlich auch vom Kunden face-smile face-smile face-smile

mrtux
Renzel
Renzel 04.05.2009 um 17:12:13 Uhr
Goto Top
Danke, das hat mir sehr geholfen und meine eigentliche Frage beantwortet: Hardware-Firewall vor das Firmennetz schalten und innere Sicherheit durchsetzen.

Mit der Umsetzung der Sicherheitsstrategie habe ich sofort begonnen, als ich das Firmennetz übernommen habe. Als erstes wurde der I-Ex von der Benutzeroberfläche verbannt... (o;
Renzel
Renzel 04.05.2009 um 17:13:59 Uhr
Goto Top
Zitat von @jadefalke:
> Ist meine Denkweise grundsätzlich richtig? Oder sollte ich
alles so belassen und lediglich die zusätzliche Firewall vor das
Netz schalten

Deine Denkweise ist nicht richtig. Aus dem Grund dass du dich nciht
richtig Informiert hast was die Funktion einer Firewall angeht.

Genau das tue ich hier. Bevor ich Stunden und Tage damit verbringe zu suchen, ob es Geräte gibt, die das leisten, was ich mir vorstelle, wollte ich hier fragen und Eure Erfahrungen nutzen.

Aber von Anfang.

Ihr habt einen Domänenkontroller ? Der ist sicherlich nicht
gundlos installiert worden. Infomiere dich über die Funktionen
und Vorteile eines Domänenkontrollers in einem Firmennetzwerk.
Das wird dir die Antworten geben warum er bestehen bleiben soll.
Genauso seine DNS und DHCP Funktionen.
Auch wenn es nur 14 Clients sind, mach es vieles Leichter einen
Domänenkontroller zu haben.

Völlig klar, die Funktionen von DC, DNS und DHCP sind mir bewusst. Meine Frage war, ob es eine Hardware-Firewall gibt, die diese Funktionen auch leisten kann, um den Fileserver davon zu befreien.
Klare Antwort, die ich hieraus sehe: nein, gibt es nicht bzw. macht keinen Sinn.

Ansonsten kann ich meinen 2 Vorschreiber nur zustimmen. Erst
Sicherheit von Innen schaffen.
GPO´s einführen / überarbeiten
Benutzerrechte anpassen - grundsätzlich darf der normale
Domänenbenutzer gar nix, ausser arbeiten ! face-smile
Zugriffsrechte auf Server / Laufwerke überarbeiten

Da bin ich bereits dran bzw. ist bereits umgesetzt. (o;

Danke, auch dieser Beitrag hat mir sehr geholfen.
Renzel
Renzel 04.05.2009 um 17:19:08 Uhr
Goto Top
Und gleich die nächste Frage: welche Firewall ist zu empfehlen?
spongebob24
spongebob24 04.05.2009 um 18:11:30 Uhr
Goto Top
also wir nehmen kleine hp server zb. ml110 setzten darauf astaro auf und sind damit bis jetzt bei allen unseren kunden super gefahren.

klar kostet die lizenz was aber gut ding ist hald mal nicht gratis
rainer1102
rainer1102 05.05.2009 um 01:56:28 Uhr
Goto Top
...zusätzliche, selbstkontrollierte FW ist richtig. Je nach gewünschtem Funktionsumfang und finanziellen Mitteln kannst du auf fertige Firewall-Appliances oder preiswerten Lösungen wie z.B. minimale Linuxinstallation mit Routing, iptables, Squid/Squidguard, clamav auf PC mit zwei Netzwerkkarten zurückgreifen. Auf diesen FW's sollen dann auch keine weiteren Dienste laufen. Die Domänenfunktion solltest du erhalten da über Benutzrechte und GPO's ein großer Teil Sicherheit im Firmennetz konfigurierbar ist. Dazu natürlich Antivirensoftware auf jedem PC. Was evtl. noch fehlt sind Sicherheitsanforderungen an den firmenüblichen EMailverkehr - Spam usw.
curlybiggelow
curlybiggelow 05.05.2009 um 08:19:08 Uhr
Goto Top
Die Auswahl eines geeigneten Firewalls kann sicher nicht so pauschal beantwortet werden. Deine Auswahl sollte sich nach deinen finanziellen Möglichkeiten und Kenntnisstand richten. Kannst du eine Anzahl schnell komplexer werdender Firwall-Regeln in ihren Auswirkungen gut übersehen, oder bist du auf diesem Gebiet eher ein Beginner? Die verwendeten Produkte solltest du einigermaßen sicher handhaben können, sonst bringen Sie nicht mehr Sicherheit, sondern weniger.

Einem Beginner würde ich eher zu einer Lösung mit grafischer Oberfläche, wie z.B. 'Untangle' raten. Hardwaremäßig ist das ein klassischer Firewall (PC mit zwei Netzwerkkarten) auf dem ein Linux-System mit nahezu beliebiger Gatewaysoftware läuft. Firewall, Content-Filter und IDS-System gehören zum kostenlosen OpenSource-System gleich mit dazu und deren Installation und Pflege ist mit ein paar Grundkenntnissen fast jederman/jederfrau möglich. (Nicht jeder ist schließlich gleich zu Anfang eine Koryphäe - außer den Kollegen dieses Forums selbstverständlich)

Wir betreiben solche Lösungen in vielen SoHo-Büros von etwa eurer Größe. Sie haben den Vorteil, dass sie auch ohne IT-Fachkraft vor Ort gewartet werden können und sind recht pflegeleicht. Zur Absicherung ist so ein System jedenfalls besser als ein noch so mächtiges kommerzielles IDS-System, dessen Pflege man nicht beherrscht.

http://www.untangle.com

Viel Spaß bei der Arbeit weiterhin

Curly Biggelow
Hamburg
Alphavil
Alphavil 06.05.2009 um 15:20:22 Uhr
Goto Top
Ich kann dir mit gutem Gewissen den IP-Cop empfehlen, dazu gibts auch en gutes Forum:

http://www.ipcop-forum.de


Im IP-Cop kannst du auch den Squid und nen Virenscanner einbinden. Ist im Prinzip nix Anders als ein gehärtetes Linux, das speziell nur für Firewall-Lösungen gedacht ist. Gibt aber auch noch Alternativen, einfach mal recherchieren face-wink

Greetz André
jadefalke
jadefalke 07.05.2009 um 10:44:57 Uhr
Goto Top
Wie man sieht lauft alles auf irgendeine Firewall auf Linux basis.

Fur kleine Unternehmen kann ich auch die Securepoint Firewall empfehlen. www.securepoint.de
Diese gibt es auch in ganz kleinen roten Kasten, mit 3 NIC´s, Einem Manager der über eine grafische Oberflächer die Funktionen konfigurierbar macht.
Gleichzeitig kann man sich auch direkt über die Console anmelden wenn man Ahnung von Linux hat.
Das Forum von Securepoint ist recht gut.
Renzel
Renzel 08.07.2009 um 16:43:56 Uhr
Goto Top
Vielen Dank auch für Eure Beiträge zum Thema Firewall. Sie haben mir bei der Entscheidungsfindung sehr geholfen.