Bestehendes Netzwerk absichern
Ein bestehendes Firmennetzwerk muss neu konfiguriert und abgesichert werden.
Hallo liebe Gemeinde,
ich habe die Aufgabe bekommen, ein bestehendes Firmennetzwerk abzusichern.
Netzwerkkomponenten:
Router vom Provider mit Firewallfunktion;
Windows 2003 Server;
14 Clients, Mac und PC;
1 PC mit Verwaltungssoftware
Der Windows 2003 Server soll lediglich als Fileserver genutzt werden. Bisher arbeitet er aber zusätzlich als Domänencontroller und DHCP-Server.
Es laufen folgende Serverdienste:
AD-Verbunddienst oder AD-Verbindungsdienstproxy
Anwendungsserver
Dateiserver
Dateiserver für Macintosh
DHCP-Server
DNS-Server
Domänencontroller (Active Directory)
Middle-Tier-Anwendungsserver (COM+/DTC)
SNMP-Server
SNMP-Trap-Server
Zwischen ISP-Router und Firmennetz soll eine zusätzliche Firewall geschaltet werden, weil die Windows-interne (SCW) sicherlich nicht ausreicht. Macht das Sinn?
Kann eine Firewall dann nicht auch als DHCP eingerichtet werden, sodass der Win2003-Server tatsächlich nur als Fileserver betrieben werden kann? Oder bietet der Windows-Server genügend Sicherheitsfunktionen, um auf zusätzliche Maßnahmen verzichten zu können?
Ich denke mir, je weniger Dienste auf dem Win2003-Server laufen, desto geringer ist die Chance, ihn anzugreifen. Ich würde in dem Falle dann alle nicht benötigten Serverdienste abschalten.
Ist meine Denkweise grundsätzlich richtig? Oder sollte ich alles so belassen und lediglich die zusätzliche Firewall vor das Netz schalten?
Für ein paar Tipps und Erklärungen wäre ich sehr dankbar.
Hallo liebe Gemeinde,
ich habe die Aufgabe bekommen, ein bestehendes Firmennetzwerk abzusichern.
Netzwerkkomponenten:
Router vom Provider mit Firewallfunktion;
Windows 2003 Server;
14 Clients, Mac und PC;
1 PC mit Verwaltungssoftware
Der Windows 2003 Server soll lediglich als Fileserver genutzt werden. Bisher arbeitet er aber zusätzlich als Domänencontroller und DHCP-Server.
Es laufen folgende Serverdienste:
AD-Verbunddienst oder AD-Verbindungsdienstproxy
Anwendungsserver
Dateiserver
Dateiserver für Macintosh
DHCP-Server
DNS-Server
Domänencontroller (Active Directory)
Middle-Tier-Anwendungsserver (COM+/DTC)
SNMP-Server
SNMP-Trap-Server
Zwischen ISP-Router und Firmennetz soll eine zusätzliche Firewall geschaltet werden, weil die Windows-interne (SCW) sicherlich nicht ausreicht. Macht das Sinn?
Kann eine Firewall dann nicht auch als DHCP eingerichtet werden, sodass der Win2003-Server tatsächlich nur als Fileserver betrieben werden kann? Oder bietet der Windows-Server genügend Sicherheitsfunktionen, um auf zusätzliche Maßnahmen verzichten zu können?
Ich denke mir, je weniger Dienste auf dem Win2003-Server laufen, desto geringer ist die Chance, ihn anzugreifen. Ich würde in dem Falle dann alle nicht benötigten Serverdienste abschalten.
Ist meine Denkweise grundsätzlich richtig? Oder sollte ich alles so belassen und lediglich die zusätzliche Firewall vor das Netz schalten?
Für ein paar Tipps und Erklärungen wäre ich sehr dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 115071
Url: https://administrator.de/contentid/115071
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
20 Kommentare
Neuester Kommentar
Hi !
Eine Softwarefirewall wird von einem gut programmierten Virus mal kurz zwischen Frühstück und Vesper gekillt. Grundsätzlich ist eine "echte" Firewall niemals durch sowas zu ersetzen.
Ich würde erstmal von innen her für Sicherheit sorgen, was nützen Dir die ganzen tollen Firewalls, wenn so ein Superheld hergeht und einen infizierten USB-Stick einsteckt. Oft wird vergessen die Benutzer des Systems in Sachen Sicherheit zu schulen, weil keine Zeit oder kein Geld dafür da ist. Passiert dann aber mal was, ist das Gejammere da und schuld ist dann sowieso immer der Admin
mrtux
Zitat von @Renzel:
Firewall geschaltet werden, weil die Windows-interne (SCW) sicherlich
nicht ausreicht. Macht das Sinn?
Firewall geschaltet werden, weil die Windows-interne (SCW) sicherlich
nicht ausreicht. Macht das Sinn?
Eine Softwarefirewall wird von einem gut programmierten Virus mal kurz zwischen Frühstück und Vesper gekillt. Grundsätzlich ist eine "echte" Firewall niemals durch sowas zu ersetzen.
Ist meine Denkweise grundsätzlich richtig? Oder sollte ich alles
so belassen und lediglich die zusätzliche Firewall vor das Netz
schalten?
so belassen und lediglich die zusätzliche Firewall vor das Netz
schalten?
Ich würde erstmal von innen her für Sicherheit sorgen, was nützen Dir die ganzen tollen Firewalls, wenn so ein Superheld hergeht und einen infizierten USB-Stick einsteckt. Oft wird vergessen die Benutzer des Systems in Sachen Sicherheit zu schulen, weil keine Zeit oder kein Geld dafür da ist. Passiert dann aber mal was, ist das Gejammere da und schuld ist dann sowieso immer der Admin
mrtux
Moin,
erstmal: Wenn du dir nicht sicher bist dann würde ich bei sowas nicht grade in einem Firmennetzwerk anfangen. Ansonsten lies ruhig weiter ;)
Eine Firewall sollte bei einem Firmennetzwerk GENERELL zwischen Internet und Firmen-LAN stehen. Es ist unerheblich ob das der Router vom Provider ist oder nicht - ich weiss nicht was der Provider einstellt. Also eine eigene Firewall...
Eine Firewall ist genau eines: Eine Firewall. KEIN DHCP, KEIN Fileserver, KEIN ... -> sondern NUR eine Firewall (ggf. mit Virenscanner für den Datenverkehr o.ä.). Und wenn man sich ein klein wenig aus dem Fenster lehnen möchte dann ggf. noch ein Proxy-Server auf die Firewall ->
Der Windows-Server sollte definitiv ein Domain-Controller bleiben - und die Clients (Windows) in die Domain aufgenommen werden. Dazu kann man auf dem DC noch den WSUS-Updateserver installieren - so haben die Clients auch immer ein aktuelles Windows... (die beste Firewall bringt nix wenn der Client einmal mit dem IE auf einen Link klickt und dann sich 1000 Schad-Programme auf der Kiste befinden)
Das abschalten der Server-Dienste ist generell natürlich richtig - wenn man genau weiss was man da tut! Ansonsten: Finger weg - es gibt Dinge die Windows so gar nicht mag... (Z.B. das Abschalten des DNS-Servers auf dem DC kommt meist weniger komisch für die Domänen-Verwaltung...)
erstmal: Wenn du dir nicht sicher bist dann würde ich bei sowas nicht grade in einem Firmennetzwerk anfangen. Ansonsten lies ruhig weiter ;)
Eine Firewall sollte bei einem Firmennetzwerk GENERELL zwischen Internet und Firmen-LAN stehen. Es ist unerheblich ob das der Router vom Provider ist oder nicht - ich weiss nicht was der Provider einstellt. Also eine eigene Firewall...
Eine Firewall ist genau eines: Eine Firewall. KEIN DHCP, KEIN Fileserver, KEIN ... -> sondern NUR eine Firewall (ggf. mit Virenscanner für den Datenverkehr o.ä.). Und wenn man sich ein klein wenig aus dem Fenster lehnen möchte dann ggf. noch ein Proxy-Server auf die Firewall ->
Der Windows-Server sollte definitiv ein Domain-Controller bleiben - und die Clients (Windows) in die Domain aufgenommen werden. Dazu kann man auf dem DC noch den WSUS-Updateserver installieren - so haben die Clients auch immer ein aktuelles Windows... (die beste Firewall bringt nix wenn der Client einmal mit dem IE auf einen Link klickt und dann sich 1000 Schad-Programme auf der Kiste befinden)
Das abschalten der Server-Dienste ist generell natürlich richtig - wenn man genau weiss was man da tut! Ansonsten: Finger weg - es gibt Dinge die Windows so gar nicht mag... (Z.B. das Abschalten des DNS-Servers auf dem DC kommt meist weniger komisch für die Domänen-Verwaltung...)
Ist meine Denkweise grundsätzlich richtig? Oder sollte ich alles so belassen und lediglich die zusätzliche Firewall vor das Netz schalten
Deine Denkweise ist nicht richtig. Aus dem Grund dass du dich nciht richtig Informiert hast was die Funktion einer Firewall angeht.
Aber von Anfang.
Ihr habt einen Domänenkontroller ? Der ist sicherlich nicht gundlos installiert worden. Infomiere dich über die Funktionen und Vorteile eines Domänenkontrollers in einem Firmennetzwerk. Das wird dir die Antworten geben warum er bestehen bleiben soll.
Genauso seine DNS und DHCP Funktionen.
Auch wenn es nur 14 Clients sind, mach es vieles Leichter einen Domänenkontroller zu haben.
Es macht durchaus Sinn eine Firewall zwischen dem Internetrouter und dem Internen Netz zu schalten. Und ich rede von einer professionellen Firewall, und kein zusätlichem Rechner mit Zone Alarm.
Warum ?
Weil man dadurch mehr Sicherheit bekommt durch das Transfernetz, dass man schaffen sollte. (Das Netzwerksegment zwischen dem Router und der Firewall hat einen anderen IP Kreis als das Netz zwischen Firewall und internes Netzwerk.)
Das Transfernetz sollte "gesubnettet" sein mit einem 30er Bitcount.
Durch die richtige Konfiguration solch einer Firewall kannst du nicht nur bestimmen was von "Außen" ins Netzwerk reinkommen darf, sondern auch was von "Innen" ins Internet darf.
Eine andere Alternative wäre keine professionelle / hardwarebasierende Firewall anzuschaffen, sondern auf den bestehenden Server den MS ISA 2004/2006 zu installieren und mit 2 Netzwerkkarten zu konfigurieren. Hier schafft man zwischen Router und externe Netzwerkkarte auch ein Transfernetz.
Ansonsten kann ich meinen 2 Vorschreiber nur zustimmen. Erst Sicherheit von Innen schaffen.
GPO´s einführen / überarbeiten
Benutzerrechte anpassen - grundsätzlich darf der normale Domänenbenutzer gar nix, ausser arbeiten !
Zugriffsrechte auf Server / Laufwerke überarbeiten
Hi !
Da hast Du aber eine ganz tolle Lösung vorgeschlagen, vor allem das mit dem "bestehenden Server" gefällt mir besonders gut
mrtux
Zitat von @jadefalke:
Eine andere Alternative wäre keine professionelle /
hardwarebasierende Firewall anzuschaffen, sondern auf den bestehenden
Server den MS ISA 2004/2006 zu installieren und mit 2 Netzwerkkarten
zu konfigurieren. Hier schafft man zwischen Router und externe
Netzwerkkarte auch ein Transfernetz.
Eine andere Alternative wäre keine professionelle /
hardwarebasierende Firewall anzuschaffen, sondern auf den bestehenden
Server den MS ISA 2004/2006 zu installieren und mit 2 Netzwerkkarten
zu konfigurieren. Hier schafft man zwischen Router und externe
Netzwerkkarte auch ein Transfernetz.
Da hast Du aber eine ganz tolle Lösung vorgeschlagen, vor allem das mit dem "bestehenden Server" gefällt mir besonders gut
mrtux
Zitat von @mrtux:
Hi !
> Zitat von @jadefalke:
> ----
> Eine andere Alternative wäre keine professionelle /
> hardwarebasierende Firewall anzuschaffen, sondern auf den
bestehenden
> Server den MS ISA 2004/2006 zu installieren und mit 2
Netzwerkkarten
> zu konfigurieren. Hier schafft man zwischen Router und externe
> Netzwerkkarte auch ein Transfernetz.
Da hast Du aber eine ganz tolle Lösung vorgeschlagen, vor allem
das mit dem "bestehenden Server" gefällt mir besonders
gut
mrtux
Hi !
> Zitat von @jadefalke:
> ----
> Eine andere Alternative wäre keine professionelle /
> hardwarebasierende Firewall anzuschaffen, sondern auf den
bestehenden
> Server den MS ISA 2004/2006 zu installieren und mit 2
Netzwerkkarten
> zu konfigurieren. Hier schafft man zwischen Router und externe
> Netzwerkkarte auch ein Transfernetz.
Da hast Du aber eine ganz tolle Lösung vorgeschlagen, vor allem
das mit dem "bestehenden Server" gefällt mir besonders
gut
mrtux
OK dumme Idee!
Manche die ein SBS Premium haben wollen eben nicht mehr Zahlen, da wird dann sowas eingerichet.
Schaff dir eine hardware basierene Firewall UND ein ISA Server 2004/2006... an! Wenn das Geld reicht
Hi !
Nein, eigentlich nicht, nur würde ich den ISA nicht auf den Fileserver installieren, da das evt. mehr Sicherheitsprobleme bringt als vermeidet.
Ahh ich sehe, ich bin nicht allein
mrtux
Nein, eigentlich nicht, nur würde ich den ISA nicht auf den Fileserver installieren, da das evt. mehr Sicherheitsprobleme bringt als vermeidet.
Manche die ein SBS Premium haben wollen eben nicht mehr Zahlen, da
wird dann sowas eingerichet.
wird dann sowas eingerichet.
Ahh ich sehe, ich bin nicht allein
mrtux
Zitat von @mrtux:
Hi !
> Zitat von @jadefalke:
> ----
> OK dumme Idee!
Nein, eigentlich nicht, nur würde ich den ISA nicht auf den
Fileserver installieren, da das evt. mehr Sicherheitsprobleme bringt
als vermeidet.
um den ISA auf eine andere Maschine zu installieren benötigt man ja wiederrum eine Windows Server Lizenz für ein neues Betriebsystem. Wäre ja auch zu empfehlen. Kommt ja auf das Geld an.Hi !
> Zitat von @jadefalke:
> ----
> OK dumme Idee!
Nein, eigentlich nicht, nur würde ich den ISA nicht auf den
Fileserver installieren, da das evt. mehr Sicherheitsprobleme bringt
als vermeidet.
> Manche die ein SBS Premium haben wollen eben nicht mehr Zahlen,
da
> wird dann sowas eingerichet.
Ahh ich sehe, ich bin nicht allein
da
> wird dann sowas eingerichet.
Ahh ich sehe, ich bin nicht allein
Ich spreche von Kunden. Zum glück habe wir etwas mehr in die Tasche gegriffen.
Eine Softwarefirewall wird von einem gut programmierten Virus mal
kurz zwischen Frühstück und Vesper gekillt.
Grundsätzlich ist eine "echte" Firewall niemals durch
sowas zu ersetzen.
kurz zwischen Frühstück und Vesper gekillt.
Grundsätzlich ist eine "echte" Firewall niemals durch
sowas zu ersetzen.
Wenn du unter einer "echten" Firewall eine Hardware Firewall verstehst, dann muss ich fragen ob dir eigentlich schon klar ist das das auch nur ein Rechner mit ner Software ist?
Das ist zwar auch nur ein rechner mit software - aber mit einigen kleinen aber relevanten Unterschieden:
a) wird auf einer richtigen HW-Firewall im allgemeinen keine Software dazu installiert
b) Ist auf der Firewall normal kein User angemeldet -> d.h. keine aktiven Downloads oder Link-Aufrufe
c) Ist dort meist ein System installiert welches nicht jedes Script/jede Exe sofort ausführt
d) Kommen da normal nur User ran die sich mit sowas etwas auskennen
...
Und DAHER ist eine Hardware-Firewall trotzdem was komplett anderes als eine Firewall auf nem Windows-Server o.ä.
a) wird auf einer richtigen HW-Firewall im allgemeinen keine Software dazu installiert
b) Ist auf der Firewall normal kein User angemeldet -> d.h. keine aktiven Downloads oder Link-Aufrufe
c) Ist dort meist ein System installiert welches nicht jedes Script/jede Exe sofort ausführt
d) Kommen da normal nur User ran die sich mit sowas etwas auskennen
...
Und DAHER ist eine Hardware-Firewall trotzdem was komplett anderes als eine Firewall auf nem Windows-Server o.ä.
Zitat von @maretz:
Das ist zwar auch nur ein rechner mit software - aber mit einigen
kleinen aber relevanten Unterschieden:
a) wird auf einer richtigen HW-Firewall im allgemeinen keine Software
dazu installiert
Das ist zwar auch nur ein rechner mit software - aber mit einigen
kleinen aber relevanten Unterschieden:
a) wird auf einer richtigen HW-Firewall im allgemeinen keine Software
dazu installiert
Auf jeder HW-Firewall ist Software drauf sonst würde die nicht laufen.
b) Ist auf der Firewall normal kein User angemeldet -> d.h. keine
aktiven Downloads oder Link-Aufrufe
aktiven Downloads oder Link-Aufrufe
Muss bei nem Server auch nicht sein
c) Ist dort meist ein System installiert welches nicht jedes
Script/jede Exe sofort ausführt
Script/jede Exe sofort ausführt
Gut Windows ist da etwas schlechter als Linux aber auch keine Katastrophe
d) Kommen da normal nur User ran die sich mit sowas etwas auskennen
Also ich lass an meine Server auch keinen ran der sich nicht damit auskennt.
Und DAHER ist eine Hardware-Firewall trotzdem was komplett anderes
als eine Firewall auf nem Windows-Server o.ä.
als eine Firewall auf nem Windows-Server o.ä.
Eigentlich nicht.
Im Grund muss ich zwar sagen dass mir ne Hardware Firewall auch lieber ist. Da ist einfach das ganze abgespeckt und auf das wesentlich minimiert. Aber im Grunde kann man das gleiche mit nem normalen PC sei es unter Windows oder Linux auch erledigen.
Lassen wir mal das ganze Personal Firewall zeug außen vor. Im Endeffekt macht es den Unterschied wie du Sie einstellst. Ne Panzertür bringt dir auch nichts wenn du Sie offen lässt.
...zusätzliche, selbstkontrollierte FW ist richtig. Je nach gewünschtem Funktionsumfang und finanziellen Mitteln kannst du auf fertige Firewall-Appliances oder preiswerten Lösungen wie z.B. minimale Linuxinstallation mit Routing, iptables, Squid/Squidguard, clamav auf PC mit zwei Netzwerkkarten zurückgreifen. Auf diesen FW's sollen dann auch keine weiteren Dienste laufen. Die Domänenfunktion solltest du erhalten da über Benutzrechte und GPO's ein großer Teil Sicherheit im Firmennetz konfigurierbar ist. Dazu natürlich Antivirensoftware auf jedem PC. Was evtl. noch fehlt sind Sicherheitsanforderungen an den firmenüblichen EMailverkehr - Spam usw.
Die Auswahl eines geeigneten Firewalls kann sicher nicht so pauschal beantwortet werden. Deine Auswahl sollte sich nach deinen finanziellen Möglichkeiten und Kenntnisstand richten. Kannst du eine Anzahl schnell komplexer werdender Firwall-Regeln in ihren Auswirkungen gut übersehen, oder bist du auf diesem Gebiet eher ein Beginner? Die verwendeten Produkte solltest du einigermaßen sicher handhaben können, sonst bringen Sie nicht mehr Sicherheit, sondern weniger.
Einem Beginner würde ich eher zu einer Lösung mit grafischer Oberfläche, wie z.B. 'Untangle' raten. Hardwaremäßig ist das ein klassischer Firewall (PC mit zwei Netzwerkkarten) auf dem ein Linux-System mit nahezu beliebiger Gatewaysoftware läuft. Firewall, Content-Filter und IDS-System gehören zum kostenlosen OpenSource-System gleich mit dazu und deren Installation und Pflege ist mit ein paar Grundkenntnissen fast jederman/jederfrau möglich. (Nicht jeder ist schließlich gleich zu Anfang eine Koryphäe - außer den Kollegen dieses Forums selbstverständlich)
Wir betreiben solche Lösungen in vielen SoHo-Büros von etwa eurer Größe. Sie haben den Vorteil, dass sie auch ohne IT-Fachkraft vor Ort gewartet werden können und sind recht pflegeleicht. Zur Absicherung ist so ein System jedenfalls besser als ein noch so mächtiges kommerzielles IDS-System, dessen Pflege man nicht beherrscht.
http://www.untangle.com
Viel Spaß bei der Arbeit weiterhin
Curly Biggelow
Hamburg
Einem Beginner würde ich eher zu einer Lösung mit grafischer Oberfläche, wie z.B. 'Untangle' raten. Hardwaremäßig ist das ein klassischer Firewall (PC mit zwei Netzwerkkarten) auf dem ein Linux-System mit nahezu beliebiger Gatewaysoftware läuft. Firewall, Content-Filter und IDS-System gehören zum kostenlosen OpenSource-System gleich mit dazu und deren Installation und Pflege ist mit ein paar Grundkenntnissen fast jederman/jederfrau möglich. (Nicht jeder ist schließlich gleich zu Anfang eine Koryphäe - außer den Kollegen dieses Forums selbstverständlich)
Wir betreiben solche Lösungen in vielen SoHo-Büros von etwa eurer Größe. Sie haben den Vorteil, dass sie auch ohne IT-Fachkraft vor Ort gewartet werden können und sind recht pflegeleicht. Zur Absicherung ist so ein System jedenfalls besser als ein noch so mächtiges kommerzielles IDS-System, dessen Pflege man nicht beherrscht.
http://www.untangle.com
Viel Spaß bei der Arbeit weiterhin
Curly Biggelow
Hamburg
Ich kann dir mit gutem Gewissen den IP-Cop empfehlen, dazu gibts auch en gutes Forum:
http://www.ipcop-forum.de
Im IP-Cop kannst du auch den Squid und nen Virenscanner einbinden. Ist im Prinzip nix Anders als ein gehärtetes Linux, das speziell nur für Firewall-Lösungen gedacht ist. Gibt aber auch noch Alternativen, einfach mal recherchieren
Greetz André
http://www.ipcop-forum.de
Im IP-Cop kannst du auch den Squid und nen Virenscanner einbinden. Ist im Prinzip nix Anders als ein gehärtetes Linux, das speziell nur für Firewall-Lösungen gedacht ist. Gibt aber auch noch Alternativen, einfach mal recherchieren
Greetz André
Wie man sieht lauft alles auf irgendeine Firewall auf Linux basis.
Fur kleine Unternehmen kann ich auch die Securepoint Firewall empfehlen. www.securepoint.de
Diese gibt es auch in ganz kleinen roten Kasten, mit 3 NIC´s, Einem Manager der über eine grafische Oberflächer die Funktionen konfigurierbar macht.
Gleichzeitig kann man sich auch direkt über die Console anmelden wenn man Ahnung von Linux hat.
Das Forum von Securepoint ist recht gut.
Fur kleine Unternehmen kann ich auch die Securepoint Firewall empfehlen. www.securepoint.de
Diese gibt es auch in ganz kleinen roten Kasten, mit 3 NIC´s, Einem Manager der über eine grafische Oberflächer die Funktionen konfigurierbar macht.
Gleichzeitig kann man sich auch direkt über die Console anmelden wenn man Ahnung von Linux hat.
Das Forum von Securepoint ist recht gut.