57439
Nov 22, 2007, updated at 13:36:42 (UTC)
4086
8
0
Ist eigentlich eine Software-Firewall für interne Clients nötig?
Hi all,
ich weiß, dass klingt ein bisschen "blöd", aber in unserer Firma haben die Clients entweder die XP-Firewall an, oder eben eine Softwarefirewall von Norton. Und ich habe bisher noch wie was davon gelesen, dass Clients innerhalb eines Netzwerkes eine Firewall benötigen.
Ist das eigetnlich notwendig, wenn man einen guten Router + ISA-Server besitzt?
Achja.. es handelt sich um ein relativ kleines Small Business Server- Netzwerk von 38 Personen.
Würd gern mal euere Meinung hören!
Achja, noch am Rande. Welchen Antivirenkiller (netzübergreifend) würdet ihr bevorzugen?
vielen Dank im voraus!
ich weiß, dass klingt ein bisschen "blöd", aber in unserer Firma haben die Clients entweder die XP-Firewall an, oder eben eine Softwarefirewall von Norton. Und ich habe bisher noch wie was davon gelesen, dass Clients innerhalb eines Netzwerkes eine Firewall benötigen.
Ist das eigetnlich notwendig, wenn man einen guten Router + ISA-Server besitzt?
Achja.. es handelt sich um ein relativ kleines Small Business Server- Netzwerk von 38 Personen.
Würd gern mal euere Meinung hören!
Achja, noch am Rande. Welchen Antivirenkiller (netzübergreifend) würdet ihr bevorzugen?
vielen Dank im voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 74212
Url: https://administrator.de/contentid/74212
Printed on: April 19, 2024 at 01:04 o'clock
8 Comments
Latest comment
bezüglich der AV Lösung.
wir haben hier Sophos AV im Einsatz! Da müsste es auchw as für Small Business geben.
wir haben hier Sophos AV im Einsatz! Da müsste es auchw as für Small Business geben.
Eines der wichtigsten Konzepte in der IT-Sicherheit wird als Defense-in-Depth bezeichnet. Man geht davon aus das jede Verteidigungslinie ueberwunden werden kann (Fehlkonfiguration, 0-Day Exploit, etc...). Um es dem Angreifer so schwer wie moeglich zu machen baut man mehrer Linien auf in der Hoffnung das er an einer scheitert. Ich sehe die Softwarefirewall am Client als letzte Linie. Sie bringt aber auch nur etwas wenn sie, wie die AV-Software, zentral verwaltet wird.
Zu deiner Frage: Meiner Meinung nach kannst du die Frage nur nach deiner Risikoanlyse/Bewertung beantworten. Es ist sicherlich nuetzlich eine schon integrierte Firewall einzuschalten.
Zu deiner Frage: Meiner Meinung nach kannst du die Frage nur nach deiner Risikoanlyse/Bewertung beantworten. Es ist sicherlich nuetzlich eine schon integrierte Firewall einzuschalten.
Ich bin der Meinung, dass es zumindest nicht schadet die (XP-) Firewall zu aktivieren. Das beugt zumindest dem Risiko vor, dass ein - warum auch immer - verseuchter Rechner alle anderen gleich mit infiziert. Außerdem kann eine Firewall auch recht wirkungsvoll die Kommunikation unerwünschter aber nicht schädlicher Software unterbinden.
Manuel
Manuel
Sicherlich sinnergebene Konfiguration.
Ich weiss ja nicht ob eure Clients verschlossen sind ansonsten könnte auch ungewollter Code per Datenträger eingeschleust werden(da hilft dann die externe Firewall relative wenig).
Ich weiss ja nicht ob eure Clients verschlossen sind ansonsten könnte auch ungewollter Code per Datenträger eingeschleust werden(da hilft dann die externe Firewall relative wenig).
Tja, wenn man 10 Admins frägt, kriegt man 23 Antworten! 
WENN im internen Firmen-Netz eine strenge Policy besteht, und diese auch ERZWUNGEN wird mit technischen Mitteln, kann es mehr Vorteile bringen, die Client FW abzuschalten, als sie anzulassen. Ansonsten könnte nämlich auch SMS oder Domänen-Admin Zugriff auf die Clients "erschwert" oder verhindert werden mit der client firewall, was nicht immer erwünscht ist. Ferner blockt der User gerne erwünschte und notwendige Verbindungen mit seiner Firewall, und wundert sich warum er auf XY nicht zugreifen kann (das ist wohl das Hauptproblem, WENN was nicht geht, dass eine Firewall den Zugang blockt).
Ansonsten sprechen für mich mehr Gründe FÜR eine lokale Client Firewall, da beim Eintreffen "neuer Schädlinge" wie Würmer oft genug über das Netzwerk automatisch nach neuen potentiellen Opfern gesucht wird, und diese dann auch gleich infiziert werden können, nur weil ihnen ein bestimmter Patch fehlt. Ein infizierter Client PC, der ohne es zu merken zu einem Bot-Netz gehört, und tausende von SPAM-Mails oder sonstigen Müll verbreitet ist nicht gerade etwas erfreuliches - doch etwas alltägliches, wenn die User lokale adm. Rechte haben und gerne wild im Internet herumsurfen. Das geht mittlerweile schneller, als man schauen kann.
Daher wäre meine Empfehlung - Client-Firewall JA, aber Zugang auf den ClientPC zu administrativen Zwecken freischalten, durch Freischaltung des IP-Bereichs aus dem der Administrator zuzugreifen pflegt.
Eine Firewall, die auch ausgehenden Traffic filtert ist sinnvoll um einen Wurmbefallenen Client dran zu hindern, schädlichen Code über das Netzwerk zu verbreiten. Dabei ist nicht nur das Problem dass andere PCs infiziert werden können, sondern auch der erhebliche Netzwerktraffic, den ein einzelner infizierter Client verursachen kann und u. U. gar das Netzwerk funktionsuntüchtig wird, wenn die Bandbreite allein von den herumirrenden Würmern weggefressen wird.
Die Firewall sollte jedoch so konfiguriert sein, dass der User nicht jeden Pups bestätigen muss, sonst stumpft er schon nach zwei Tagen ab, und erlaubt jeglichen Traffic, und die Sache hat ihren Zweck verfehlt.
WENN im internen Firmen-Netz eine strenge Policy besteht, und diese auch ERZWUNGEN wird mit technischen Mitteln, kann es mehr Vorteile bringen, die Client FW abzuschalten, als sie anzulassen. Ansonsten könnte nämlich auch SMS oder Domänen-Admin Zugriff auf die Clients "erschwert" oder verhindert werden mit der client firewall, was nicht immer erwünscht ist. Ferner blockt der User gerne erwünschte und notwendige Verbindungen mit seiner Firewall, und wundert sich warum er auf XY nicht zugreifen kann (das ist wohl das Hauptproblem, WENN was nicht geht, dass eine Firewall den Zugang blockt).
Ansonsten sprechen für mich mehr Gründe FÜR eine lokale Client Firewall, da beim Eintreffen "neuer Schädlinge" wie Würmer oft genug über das Netzwerk automatisch nach neuen potentiellen Opfern gesucht wird, und diese dann auch gleich infiziert werden können, nur weil ihnen ein bestimmter Patch fehlt. Ein infizierter Client PC, der ohne es zu merken zu einem Bot-Netz gehört, und tausende von SPAM-Mails oder sonstigen Müll verbreitet ist nicht gerade etwas erfreuliches - doch etwas alltägliches, wenn die User lokale adm. Rechte haben und gerne wild im Internet herumsurfen. Das geht mittlerweile schneller, als man schauen kann.
Daher wäre meine Empfehlung - Client-Firewall JA, aber Zugang auf den ClientPC zu administrativen Zwecken freischalten, durch Freischaltung des IP-Bereichs aus dem der Administrator zuzugreifen pflegt.
Eine Firewall, die auch ausgehenden Traffic filtert ist sinnvoll um einen Wurmbefallenen Client dran zu hindern, schädlichen Code über das Netzwerk zu verbreiten. Dabei ist nicht nur das Problem dass andere PCs infiziert werden können, sondern auch der erhebliche Netzwerktraffic, den ein einzelner infizierter Client verursachen kann und u. U. gar das Netzwerk funktionsuntüchtig wird, wenn die Bandbreite allein von den herumirrenden Würmern weggefressen wird.
Die Firewall sollte jedoch so konfiguriert sein, dass der User nicht jeden Pups bestätigen muss, sonst stumpft er schon nach zwei Tagen ab, und erlaubt jeglichen Traffic, und die Sache hat ihren Zweck verfehlt.
Die Firewall von XP kann ja eigentlich ganz gut über GPO konfiguriert werden. Somit können für einzelne OUs Regeln definiert und ausgerollt werden. Je nach Voreinstellung darf/muss der einzelne User nicht mehr selbst einstellen.
Manuel
Manuel
@von einfach-mal-die-klappe-halten
Ich muss dir in vielen Punkten rechtgeben.
Wichtig fuer mich ist noch einmal herauszustellen das die Firewall, wenn sie denn aktiv auf dem Client ist, nicht vom Nutzer verwaltet werden darf sondern definitiv nur zentral administriert wird. Zuviele wuerden aus unwissen Verbindungen blockieren die vital sind, (Traffic zum DC und aehnliches) oder aber auch einfach alle Verbindungen erlauben weil das ja viel einfacher ist.
Der Aufwand ist natuerlich relativ hoch, allerdings lohnt es sich. Wichtig ist auch das nach der implementierung nicht bei jeder Kleinigkeit ein Loch in die Firewall gerissen wird.
Das Argument das auch der Traffic nach Aussen geflitert werden sollte unterstreiche ich noch mal ganz fett. Wenn ich als Angreifer weiss das eine Firewall im Einsatz ist wird mein erster Ansatz sein vom Zielclient selber eine Verbindung nach draussen herzustellen (am besten noch getunnelt ueber Port 80 und kryptiert). Wichtig ist natuerlich auch die rechtliche Frage wie ich eventuell Haftbar gemacht werden kann wenn meine Clients als Bots fungieren.
Ich muss dir in vielen Punkten rechtgeben.
Wichtig fuer mich ist noch einmal herauszustellen das die Firewall, wenn sie denn aktiv auf dem Client ist, nicht vom Nutzer verwaltet werden darf sondern definitiv nur zentral administriert wird. Zuviele wuerden aus unwissen Verbindungen blockieren die vital sind, (Traffic zum DC und aehnliches) oder aber auch einfach alle Verbindungen erlauben weil das ja viel einfacher ist.
Der Aufwand ist natuerlich relativ hoch, allerdings lohnt es sich. Wichtig ist auch das nach der implementierung nicht bei jeder Kleinigkeit ein Loch in die Firewall gerissen wird.
Das Argument das auch der Traffic nach Aussen geflitert werden sollte unterstreiche ich noch mal ganz fett. Wenn ich als Angreifer weiss das eine Firewall im Einsatz ist wird mein erster Ansatz sein vom Zielclient selber eine Verbindung nach draussen herzustellen (am besten noch getunnelt ueber Port 80 und kryptiert). Wichtig ist natuerlich auch die rechtliche Frage wie ich eventuell Haftbar gemacht werden kann wenn meine Clients als Bots fungieren.
Danke für die vielen Antworten!
Die haben mir sehr geholfen!
Die haben mir sehr geholfen!
