Fileserver nicht mit dem Internet verbinden - Sicherheit?
Hallo zusammen,
ich habe einen Fileserver in einem lokalen Netzwerk der mit dem Internet verbunden ist. Installiert ist Windows 7 Prof 64bit auf allen Geräten inkl. Fileserver. Die Daten die auf diesem liegen sind schon recht empfindlich. Es speichern drei Clients Ihre Daten dort. Eine tägl. Datensicherung mit Acronis ist installiert, dies geschieht auf rotierenden Festplatten. Eine Anti-Viren Software sowie MS Updates sind stets aktuell.
Die Frage die sich stellt ist:
1. Warum muss der Fileserver, auf den von aussen nicht einmal zugegriffen werden muss, denn überhaupt im Internet hängen?
2. Was für Vorteile würde es bringen diesen vom Internet zu trennen? Habe ich einen Virus im Netzwerk, verursacht durch einen Client, ist dieser vermutlich auch rasch beim Fileserver!
Selbstverständlich sind alle User im Netzwerk nur mit Benutzerrechten ausgestattet sowie der Fileserver auch!
Was sagt Ihr?
Lieben Gruß
Mike
ich habe einen Fileserver in einem lokalen Netzwerk der mit dem Internet verbunden ist. Installiert ist Windows 7 Prof 64bit auf allen Geräten inkl. Fileserver. Die Daten die auf diesem liegen sind schon recht empfindlich. Es speichern drei Clients Ihre Daten dort. Eine tägl. Datensicherung mit Acronis ist installiert, dies geschieht auf rotierenden Festplatten. Eine Anti-Viren Software sowie MS Updates sind stets aktuell.
Die Frage die sich stellt ist:
1. Warum muss der Fileserver, auf den von aussen nicht einmal zugegriffen werden muss, denn überhaupt im Internet hängen?
2. Was für Vorteile würde es bringen diesen vom Internet zu trennen? Habe ich einen Virus im Netzwerk, verursacht durch einen Client, ist dieser vermutlich auch rasch beim Fileserver!
Selbstverständlich sind alle User im Netzwerk nur mit Benutzerrechten ausgestattet sowie der Fileserver auch!
Was sagt Ihr?
Lieben Gruß
Mike
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 359542
Url: https://administrator.de/contentid/359542
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Man kann dem Fileserver natürlich das Internet sperren. Solange die Firewall den Zugriff vom Internet zum Server unterbindet (was bei klassischem IPv4-NAT prinzipbedingt der Fall ist, bei IPv6 muss die Firewall stateful filtern), sehe ich aber keine größere Gefahr.
Zumal sich mir die Frage stellt, wie dieser vom Internet abgetrennte Server dann an seine Updates kommen soll.
Ein ungepatchter Fileserver im Netzwerk ist aus meiner Sicht gefährdeter als ein System welches Ausgehend Zugriff zum Internet hat.
Zumal sich mir die Frage stellt, wie dieser vom Internet abgetrennte Server dann an seine Updates kommen soll.
Ein ungepatchter Fileserver im Netzwerk ist aus meiner Sicht gefährdeter als ein System welches Ausgehend Zugriff zum Internet hat.
Ohne Internet wären AV-Software und MS-Update von der Updateversorgung abgeschnitten. Wenn es einen weiteren Server geben würde, der hier als Mirror arbeiten würde, könnte man diese Verbindung kappen.
Eine Trennung vom Internet kann bei mancher Schadsoftware helfen, weil die Teile meist nachgeladen werden. Botnet-Clients erhalten so ihre Befehle, sprich ohne Internet fehlt die Verbindung zum C&C-Server. Mit einer guten UTM-Lösung könnte man hingehen, die Verbindung zum Internet reglementieren, so dass nur die notwendigen Updates durchlaufen und alles andere geblockt wird.
Eine Trennung vom Internet kann bei mancher Schadsoftware helfen, weil die Teile meist nachgeladen werden. Botnet-Clients erhalten so ihre Befehle, sprich ohne Internet fehlt die Verbindung zum C&C-Server. Mit einer guten UTM-Lösung könnte man hingehen, die Verbindung zum Internet reglementieren, so dass nur die notwendigen Updates durchlaufen und alles andere geblockt wird.
Erst mal ist Win7 ganz sicher kein Server... und ob der nun mitm Internet verbunden ist oder nicht spielt keine primäre Rolle - da der ja nicht selbstständig irgendwelche Seiten öffnet oder was runterlädt (ausser ggf Updates und Signatur-Updates für den Virenscanner). Das grösste Risiko sind da die Clients - und die haben eh nen Internet-Zugriff....
Von daher -> ich würde vermuten das du nur geringe Sicherheitsgewinne hast wenn du den vom Internet trennst. Das grössere Risiko dürfte hier das OS selbst sein.
Von daher -> ich würde vermuten das du nur geringe Sicherheitsgewinne hast wenn du den vom Internet trennst. Das grössere Risiko dürfte hier das OS selbst sein.
Hallo,
Win 7 als Server?
Nun ja... das wäre dein erstes Problem...
Nimm alternativ ein Linux mit einem Samba als Fileserver oder was ähnliches....
Sind die Backup Platten im Server?
Eingebaut?
Als USB Platten?
Dann ist das keine Sicherung.... sondern doppelte Datenhaltung....
Ein Backup gehört immer in einen anderen Brandabschnitt oder in einen feuerfesten Datenschrank....
Ob der Fileserver Internet braucht oder nicht... willst du per VPN von aussen drauf zu greifen oder Nicht?
Wenn kein Zugriff erforderlich ist...
Brammer
Win 7 als Server?
Nun ja... das wäre dein erstes Problem...
Nimm alternativ ein Linux mit einem Samba als Fileserver oder was ähnliches....
Sind die Backup Platten im Server?
Eingebaut?
Als USB Platten?
Dann ist das keine Sicherung.... sondern doppelte Datenhaltung....
Ein Backup gehört immer in einen anderen Brandabschnitt oder in einen feuerfesten Datenschrank....
Ob der Fileserver Internet braucht oder nicht... willst du per VPN von aussen drauf zu greifen oder Nicht?
Wenn kein Zugriff erforderlich ist...
Brammer
Ok - da hier von Win7 als Server gesprochen wird: Wie hoch ist die Chance das es sich um eine private Person handelt - bei der die Firewall ggf. im Router sitzt (wenn nicht "NAT" die einzige Firewall ist)?
Welchen Vorteil hat es also den Server "nicht ins Internet" zu lassen mit dem vermutlich vorhandenen Kram an Hardware? Wenn da wirklich nen Trojaner ins Netz geht kommt dieser vermutlich über die Clients - und da wird dann auch der Command-Server kontaktiert. Der "Server" der erst mal nix ausführt steht da recht sicher. Wenn man den jetzt komplett rausnimmt wird der nur auch keine Updates mehr für Windows und/oder Virenscanner ziehen. Ist das wirklich weise?
Ich würde da eher sagen andere Maßnahmen wären sinnvoller. Z.B. das die Benutzer auf dem Client nur auf die Freigaben zugriff haben aber sich nicht mit den Daten am Server anmelden können. Ich würde ebenfalls mal überlegen hier ein Server-OS zu nehmen - Linux mit Samba ist jetzt nicht mehr die ganz hohe Kunst und schon hat sich das Thema mit Viren eh reduziert. Selbst bei Windows kann man dafür sorgen das z.B. kein Benutzer (oder zumindest keiner mit Admin-Rechten) angemeldet ist.
Ich denke die Internet-Verbindung ist da das kleinste Risiko da es eben eh erst was bringt wenn ein Dienst auf dem Server läuft der die überhaupt nutzt.
Bitte nicht verwechseln: Generell bin ich auch der Meinung das "so wenig Zugriff wie möglich" gut wäre. Nur es muss halt zum Szenario passen. Wenn man hier die standard Router-Firewall sieht mit einem eher begrenzten Regelwerk dann ist das eher ein Placebo wenn ich da den Server rausblocke. Und DAS ist m.E. schlimmer als wenn ich weiss was da passiert.
Welchen Vorteil hat es also den Server "nicht ins Internet" zu lassen mit dem vermutlich vorhandenen Kram an Hardware? Wenn da wirklich nen Trojaner ins Netz geht kommt dieser vermutlich über die Clients - und da wird dann auch der Command-Server kontaktiert. Der "Server" der erst mal nix ausführt steht da recht sicher. Wenn man den jetzt komplett rausnimmt wird der nur auch keine Updates mehr für Windows und/oder Virenscanner ziehen. Ist das wirklich weise?
Ich würde da eher sagen andere Maßnahmen wären sinnvoller. Z.B. das die Benutzer auf dem Client nur auf die Freigaben zugriff haben aber sich nicht mit den Daten am Server anmelden können. Ich würde ebenfalls mal überlegen hier ein Server-OS zu nehmen - Linux mit Samba ist jetzt nicht mehr die ganz hohe Kunst und schon hat sich das Thema mit Viren eh reduziert. Selbst bei Windows kann man dafür sorgen das z.B. kein Benutzer (oder zumindest keiner mit Admin-Rechten) angemeldet ist.
Ich denke die Internet-Verbindung ist da das kleinste Risiko da es eben eh erst was bringt wenn ein Dienst auf dem Server läuft der die überhaupt nutzt.
Bitte nicht verwechseln: Generell bin ich auch der Meinung das "so wenig Zugriff wie möglich" gut wäre. Nur es muss halt zum Szenario passen. Wenn man hier die standard Router-Firewall sieht mit einem eher begrenzten Regelwerk dann ist das eher ein Placebo wenn ich da den Server rausblocke. Und DAS ist m.E. schlimmer als wenn ich weiss was da passiert.
Wenn man den jetzt komplett rausnimmt ...Ist das wirklich weise?
Moin. Der Author hat noch keine Zeit gefunden, etwas über den internetbedarf zu sagen. Das könnte heißen, er nimmt an, dass ein Server für irgendwas Internet braucht. Den Irrglauben wollte ich ihm nehmen.Ich weiß selbst, dass viele Firmen es nicht für nötig erachten, den Internetzugang so restriktiv wie möglich zu halten. Wenn er Virenschutz- und Windowsupdates nicht zentral vom LAN bezieht, dann muss es auf andere Weise passieren und man gibt eben ein paar Ziele frei.
Nicht mehr daraus machen, als es ist - hier möchte jemand aufgeklärt werden und das können wir machen - wenn er etwas mehr Details nennt, wofür der Server Internet braucht, ob er sich in der Lage sieht, einzelne Ziele freizugeben, usw.
Fileserver im lokalen Netz der mit dem Internet verbunden ist? Na was jetzt? Direkte Internetverbindung (öffentliche Adresse am Netzwerkadapter) oder im lokalen Netz hinter NAT?
Wenn du NAT nutzt, reicht es, einfach die Portweiterleitung zu entfernen. Der Fileserver ist dann icnht mehr aus dem Internet erreichbar.
Falls der Server 2 NICs hat, kannste zumindest unter Linux den Dienst (Fileserver) nur auf der einen Netzwerkkarte im lokalen Netz bereitstellen. Das sollte unter WIndwos auch funktionieren.
Es sollte reichen, den Zugriff von aussen auf den Fileserver zu unterbinden. Was wird für ein Port verwendet?
Wenn du NAT nutzt, reicht es, einfach die Portweiterleitung zu entfernen. Der Fileserver ist dann icnht mehr aus dem Internet erreichbar.
Falls der Server 2 NICs hat, kannste zumindest unter Linux den Dienst (Fileserver) nur auf der einen Netzwerkkarte im lokalen Netz bereitstellen. Das sollte unter WIndwos auch funktionieren.
Es sollte reichen, den Zugriff von aussen auf den Fileserver zu unterbinden. Was wird für ein Port verwendet?