4
Nur im LAN eingesetzter Server 2003 vom Internet isolieren.
Guten Abend,
evtl. kann mir jemand kurz helfen...
Ich möchte einen als Fileserver eingesetzten Server 2003 vom I-Net isolieren. Also, eigentlich möchte ich erstmal wissen ob das Sinn macht.
Mein Gedanke dabei, kein I-Net = mehr Sicherheit.
Da der Fileserver nur im LAN genutzt wird, braucht er ja kein I-Net.
Wie isoliere ich ihn aber richtig? Reicht es schon, wenn ich keinen Gateway eintrage?
Habt ihr Vorschläge oder Anregungen?
Danke im Voraus.
evtl. kann mir jemand kurz helfen...
Ich möchte einen als Fileserver eingesetzten Server 2003 vom I-Net isolieren. Also, eigentlich möchte ich erstmal wissen ob das Sinn macht.
Mein Gedanke dabei, kein I-Net = mehr Sicherheit.
Da der Fileserver nur im LAN genutzt wird, braucht er ja kein I-Net.
Wie isoliere ich ihn aber richtig? Reicht es schon, wenn ich keinen Gateway eintrage?
Habt ihr Vorschläge oder Anregungen?
Danke im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 122359
Url: https://administrator.de/contentid/122359
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Kein Internet = Mehr Sicherheit stimmt so ein nicht
Besonders wenn wie hier die Clients wohl weiterhin Internet haben.
Evtl. schleppen die was ein und da auch dem Server keine Sicherheitsupdates gemacht und kein AV installiert (geraten) ist, ist die Gefahr sogar größer.
Hast Du eine AD/Domäne? Dann muss doch der Server der DNS-Server sein und auch Zugriff aufs Internet haben.
Mindestens aber den Router als DNS.
Klingt nach Aufwand ohne viel Nutzen.
Stefan
Kein Internet = Mehr Sicherheit stimmt so ein nicht
Besonders wenn wie hier die Clients wohl weiterhin Internet haben.
Evtl. schleppen die was ein und da auch dem Server keine Sicherheitsupdates gemacht und kein AV installiert (geraten) ist, ist die Gefahr sogar größer.
Hast Du eine AD/Domäne? Dann muss doch der Server der DNS-Server sein und auch Zugriff aufs Internet haben.
Mindestens aber den Router als DNS.
Klingt nach Aufwand ohne viel Nutzen.
Stefan
Wie isoliere ich ihn aber richtig? Reicht es schon, wenn ich keinen
Gateway eintrage?
Gateway eintrage?
Je nach Netztopologie schießt du dir damit mächtig in den Fuß.
Schwarze Grüße,
Tom
Naja - "kein Internet -> mehr sicherheit" stimmt generell schon - solange man eben das ganze RICHTIG macht!
Es bringt natürlich nichts nur das Gateway rauszunehmen und sich dann zurückzulehnen. Wenn man das ganze richtig macht und z.B. noch die Sicherheitsupdates via WSUS, Virenscanner-Updates ebenfalls via Mgmt-Server macht usw. dann bringt es schon was -> der Server kann in dem Fall nicht direkt angegriffen werden (und natürlihc nicht auf dem Server wahrlos Software installieren - versteht sich wohl von selbst...)
Warum muss ein DNS-Server im AD zugriff aufs Internet haben?!? Was soll der dort -> den intressieren für die funktion des AD nur die "internen" Clients und diese stehen bei mir selten im Provider-DNS oder sonstwo! Von daher geht das auch noch ohne Anbindung an externe Netze.
Ob das ganze "viel nutzen" hat hängt arg von dem Anwendungsfall ab und was auf dem Server drauf ist. Generell würde ich aber sogar sagen das ein Fileserver normal sogar vom Internet abgekoppelt sein sollte -> er hat schlicht und ergreiffend dort nichts verloren! Egal ob es nun ist das man nicht will das der Daten an MS sendet (Fehlerbericht, Aktivierung,...) oder ob das Software ist die darauf läuft und meint die muss dem Hersteller regelmäßig berichten wie es ihm so geht... Hier kann es ggf. allerdings Sinn machen das man (je nach Hardware und Supportvertrag) z.B. bestimmte Ports explizit freischaltet -> damit das Gerät z.B. bevorstehende Ausfälle direkt an den Hersteller melden kann und dieser dann mit Ersatzteilen direkt vor der tür steht)
Kommen wir jetzt zur Fragestellung: Das "WIE"! WICHTIG: Ob das so geht oder nicht hängt arg von der Netzwerk-Stuktur ab. Wenn z.B. via VPN auch Rechner an den Server sollen wäre Gateway wegnehmen fatal - ansonsten wäre es ein guter Schritt... Ich würde allerdings eher gucken das ich den Server in eine spezielle Firewallregel packe die eben den Traffic nach aussen speziell für den Server blockt bzw. nur die wirklich benötigten Ports explizit freischaltet. Damit einhergehend ist natürlich das auch der REST des Netzes dieser expliziten Regelung unterworfen ist (z.B. Internet nur über nen Proxy und ggf. ne Download-Sperre). Hier ist es ganz einfach so das man bei der Sicherheit nicht nur den Server nehmen kann/darf und danach alles sicher ist -> hier muss das ganze Netz betrachtet werden...
Es bringt natürlich nichts nur das Gateway rauszunehmen und sich dann zurückzulehnen. Wenn man das ganze richtig macht und z.B. noch die Sicherheitsupdates via WSUS, Virenscanner-Updates ebenfalls via Mgmt-Server macht usw. dann bringt es schon was -> der Server kann in dem Fall nicht direkt angegriffen werden (und natürlihc nicht auf dem Server wahrlos Software installieren - versteht sich wohl von selbst...)
Warum muss ein DNS-Server im AD zugriff aufs Internet haben?!? Was soll der dort -> den intressieren für die funktion des AD nur die "internen" Clients und diese stehen bei mir selten im Provider-DNS oder sonstwo! Von daher geht das auch noch ohne Anbindung an externe Netze.
Ob das ganze "viel nutzen" hat hängt arg von dem Anwendungsfall ab und was auf dem Server drauf ist. Generell würde ich aber sogar sagen das ein Fileserver normal sogar vom Internet abgekoppelt sein sollte -> er hat schlicht und ergreiffend dort nichts verloren! Egal ob es nun ist das man nicht will das der Daten an MS sendet (Fehlerbericht, Aktivierung,...) oder ob das Software ist die darauf läuft und meint die muss dem Hersteller regelmäßig berichten wie es ihm so geht... Hier kann es ggf. allerdings Sinn machen das man (je nach Hardware und Supportvertrag) z.B. bestimmte Ports explizit freischaltet -> damit das Gerät z.B. bevorstehende Ausfälle direkt an den Hersteller melden kann und dieser dann mit Ersatzteilen direkt vor der tür steht)
Kommen wir jetzt zur Fragestellung: Das "WIE"! WICHTIG: Ob das so geht oder nicht hängt arg von der Netzwerk-Stuktur ab. Wenn z.B. via VPN auch Rechner an den Server sollen wäre Gateway wegnehmen fatal - ansonsten wäre es ein guter Schritt... Ich würde allerdings eher gucken das ich den Server in eine spezielle Firewallregel packe die eben den Traffic nach aussen speziell für den Server blockt bzw. nur die wirklich benötigten Ports explizit freischaltet. Damit einhergehend ist natürlich das auch der REST des Netzes dieser expliziten Regelung unterworfen ist (z.B. Internet nur über nen Proxy und ggf. ne Download-Sperre). Hier ist es ganz einfach so das man bei der Sicherheit nicht nur den Server nehmen kann/darf und danach alles sicher ist -> hier muss das ganze Netz betrachtet werden...
Guten Morgen,
vielen Dank für die vielen Infos. Um dieses nun vernünftig umzusetzten, baue ich nochmal auf euch.
Um aber eine gute Lösung zu finden, müssten wir meinen anderen Beitrag auch hinzuziehen:
VPN Sicherheit und Konfigurations-Frage
Wie ihr richtig angenommen habt, wird der Server auch für AD, DNS, File und Druckserver genutzt.
Für diese Dienste benötigt er aber keinen I-Net Zugang. AV-Updates und Windows Updates könnte ich aus einem angeschlossenen DMZ bekommen, auf dieses habe ich aus dem LAN heraus Zugriff.
Vor dem Aufwand scheue ich mich nicht, da einige Firmendaten auf eben diesem Server abgelegt werden.
Ich versuche mal eine Netztopologie zu erstellen und diese anzuhängen, evtl. könnt ihr mir dann noch Tips geben.
Ich wäre da sehr dankbar.
vielen Dank für die vielen Infos. Um dieses nun vernünftig umzusetzten, baue ich nochmal auf euch.
Um aber eine gute Lösung zu finden, müssten wir meinen anderen Beitrag auch hinzuziehen:
VPN Sicherheit und Konfigurations-Frage
Wie ihr richtig angenommen habt, wird der Server auch für AD, DNS, File und Druckserver genutzt.
Für diese Dienste benötigt er aber keinen I-Net Zugang. AV-Updates und Windows Updates könnte ich aus einem angeschlossenen DMZ bekommen, auf dieses habe ich aus dem LAN heraus Zugriff.
Vor dem Aufwand scheue ich mich nicht, da einige Firmendaten auf eben diesem Server abgelegt werden.
Ich versuche mal eine Netztopologie zu erstellen und diese anzuhängen, evtl. könnt ihr mir dann noch Tips geben.
Ich wäre da sehr dankbar.
