Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Die richtige Firewall

Mitglied: kopie0123

kopie0123 (Level 2) - Jetzt verbinden

24.01.2008, aktualisiert 28.01.2008, 5154 Aufrufe, 5 Kommentare

Halo zusammen!

Ich suche für unser Unternehmen eine Firewalllösung - Momentan gibt es nur eine Firewall in einem Netgearrouter.

Kurz zu unserem Netzwerk:


ca. 25 Workstations in einer Domäne
1 Win2k3 als DC/Exchange/File/DHCP/DNS
1 WinXP / 1 Debian Server - beide nicht Mitglied der Domäne

Da es sich bei unserem Unternehmen auch um einen Bildungsstätte für Jugendliche und Arbeitslose handelt, gibt es auch einen Computerraum mit 12 WinXP Rechnern, welche allerdings nicht Mitgleid der Domäne sind.
Sämtliche Geräte liegen im IP Bereich 192.168.0.X

Ich würde gerne die beiden Netzwerkbreiche 'Firma' und 'Computerraum' trennen.
Optimal wäre eine Firewall die folgende Funktionen bietet:

Neben den üblichen Sicherheitsfunktionen, Contentfilter und vielleicht auch ein Spamfilter, wäre es schön wenn ich 2 verschiedene IP-Bereiche definieren kann, um den Computerraum von den anderen Rechnern abtrennen zu können.

Leider habe ich von Hardwarefirewalls gar keine Ahnung, daher bin ich um jeden Ratschlag und Tipp eurerseits dankbar!

mfg Stinger

EDIT: Eine VPN Funktion sollte vorhanden sein
Mitglied: Suppi250
25.01.2008 um 08:43 Uhr
Ich an deiner Stelle würde mit IPCop (http://ipcop.org/) und IP-Cop-Addons (advanced-proxy, addon-server) bzw. Endian (http://endian.it/) die Firewall realisieren.

Marerial:
1 ausgedienter Rechner (1GHZ, 512 MB Ram)
3 Netzwerkkarten (um die Netzwerke zu trennen)

Arbeitsaufwand:
Installation: 15-20 min
Konfiguration: 30 min
weiterer Aufwand: 0

Ist wirklich einfach zu realisieren und die Konfiguration wird bei beiden Linux-Distries übers Web erledigt!

Gruß
Suppi250
Bitte warten ..
Mitglied: erikro
28.01.2008 um 11:52 Uhr
Hallo zusammen,

wenn ich solche Ratschläge lese, dann wird mir echt schwindelig. Gehe folgendermaßen vor:

1. Firwall FAQ von Lutz Donnerhacke dreimal gründlich lesen. (Google mit dem Namen und Firewall FAQ füttern).

2. Bedrohungszenario erstellen
Hier wird schriftlich festgehalten, welche Teile des Netzes wovor zu schützen sind.

3. Sicherheitsstrategie entwickeln.
Hier wird schriftlich festgehalten, wie die einzelnen unter 2. festgestellten Bedrohungen abgesichert werden sollen.

4. Marktanalyse
Hier wird festgestellt, welche Produkte das leisten, was unter 3. festgelegt wurde.

5. Installation und Konfiguration

6. Permanente Überwachung des Systems und der Bedrohungslage.
Das ist wichtig, da die unter 2. festgestellten möglichen Bedrohungen sich ändern, da z. B. neue Sicherheitslücken entstehen.

Aufwand: Je nach Aufgabe Tage, Wochen, Monate.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Torben
28.01.2008 um 15:22 Uhr
Also zu erikro meine ich du greifst da etwas hoch Analyse und etc. Ich gehe bei einer Bildungstätte davon aus das die Ausstattung durch Bildungsträger oder wem auch immer erfolgt und da oft kaum Geld vorhanden ist. Im Prinzip könnte man bei deiner Aufgabenstellung extrem in jede Richtung ausschweifen ja und wenn´s erikro mag auch so extrem aufziehen.
Um hier detaillierte Antworten geben zu können benötigt man genauere Details. Der W2k3 Server ist das eine SBS ?
Der Exchange je nach W2k3 also SBS oder Standard/EP nutzt dieser einen Smarthost um seine Post abzuholen oder besitzt ihren einen MX-Record ?
Die Trennung des Computerraumes und Firma bei einem gemeinsamen Subnetz (IP Adressbereich) könnte man mit einem günstigen Layer2 Switch der Portbasiertes VLAN kann machen. Tja was soll ich sagen ohne jetzt in jede Richtung auszuschweifen, was habt ihr für einen Router. Es gibt wirklich tolle Router im 400€ Segment mit DMZ Funktion und einer ordentlichen SIF. Aber wie gesagt erwähne doch einfach mal wie das Budget aussieht und ob ihr eventuell dedizierte Aufgaben Mail etc. in eine DMZ legen wollt u.s.w.
Bei Nutzung des Exchange ist ja zwingend eine AD nötig, ich gehe davon aus das die 25 Clients in dieser Domäne hängen ?!
Dann wäre meine Frage was für eine Rolle spielt der Debian Server wenn dieser nicht mal über winbind an die 2003 Domäne angebunden ist ?
Und noch etwas ordentliche SPAM und Content filter sind nicht üblich. Wir reden von ordentlich da sind es meistens Appliance Lösungen die richtig € kosten.
Da ihr nun mal eine 2003-er Server Lösung habt wäre es quatsch euch vom 2003 Server wegzuholen und alles über Linux zu machen. Also eure Mail´s Bsp. über Postfix mit allen möglichen Filtern, sowie Samba als DC zu nutzen. Tja aber ich gehe davon aus das ihr Windows CALS habt und es wäre blödsinn diese einfach nicht zu nutzen wenn sie schon mal da sind.

cu,
Bitte warten ..
Mitglied: erikro
28.01.2008 um 16:29 Uhr
Hallo zusammen,

Also zu erikro meine ich du greifst da etwas
hoch Analyse und etc.

So, tue ich das? Es wurde nach einer Firewall für ein Unternehmen gefragt. Darauf lässt sich keine Antwort geben, ohne dass vorher gründlich analysiert wird, vor welchen Bedrohungen diese FW denn schützen soll.

Ich gehe bei einer
Bildungstätte davon aus das die
Ausstattung durch Bildungsträger oder
wem auch immer erfolgt und da oft kaum Geld

Teil einer solchen Analyse: Wieviele Mittel stehen zur Verfügung, um welche Werte zu schützen.

vorhanden ist. Im Prinzip könnte man bei
deiner Aufgabenstellung extrem in jede
Richtung ausschweifen ja und wenn´s
erikro mag auch so extrem aufziehen.
Um hier detaillierte Antworten geben zu
können benötigt man genauere
Details. Der W2k3 Server ist das eine SBS ?
Der Exchange je nach W2k3 also SBS oder
Standard/EP nutzt dieser einen Smarthost um
seine Post abzuholen oder besitzt ihren einen
MX-Record ?

Teil der Bedrohungsanalyse: Wie werden verschiedene Dienste im Netz genutzt, in welchem Ausmaß und zu welchem Zweck.

Die Trennung des Computerraumes und Firma
bei einem gemeinsamen Subnetz (IP
Adressbereich) könnte man mit einem
günstigen Layer2 Switch der
Portbasiertes VLAN kann machen.

So? Das habe ich mal einer IT-Abteilung vorgeführt, wie "sicher" das ist. Daher muss auch hier eine Bedrohungsanalyse her dergestalt: Reicht das aus, um den Aufwand über den Nutzen zu heben?

Tja was soll
ich sagen ohne jetzt in jede Richtung
auszuschweifen, was habt ihr für einen
Router. Es gibt wirklich tolle Router im
400€ Segment mit DMZ Funktion und einer
ordentlichen SIF. Aber wie gesagt
erwähne doch einfach mal wie das Budget
aussieht und ob ihr eventuell dedizierte
Aufgaben Mail etc. in eine DMZ legen wollt
u.s.w.

Ob man eine DMZ braucht oder nicht, lässt sich auch nur sagen, wenn vorher eine Bedrohungsanalyse stattgefunden hat. Vielleicht kommt bei der Analyse ja sogar raus, dass der alte Netgear ausreicht und die Trennung in zwei Teilnetze schlicht mit einem weiteren Billigrouter erfolgen kann.

Bei Nutzung des Exchange ist ja zwingend
eine AD nötig, ich gehe davon aus das
die 25 Clients in dieser Domäne
hängen ?!
Dann wäre meine Frage was für eine
Rolle spielt der Debian Server wenn dieser
nicht mal über winbind an die 2003
Domäne angebunden ist ?

Auch wieder eine Frage, die zum Thema: "Welche Bedrohungen liegen vor und was wird bedroht?" gehören.

Und noch etwas ordentliche SPAM und Content
filter sind nicht üblich. Wir reden von
ordentlich da sind es meistens Appliance
Lösungen die richtig € kosten.

Wieder eine Frage der Bedrohung bzw. dessen, was man erreichen möchte. Geht es um Spam und Content Filter, dann rufe ich mal ganz laut "Proxy". ;) Das muss nicht unbedingt teuer sein.

Da ihr nun mal eine 2003-er Server
Lösung habt wäre es quatsch euch
vom 2003 Server wegzuholen und alles
über Linux zu machen. Also eure
Mail´s Bsp. über Postfix mit allen
möglichen Filtern, sowie Samba als DC zu
nutzen. Tja aber ich gehe davon aus das ihr
Windows CALS habt und es wäre
blödsinn diese einfach nicht zu nutzen
wenn sie schon mal da sind.

Aber was hat das mit der Anbindung ans Netz zu tun? Willst du etwa die eine Firewall auf dem Server2k3 installieren? ;) Besser nicht. Aber auch das ist Teil einer Bedrohungsanalyse bzw. der Analyse, wie man solcher Bedrohungen Herr wird: "Wie ist der Ist-Zustand und welche Teile des Netzes müssen unbedingt erhalten bleiben?"

Firewalling ist kein einfaches Thema, das sich mit einfachen Empfehlungen abhandeln lässt. Das, womit solche Lösungen stehen und fallen, ist schlicht brain 1.0. Alles andere ergibt sich dann meist von selbst.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: kopie0123
04.03.2009 um 19:17 Uhr
Hallo!

Hier mal der Stand der Dinge:

Ich habe jetzt schon seit einigen Monaten einen IPCop laufen und bin hoch zufrieden mit der Firewall. Alles was wir benötigen kann ich mit dem Cop lösen - sehr zuempfehlen.

Gruß Stinger
Bitte warten ..
Ähnliche Inhalte
Firewall

Firewall für DMZ und Intranet richtig konfigurieren

Frage von vGavenFirewall3 Kommentare

Hi, ich habe ein Business DSL Anschluss mit fester IP und eine Firewall erhalten, die FVS318N, und würde gerne ...

Netzwerkmanagement

VLans, Firewall und nun Proxy, wie gehe ich das ganze richtig an?

Frage von TheRealLifeNetzwerkmanagement3 Kommentare

Hallo zusammen, ich bin eigentlich Programmierer, wurde allerdings von meinem Chef beauftragt mich mit unser Netzwerkstruktur zu befassen und ...

Windows Server

Richtig lizensiert?

gelöst Frage von MiStWindows Server25 Kommentare

Guten Morgen, ich hoffe, dass das keine FR-Frage ist, aber ich habe hier einen virtuellen Windows Server R2 2008 ...

Vmware

Richtig Templates erstellen, wie wäre es richtig?

Frage von DeathNoteVmware11 Kommentare

Hallo. Ich würde mir gerne für 2012R2 Win10 und Win7 Templates erstellen. Also Maschinen, die ich mal jederzeit mit ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 8 StundenHumor (lol)2 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 1 TagErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 4 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 4 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
SSD zeigt falsche Werte
Frage von karl2014Festplatten, SSD, Raid24 Kommentare

Ich habe ein Problem mit der SSD in meinem Laptop mit Windows 10. Es ist eine 1Tb Platte die ...

Server-Hardware
WS 2016 Essentials Hardware
Frage von ChefknechtServer-Hardware23 Kommentare

Moin welche Hardware würdet ihr empfehlen? Dell Poweredge HP Proliant Fujitsu Ich bin total konfus was nun nötig ist, ...

Windows Server
Welche Option fürs Windows Server Installations besser
Frage von backitWindows Server20 Kommentare

Hi Zusammen, ich werde unserer AD (SBS 2011) und Exchange 2010 Servern auf neuen physikalischen Server umziehen. ich habe ...

Ubuntu
Installation freerdp 2.0.0-rc4
Frage von kristovUbuntu20 Kommentare

Hallo, möchte freerdp 2.0.0-rc4 auf linux mint 18.3 installieren, habe aber keine Ahnung, wie das funktioniert. freerdp 1.1 ist ...