injoy111
Goto Top

Wie kann man einen SBS2003 am effektivsten gegenüber dem Internet absichern?

Hallo admin's,
brauche mal eure Erfahrungen zu folgendem:

Ich betreibe einen SBS2003SP1 mit z.Z. 6 Clients. Der Server (eine Netzwerkkarte) ist an einem Router angeschlossen und dieser wiederum auch an einer Switch. Also der Server fungiert als DC und über den Router baue ich die Interentverbindungen auf. D.h., jeder PC meldet sich an der Domäne an und kann bei Bedarf über den Router eine Internetverbindung aufbauen. Also die PC's denke ich kann man über eine InternetSecuity Software (Z.B. Kaspersky) absichern. Zusätzlich hat der Router natürlich auch eine Firewall.

Der Server hat z.Z. noch keine extra Firewall, nur die Firewall vom SBS2003.

Das Problem was ich habe ist weiter, dass ich zum einen zeitweise eine VPN Verbindung zu einem anderen Standort (zur Datennutzung) aufbaue (mit einer Domänenanmeldung) und das ich die Fernwartung im Router aktiviert habe und auch Remote auf den Server bzw. auf die PC' zugreifen muss.

Ich brauche mal eure Tipps, wie man nun diese Anlage effektiv gegen eine Hack absichert.

Wie muss man beispielsweise den VPN-Key beim Server eingeben (wo) usw.


Vielen Dank für eure Tipps.

Content-ID: 34779

Url: https://administrator.de/contentid/34779

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

jato11
jato11 24.06.2006 um 20:44:27 Uhr
Goto Top
Sorry, ich habe keine Lösung für Deine Fragen.
Aber das Thema interessiert mich auch.
Viele Grüße
Torsten
27119
27119 24.06.2006 um 20:55:55 Uhr
Goto Top
Nun du hast doch schon alles worauf es wohl ankommt...

Internet-----Router------Switch------LAN


Auf dem Router läuft eine Firewall, die dich vor den grundsätzlichen Gefahren des Internets schützt (Scriptkiddys, Portscans, Wurm- und DoS-Attacken...).
Zusätzliche Software FWs auf den Clients sind nicht notwendig, können (wenn sie den "gewollten" Netzwerkbetrieb nicht beeinträchtigen) jedoch auch nicht schaden.


Desweiteren ist VPN die empfohlene Standardlösung für Site-to-Site Verbindungen zw. Niederlassungen.

Solange die Clients mit eingeschränkten Benutzerkonten arbeiten, eine Antiviren-Software auf allen Rechnern verwendet wird, und die Maschinen up-to-date gehalten werden brauchst du dir meines Erachtens wenig Sorgen machen.

Wieso man bei 6 Clients gleich einen Domain Controller braucht will sich mir jedoch nicht erschliessen - schaden tuts jedoch auch nicht...
Wenn ich zum Aldi einkaufen gehe, fahr ich schliesslich auch nicht mit nem Umzugswagen hin, sondern mit dem Fahrrad oder kleinen Auto. Dennoch KANN ich auch mit nem Umzugswagen hinfahren (um mal ein blödes Beispiel zu nennen...).

Jede Remotezugriff birgt freilich Gefahren - doch so ist das eben.
Wenn man absolute Sicherheit haben will, darf man den Rechner an kein Netz anschliessen, und muss ihn 100m unter der Erde in einem Bunker halten...

Die Router-Fernwartung würd ich abschalten. Du kannst den Router dennoch aus der Ferne warten. Einfach von extern auf einen Rechner im Intranet verbinden (VPN, SSH, RD, VNC) und über diesen per Web-Oberfläche den Router editieren. Der Router-Zugriff von extern ist ne echte Gefahr, vor allem wenn mit unsicheren Protokollen gearbeiten wird (warscheinlich telnet oder http).

Für die Fernwartung der PCs bzw. Server bietet sich Remote Desktop an, oder VNC.
Entsprechende Ports müssen freilich am Router geforwardet werden. Am sichersten ist freilich immer VPN für sowas. Gewiefte Admins wissen auch die Möglichkeiten von SSH zu nutzen, und kapseln im SSH-Tunnel beliebige TCP Dienste ein, um an sich unsichere Anwendungen (wie VNC) im SSh-Tunnel zu sichern.
Ok, das klingt nach Science Fiction, ist aber im Grunde relativ einfach zu machen, und kostet vor allem GARNIX und ist TODSICHER.

Durch NAT sind deine Rechner fürs Internet eh unsichtbar und nicht direkt angreifbar.
Angriffe kommen eher von innen heraus, wenn infizierte Rechner das LAN penetrieren.

Um herauszufinden, wie das eigene Netz (bzw. der router) vom Internet gesehen werden, sollte man regelmässig selber sein Netz von aussen angreifen, am besten mit Nessus (www.nessus.org). Nessus ist kostenlos, und wohl das beste Angriffstool um die Netzwerksicherheit zu testen. Nessus enthält tausende von Plugins, die Angriffe durchführen und aussagekräftige Ergebnisse liefern.
Oder bei www.symantec.de bei "Security Response" einen online-hacker-check machen.

Also ich fasse zusammen

-Virenschutz auf allen Maschinen, und diesen up-to-date halten
-Betriebssysteme aktuell halten, auch die router-firmware
-Regelmässig Sicherheits-Checks von aussen durchführen

Ansonsten ist beim BSI ein "Grundschutzbuch" erhältlich (online) das viel Security-Grundwissen vermitteln kann.

Je nachdem welche Dienste dein Server anbietet (IIS Webserver? RAS-Dienste? VPN-Server? Exchange Mailserver?) kommst du nicht drumrum, dich mit dem Absichern der einzelnen Dienste zu beschäftigen, da es hier öfters Details zu beachten gibt, die man einfach wissen muss bzw. nachlesen muss. Hier hilft die Microsaft Technet in aller Regel sehr gut. Vom Einsatz unsicherer Protokolle (wofür auch immer) sollte man möglichst absehen, und WENN man unbedingt ein unsicheres verwenden MuSS, dann sollte man es in einen Tunnel einkapseln, wenn man es mit der Sicherheit ernst mein.
Mindestens genauso wichtig wie die verhinderung vor Hackern und Würmern ist aber freilich auch die zuverlässige Sicherung der Daten per Backup. Wenn man das vernachlässigt, kann es genauso schlimm kommen, als wenn das netz gekapert wird....
Injoy111
Injoy111 24.06.2006 um 22:07:33 Uhr
Goto Top
Hi, super interessant erläutert. Das muss ich erstmal verarbeiten.
Um deine Verwunderung über den Umzugswagen mal zu erläutern:

Also wir hatten vorher auch Peer-to-Peer, aber hatten damit nur eingeschränkte Möglichkeiten: Bei der Umstellung hatten wir folgende Ziele:
- Internes und externes Mailsystem
- Daten auschließlich zentral halten und sichern
- Nutzung des Windows Small Business Servers 2003 als Teamsoftware (Intranethomepage) für Infos, Projekte, gemeinsame Dateien....

Man muss dazu noch wissen, das wir insgesamt 40 Mitarbeiter haben. Diese werden ständig mit aktuellen Infos zu Verkaufprojekten, Veranstaltungen, Terminen, News usw. versorgt.

Kundenkontakt über mail (news, Infos, Veranstaltungen) sollte und ist nun möglich.

Wir möchten die SharePoint Technologie weiter vertiefen...

Und: wer weiß was noch kommt (unsere Ziele sind grenzenlos ...)


Also werde mal die Infos von dir bei mir sytematisieren:

1. alle Clients mit Antiviren/Firewall ... und alle Sicherheitspatches
2. Routerfirmware aktuell halten (habe schon aktuellere als im Internet verfügbar - per mail)
3. Fernwartung des Routers abschalten und bei Bedarf über VPN oder per Remotedesktop
4. wie denke natürlich möglichst sichere Kennwörter

wie denkst du über die Kennwortrichtlinien. Also wenn ich die scharfschalte, knüpfen mich die User irgendwo auf...

Also bis dann... und danke nochmal


des weiteren Hardwarausfallsicherheit (RAID),
27119
27119 25.06.2006 um 07:36:44 Uhr
Goto Top
Ja die Kennwort Richtlinien sind freilich auch wichtig.
Ein wichtiger Punkt, der mir in meiner spontanen Rezitation entfallen war.
Daher auch die Empfehlung http://www.bsi.de/gshb/index.htm

Wenn ein User sich das Kennwort selbst wählen kann, und keine Passwort Richtlinien ERZWUNGEN werden durch technische Mittel dann kannst davon ausgehen, dass die User Passwörter wie "Katja", "Bello", "Beckham" usw wählen werden. Mit einem Passwort Knacker (z.B. Brutus) und Wörterbuchattacke dürfte das nur ein Blinzeln lang dauern, bis das geknackt ist. Und damit hat der Knacker Zugriff auf ALLES was der User auch darf!
Wenn komplexe Passwortrichtlinien bei euch nicht durchsetzbar sind, sollte zumindest nach mehrmaliger Falscheingabe des Passwords (z. B. 5 Versuche) der Zugang für eine bestimmte Zeit gesperrt sein (z. b. für 15min).

Die Sicherheit für den User als auch für die Firma zu GEWÄHRLEISTEN ist jedoch DEINE Verantwortung. Daher kommst du an den Kennwortrichtlinien nicht vorbei (mind. 8 Zeichen, mit Sonderzeichen, und wechselnd zb. alle paar Monate). Es hängt vom Entscheider ab (Firmenchef zb) wie straff man die Sicherheit halten will. Du solltest ihm die Gefahren jedenfalls verdeutlichen wenn er nicht einsichtig ist und dich gegebenenfalls schriftlich absichern dass du gewarnt hast, wenn der Chef sich jedoch gegen deinen Rat entscheidet.

Wenn die Mitarbeiter von extern (internet) z.B. per Sharepoint Webseiten oder z.B. Citrix Terminaldienste auf Firmen Ressourcen zugreifen, und sich per Passwort authentifizieren ist das nicht nur sinnvoll, sondern UNUMGÄNGLICH. Wenns sehr sicher sein soll, wäre es auch empfehlenswert, von extern NUR PER PIN/TOKEN oder Smartcard die Authentifizierung zu erlauben, dann bräuchte jeder Mitarbeiter noch einen RSA Security Token. Als PW gilt dann eine 6-stellige Nummer, die sich minütlich ändert. Damit sind Gefahren durch Trojaner / Keylogger, die das PW erspähen können, ausgemerzt. Alternativ ist die Vorhaltung eines Userzertifikats möglich, was aber eine PKI Infrastruktur vorraussetzt.
Das sicherste ist derzeit jedoch wohl die Authentifizierung per PIN/Token (RSASecurity).
http://www.rsasecurity.com/
In aller Regel werden die User ja per https auf die Firmen-Sharepoint Seiten zugreifen.
Das ist dann schonmal ein ssl-tunnel, der vom User-PC bis zum Webserver reicht u. die Leitung damit sichert. Die Keylogger-Problematik ist damit jedoch nicht gelöst. Dem Keylogger ist ssl egal. Er verbindet sich einfach mit dem Tastaturtreiber, schreibt jeden Tastandruck mit (auch passwörter...) und versendet sie an den Urheber des Schädlings.

Wenn du die Vorteile eines modernen Windows Servers ausschöpfen willst (Sharepoint, zentraler Mailserver, zentrale Verwaltung etc) dann macht Domänenanmeldung freilich absolut Sinn - bei 40 Mitarbeitern allemal.
Für 6 Benutzer einen Mailserver zu betreiben würde freilich auch nicht unbedingt Sinn machen, aber es ist auch Einstellungssache vielleicht. Das Berechtigungskonzept mit User- und Gruppen Berechtigungen ist bei Domänen-Betrieb halt schon eine sehr feine Sache. Der User wird einmal im AD angelegt und man kann flexibel ALLE Berechtigungen regeln, die der User haben dürfen soll.

RAID ist ne prima Sache und auch Standard. ZB. RAID 5 (mit Parität). Dennoch kein absoluter Schutz. Wenn hier paar unglückliche Umstände zusammenkommen, hast du ein Problem. Eine regelmässige Bandsicherung der Daten zusätzlich würd ich auf jeden Fall auch machen, und den Restore auch regelmässig testen! Das ist nicht ganz einfach, vor allem wenn die Daten IMMER zugreifbar sein müssen, doch man kommt nicht drumrum, wenn man die Verfügbarkeit bzw. Widerherstellung GARANTIEREN möchte.
Am besten wäre wohl ein unabhängiges Paralellsystem, das beim Ausfall des ersten automatisch die Dienste bereitstellt. Hier muss (wenn Hochverfügbarkeit für das Geschäft überlebenswichtig ist) eben Geld und Hirnschmalz investiert werden und alle Eventualitäten durchgespielt werden (auch "Single Point of Failure" Problematik...) und natürlich auch regelmässig der schlimmste anzunehmende Notfall getestet werden (Was passiert wenn der ganze Server ausfällt? Was passiert wenn nur einzelne Dienste ausfallen? Wie kann ich Hotfixes aufspielen und garantieren dass mein Server hinterher noch läuft? Welche Redundanztechnik passt bei mir am besten? usw..)
Injoy111
Injoy111 25.06.2006 um 11:49:30 Uhr
Goto Top
Hallo,

habe nochmal ne Frage zum Thema Kennwörter: Bin in die Gruppenrichtlinien gegangen und wollte nun die Kennwortrichtlinien richtig einstellen.
Habe folgendes festgestellt:

1. Finde unter meiner Domäne 2x die Verknüfung "Small Business Server- Domänenkennwertrichtlinie" und zar an Pos. 1 und und Pos. 4. Diese führen aus meiner beschränkten Sicht (habe keine Erfahrung mit Gruppenrichtlinien) zu den geleichen Einstellungen. Kann die 1. oder 4. gefahrlos gelöscht werden und wenn ja wie kommt so etwas zu Stande?

2. Des weiteren finde ich eine Verpküfung "Small Business Server-Kontosperrungsrichtlinie". In dieser sind widerum die gleichen Einstellmöglichkeiten. Aber durchaus andere Einstellung zu finden zumindest für diesen Bereich. Verstehe den Zusammenhang dazu nicht.


3. Ist es zu Empfehlen und welche Folgen hat es wenn man "Kennwörter mit unumkehrbarer Verschlüsselung speichern" aktiviert


Danke
27119
27119 25.06.2006 um 12:27:49 Uhr
Goto Top
http://www.microsoft.com/germany/technet/datenbank/articles/900049.mspx


Ich denk da steht alles was du wissen willst, in gutem Deutsch.
Eins muss man Microsaft lassen - die Technet ist grosses Tennis...

face-wink
Injoy111
Injoy111 25.06.2006 um 12:56:48 Uhr
Goto Top
Also die Einzelheiten sind mir eigentlich klar, aber 2 Dinge halt nicht:

1. Warum ist in der Gruppenrichtlinien-Verwaltungskonsole 2x der Eintrag : "Small Business Server- Domänenkennwertrichtlinie" und diese führen zu den gleichen Einstellungen? Kann da nicht eine raus? eine steht an Pos. 1 und eine an Pos. 4 (fall das ne Bedeutung hat)

2. weiter untern finde ich eine "Small Business Server-Kontosperrungsrichtlinie" diese hat andere Einstellungen zum selben Thema.

Also es muss doch Hierarchie geben, was welcher Eintrag bewirkt und welcher Eintrag was wieder überreguliert. Ist eine Regelung auf Domänenebene die höchste form , die dann nicht wieder übereguliert werden kann oder wie geht das....

Danke
27119
27119 25.06.2006 um 13:26:29 Uhr
Goto Top
Kann ich dir nicht beantworten, wiso das so ist.

Soweit ich mich an meine MCSE Ausbildung erinnern kann, werden Kennwortrichtlinien auf Domänenebene konfiguriert.


Vielleicht auch hier noch was

http://www.microsoft.com/germany/technet/datenbank/articles/600615.mspx