Wie kann man einen SBS2003 am effektivsten gegenüber dem Internet absichern?
Hallo admin's,
brauche mal eure Erfahrungen zu folgendem:
Ich betreibe einen SBS2003SP1 mit z.Z. 6 Clients. Der Server (eine Netzwerkkarte) ist an einem Router angeschlossen und dieser wiederum auch an einer Switch. Also der Server fungiert als DC und über den Router baue ich die Interentverbindungen auf. D.h., jeder PC meldet sich an der Domäne an und kann bei Bedarf über den Router eine Internetverbindung aufbauen. Also die PC's denke ich kann man über eine InternetSecuity Software (Z.B. Kaspersky) absichern. Zusätzlich hat der Router natürlich auch eine Firewall.
Der Server hat z.Z. noch keine extra Firewall, nur die Firewall vom SBS2003.
Das Problem was ich habe ist weiter, dass ich zum einen zeitweise eine VPN Verbindung zu einem anderen Standort (zur Datennutzung) aufbaue (mit einer Domänenanmeldung) und das ich die Fernwartung im Router aktiviert habe und auch Remote auf den Server bzw. auf die PC' zugreifen muss.
Ich brauche mal eure Tipps, wie man nun diese Anlage effektiv gegen eine Hack absichert.
Wie muss man beispielsweise den VPN-Key beim Server eingeben (wo) usw.
Vielen Dank für eure Tipps.
brauche mal eure Erfahrungen zu folgendem:
Ich betreibe einen SBS2003SP1 mit z.Z. 6 Clients. Der Server (eine Netzwerkkarte) ist an einem Router angeschlossen und dieser wiederum auch an einer Switch. Also der Server fungiert als DC und über den Router baue ich die Interentverbindungen auf. D.h., jeder PC meldet sich an der Domäne an und kann bei Bedarf über den Router eine Internetverbindung aufbauen. Also die PC's denke ich kann man über eine InternetSecuity Software (Z.B. Kaspersky) absichern. Zusätzlich hat der Router natürlich auch eine Firewall.
Der Server hat z.Z. noch keine extra Firewall, nur die Firewall vom SBS2003.
Das Problem was ich habe ist weiter, dass ich zum einen zeitweise eine VPN Verbindung zu einem anderen Standort (zur Datennutzung) aufbaue (mit einer Domänenanmeldung) und das ich die Fernwartung im Router aktiviert habe und auch Remote auf den Server bzw. auf die PC' zugreifen muss.
Ich brauche mal eure Tipps, wie man nun diese Anlage effektiv gegen eine Hack absichert.
Wie muss man beispielsweise den VPN-Key beim Server eingeben (wo) usw.
Vielen Dank für eure Tipps.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 34779
Url: https://administrator.de/forum/wie-kann-man-einen-sbs2003-am-effektivsten-gegenueber-dem-internet-absichern-34779.html
Ausgedruckt am: 24.12.2024 um 01:12 Uhr
8 Kommentare
Neuester Kommentar
Nun du hast doch schon alles worauf es wohl ankommt...
Internet-----Router------Switch------LAN
Auf dem Router läuft eine Firewall, die dich vor den grundsätzlichen Gefahren des Internets schützt (Scriptkiddys, Portscans, Wurm- und DoS-Attacken...).
Zusätzliche Software FWs auf den Clients sind nicht notwendig, können (wenn sie den "gewollten" Netzwerkbetrieb nicht beeinträchtigen) jedoch auch nicht schaden.
Desweiteren ist VPN die empfohlene Standardlösung für Site-to-Site Verbindungen zw. Niederlassungen.
Solange die Clients mit eingeschränkten Benutzerkonten arbeiten, eine Antiviren-Software auf allen Rechnern verwendet wird, und die Maschinen up-to-date gehalten werden brauchst du dir meines Erachtens wenig Sorgen machen.
Wieso man bei 6 Clients gleich einen Domain Controller braucht will sich mir jedoch nicht erschliessen - schaden tuts jedoch auch nicht...
Wenn ich zum Aldi einkaufen gehe, fahr ich schliesslich auch nicht mit nem Umzugswagen hin, sondern mit dem Fahrrad oder kleinen Auto. Dennoch KANN ich auch mit nem Umzugswagen hinfahren (um mal ein blödes Beispiel zu nennen...).
Jede Remotezugriff birgt freilich Gefahren - doch so ist das eben.
Wenn man absolute Sicherheit haben will, darf man den Rechner an kein Netz anschliessen, und muss ihn 100m unter der Erde in einem Bunker halten...
Die Router-Fernwartung würd ich abschalten. Du kannst den Router dennoch aus der Ferne warten. Einfach von extern auf einen Rechner im Intranet verbinden (VPN, SSH, RD, VNC) und über diesen per Web-Oberfläche den Router editieren. Der Router-Zugriff von extern ist ne echte Gefahr, vor allem wenn mit unsicheren Protokollen gearbeiten wird (warscheinlich telnet oder http).
Für die Fernwartung der PCs bzw. Server bietet sich Remote Desktop an, oder VNC.
Entsprechende Ports müssen freilich am Router geforwardet werden. Am sichersten ist freilich immer VPN für sowas. Gewiefte Admins wissen auch die Möglichkeiten von SSH zu nutzen, und kapseln im SSH-Tunnel beliebige TCP Dienste ein, um an sich unsichere Anwendungen (wie VNC) im SSh-Tunnel zu sichern.
Ok, das klingt nach Science Fiction, ist aber im Grunde relativ einfach zu machen, und kostet vor allem GARNIX und ist TODSICHER.
Durch NAT sind deine Rechner fürs Internet eh unsichtbar und nicht direkt angreifbar.
Angriffe kommen eher von innen heraus, wenn infizierte Rechner das LAN penetrieren.
Um herauszufinden, wie das eigene Netz (bzw. der router) vom Internet gesehen werden, sollte man regelmässig selber sein Netz von aussen angreifen, am besten mit Nessus (www.nessus.org). Nessus ist kostenlos, und wohl das beste Angriffstool um die Netzwerksicherheit zu testen. Nessus enthält tausende von Plugins, die Angriffe durchführen und aussagekräftige Ergebnisse liefern.
Oder bei www.symantec.de bei "Security Response" einen online-hacker-check machen.
Also ich fasse zusammen
-Virenschutz auf allen Maschinen, und diesen up-to-date halten
-Betriebssysteme aktuell halten, auch die router-firmware
-Regelmässig Sicherheits-Checks von aussen durchführen
Ansonsten ist beim BSI ein "Grundschutzbuch" erhältlich (online) das viel Security-Grundwissen vermitteln kann.
Je nachdem welche Dienste dein Server anbietet (IIS Webserver? RAS-Dienste? VPN-Server? Exchange Mailserver?) kommst du nicht drumrum, dich mit dem Absichern der einzelnen Dienste zu beschäftigen, da es hier öfters Details zu beachten gibt, die man einfach wissen muss bzw. nachlesen muss. Hier hilft die Microsaft Technet in aller Regel sehr gut. Vom Einsatz unsicherer Protokolle (wofür auch immer) sollte man möglichst absehen, und WENN man unbedingt ein unsicheres verwenden MuSS, dann sollte man es in einen Tunnel einkapseln, wenn man es mit der Sicherheit ernst mein.
Mindestens genauso wichtig wie die verhinderung vor Hackern und Würmern ist aber freilich auch die zuverlässige Sicherung der Daten per Backup. Wenn man das vernachlässigt, kann es genauso schlimm kommen, als wenn das netz gekapert wird....
Internet-----Router------Switch------LAN
Auf dem Router läuft eine Firewall, die dich vor den grundsätzlichen Gefahren des Internets schützt (Scriptkiddys, Portscans, Wurm- und DoS-Attacken...).
Zusätzliche Software FWs auf den Clients sind nicht notwendig, können (wenn sie den "gewollten" Netzwerkbetrieb nicht beeinträchtigen) jedoch auch nicht schaden.
Desweiteren ist VPN die empfohlene Standardlösung für Site-to-Site Verbindungen zw. Niederlassungen.
Solange die Clients mit eingeschränkten Benutzerkonten arbeiten, eine Antiviren-Software auf allen Rechnern verwendet wird, und die Maschinen up-to-date gehalten werden brauchst du dir meines Erachtens wenig Sorgen machen.
Wieso man bei 6 Clients gleich einen Domain Controller braucht will sich mir jedoch nicht erschliessen - schaden tuts jedoch auch nicht...
Wenn ich zum Aldi einkaufen gehe, fahr ich schliesslich auch nicht mit nem Umzugswagen hin, sondern mit dem Fahrrad oder kleinen Auto. Dennoch KANN ich auch mit nem Umzugswagen hinfahren (um mal ein blödes Beispiel zu nennen...).
Jede Remotezugriff birgt freilich Gefahren - doch so ist das eben.
Wenn man absolute Sicherheit haben will, darf man den Rechner an kein Netz anschliessen, und muss ihn 100m unter der Erde in einem Bunker halten...
Die Router-Fernwartung würd ich abschalten. Du kannst den Router dennoch aus der Ferne warten. Einfach von extern auf einen Rechner im Intranet verbinden (VPN, SSH, RD, VNC) und über diesen per Web-Oberfläche den Router editieren. Der Router-Zugriff von extern ist ne echte Gefahr, vor allem wenn mit unsicheren Protokollen gearbeiten wird (warscheinlich telnet oder http).
Für die Fernwartung der PCs bzw. Server bietet sich Remote Desktop an, oder VNC.
Entsprechende Ports müssen freilich am Router geforwardet werden. Am sichersten ist freilich immer VPN für sowas. Gewiefte Admins wissen auch die Möglichkeiten von SSH zu nutzen, und kapseln im SSH-Tunnel beliebige TCP Dienste ein, um an sich unsichere Anwendungen (wie VNC) im SSh-Tunnel zu sichern.
Ok, das klingt nach Science Fiction, ist aber im Grunde relativ einfach zu machen, und kostet vor allem GARNIX und ist TODSICHER.
Durch NAT sind deine Rechner fürs Internet eh unsichtbar und nicht direkt angreifbar.
Angriffe kommen eher von innen heraus, wenn infizierte Rechner das LAN penetrieren.
Um herauszufinden, wie das eigene Netz (bzw. der router) vom Internet gesehen werden, sollte man regelmässig selber sein Netz von aussen angreifen, am besten mit Nessus (www.nessus.org). Nessus ist kostenlos, und wohl das beste Angriffstool um die Netzwerksicherheit zu testen. Nessus enthält tausende von Plugins, die Angriffe durchführen und aussagekräftige Ergebnisse liefern.
Oder bei www.symantec.de bei "Security Response" einen online-hacker-check machen.
Also ich fasse zusammen
-Virenschutz auf allen Maschinen, und diesen up-to-date halten
-Betriebssysteme aktuell halten, auch die router-firmware
-Regelmässig Sicherheits-Checks von aussen durchführen
Ansonsten ist beim BSI ein "Grundschutzbuch" erhältlich (online) das viel Security-Grundwissen vermitteln kann.
Je nachdem welche Dienste dein Server anbietet (IIS Webserver? RAS-Dienste? VPN-Server? Exchange Mailserver?) kommst du nicht drumrum, dich mit dem Absichern der einzelnen Dienste zu beschäftigen, da es hier öfters Details zu beachten gibt, die man einfach wissen muss bzw. nachlesen muss. Hier hilft die Microsaft Technet in aller Regel sehr gut. Vom Einsatz unsicherer Protokolle (wofür auch immer) sollte man möglichst absehen, und WENN man unbedingt ein unsicheres verwenden MuSS, dann sollte man es in einen Tunnel einkapseln, wenn man es mit der Sicherheit ernst mein.
Mindestens genauso wichtig wie die verhinderung vor Hackern und Würmern ist aber freilich auch die zuverlässige Sicherung der Daten per Backup. Wenn man das vernachlässigt, kann es genauso schlimm kommen, als wenn das netz gekapert wird....
Ja die Kennwort Richtlinien sind freilich auch wichtig.
Ein wichtiger Punkt, der mir in meiner spontanen Rezitation entfallen war.
Daher auch die Empfehlung http://www.bsi.de/gshb/index.htm
Wenn ein User sich das Kennwort selbst wählen kann, und keine Passwort Richtlinien ERZWUNGEN werden durch technische Mittel dann kannst davon ausgehen, dass die User Passwörter wie "Katja", "Bello", "Beckham" usw wählen werden. Mit einem Passwort Knacker (z.B. Brutus) und Wörterbuchattacke dürfte das nur ein Blinzeln lang dauern, bis das geknackt ist. Und damit hat der Knacker Zugriff auf ALLES was der User auch darf!
Wenn komplexe Passwortrichtlinien bei euch nicht durchsetzbar sind, sollte zumindest nach mehrmaliger Falscheingabe des Passwords (z. B. 5 Versuche) der Zugang für eine bestimmte Zeit gesperrt sein (z. b. für 15min).
Die Sicherheit für den User als auch für die Firma zu GEWÄHRLEISTEN ist jedoch DEINE Verantwortung. Daher kommst du an den Kennwortrichtlinien nicht vorbei (mind. 8 Zeichen, mit Sonderzeichen, und wechselnd zb. alle paar Monate). Es hängt vom Entscheider ab (Firmenchef zb) wie straff man die Sicherheit halten will. Du solltest ihm die Gefahren jedenfalls verdeutlichen wenn er nicht einsichtig ist und dich gegebenenfalls schriftlich absichern dass du gewarnt hast, wenn der Chef sich jedoch gegen deinen Rat entscheidet.
Wenn die Mitarbeiter von extern (internet) z.B. per Sharepoint Webseiten oder z.B. Citrix Terminaldienste auf Firmen Ressourcen zugreifen, und sich per Passwort authentifizieren ist das nicht nur sinnvoll, sondern UNUMGÄNGLICH. Wenns sehr sicher sein soll, wäre es auch empfehlenswert, von extern NUR PER PIN/TOKEN oder Smartcard die Authentifizierung zu erlauben, dann bräuchte jeder Mitarbeiter noch einen RSA Security Token. Als PW gilt dann eine 6-stellige Nummer, die sich minütlich ändert. Damit sind Gefahren durch Trojaner / Keylogger, die das PW erspähen können, ausgemerzt. Alternativ ist die Vorhaltung eines Userzertifikats möglich, was aber eine PKI Infrastruktur vorraussetzt.
Das sicherste ist derzeit jedoch wohl die Authentifizierung per PIN/Token (RSASecurity).
http://www.rsasecurity.com/
In aller Regel werden die User ja per https auf die Firmen-Sharepoint Seiten zugreifen.
Das ist dann schonmal ein ssl-tunnel, der vom User-PC bis zum Webserver reicht u. die Leitung damit sichert. Die Keylogger-Problematik ist damit jedoch nicht gelöst. Dem Keylogger ist ssl egal. Er verbindet sich einfach mit dem Tastaturtreiber, schreibt jeden Tastandruck mit (auch passwörter...) und versendet sie an den Urheber des Schädlings.
Wenn du die Vorteile eines modernen Windows Servers ausschöpfen willst (Sharepoint, zentraler Mailserver, zentrale Verwaltung etc) dann macht Domänenanmeldung freilich absolut Sinn - bei 40 Mitarbeitern allemal.
Für 6 Benutzer einen Mailserver zu betreiben würde freilich auch nicht unbedingt Sinn machen, aber es ist auch Einstellungssache vielleicht. Das Berechtigungskonzept mit User- und Gruppen Berechtigungen ist bei Domänen-Betrieb halt schon eine sehr feine Sache. Der User wird einmal im AD angelegt und man kann flexibel ALLE Berechtigungen regeln, die der User haben dürfen soll.
RAID ist ne prima Sache und auch Standard. ZB. RAID 5 (mit Parität). Dennoch kein absoluter Schutz. Wenn hier paar unglückliche Umstände zusammenkommen, hast du ein Problem. Eine regelmässige Bandsicherung der Daten zusätzlich würd ich auf jeden Fall auch machen, und den Restore auch regelmässig testen! Das ist nicht ganz einfach, vor allem wenn die Daten IMMER zugreifbar sein müssen, doch man kommt nicht drumrum, wenn man die Verfügbarkeit bzw. Widerherstellung GARANTIEREN möchte.
Am besten wäre wohl ein unabhängiges Paralellsystem, das beim Ausfall des ersten automatisch die Dienste bereitstellt. Hier muss (wenn Hochverfügbarkeit für das Geschäft überlebenswichtig ist) eben Geld und Hirnschmalz investiert werden und alle Eventualitäten durchgespielt werden (auch "Single Point of Failure" Problematik...) und natürlich auch regelmässig der schlimmste anzunehmende Notfall getestet werden (Was passiert wenn der ganze Server ausfällt? Was passiert wenn nur einzelne Dienste ausfallen? Wie kann ich Hotfixes aufspielen und garantieren dass mein Server hinterher noch läuft? Welche Redundanztechnik passt bei mir am besten? usw..)
Ein wichtiger Punkt, der mir in meiner spontanen Rezitation entfallen war.
Daher auch die Empfehlung http://www.bsi.de/gshb/index.htm
Wenn ein User sich das Kennwort selbst wählen kann, und keine Passwort Richtlinien ERZWUNGEN werden durch technische Mittel dann kannst davon ausgehen, dass die User Passwörter wie "Katja", "Bello", "Beckham" usw wählen werden. Mit einem Passwort Knacker (z.B. Brutus) und Wörterbuchattacke dürfte das nur ein Blinzeln lang dauern, bis das geknackt ist. Und damit hat der Knacker Zugriff auf ALLES was der User auch darf!
Wenn komplexe Passwortrichtlinien bei euch nicht durchsetzbar sind, sollte zumindest nach mehrmaliger Falscheingabe des Passwords (z. B. 5 Versuche) der Zugang für eine bestimmte Zeit gesperrt sein (z. b. für 15min).
Die Sicherheit für den User als auch für die Firma zu GEWÄHRLEISTEN ist jedoch DEINE Verantwortung. Daher kommst du an den Kennwortrichtlinien nicht vorbei (mind. 8 Zeichen, mit Sonderzeichen, und wechselnd zb. alle paar Monate). Es hängt vom Entscheider ab (Firmenchef zb) wie straff man die Sicherheit halten will. Du solltest ihm die Gefahren jedenfalls verdeutlichen wenn er nicht einsichtig ist und dich gegebenenfalls schriftlich absichern dass du gewarnt hast, wenn der Chef sich jedoch gegen deinen Rat entscheidet.
Wenn die Mitarbeiter von extern (internet) z.B. per Sharepoint Webseiten oder z.B. Citrix Terminaldienste auf Firmen Ressourcen zugreifen, und sich per Passwort authentifizieren ist das nicht nur sinnvoll, sondern UNUMGÄNGLICH. Wenns sehr sicher sein soll, wäre es auch empfehlenswert, von extern NUR PER PIN/TOKEN oder Smartcard die Authentifizierung zu erlauben, dann bräuchte jeder Mitarbeiter noch einen RSA Security Token. Als PW gilt dann eine 6-stellige Nummer, die sich minütlich ändert. Damit sind Gefahren durch Trojaner / Keylogger, die das PW erspähen können, ausgemerzt. Alternativ ist die Vorhaltung eines Userzertifikats möglich, was aber eine PKI Infrastruktur vorraussetzt.
Das sicherste ist derzeit jedoch wohl die Authentifizierung per PIN/Token (RSASecurity).
http://www.rsasecurity.com/
In aller Regel werden die User ja per https auf die Firmen-Sharepoint Seiten zugreifen.
Das ist dann schonmal ein ssl-tunnel, der vom User-PC bis zum Webserver reicht u. die Leitung damit sichert. Die Keylogger-Problematik ist damit jedoch nicht gelöst. Dem Keylogger ist ssl egal. Er verbindet sich einfach mit dem Tastaturtreiber, schreibt jeden Tastandruck mit (auch passwörter...) und versendet sie an den Urheber des Schädlings.
Wenn du die Vorteile eines modernen Windows Servers ausschöpfen willst (Sharepoint, zentraler Mailserver, zentrale Verwaltung etc) dann macht Domänenanmeldung freilich absolut Sinn - bei 40 Mitarbeitern allemal.
Für 6 Benutzer einen Mailserver zu betreiben würde freilich auch nicht unbedingt Sinn machen, aber es ist auch Einstellungssache vielleicht. Das Berechtigungskonzept mit User- und Gruppen Berechtigungen ist bei Domänen-Betrieb halt schon eine sehr feine Sache. Der User wird einmal im AD angelegt und man kann flexibel ALLE Berechtigungen regeln, die der User haben dürfen soll.
RAID ist ne prima Sache und auch Standard. ZB. RAID 5 (mit Parität). Dennoch kein absoluter Schutz. Wenn hier paar unglückliche Umstände zusammenkommen, hast du ein Problem. Eine regelmässige Bandsicherung der Daten zusätzlich würd ich auf jeden Fall auch machen, und den Restore auch regelmässig testen! Das ist nicht ganz einfach, vor allem wenn die Daten IMMER zugreifbar sein müssen, doch man kommt nicht drumrum, wenn man die Verfügbarkeit bzw. Widerherstellung GARANTIEREN möchte.
Am besten wäre wohl ein unabhängiges Paralellsystem, das beim Ausfall des ersten automatisch die Dienste bereitstellt. Hier muss (wenn Hochverfügbarkeit für das Geschäft überlebenswichtig ist) eben Geld und Hirnschmalz investiert werden und alle Eventualitäten durchgespielt werden (auch "Single Point of Failure" Problematik...) und natürlich auch regelmässig der schlimmste anzunehmende Notfall getestet werden (Was passiert wenn der ganze Server ausfällt? Was passiert wenn nur einzelne Dienste ausfallen? Wie kann ich Hotfixes aufspielen und garantieren dass mein Server hinterher noch läuft? Welche Redundanztechnik passt bei mir am besten? usw..)
http://www.microsoft.com/germany/technet/datenbank/articles/900049.mspx
Ich denk da steht alles was du wissen willst, in gutem Deutsch.
Eins muss man Microsaft lassen - die Technet ist grosses Tennis...
Ich denk da steht alles was du wissen willst, in gutem Deutsch.
Eins muss man Microsaft lassen - die Technet ist grosses Tennis...
Kann ich dir nicht beantworten, wiso das so ist.
Soweit ich mich an meine MCSE Ausbildung erinnern kann, werden Kennwortrichtlinien auf Domänenebene konfiguriert.
Vielleicht auch hier noch was
http://www.microsoft.com/germany/technet/datenbank/articles/600615.mspx
Soweit ich mich an meine MCSE Ausbildung erinnern kann, werden Kennwortrichtlinien auf Domänenebene konfiguriert.
Vielleicht auch hier noch was
http://www.microsoft.com/germany/technet/datenbank/articles/600615.mspx