Win2003 Netzwerk-Firewall?
Ein Firmen-Netzwerkwerk mit Windows SBS 2003
Moin,
ich habe bei einem kunden ein reines (kleines) xp netzwerk, die clients (6 an der zahl) sind XP Professional, der server Windows SBS 2003. Jetzt will mein Kunde besser geschützt werden, er wünscht sich eine anständige Firewall.
Nun frage ich mich:
ist es überhaupt möglich mit Win2003 ein netzwerk zu firewallen? bzw macht das sinn?
ich stelle mir das so vor, dass der server dann als gateway im netz fungiert, und alle pakete die er routet filtert. (wie es auch linux router tun)
hat damit jemand erfahrung?
oder ne meinung dazu?
wären ein weiterer rechner [unix] / eine hardwarefirewall angebrachter?
thx in advance
Moin,
ich habe bei einem kunden ein reines (kleines) xp netzwerk, die clients (6 an der zahl) sind XP Professional, der server Windows SBS 2003. Jetzt will mein Kunde besser geschützt werden, er wünscht sich eine anständige Firewall.
Nun frage ich mich:
ist es überhaupt möglich mit Win2003 ein netzwerk zu firewallen? bzw macht das sinn?
ich stelle mir das so vor, dass der server dann als gateway im netz fungiert, und alle pakete die er routet filtert. (wie es auch linux router tun)
hat damit jemand erfahrung?
oder ne meinung dazu?
wären ein weiterer rechner [unix] / eine hardwarefirewall angebrachter?
thx in advance
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22397
Url: https://administrator.de/contentid/22397
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
19 Kommentare
Neuester Kommentar
Moin,
will der im LAN per Firewall regeln?!!
Der einzige sinnvolle Einsatz wäre eine HW-FW zwischen LAN und WAN, alles andere ist dummes Zeug.
Eine "anständige" Firewall wird immer eine HW-Lösung sein. Ob das nun eine Router-interne FW ist, oder eine extra HW-FW, kommt auf die Anforderung an.
Wenn er aber so sicherheitsbesuwsst ist, dann mache ihm mal klar, dass sein SBS der einzige Server im Netz ist. Dieser hält alle Netzwerkdateien der User, Profile, usw, etc.... und steht im WAN!
Berate ihn mal hinsichtlich des Einsatzes getrennter Server und DMZ
Gruß, Rene
<div align="center" style="width:100%; vertical-align:middle; background:silver; height:20px; border-style:solid; border-width:thin; border-color:#000000" dir="ltr" lang="de"><font size="1">Footer: Nutzt die Bewertungsfunktion. Ihr helft damit den Usern! Siehe <a href="" target="_blank"> hier!</a></font></div>
will der im LAN per Firewall regeln?!!
Der einzige sinnvolle Einsatz wäre eine HW-FW zwischen LAN und WAN, alles andere ist dummes Zeug.
Eine "anständige" Firewall wird immer eine HW-Lösung sein. Ob das nun eine Router-interne FW ist, oder eine extra HW-FW, kommt auf die Anforderung an.
Wenn er aber so sicherheitsbesuwsst ist, dann mache ihm mal klar, dass sein SBS der einzige Server im Netz ist. Dieser hält alle Netzwerkdateien der User, Profile, usw, etc.... und steht im WAN!
Berate ihn mal hinsichtlich des Einsatzes getrennter Server und DMZ
Gruß, Rene
<div align="center" style="width:100%; vertical-align:middle; background:silver; height:20px; border-style:solid; border-width:thin; border-color:#000000" dir="ltr" lang="de"><font size="1">Footer: Nutzt die Bewertungsfunktion. Ihr helft damit den Usern! Siehe <a href="" target="_blank"> hier!</a></font></div>
Wenn er aber so sicherheitsbesuwsst ist,
dann mache ihm mal klar, dass sein SBS der
einzige Server im Netz ist. Dieser hält
alle Netzwerkdateien der User, Profile, usw,
etc.... und steht im WAN!
dann mache ihm mal klar, dass sein SBS der
einzige Server im Netz ist. Dieser hält
alle Netzwerkdateien der User, Profile, usw,
etc.... und steht im WAN!
Hört sich an als würdest du das kritisieren.. (Vorausgesetzt ich interpretiere das korrekt dass du mit WAN = Inet meinst)
Eines der Key Features des SBS ist eben der Aspekt dass er mit einem Bein im Inet stehen kann. Sofern der SBServer die Premium Edition ist, ist ohnehin eine Firewall mit drin -> ISA.
Ich kenne aber auch ettliche Firmen, die einen SBServer betreiben, der ohne ISA Server ausgestattet ist. Die meisten haben nur eine Antiviruslösung. Hab noch nie von Problemen gehört. Mal ernsthaft: Versuch mal an einem SBServer (auch ohne ISA) vorbeizukommen.... Wie willste das machen?
http://www.google.de/search?hl=de&rls=GGLD,GGLD:2005-12,GGLD:de& ...
Da ist eine riesen Liste von SBServern.
IP rausbekommen sollte kein Problem sein.
Der erste ders schafft Daten zu stehlen, ist ein toller Hecht! :D
Hallo
schauste mal hier
die fw haben wir am laufen, und sind voll zufrieden damit
http://www.msisafaq.de
mfg mario
schauste mal hier
die fw haben wir am laufen, und sind voll zufrieden damit
http://www.msisafaq.de
mfg mario
Moin,
Nicht den SBS und seine WAN-Anbindung ansich, sondern, dass er zeitgleich als Fileserver genutzt wird. Bitte bedenke auch: ISA ist ebenfalls nur ein Stück Software ...
@Kigh:
Überzeuge Deinen Kunden, dass die HW-FW im Router (welches Modell?) gute Dienste leistet.
Führe ihm doch gerne (jaaa, ich weis, iss nicht sonderlich aussagekräftig...) auch mal Online-Potrscanner vor (www.grc.com, Sygate, PC-Flank usw.), dann ist er vielleicht wieder beruhigter
Gruß, Rene
Hört sich an als würdest du das
kritisieren.. (Vorausgesetzt ich
interpretiere das korrekt dass du mit WAN =
Inet meinst)
kritisieren.. (Vorausgesetzt ich
interpretiere das korrekt dass du mit WAN =
Inet meinst)
Nicht den SBS und seine WAN-Anbindung ansich, sondern, dass er zeitgleich als Fileserver genutzt wird. Bitte bedenke auch: ISA ist ebenfalls nur ein Stück Software ...
@Kigh:
Überzeuge Deinen Kunden, dass die HW-FW im Router (welches Modell?) gute Dienste leistet.
Führe ihm doch gerne (jaaa, ich weis, iss nicht sonderlich aussagekräftig...) auch mal Online-Potrscanner vor (www.grc.com, Sygate, PC-Flank usw.), dann ist er vielleicht wieder beruhigter
Gruß, Rene
Eines der Key Features des SBS ist eben der Aspekt
dass er mit einem Bein im Inet stehen kann.
Das heißt aber, zumindest in diesem Fall, auch mit einem Bein im Grab.dass er mit einem Bein im Inet stehen kann.
Eine anständige Firewall, wie dein Kunde sie wünscht, kann bei dieser Konstellation nur eine Hardware-FW sein.
Bspw. eine kleine PIX http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/ps2031/index.html
Die ist ein echtes kleines Zauberding, kann routen, ein Modem ansteuern und stellt einen ziemlich guten VPN-Server zur Verfügung.
Alternative wäre ein Linuxrouter mit Squid und netfilter/iptables.
Nicht das ich was gegen den ISA hätte, der hat sicher seine Berechtigung.
Aber einen All-In-One-Server auch noch zum Routing- und Firewallserver zu machen, hat schon was von echtem Heldenmut.
Die ganz Verwegenen machen dann noch einen direkt erreichbaren Exchange drauf, damit die Hardware-Resourcen auch wirklich genützt werden
Gruß
gemini
Hallo,
Also diese Aussage finde ich ja nun mehr als leichtsinnig!!! Das MS Produkte nicht die sichersten sind sollte sich nun doch rumgesprochen haben!!!! Das Risiko einen Produktivserver mit (wahrscheinlich) allen Firmendaten an die große weite Welt zu nabeln ist mehr als mutig!!! Und von den Servern auf die du in dem Link verweist, stehen besimmt auch alles direkt ans Internet angebunden!! Ohne FW und DMZ und sonstigem überflüssigem Sicherheitsschnickschnack.....immer rann damit, sind doch alles liebe Menschen out there!!
http://www.google.de/search?hl=de&rls=GGLD,GGLD:2005-12,GGLD:de& ...
Da ist eine riesen Liste von SBServern.
IP rausbekommen sollte kein Problem sein.
Der erste ders schafft Daten zu stehlen, ist
ein toller Hecht! :D
Dann find da erstmal raus, welcher der SBSen wirklich direkt am Internet hängt, ohen was anders dazwischen!!
Nein, aber mal im Ernst, den einzigen Server den man hat mit der Welt zu teilen....... ich kann da nur gemini zustimmen, so eine kleine PIX ist schon was feines. Bei uns laufen die schon seit zwei Jahren ohne Probleme. Die sind einfach aufzusetzen und wirklich stabil!
Ralf
Ich kenne aber auch ettliche Firmen, die
einen SBServer betreiben, der ohne ISA
Server ausgestattet ist. Die meisten haben
nur eine Antiviruslösung. Hab noch nie
von Problemen gehört. Mal ernsthaft:
Versuch mal an einem SBServer (auch ohne
ISA) vorbeizukommen.... Wie willste das
machen?
einen SBServer betreiben, der ohne ISA
Server ausgestattet ist. Die meisten haben
nur eine Antiviruslösung. Hab noch nie
von Problemen gehört. Mal ernsthaft:
Versuch mal an einem SBServer (auch ohne
ISA) vorbeizukommen.... Wie willste das
machen?
Also diese Aussage finde ich ja nun mehr als leichtsinnig!!! Das MS Produkte nicht die sichersten sind sollte sich nun doch rumgesprochen haben!!!! Das Risiko einen Produktivserver mit (wahrscheinlich) allen Firmendaten an die große weite Welt zu nabeln ist mehr als mutig!!! Und von den Servern auf die du in dem Link verweist, stehen besimmt auch alles direkt ans Internet angebunden!! Ohne FW und DMZ und sonstigem überflüssigem Sicherheitsschnickschnack.....immer rann damit, sind doch alles liebe Menschen out there!!
http://www.google.de/search?hl=de&rls=GGLD,GGLD:2005-12,GGLD:de& ...
Da ist eine riesen Liste von SBServern.
IP rausbekommen sollte kein Problem sein.
Der erste ders schafft Daten zu stehlen, ist
ein toller Hecht! :D
Nein, aber mal im Ernst, den einzigen Server den man hat mit der Welt zu teilen....... ich kann da nur gemini zustimmen, so eine kleine PIX ist schon was feines. Bei uns laufen die schon seit zwei Jahren ohne Probleme. Die sind einfach aufzusetzen und wirklich stabil!
Ralf
ich empfehle einen zweiten server mit win 2000 server oder 2003, Und dann noch den ISa server 2004 drauf....
Alternativ empfehle ich die Cisco Router......sind auch tolle Geräte.......
Alternativ empfehle ich die Cisco Router......sind auch tolle Geräte.......
Das heißt aber, zumindest in diesem
Fall, auch mit einem Bein im Grab.
Fall, auch mit einem Bein im Grab.
Ich finde diese These übertrieben.
Das ganze Thema wird viel zu sehr gepuscht.
Mal Hand aufs Herz. So ziemlich jeder Administrator wird in seiner Laufbahn mal einen Server direkt ans Inet gebunden haben. Einfach so, ohne Firewall. Und nochmal Hand aufs Herz, wessen Daten wurden ausspioniert? Ich meine damit einen wirklichen Vorfall wo zum Beispiel Kundendaten eines ERP-Systems gestohlen oder Postfächer abgesaugt wurden und nicht einen Eintrag im Systemprotokoll Reiter Sicherheit wo protokolliert wird, dass jemand Versucht hat das Administratorpasswort durch ausprobieren rauszukriegen *lach*
Wer kennt einen solchen Vorfall und kann es handfest beweisen?
Auch ich teile die Meinung, dass man sich nicht darauf verlassen sollte, dass alles einfach so durch Zufall gut geht, aber meiner Meinung nach brauchen 19 von 20 Unternehmen eher Schutz vor den eigenen Mitarbeitern als vor Informationsdieben, die an Wirtschaftsspionage interessiert sind. Die eigenen Mitarbeiter sind es nämlich meist, die Betriebsinformationen in die weite Welt schleudern.
keine schlechte idee, das mit dem portscan.
den ms ISA krams werd ich mir mal ansehen,
weiss ich jetzt nicht ausm kopf ob das dort
ein premium ist.
thx!
den ms ISA krams werd ich mir mal ansehen,
weiss ich jetzt nicht ausm kopf ob das dort
ein premium ist.
thx!
Sollte nach Installation des SBServers bereits ein vollwertiger MS-SQL-Server installiert sein (Bitte nicht verwechseln mit MSDE) dann handelt es sich um einen Premium. Alternativ kannst du auch einfach unter Start -> Alle Programme -> Microsoft ISA Server sehen ob der ISA installiert ist
Wenn es sich bei bestehender Installation um eine Standart-Edition handelt, kann man bestimmt noch ein Upgradepaket kaufen und zahlt wohl nur den Differenzbetrag zwischen Standart und Premium.
Der ISA-Server ist eine feine Sache. Man kann genau sagen welche Ports für welche Benutzer und/oder Computer freigegeben/gesperrt werden. Ist doch im Grunde genau das was du brauchst. Umfangreiche Informationen zu diesem Produkt findet man hier: http://www.microsoft.com/isaserver/default.mspx
naja ich denke es geht ums prinzip, einfach
zu wissen, dass es möglich wäre...
zu wissen, dass es möglich wäre...
Ja, es ist ein richtiger Ansatz, bei der Beratung eines Kunden.
Zunächst aber stelle ich mir die Frage "Hey, schiesse ich da nicht mit ner Bazooka auf Spatzen?"
Ein Netzwerk mit 6 Clients - Das ist ein Kleinstnetz.
Ich sehe immer wieder Netzwerke von Kunden, die den Händler gewechselt haben, weil diese das bestehende Netzwerk vollgepumpt haben mit irgendwelchen Appliances, Kisten, Kabeln, Softwaresuites und schlagmichtod die am Ende niemand mehr durchblicken konnte und wo alles nur noch halb lief. Mal gehts, mal nicht.
Das liegt daran dass da draussen Leute rumlaufen, die es tatsächlich verantworten 3 Server für ein kleinunternehmen mit 10 Clients zu betreiben. 3 zu 10 - Das ist lächerlich. Lest euch die Factsheets der Serverbetriebssysteme durch. Ich habe da eine Zahl vom SBServer im Kopf, ich meine es war 75 User.
Meiner Meinung nach ist die essentielle Frage: Ist es wirklich nötig?
Umso weniger da rumsteht, umso einfacher ist es zu administrieren, umso zuverlässiger läuft es. Und wenn es mal nicht läuft, dann liegt es meist nicht an der Hardware/Software, sondern eher daran dass das zuständige Personal die Materie nicht ausreichend kennt oder eine schlechte Informationsübergabe unter dem zuständigen Personal erfolgt (Dokumentation). Tragisch wirds wenn Inkompetenz und mangelnde Dokumentation gleichzeitig auftreten.
Also diese Aussage finde ich ja nun mehr als leichtsinnig!!!
Begründung?Das MS Produkte nicht die sichersten sind sollte sich nun doch rumgesprochen haben!!!!
Lasse ich als Begründung nicht gelten - Knack mir einen SBServer dann reden wir weiter.Ich meine das wirklich ernst. Ich habe mehrere feste IP Adressen zur Verfügung.
Wenn du willst, mache ich mir die Mühe und setzte einen SBServer ohne ISA Firewall auf.
Wenn du es schaffst auch nur ein einziges Megabyte an Daten da runterzuholen, oder Benutzerpasswörter zu ändern, neue Benutzer erstellst oder Dienste beendest, dann reden wir weiter. Ist mein voller Ernst, ich mach das.
Ich für meinen Teil schwöre auf Microsoft-Produkte.
Kein anderes Unternehmen hat es geschafft eine derartige Produktpallete in einem solch überwältigend hohen Maß an Zuverlässigkeit und Funktionsreichtum auf den Markt zu bringen und aktiv zu supporten, wie eben dieses verhasste Microsoft.
eine kleine hw-firewall wäre
natürlich auch nett, würde auch
serverwechsel etc leichter machen
ausserdem wären so alle direkter am
netz und der traffic würde nicht den
SBS belasten
natürlich auch nett, würde auch
serverwechsel etc leichter machen
ausserdem wären so alle direkter am
netz und der traffic würde nicht den
SBS belasten
Was für eine Art von Unternehmen ist es denn, was du da betreust?
Ich nehme an 6 User...? Alle in Vollzeit tätig?
Haben alle User die gleichen Arbeitszeiten?
Ich für meinen Teil überlege mir zunächst einmal wie viel Traffic da am Tag (8Stunden) durch muss. Das muss man umbedingt in Relation zur verwendeten Hardwareausstattung des Servers setzen. Weiteres wichtiges Kriterium ist die Geschwindigkeit der Internetleitung.
Da gibts so nette Milchmädchenrechnungen wie 40 User alle gleichzeitig. Alle surfen im Netz, hören Internetradio. Hmm rechnen wir mal ein User macht 15MB an Traffic in der Stunde. Wow, das macht Macht 600MB in der Stunde. Der Admin schreit sofort "Ich brauche bessere Hardware!" Klar er muss ja 600MB/h da durchquetschen UND die operativen Anwendung stabil am Laufen halten. An der Stelle ist die Internetleitung ins Gespräch zu bringen: ...Moment mal wir haben nur 1MBit-Anbindung ans Inet. Das sind 421,87MB/h
Und plötzlich sieht die Welt schon um 180MB/h besser aus. Hat der Kunde eine langsamere Verbindung reduziert sich die Zahl natürlich nochmals drastisch. Hinzukommt, dass niemand 8 Stunden am Tag nur surft.
Immer alles in Relation setzen, dann lüppt das am Ende auch