kigh
Goto Top

Win2003 Netzwerk-Firewall?

Ein Firmen-Netzwerkwerk mit Windows SBS 2003

Moin,

ich habe bei einem kunden ein reines (kleines) xp netzwerk, die clients (6 an der zahl) sind XP Professional, der server Windows SBS 2003. Jetzt will mein Kunde besser geschützt werden, er wünscht sich eine anständige Firewall.

Nun frage ich mich:
ist es überhaupt möglich mit Win2003 ein netzwerk zu firewallen? bzw macht das sinn?
ich stelle mir das so vor, dass der server dann als gateway im netz fungiert, und alle pakete die er routet filtert. (wie es auch linux router tun)

hat damit jemand erfahrung?
oder ne meinung dazu?

wären ein weiterer rechner [unix] / eine hardwarefirewall angebrachter?

thx in advance

Content-ID: 22397

Url: https://administrator.de/forum/win2003-netzwerk-firewall-22397.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

10545
10545 28.12.2005 um 15:26:34 Uhr
Goto Top
Moin,

will der im LAN per Firewall regeln?!!

Der einzige sinnvolle Einsatz wäre eine HW-FW zwischen LAN und WAN, alles andere ist dummes Zeug.

Eine "anständige" Firewall wird immer eine HW-Lösung sein. Ob das nun eine Router-interne FW ist, oder eine extra HW-FW, kommt auf die Anforderung an.

Wenn er aber so sicherheitsbesuwsst ist, dann mache ihm mal klar, dass sein SBS der einzige Server im Netz ist. Dieser hält alle Netzwerkdateien der User, Profile, usw, etc.... und steht im WAN!

Berate ihn mal hinsichtlich des Einsatzes getrennter Server und DMZ face-wink

Gruß, Rene

<div align="center" style="width:100%; vertical-align:middle; background:silver; height:20px; border-style:solid; border-width:thin; border-color:#000000" dir="ltr" lang="de"><font size="1">Footer: Nutzt die Bewertungsfunktion. Ihr helft damit den Usern! Siehe <a href="" target="_blank"> hier!</a></font></div>
Kigh
Kigh 28.12.2005 um 15:53:56 Uhr
Goto Top
ja genau, eine FW zwischen LAN und WAN .. hatte überlegt ob Win2k3 diese aufgabe übernehmen könnte/sollte. (möglich ist es, denke ich)

der server haelt die daten, das ist richtig und ist genauso ans WAN angebunden wie die clients (per hw-router). das einzig sinnvolle, wofür ich mir eine Firewall vorstellen kann sind eh nur verbindungen von innen nach aussen (malware, virii). der router laesst ja keine unangefragten verbindungen von aussen rein, es sei denn ich befehle ihm anders.

mein kunde hat das wort firewall in verbindung mit sicherheit halt mal aufgeschnappt und fühlt sich dann sicherer ^^. ich möchte aber auch nicht auf jedem rechner eine persönliche firewall installieren, da dies den verwaltungsaufwand steigert.
PeterPiksa
PeterPiksa 28.12.2005 um 15:54:52 Uhr
Goto Top
Wenn er aber so sicherheitsbesuwsst ist,
dann mache ihm mal klar, dass sein SBS der
einzige Server im Netz ist. Dieser hält
alle Netzwerkdateien der User, Profile, usw,
etc.... und steht im WAN!

Hört sich an als würdest du das kritisieren.. (Vorausgesetzt ich interpretiere das korrekt dass du mit WAN = Inet meinst)
Eines der Key Features des SBS ist eben der Aspekt dass er mit einem Bein im Inet stehen kann. Sofern der SBServer die Premium Edition ist, ist ohnehin eine Firewall mit drin -> ISA.
Ich kenne aber auch ettliche Firmen, die einen SBServer betreiben, der ohne ISA Server ausgestattet ist. Die meisten haben nur eine Antiviruslösung. Hab noch nie von Problemen gehört. Mal ernsthaft: Versuch mal an einem SBServer (auch ohne ISA) vorbeizukommen.... Wie willste das machen?

http://www.google.de/search?hl=de&rls=GGLD,GGLD:2005-12,GGLD:de& ...

Da ist eine riesen Liste von SBServern.
IP rausbekommen sollte kein Problem sein.
Der erste ders schafft Daten zu stehlen, ist ein toller Hecht! :D
Mario-Admin
Mario-Admin 28.12.2005 um 16:08:51 Uhr
Goto Top
Hallo

schauste mal hier
die fw haben wir am laufen, und sind voll zufrieden damit

http://www.msisafaq.de

mfg mario
10545
10545 28.12.2005 um 16:10:03 Uhr
Goto Top
Moin,

Hört sich an als würdest du das
kritisieren.. (Vorausgesetzt ich
interpretiere das korrekt dass du mit WAN =
Inet meinst)

Nicht den SBS und seine WAN-Anbindung ansich, sondern, dass er zeitgleich als Fileserver genutzt wird. Bitte bedenke auch: ISA ist ebenfalls nur ein Stück Software ...

@Kigh:
Überzeuge Deinen Kunden, dass die HW-FW im Router (welches Modell?) gute Dienste leistet.
Führe ihm doch gerne (jaaa, ich weis, iss nicht sonderlich aussagekräftig...) auch mal Online-Potrscanner vor (www.grc.com, Sygate, PC-Flank usw.), dann ist er vielleicht wieder beruhigter face-wink

Gruß, Rene
Kigh
Kigh 28.12.2005 um 16:22:55 Uhr
Goto Top
keine schlechte idee, das mit dem portscan.

den ms ISA krams werd ich mir mal ansehen, weiss ich jetzt nicht ausm kopf ob das dort ein premium ist.

thx!
gemini
gemini 28.12.2005 um 16:35:19 Uhr
Goto Top
Eines der Key Features des SBS ist eben der Aspekt
dass er mit einem Bein im Inet stehen kann.
Das heißt aber, zumindest in diesem Fall, auch mit einem Bein im Grab.

Eine anständige Firewall, wie dein Kunde sie wünscht, kann bei dieser Konstellation nur eine Hardware-FW sein.
Bspw. eine kleine PIX http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/ps2031/index.html
Die ist ein echtes kleines Zauberding, kann routen, ein Modem ansteuern und stellt einen ziemlich guten VPN-Server zur Verfügung.

Alternative wäre ein Linuxrouter mit Squid und netfilter/iptables.

Nicht das ich was gegen den ISA hätte, der hat sicher seine Berechtigung.
Aber einen All-In-One-Server auch noch zum Routing- und Firewallserver zu machen, hat schon was von echtem Heldenmut.
Die ganz Verwegenen machen dann noch einen direkt erreichbaren Exchange drauf, damit die Hardware-Resourcen auch wirklich genützt werden face-wink

Gruß
gemini
sysad
sysad 28.12.2005 um 16:56:58 Uhr
Goto Top
Soll innerhalb des LAN gefiltert werden oder der Verkehr mit draussen? Das geht aus dem Post nicht hervor. Falls letzteres: Nimm einen HW-Router, der kost fast nix, ist leicht zu warten und sicher.

Ansonsten bräuchten wir mehr Info zu der Konfiguration....
Kigh
Kigh 28.12.2005 um 16:59:48 Uhr
Goto Top
ich denke aus einem kommentar geht hervor dass es sich um die kommunikation mit dem internet handelt, die gefiltert werden soll. (malware, virii)
n.o.b.o.d.y
n.o.b.o.d.y 28.12.2005 um 17:21:50 Uhr
Goto Top
Hallo,

Ich kenne aber auch ettliche Firmen, die
einen SBServer betreiben, der ohne ISA
Server ausgestattet ist. Die meisten haben
nur eine Antiviruslösung. Hab noch nie
von Problemen gehört. Mal ernsthaft:
Versuch mal an einem SBServer (auch ohne
ISA) vorbeizukommen.... Wie willste das
machen?

Also diese Aussage finde ich ja nun mehr als leichtsinnig!!! Das MS Produkte nicht die sichersten sind sollte sich nun doch rumgesprochen haben!!!! Das Risiko einen Produktivserver mit (wahrscheinlich) allen Firmendaten an die große weite Welt zu nabeln ist mehr als mutig!!! Und von den Servern auf die du in dem Link verweist, stehen besimmt auch alles direkt ans Internet angebunden!! Ohne FW und DMZ und sonstigem überflüssigem Sicherheitsschnickschnack.....immer rann damit, sind doch alles liebe Menschen out there!! face-smile


http://www.google.de/search?hl=de&rls=GGLD,GGLD:2005-12,GGLD:de& ...

Da ist eine riesen Liste von SBServern.
IP rausbekommen sollte kein Problem sein.
Der erste ders schafft Daten zu stehlen, ist
ein toller Hecht! :D
Dann find da erstmal raus, welcher der SBSen wirklich direkt am Internet hängt, ohen was anders dazwischen!!

Nein, aber mal im Ernst, den einzigen Server den man hat mit der Welt zu teilen....... ich kann da nur gemini zustimmen, so eine kleine PIX ist schon was feines. Bei uns laufen die schon seit zwei Jahren ohne Probleme. Die sind einfach aufzusetzen und wirklich stabil!

Ralf
2095
2095 28.12.2005 um 18:03:04 Uhr
Goto Top
ich empfehle einen zweiten server mit win 2000 server oder 2003, Und dann noch den ISa server 2004 drauf....


Alternativ empfehle ich die Cisco Router......sind auch tolle Geräte.......
PeterPiksa
PeterPiksa 28.12.2005 um 18:26:20 Uhr
Goto Top
Das heißt aber, zumindest in diesem
Fall, auch mit einem Bein im Grab.

Ich finde diese These übertrieben.
Das ganze Thema wird viel zu sehr gepuscht.
Mal Hand aufs Herz. So ziemlich jeder Administrator wird in seiner Laufbahn mal einen Server direkt ans Inet gebunden haben. Einfach so, ohne Firewall. Und nochmal Hand aufs Herz, wessen Daten wurden ausspioniert? Ich meine damit einen wirklichen Vorfall wo zum Beispiel Kundendaten eines ERP-Systems gestohlen oder Postfächer abgesaugt wurden und nicht einen Eintrag im Systemprotokoll Reiter Sicherheit wo protokolliert wird, dass jemand Versucht hat das Administratorpasswort durch ausprobieren rauszukriegen *lach*

Wer kennt einen solchen Vorfall und kann es handfest beweisen?
Auch ich teile die Meinung, dass man sich nicht darauf verlassen sollte, dass alles einfach so durch Zufall gut geht, aber meiner Meinung nach brauchen 19 von 20 Unternehmen eher Schutz vor den eigenen Mitarbeitern als vor Informationsdieben, die an Wirtschaftsspionage interessiert sind. Die eigenen Mitarbeiter sind es nämlich meist, die Betriebsinformationen in die weite Welt schleudern.
Kigh
Kigh 28.12.2005 um 18:36:33 Uhr
Goto Top
naja ich denke es geht ums prinzip, einfach zu wissen, dass es möglich wäre...
PeterPiksa
PeterPiksa 28.12.2005 um 18:42:09 Uhr
Goto Top
keine schlechte idee, das mit dem portscan.

den ms ISA krams werd ich mir mal ansehen,
weiss ich jetzt nicht ausm kopf ob das dort
ein premium ist.

thx!

Sollte nach Installation des SBServers bereits ein vollwertiger MS-SQL-Server installiert sein (Bitte nicht verwechseln mit MSDE) dann handelt es sich um einen Premium. Alternativ kannst du auch einfach unter Start -> Alle Programme -> Microsoft ISA Server sehen ob der ISA installiert ist face-wink

Wenn es sich bei bestehender Installation um eine Standart-Edition handelt, kann man bestimmt noch ein Upgradepaket kaufen und zahlt wohl nur den Differenzbetrag zwischen Standart und Premium.
Der ISA-Server ist eine feine Sache. Man kann genau sagen welche Ports für welche Benutzer und/oder Computer freigegeben/gesperrt werden. Ist doch im Grunde genau das was du brauchst. Umfangreiche Informationen zu diesem Produkt findet man hier: http://www.microsoft.com/isaserver/default.mspx
PeterPiksa
PeterPiksa 28.12.2005 um 18:58:28 Uhr
Goto Top
naja ich denke es geht ums prinzip, einfach
zu wissen, dass es möglich wäre...

Ja, es ist ein richtiger Ansatz, bei der Beratung eines Kunden.
Zunächst aber stelle ich mir die Frage "Hey, schiesse ich da nicht mit ner Bazooka auf Spatzen?"
Ein Netzwerk mit 6 Clients - Das ist ein Kleinstnetz.
Ich sehe immer wieder Netzwerke von Kunden, die den Händler gewechselt haben, weil diese das bestehende Netzwerk vollgepumpt haben mit irgendwelchen Appliances, Kisten, Kabeln, Softwaresuites und schlagmichtod die am Ende niemand mehr durchblicken konnte und wo alles nur noch halb lief. Mal gehts, mal nicht.

Das liegt daran dass da draussen Leute rumlaufen, die es tatsächlich verantworten 3 Server für ein kleinunternehmen mit 10 Clients zu betreiben. 3 zu 10 - Das ist lächerlich. Lest euch die Factsheets der Serverbetriebssysteme durch. Ich habe da eine Zahl vom SBServer im Kopf, ich meine es war 75 User.

Meiner Meinung nach ist die essentielle Frage: Ist es wirklich nötig?
Umso weniger da rumsteht, umso einfacher ist es zu administrieren, umso zuverlässiger läuft es. Und wenn es mal nicht läuft, dann liegt es meist nicht an der Hardware/Software, sondern eher daran dass das zuständige Personal die Materie nicht ausreichend kennt oder eine schlechte Informationsübergabe unter dem zuständigen Personal erfolgt (Dokumentation). Tragisch wirds wenn Inkompetenz und mangelnde Dokumentation gleichzeitig auftreten.
PeterPiksa
PeterPiksa 28.12.2005 um 18:59:44 Uhr
Goto Top
Also diese Aussage finde ich ja nun mehr als leichtsinnig!!!
Begründung?

Das MS Produkte nicht die sichersten sind sollte sich nun doch rumgesprochen haben!!!!
Lasse ich als Begründung nicht gelten - Knack mir einen SBServer dann reden wir weiter.
Ich meine das wirklich ernst. Ich habe mehrere feste IP Adressen zur Verfügung.
Wenn du willst, mache ich mir die Mühe und setzte einen SBServer ohne ISA Firewall auf.
Wenn du es schaffst auch nur ein einziges Megabyte an Daten da runterzuholen, oder Benutzerpasswörter zu ändern, neue Benutzer erstellst oder Dienste beendest, dann reden wir weiter. Ist mein voller Ernst, ich mach das.

Ich für meinen Teil schwöre auf Microsoft-Produkte.
Kein anderes Unternehmen hat es geschafft eine derartige Produktpallete in einem solch überwältigend hohen Maß an Zuverlässigkeit und Funktionsreichtum auf den Markt zu bringen und aktiv zu supporten, wie eben dieses verhasste Microsoft.
Kigh
Kigh 28.12.2005 um 19:04:24 Uhr
Goto Top
naja wie gesagt, ich werde mir das ISA system mal ansehen und habe bisher vermutet, dass die "Windows-Firewall" für die Verbindung wohl nicht das richtige mittel ist.

eine kleine hw-firewall wäre natürlich auch nett, würde auch serverwechsel etc leichter machen
ausserdem wären so alle direkter am netz und der traffic würde nicht den SBS belasten
PeterPiksa
PeterPiksa 28.12.2005 um 19:26:33 Uhr
Goto Top
eine kleine hw-firewall wäre
natürlich auch nett, würde auch
serverwechsel etc leichter machen
ausserdem wären so alle direkter am
netz und der traffic würde nicht den
SBS belasten

Was für eine Art von Unternehmen ist es denn, was du da betreust?
Ich nehme an 6 User...? Alle in Vollzeit tätig?
Haben alle User die gleichen Arbeitszeiten?
Ich für meinen Teil überlege mir zunächst einmal wie viel Traffic da am Tag (8Stunden) durch muss. Das muss man umbedingt in Relation zur verwendeten Hardwareausstattung des Servers setzen. Weiteres wichtiges Kriterium ist die Geschwindigkeit der Internetleitung.

Da gibts so nette Milchmädchenrechnungen wie 40 User alle gleichzeitig. Alle surfen im Netz, hören Internetradio. Hmm rechnen wir mal ein User macht 15MB an Traffic in der Stunde. Wow, das macht Macht 600MB in der Stunde. Der Admin schreit sofort "Ich brauche bessere Hardware!" Klar er muss ja 600MB/h da durchquetschen UND die operativen Anwendung stabil am Laufen halten. An der Stelle ist die Internetleitung ins Gespräch zu bringen: ...Moment mal wir haben nur 1MBit-Anbindung ans Inet. Das sind 421,87MB/h
Und plötzlich sieht die Welt schon um 180MB/h besser aus. Hat der Kunde eine langsamere Verbindung reduziert sich die Zahl natürlich nochmals drastisch. Hinzukommt, dass niemand 8 Stunden am Tag nur surft.

Immer alles in Relation setzen, dann lüppt das am Ende auch face-smile
Kigh
Kigh 28.12.2005 um 19:33:42 Uhr
Goto Top
der traffic ist im grunde kein problem, das "könnte" auch der server machen. dass der server das machen "könnte" habe ich ja auch schon mehrfach gesagt, die frage ist eher ob ein Win2003 server das auch "sollte". ich kann nur immer wieder sagen dass ich mir ISA ansehen werde.

Kann man einen thread irgendwie auch schließen? ^^