Re: Fragen zur Netzwerkkonfiguration

Tech-Archive recommends: Repair Windows Errors & Optimize Windows Performance

>> Die Firewall auf dem Server dient also nur noch dazu denn Datenverkehr
aus dem LAN ins I-Net zu begrenzen.

Wieso Server? Hat der jetzt doch 2 Netzwerkkarten? Ist nicht notwendig,
bringt zusätzliche Probleme und reduziert den Sicherheitslevel.

Aber wieso denn? Ich kenne die Diskussion mit den nicht benötigten Diensten ja zu genüge. Jedesmal wenn man in eine der Netzwerkgruppen postet hauen das die Leute einem mit brutaler Gewalt um die Ohren (sorry für diese Beschreibung, ist aber treffend).

Aber wenn ich jetzt Anfange an dem SBS Premium alle möglichen Dienste zu untersuchen ob ich sie nun unbedingt benötige oder nicht, da werde ich ja nie fertig und stabiler wird das Teil mit Sicherheit auch nicht. Muss ich denn in die tiefsten Tiefen der Prozesse tauchen?


Das kann Schadsoftware zwar auch umgehen, ...

Hä? Schadsoftware auf den Client? Nicht wirklich.
Warum nicht? Heutzutage werden doch alle möglichen Ports/Protokolle mißbraucht. Wenn ich da alleine nur an die Messenger und z.B. Skype denke. Die tunneln durch Port 80/445 und was weiß ich noch. Wie soll man sowas unterbinden?


Auf dem Server? Ja,
aber ein fähiger Admin wird es wohl zu verhindern wissen, dass sich dort
Schadsoftware breit machen kann.
Das hoffe ich mal. Das wäre die Katastrophe wenn das passiert. Deshalb wollte ich ja die Firewall (unter anderem) auch wenn keinen 100% Schutz bietet, wird es dadurch bestimmt nicht einfacher.


... mir gehts hier jedoch eher um Software die von den Usern wild installiert ...

Sowas unterbindet man mit Betriebs- und/oder Nutzungsvereinbarung
und/oder eingeschränkten Rechten.

Bingo, mach ich auch. Es gibt aber auch Software die keine Adminrechte zur Funktion/Installation braucht.


... und benützt (mitgebrachte Laptops) wird.

Das kann man auch untersagen und/oder techn. verhindern.
Leider muss ich es erlauben. Geht teilweise einfach nicht anderst. Ich rede da nicht mal von den Laptops der Großkunden, die dürften ja sicher sein, auf jedenfall MÜSSEN die für bestimmte Aufträge benutzt werden, sonst kein Auftrag.
BAYER z.B. ist so ein Kandidat. Die verlangen aus Sicherheitsgründen dass nur ihre eigenen Laptops zur Arbeit verwendet werden, eben um einen Angriff auf ihr innneres System (per VPN von Laptop zu Bayer-Server) zu unterbinden. Wobei ich einfach mal davon ausgehe das diese Laptops sicher sind. Die Admins bei Bayer wissen (hoffentlich) was Sie tun. Auf jedenfall betreiben die einen Aufwand deas einem schwindelig wird.

Aber auch einige Freiberufler verwenden bestimmte Spezialsoftware/Mailaccounts etc für ihre Arbeit. Wenn ich jedesmal diese ganze Software/Einstellungen auf einem Arbeitsplatzrechner installieren müsste...von der Lizenzrechtlichen Sache mal abgesehen.

Ich könnte aber für die Laptops ein eigenes physikalisch/logisches Netz realisieren. Das kostet nicht soviel und dann eben keinen Datenverkehr zwischen den beiden LANs zulassen. DEas wäre noch machbar. Aber spätestens beim Zugriff auf den Server hab ichn das Problem dann doch. Die Clientrechner wäre dann zwar von den Fremdlaptops getrennt, aber ob das soviel bringt?


(Mir wurde gesagt dass da einige Leute in der Arbeitszeit Internet-Spiele
zocken und ich sollte das doch bitte unterbinden)

Soziale Probleme löst man i.d.R. nicht mit techn. Maßnahmen.
Tja, das ist der Unterschied zwischen Wunsch und Realität. Dieser Kunde hat nun mal viele wechselnde Freiberufler im Büro sitzen. Da ist der soziale Zusammenhalt halt manchmal nicht gerade eng und ein schwarzes Schaf ist schnell darunter.


Auerdem hoffe ich den Server selbst damit etwas schützen zu können.

Du machst aber genau das Gegenteil. Wie man das richtig macht, steht
z.B. hier http://www.ntsvcfg.de/
Ja, das mit den Diensten. Aber warum das unsicherer sein soll? Nur weil ein Programm mehr läuft? Ist das nicht eine arg theoretische Überlegung?

Im LAN hängt der ja mit einer NIC auf jedenfall (solange ich eben nicht
das Geld für einen zweiten Router ausgebe) und da ist mit Firewall eben
ein bissle besser als ohne.

Nein, richtig konfiguriert ist besser.
Und wie würdest du es mir empfehlen. Einfach den Server in das gleiche logische/physikalische Netz (LAN) hängen? Oder in ein Subnet, damit wenigstens nicht im gleichen Adressbereich?

Ich dachte mir halt das ich mehr Funktion verwenden kann, aber dank deiner Postings habe ich jetzt auf FTP und PPTP verzichtet. Hat ja doch Sinn gemacht, oder?

Ja, freut mich. Weil Du damit u.a. dafür sorgst, dass Dein System nicht
(so leicht) kompromitiert werden kann und damit für andere Systeme im
Internet zum Problem wirst. Und natürlich profitiert ihr selbst auch
davon.
.

Relevant Pages

  • Re: NAT and firewall question
    ... > and IMAP are forwarded by the firewall to a server. ... > requests get routed properly to the web server, or the IMAP server. ... > The people within the office have laptops. ...
    (comp.os.linux.networking)
  • NAT and firewall question
    ... I have setup my network so that there is a firewall with NAT enabled. ... requests get routed properly to the web server, or the IMAP server. ... The people within the office have laptops. ...
    (comp.os.linux.networking)
  • Re: Error: 0x800b0100 when verifying trust
    ... Is a WSUS server involved or is each client seeking the updates from the MS servers? ... I'm curious to see the result of your attempt to update directly from the update servers via another location with a different firewall. ... I reinstalled the windows update agent using an elevated console with /wuforce flag ... Any help would be very much appreciated, I have to have these laptops sent around the country in 3 days and they cannot update! ...
    (microsoft.public.windowsupdate)
  • Re: CEICW fails at firewall config
    ... Do you or do you not have ISA 2000 or ISA 2004 installed on the SBS server? ... Do you have 2 NICs in the SBS? ... CEICW fails on firewall configuration every time. ... >>> Call to Creating the protected networks access rule returned ok. ...
    (microsoft.public.windows.server.sbs)
  • Re: Recycler security issues on IIS server
    ... > latest upates to the server. ... > like to see the server put behind our firewall, ... other software, install all patches, IISlockdown, URLscan, use the correct ... the procedures you follow may vary depending on your security needs. ...
    (microsoft.public.inetserver.iis.security)