3
Windows (Server) Firewall tertitär bei Router?
Hi, schonmal danke an alle die mir hier helfen wollen.
folgende Situation:
- kleines Netzwerk mit irgendsoeinem T-Online Router (mit Stateful INspection Firewall) u Windows Server 2008 (AD, DHCP,...)
Wie kritisch ist es, wenn ich auf meinen Clients/Server die Hinter dem Router sind die WIN-Firewall deaktiviert ist?
Ich habe schon ein wenig Ahnung von der Materie.
Eigentlich ist ja durch das NAT und die Stateful Inspection Firewall die Sache so, dass die Windows FIrewall nix mehr zum Filtern hat.
Andererseits,wenn ein Client im Netz sich was eingefangen hat, ist der Server trotz neuem Antivirenscanner höchst gefährdet.
Daher würde ich sowas nie machen.
Nun wollte ich euch mal fragen, ob dies noch weitere Risiken beinhalten würde/könnte, wenn man sowas macht.
Danke schonmal
- kleines Netzwerk mit irgendsoeinem T-Online Router (mit Stateful INspection Firewall) u Windows Server 2008 (AD, DHCP,...)
Wie kritisch ist es, wenn ich auf meinen Clients/Server die Hinter dem Router sind die WIN-Firewall deaktiviert ist?
Ich habe schon ein wenig Ahnung von der Materie.
Eigentlich ist ja durch das NAT und die Stateful Inspection Firewall die Sache so, dass die Windows FIrewall nix mehr zum Filtern hat.
Andererseits,wenn ein Client im Netz sich was eingefangen hat, ist der Server trotz neuem Antivirenscanner höchst gefährdet.
Daher würde ich sowas nie machen.
Nun wollte ich euch mal fragen, ob dies noch weitere Risiken beinhalten würde/könnte, wenn man sowas macht.
Danke schonmal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 145240
Url: https://administrator.de/contentid/145240
Printed on: April 23, 2024 at 10:04 o'clock
3 Comments
Latest comment
Der Server ist mit oder ohne Firewall in dem Moment höchst gefährdet - denn die Malware wird meist versuchen, sich über die Netzwerkfreigaben zu verbreiten. Und wenn du die per Firewall sperrst., kannst du den Server auch direkt ausschalten... 
Außerdem ist die Windows-Firewall das erste, was ein Trojaner/Wurm/wasauchimmer kampfunfähig macht, um ungehindert arbeiten zu können.
Auf den Punkt: Wenn die Clients eine Firewall haben, hast du im Normalfall nur Scherereien damit, es sei denn, du passt die Firewalls so an, dass sie nicht mehr wirkungsvoll sind. Und im Falle einer Infizierung ist die Firewall dann auch nutzlos...
Ein Kollege von mir sagte mal: "Wenn ich im lokalen Netzwerk meine Clients per Firewall voreinander schützen muss, dann habe ich ganz andere Probleme!"
Wenn ein Client mit irgendetwas infiziert ist, dann zieh das Netzwerkkabel und reinige ihn bzw. installiere ihn neu. Das gezogene Netzwerkkabel hat bisher noch kein Schädling überwinden können und ist auch sehr einfach zu warten
Um die Infektionsgefahr der Clients zu verringern, könntest du sie durch einen Zwangsproxyserver durchschicken, der bereits den Datenstrom auf Viren untersucht. In der c't gibt es da einen ganz guten Artikel zu:
http://www.six.heise.de/security/artikel/Kostenloser-Antivirenproxy-sch ...
Wenn ihr ohnehin keine .exe-Dateien per Mail erwartet, dann lasse diese Anhänge direkt auf dem Mailserver löschen oder untersuche sie zumindest dort auch auf Viren.
Und natürlich Benutzern ohne Adminrechte per GPO die Verwendung von USB-Datenträgern verbieten!
Außerdem ist die Windows-Firewall das erste, was ein Trojaner/Wurm/wasauchimmer kampfunfähig macht, um ungehindert arbeiten zu können.
Auf den Punkt: Wenn die Clients eine Firewall haben, hast du im Normalfall nur Scherereien damit, es sei denn, du passt die Firewalls so an, dass sie nicht mehr wirkungsvoll sind. Und im Falle einer Infizierung ist die Firewall dann auch nutzlos...
Ein Kollege von mir sagte mal: "Wenn ich im lokalen Netzwerk meine Clients per Firewall voreinander schützen muss, dann habe ich ganz andere Probleme!"
Wenn ein Client mit irgendetwas infiziert ist, dann zieh das Netzwerkkabel und reinige ihn bzw. installiere ihn neu. Das gezogene Netzwerkkabel hat bisher noch kein Schädling überwinden können und ist auch sehr einfach zu warten
Um die Infektionsgefahr der Clients zu verringern, könntest du sie durch einen Zwangsproxyserver durchschicken, der bereits den Datenstrom auf Viren untersucht. In der c't gibt es da einen ganz guten Artikel zu:
http://www.six.heise.de/security/artikel/Kostenloser-Antivirenproxy-sch ...
Wenn ihr ohnehin keine .exe-Dateien per Mail erwartet, dann lasse diese Anhänge direkt auf dem Mailserver löschen oder untersuche sie zumindest dort auch auf Viren.
Und natürlich Benutzern ohne Adminrechte per GPO die Verwendung von USB-Datenträgern verbieten!
So einfach ist's dann auch nicht denn es gibt ja immer noch die bösen User, so kann dann intern eine Firewall schon Sinn machen.
Wobei ich Sie auch aus lasse.
Wobei ich Sie auch aus lasse.
Moin,
das ist jetzt ne Frage an der sich die Geister scheiden...
Natürlich kann man in einem geschützen Netzwerk die FW ausmachen (hab ich hier auch). Der Nachteil an der Sache: Kommt Person X mit nem Laptop ins Netzwerk kann es natürlich einiges an Schäden verursachen (sofern Person X z.B. sich dann mit dem Laptop am Server anmeldet).
Allerdings haben wir dafür auch nen Virenscanner - und auch Leute die eben nicht ungefragt einfach irgendwas anklemmen (nach vielen Nackenschlägen ist der Lernprozess da angerollt...)
das ist jetzt ne Frage an der sich die Geister scheiden...
Natürlich kann man in einem geschützen Netzwerk die FW ausmachen (hab ich hier auch). Der Nachteil an der Sache: Kommt Person X mit nem Laptop ins Netzwerk kann es natürlich einiges an Schäden verursachen (sofern Person X z.B. sich dann mit dem Laptop am Server anmeldet).
Allerdings haben wir dafür auch nen Virenscanner - und auch Leute die eben nicht ungefragt einfach irgendwas anklemmen (nach vielen Nackenschlägen ist der Lernprozess da angerollt...)
