6
Netzwerkabsicherung per Firewall?
Hallo alle zusammen,
ich bin mit der Vernetzung von ca. 10 Windows-Rechnern beauftragt worden, die Bestandteil eines großen Netzwerkes sind, daher haben sie schon mal feste IP-Adressen. Diese Rechner sollen fortan Mitglieder einer neuen Arbeistgruppe werden, wobei nochmals 3 Untergruppen entstehen sollen.
So weit so gut, nur wie stelle ich das an?
Das Problem sind die Untergruppen:
Einmal sollen nur 2 Rechner miteinander kommunizieren (G1), ebenfalls wie weitere 5 (G2). Die restlichen 3 Rechner kommunizieren generell nur untereinander, sollen aber ggf. auch auf die ersten beiden Gruppen zugreifen können (G3).[Daher auch die eine Arbeitsgruppe]
Nach außen hin sollte die Arbeitsgruppe vom restlichen Netzwerk abgeschottet sein (abgesehen von der Internetverbindung).
Zur Umsetzung hatte ich folgendes vor:
Auf jedem Rechner wollte ich eine Firewall installieren um IP-Zonen festlegen zu können. Für G1 und G2 sowie die Komunnikation innerhalb von G3 wäre dies sicherheitstechnisch völlig ausreichend. Lediglich die Einstellung, dass G3 auf G1 und G2 zugreifen dürfen soll, aber nicht anders herum, ist nicht mit jeder Firewall umsetzbar.
Da es sich um Arbeitsplatzrechner handelt sollten die Nutzer keine Möglichkeit zur Umgehung dieser Richtlinien haben. Am ehensten eignet sich hier die Umsetzung mit einem Dienst - oder???
Hinzu kommt ein Finanzielles Problem:
Ich benötige wie beschrieben lediglich die Regelung der IP-Richtlinien und nicht die restlichen Möglichkeiten heutiger Firewalls. Desto preiswerter die Sache desto eher ist sie umsetzbar.
Bei der Gruppe G3 kommt ein weiteres Problem hinzu:
Es handelt sich um Windows XP Rechner auf den Ordner freigegeben werden sollen. Ist es möglich, eine Passwortabfrage für den Zugriff aus dem Netzwerk auf diesen Ordner zu legen?
Unter 98/ME/2000 etc konnte man dies noch wunderbar über den Lese-/Schreibzugriff regeln!
Letzte Frage:
Ist es möglich die Rechner im Netzwerk nicht anzuzeigen, dies würde die Sicherheit ja nochmals erhöhen. Über die direkte IP oder Namensanwahl sollte dann ja dennoch eine Verbindung möglich sein.
Ich hoffe mir kann jemand in diesem ganzen Chaos von Ansatzpunkten weiterhelfen
Gruß
Horb!
Das Problem sind die Untergruppen:
Einmal sollen nur 2 Rechner miteinander kommunizieren (G1), ebenfalls wie weitere 5 (G2). Die restlichen 3 Rechner kommunizieren generell nur untereinander, sollen aber ggf. auch auf die ersten beiden Gruppen zugreifen können (G3).[Daher auch die eine Arbeitsgruppe]
Nach außen hin sollte die Arbeitsgruppe vom restlichen Netzwerk abgeschottet sein (abgesehen von der Internetverbindung).
Zur Umsetzung hatte ich folgendes vor:
Auf jedem Rechner wollte ich eine Firewall installieren um IP-Zonen festlegen zu können. Für G1 und G2 sowie die Komunnikation innerhalb von G3 wäre dies sicherheitstechnisch völlig ausreichend. Lediglich die Einstellung, dass G3 auf G1 und G2 zugreifen dürfen soll, aber nicht anders herum, ist nicht mit jeder Firewall umsetzbar.
Da es sich um Arbeitsplatzrechner handelt sollten die Nutzer keine Möglichkeit zur Umgehung dieser Richtlinien haben. Am ehensten eignet sich hier die Umsetzung mit einem Dienst - oder???
Hinzu kommt ein Finanzielles Problem:
Ich benötige wie beschrieben lediglich die Regelung der IP-Richtlinien und nicht die restlichen Möglichkeiten heutiger Firewalls. Desto preiswerter die Sache desto eher ist sie umsetzbar.
Bei der Gruppe G3 kommt ein weiteres Problem hinzu:
Es handelt sich um Windows XP Rechner auf den Ordner freigegeben werden sollen. Ist es möglich, eine Passwortabfrage für den Zugriff aus dem Netzwerk auf diesen Ordner zu legen?
Unter 98/ME/2000 etc konnte man dies noch wunderbar über den Lese-/Schreibzugriff regeln!
Letzte Frage:
Ist es möglich die Rechner im Netzwerk nicht anzuzeigen, dies würde die Sicherheit ja nochmals erhöhen. Über die direkte IP oder Namensanwahl sollte dann ja dennoch eine Verbindung möglich sein.
Ich hoffe mir kann jemand in diesem ganzen Chaos von Ansatzpunkten weiterhelfen
Gruß
Horb!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7917
Url: https://administrator.de/contentid/7917
Printed on: April 26, 2024 at 00:04 o'clock
6 Comments
Latest comment
Ich würde es wenn ein VLAN fähiger swiitch da ist,. es darüber lösen sowie einem Linuxrechner mit iptables. Damit würdes du es henbekommen, mit den zugriffsrechen zwischen den netzen.
"Bei der Gruppe G3 kommt ein weiteres Problem hinzu:
Es handelt sich um Windows XP Rechner auf den Ordner freigegeben werden sollen. Ist es möglich, eine Passwortabfrage für den Zugriff aus dem Netzwerk auf diesen Ordner zu legen? "
Bei der Freigabe kannst Du festlegen, wer Lese und wer Schreibrechte hat. Wenn dann auf die Freigabe zugegriffen wird, so ist Benutzername/Passwort einzugeben. Der User muss aber auf dem XP-Rechner bekannt sein. Falls er sich schon mal angemeldet hat, wird das System die Abfrage unterdrücken. Die Freigabe würde ich mit "$" am Ende versehen, somit ist die Freigabe versteckt und nicht ersichtlich, ausser man kennt den Namen. Also z.B. Freigabe$.
"Letzte Frage:
Ist es möglich die Rechner im Netzwerk nicht anzuzeigen, dies würde die Sicherheit ja nochmals erhöhen. Über die direkte IP oder Namensanwahl sollte dann ja dennoch eine Verbindung möglich sein."
Sicher ist es immer besser, wenn man was nicht sieht. Aber wenn der User keine Berechtigung auf dem Zielrechner hat, dann kann er es solange versuchen wie er will, er bekommt keine Verbindung mit ihm. Mir ist es selber aber auch nicht bekannt, ob das Ausblenden möglich ist.
Ansonsten finde ich Deine Konstellation nicht gerade "alltäglich"
Es handelt sich um Windows XP Rechner auf den Ordner freigegeben werden sollen. Ist es möglich, eine Passwortabfrage für den Zugriff aus dem Netzwerk auf diesen Ordner zu legen? "
Bei der Freigabe kannst Du festlegen, wer Lese und wer Schreibrechte hat. Wenn dann auf die Freigabe zugegriffen wird, so ist Benutzername/Passwort einzugeben. Der User muss aber auf dem XP-Rechner bekannt sein. Falls er sich schon mal angemeldet hat, wird das System die Abfrage unterdrücken. Die Freigabe würde ich mit "$" am Ende versehen, somit ist die Freigabe versteckt und nicht ersichtlich, ausser man kennt den Namen. Also z.B. Freigabe$.
"Letzte Frage:
Ist es möglich die Rechner im Netzwerk nicht anzuzeigen, dies würde die Sicherheit ja nochmals erhöhen. Über die direkte IP oder Namensanwahl sollte dann ja dennoch eine Verbindung möglich sein."
Sicher ist es immer besser, wenn man was nicht sieht. Aber wenn der User keine Berechtigung auf dem Zielrechner hat, dann kann er es solange versuchen wie er will, er bekommt keine Verbindung mit ihm. Mir ist es selber aber auch nicht bekannt, ob das Ausblenden möglich ist.
Ansonsten finde ich Deine Konstellation nicht gerade "alltäglich"
auf jedem Rechner eine Personal Firewall? Das ist ein riesen Aufwand und die Pflege ist ja fast ein Fulltimejob.
Du willst 10 Rechner (aufgeteilt in 3 Untergruppen mit bestimmten Sichtbereichen) softwäretechnisch strukturieren. Um die Sichtbereiche sicherzustellen willst du am Netzwerkinterface eines jeden Rechners bestimmte Regeln aufsetzen mit Hilfe der FW.
Wäre eine physische Strukturierung mit einem Router nicht sinnvoll? kostengünstig mit Linux und iptables?
Auch ein Zugriff von G3 auf die anderen beiden kannst du so realisieren ohne die Gegenrichtung zuzulassen.
Du willst 10 Rechner (aufgeteilt in 3 Untergruppen mit bestimmten Sichtbereichen) softwäretechnisch strukturieren. Um die Sichtbereiche sicherzustellen willst du am Netzwerkinterface eines jeden Rechners bestimmte Regeln aufsetzen mit Hilfe der FW.
Wäre eine physische Strukturierung mit einem Router nicht sinnvoll? kostengünstig mit Linux und iptables?
Auch ein Zugriff von G3 auf die anderen beiden kannst du so realisieren ohne die Gegenrichtung zuzulassen.
@BartSimpson:
Die Rechner werden an eine bestehende Verkabelung angeschlossen, von daher ist der Einsatz eines Routers oder ähnlicher Hardware nicht umsetzbar
@jeutix:
Kannst du mir das genauer erklären? Die erweiterte Freigabe gibt mir unter "Berechtigungen" die Möglichkeit dem Benutzer "Jeder" verschiedene Attribute zu zu teilen. Es soll aber nicht jeder drauf zugreifen können, sondern nur diejenigen, die den entsprechenden LogIn und das dazugehörige PW kennen.
"$" hinter dem Namen bedeutet, dass der Ordner im Netzwerk nur Sichtbar wird wenn man den genauen "Zielpfad" kennt???
Ist sie auch nicht
Bis hier hin schonmal vielen Dank!
Die Rechner werden an eine bestehende Verkabelung angeschlossen, von daher ist der Einsatz eines Routers oder ähnlicher Hardware nicht umsetzbar
Bei der Freigabe kannst Du festlegen, wer
Lese und wer Schreibrechte hat. Wenn dann
auf die Freigabe zugegriffen wird, so ist
Benutzername/Passwort einzugeben. Der User
muss aber auf dem XP-Rechner bekannt sein.
Falls er sich schon mal angemeldet hat, wird
das System die Abfrage unterdrücken. Die
Freigabe würde ich mit "$" am
Ende versehen, somit ist die Freigabe
versteckt und nicht ersichtlich, ausser man
kennt den Namen. Also z.B. Freigabe$.
Lese und wer Schreibrechte hat. Wenn dann
auf die Freigabe zugegriffen wird, so ist
Benutzername/Passwort einzugeben. Der User
muss aber auf dem XP-Rechner bekannt sein.
Falls er sich schon mal angemeldet hat, wird
das System die Abfrage unterdrücken. Die
Freigabe würde ich mit "$" am
Ende versehen, somit ist die Freigabe
versteckt und nicht ersichtlich, ausser man
kennt den Namen. Also z.B. Freigabe$.
@jeutix:
Kannst du mir das genauer erklären? Die erweiterte Freigabe gibt mir unter "Berechtigungen" die Möglichkeit dem Benutzer "Jeder" verschiedene Attribute zu zu teilen. Es soll aber nicht jeder drauf zugreifen können, sondern nur diejenigen, die den entsprechenden LogIn und das dazugehörige PW kennen.
"$" hinter dem Namen bedeutet, dass der Ordner im Netzwerk nur Sichtbar wird wenn man den genauen "Zielpfad" kennt???
Ansonsten finde ich Deine Konstellation
nicht gerade "alltäglich"
nicht gerade "alltäglich"
Ist sie auch nicht
Bis hier hin schonmal vielen Dank!
auf jedem Rechner eine Personal Firewall? Das
ist ein riesen Aufwand und die Pflege ist ja
fast ein Fulltimejob.
ist ein riesen Aufwand und die Pflege ist ja
fast ein Fulltimejob.
Ich will aus der Firewall ja nur die IP-Zone, d.h. eine generelle Grundeinstellung. Für mehr brauch ich sie nicht. Bsp. ZoneAlarm:
Die IP-Zone über ZoneAlarm einrichten, anschließend benötigt man die ProgrammDatei von Zonealarm nicht mehr (ZoneAlarm muss auch nicht mehr aktiviert sein). Die Regelung laufen über den TrueInternet Monitor der wiederum ein Dienst ist und somit auf Admin Zugriff gesperrt werden kann. Den Ordner für Zonealarm muss man dann natürlich auch für sämtliche Benutzer sperren.
Aus diesem Grund suche ich derzeit auch ein entsprechendes Tool, was nur diesem Zweck dient.
MfG
Horb!
"Kannst du mir das genauer erklären? Die erweiterte Freigabe gibt mir unter "Berechtigungen" die Möglichkeit dem Benutzer "Jeder" verschiedene Attribute zu zu teilen. Es soll aber nicht jeder drauf zugreifen können, sondern nur diejenigen, die den entsprechenden LogIn und das dazugehörige PW kennen."
Bei Berechtigungen würde ich "Jeder Alles" setzen und unter Sicherheit nur den User und/oder Gruppe auswählen, die wirklich Schreibrechte benötigt. Die anderes User/Gruppen dort löschen (ausser Admin- und Systemkonten selbstverständlich).
Bzgl. dem $: Wenn ein User in der Netzwerkumgebung browst und einen Client doppelklickt, dann werden normale die Shares angezeigt. Wenn er keine Rechte hat, nützt ihm das zwar nichts, aber mit dem "$" dahinter, wird die Freigabe erst gar nicht angezeigt.
Bei Berechtigungen würde ich "Jeder Alles" setzen und unter Sicherheit nur den User und/oder Gruppe auswählen, die wirklich Schreibrechte benötigt. Die anderes User/Gruppen dort löschen (ausser Admin- und Systemkonten selbstverständlich).
Bzgl. dem $: Wenn ein User in der Netzwerkumgebung browst und einen Client doppelklickt, dann werden normale die Shares angezeigt. Wenn er keine Rechte hat, nützt ihm das zwar nichts, aber mit dem "$" dahinter, wird die Freigabe erst gar nicht angezeigt.
