Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Die richtige Firewall

Mitglied: kopie0123

kopie0123 (Level 2) - Jetzt verbinden

24.01.2008, aktualisiert 28.01.2008, 5139 Aufrufe, 5 Kommentare

Halo zusammen!

Ich suche für unser Unternehmen eine Firewalllösung - Momentan gibt es nur eine Firewall in einem Netgearrouter.

Kurz zu unserem Netzwerk:


ca. 25 Workstations in einer Domäne
1 Win2k3 als DC/Exchange/File/DHCP/DNS
1 WinXP / 1 Debian Server - beide nicht Mitglied der Domäne

Da es sich bei unserem Unternehmen auch um einen Bildungsstätte für Jugendliche und Arbeitslose handelt, gibt es auch einen Computerraum mit 12 WinXP Rechnern, welche allerdings nicht Mitgleid der Domäne sind.
Sämtliche Geräte liegen im IP Bereich 192.168.0.X

Ich würde gerne die beiden Netzwerkbreiche 'Firma' und 'Computerraum' trennen.
Optimal wäre eine Firewall die folgende Funktionen bietet:

Neben den üblichen Sicherheitsfunktionen, Contentfilter und vielleicht auch ein Spamfilter, wäre es schön wenn ich 2 verschiedene IP-Bereiche definieren kann, um den Computerraum von den anderen Rechnern abtrennen zu können.

Leider habe ich von Hardwarefirewalls gar keine Ahnung, daher bin ich um jeden Ratschlag und Tipp eurerseits dankbar!

mfg Stinger

EDIT: Eine VPN Funktion sollte vorhanden sein
Mitglied: Suppi250
25.01.2008 um 08:43 Uhr
Ich an deiner Stelle würde mit IPCop (http://ipcop.org/) und IP-Cop-Addons (advanced-proxy, addon-server) bzw. Endian (http://endian.it/) die Firewall realisieren.

Marerial:
1 ausgedienter Rechner (1GHZ, 512 MB Ram)
3 Netzwerkkarten (um die Netzwerke zu trennen)

Arbeitsaufwand:
Installation: 15-20 min
Konfiguration: 30 min
weiterer Aufwand: 0

Ist wirklich einfach zu realisieren und die Konfiguration wird bei beiden Linux-Distries übers Web erledigt!

Gruß
Suppi250
Bitte warten ..
Mitglied: erikro
28.01.2008 um 11:52 Uhr
Hallo zusammen,

wenn ich solche Ratschläge lese, dann wird mir echt schwindelig. Gehe folgendermaßen vor:

1. Firwall FAQ von Lutz Donnerhacke dreimal gründlich lesen. (Google mit dem Namen und Firewall FAQ füttern).

2. Bedrohungszenario erstellen
Hier wird schriftlich festgehalten, welche Teile des Netzes wovor zu schützen sind.

3. Sicherheitsstrategie entwickeln.
Hier wird schriftlich festgehalten, wie die einzelnen unter 2. festgestellten Bedrohungen abgesichert werden sollen.

4. Marktanalyse
Hier wird festgestellt, welche Produkte das leisten, was unter 3. festgelegt wurde.

5. Installation und Konfiguration

6. Permanente Überwachung des Systems und der Bedrohungslage.
Das ist wichtig, da die unter 2. festgestellten möglichen Bedrohungen sich ändern, da z. B. neue Sicherheitslücken entstehen.

Aufwand: Je nach Aufgabe Tage, Wochen, Monate.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Torben
28.01.2008 um 15:22 Uhr
Also zu erikro meine ich du greifst da etwas hoch Analyse und etc. Ich gehe bei einer Bildungstätte davon aus das die Ausstattung durch Bildungsträger oder wem auch immer erfolgt und da oft kaum Geld vorhanden ist. Im Prinzip könnte man bei deiner Aufgabenstellung extrem in jede Richtung ausschweifen ja und wenn´s erikro mag auch so extrem aufziehen.
Um hier detaillierte Antworten geben zu können benötigt man genauere Details. Der W2k3 Server ist das eine SBS ?
Der Exchange je nach W2k3 also SBS oder Standard/EP nutzt dieser einen Smarthost um seine Post abzuholen oder besitzt ihren einen MX-Record ?
Die Trennung des Computerraumes und Firma bei einem gemeinsamen Subnetz (IP Adressbereich) könnte man mit einem günstigen Layer2 Switch der Portbasiertes VLAN kann machen. Tja was soll ich sagen ohne jetzt in jede Richtung auszuschweifen, was habt ihr für einen Router. Es gibt wirklich tolle Router im 400€ Segment mit DMZ Funktion und einer ordentlichen SIF. Aber wie gesagt erwähne doch einfach mal wie das Budget aussieht und ob ihr eventuell dedizierte Aufgaben Mail etc. in eine DMZ legen wollt u.s.w.
Bei Nutzung des Exchange ist ja zwingend eine AD nötig, ich gehe davon aus das die 25 Clients in dieser Domäne hängen ?!
Dann wäre meine Frage was für eine Rolle spielt der Debian Server wenn dieser nicht mal über winbind an die 2003 Domäne angebunden ist ?
Und noch etwas ordentliche SPAM und Content filter sind nicht üblich. Wir reden von ordentlich da sind es meistens Appliance Lösungen die richtig € kosten.
Da ihr nun mal eine 2003-er Server Lösung habt wäre es quatsch euch vom 2003 Server wegzuholen und alles über Linux zu machen. Also eure Mail´s Bsp. über Postfix mit allen möglichen Filtern, sowie Samba als DC zu nutzen. Tja aber ich gehe davon aus das ihr Windows CALS habt und es wäre blödsinn diese einfach nicht zu nutzen wenn sie schon mal da sind.

cu,
Bitte warten ..
Mitglied: erikro
28.01.2008 um 16:29 Uhr
Hallo zusammen,

Also zu erikro meine ich du greifst da etwas
hoch Analyse und etc.

So, tue ich das? Es wurde nach einer Firewall für ein Unternehmen gefragt. Darauf lässt sich keine Antwort geben, ohne dass vorher gründlich analysiert wird, vor welchen Bedrohungen diese FW denn schützen soll.

Ich gehe bei einer
Bildungstätte davon aus das die
Ausstattung durch Bildungsträger oder
wem auch immer erfolgt und da oft kaum Geld

Teil einer solchen Analyse: Wieviele Mittel stehen zur Verfügung, um welche Werte zu schützen.

vorhanden ist. Im Prinzip könnte man bei
deiner Aufgabenstellung extrem in jede
Richtung ausschweifen ja und wenn´s
erikro mag auch so extrem aufziehen.
Um hier detaillierte Antworten geben zu
können benötigt man genauere
Details. Der W2k3 Server ist das eine SBS ?
Der Exchange je nach W2k3 also SBS oder
Standard/EP nutzt dieser einen Smarthost um
seine Post abzuholen oder besitzt ihren einen
MX-Record ?

Teil der Bedrohungsanalyse: Wie werden verschiedene Dienste im Netz genutzt, in welchem Ausmaß und zu welchem Zweck.

Die Trennung des Computerraumes und Firma
bei einem gemeinsamen Subnetz (IP
Adressbereich) könnte man mit einem
günstigen Layer2 Switch der
Portbasiertes VLAN kann machen.

So? Das habe ich mal einer IT-Abteilung vorgeführt, wie "sicher" das ist. Daher muss auch hier eine Bedrohungsanalyse her dergestalt: Reicht das aus, um den Aufwand über den Nutzen zu heben?

Tja was soll
ich sagen ohne jetzt in jede Richtung
auszuschweifen, was habt ihr für einen
Router. Es gibt wirklich tolle Router im
400€ Segment mit DMZ Funktion und einer
ordentlichen SIF. Aber wie gesagt
erwähne doch einfach mal wie das Budget
aussieht und ob ihr eventuell dedizierte
Aufgaben Mail etc. in eine DMZ legen wollt
u.s.w.

Ob man eine DMZ braucht oder nicht, lässt sich auch nur sagen, wenn vorher eine Bedrohungsanalyse stattgefunden hat. Vielleicht kommt bei der Analyse ja sogar raus, dass der alte Netgear ausreicht und die Trennung in zwei Teilnetze schlicht mit einem weiteren Billigrouter erfolgen kann.

Bei Nutzung des Exchange ist ja zwingend
eine AD nötig, ich gehe davon aus das
die 25 Clients in dieser Domäne
hängen ?!
Dann wäre meine Frage was für eine
Rolle spielt der Debian Server wenn dieser
nicht mal über winbind an die 2003
Domäne angebunden ist ?

Auch wieder eine Frage, die zum Thema: "Welche Bedrohungen liegen vor und was wird bedroht?" gehören.

Und noch etwas ordentliche SPAM und Content
filter sind nicht üblich. Wir reden von
ordentlich da sind es meistens Appliance
Lösungen die richtig € kosten.

Wieder eine Frage der Bedrohung bzw. dessen, was man erreichen möchte. Geht es um Spam und Content Filter, dann rufe ich mal ganz laut "Proxy". ;) Das muss nicht unbedingt teuer sein.

Da ihr nun mal eine 2003-er Server
Lösung habt wäre es quatsch euch
vom 2003 Server wegzuholen und alles
über Linux zu machen. Also eure
Mail´s Bsp. über Postfix mit allen
möglichen Filtern, sowie Samba als DC zu
nutzen. Tja aber ich gehe davon aus das ihr
Windows CALS habt und es wäre
blödsinn diese einfach nicht zu nutzen
wenn sie schon mal da sind.

Aber was hat das mit der Anbindung ans Netz zu tun? Willst du etwa die eine Firewall auf dem Server2k3 installieren? ;) Besser nicht. Aber auch das ist Teil einer Bedrohungsanalyse bzw. der Analyse, wie man solcher Bedrohungen Herr wird: "Wie ist der Ist-Zustand und welche Teile des Netzes müssen unbedingt erhalten bleiben?"

Firewalling ist kein einfaches Thema, das sich mit einfachen Empfehlungen abhandeln lässt. Das, womit solche Lösungen stehen und fallen, ist schlicht brain 1.0. Alles andere ergibt sich dann meist von selbst.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: kopie0123
04.03.2009 um 19:17 Uhr
Hallo!

Hier mal der Stand der Dinge:

Ich habe jetzt schon seit einigen Monaten einen IPCop laufen und bin hoch zufrieden mit der Firewall. Alles was wir benötigen kann ich mit dem Cop lösen - sehr zuempfehlen.

Gruß Stinger
Bitte warten ..
Ähnliche Inhalte
Firewall
Exchange-Server - richtige Firewall
Frage von yozora27Firewall23 Kommentare

Hallo! Ich soll im Büro meines Vaters ein Netzwerk aufbauen. Das Ganze eilt nicht und ist vom Umfang her ...

Firewall

Die richtige Firewall für unser kleines Unternehmen

gelöst Frage von madonischerFirewall24 Kommentare

Guten Morgen die Damen und Herren ich habe in den letzten Tagen sehr viel über verschiedene Lösungen gelesen und ...

Firewall

Firewall für DMZ und Intranet richtig konfigurieren

Frage von vGavenFirewall3 Kommentare

Hi, ich habe ein Business DSL Anschluss mit fester IP und eine Firewall erhalten, die FVS318N, und würde gerne ...

Firewall

Brauch ich beim Einsatz von NetScaler noch eine (richtige) Firewall?

gelöst Frage von lasterFirewall6 Kommentare

Hallo, ich kenne mich mit NetScaler nicht aus, habe nur mal Infos eingesammelt. Ist ja eine gute Lösung für ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 6 StundenAusbildung8 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 2 TagenSpeicherkarten2 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 2 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 2 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic22 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

SAN, NAS, DAS
Nas mit USB und LAN gleichzeitig zugreifen
gelöst Frage von MarkBeakerSAN, NAS, DAS16 Kommentare

Hallo zusammen, ich suche eine Art NAS, womit ich via LAN und USB zugreifen kann. Folgender Aufbau ist gedacht: ...

TK-Netze & Geräte
Low budget TK-Anlage für KMU
Frage von HeinklugTK-Netze & Geräte16 Kommentare

Hallo Admins, ich bin auf der Suche nach eine kostengünstigen Telefonanlage für mein kleines Büro mit 4-5 Mitarbeitern. Dabei ...

Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware14 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...