Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nur im LAN eingesetzter Server 2003 vom Internet isolieren.

Frage Microsoft Windows Server

Mitglied: tom1234

tom1234 (Level 1) - Jetzt verbinden

09.08.2009, aktualisiert 18.10.2012, 2871 Aufrufe, 4 Kommentare

Guten Abend,

evtl. kann mir jemand kurz helfen...

Ich möchte einen als Fileserver eingesetzten Server 2003 vom I-Net isolieren. Also, eigentlich möchte ich erstmal wissen ob das Sinn macht.

Mein Gedanke dabei, kein I-Net = mehr Sicherheit.

Da der Fileserver nur im LAN genutzt wird, braucht er ja kein I-Net.

Wie isoliere ich ihn aber richtig? Reicht es schon, wenn ich keinen Gateway eintrage?

Habt ihr Vorschläge oder Anregungen?

Danke im Voraus.
Mitglied: StefanKittel
10.08.2009 um 01:51 Uhr
Hallo,

Kein Internet = Mehr Sicherheit stimmt so ein nicht

Besonders wenn wie hier die Clients wohl weiterhin Internet haben.
Evtl. schleppen die was ein und da auch dem Server keine Sicherheitsupdates gemacht und kein AV installiert (geraten) ist, ist die Gefahr sogar größer.

Hast Du eine AD/Domäne? Dann muss doch der Server der DNS-Server sein und auch Zugriff aufs Internet haben.
Mindestens aber den Router als DNS.

Klingt nach Aufwand ohne viel Nutzen.

Stefan
Bitte warten ..
Mitglied: Sonnenscheinhasser
10.08.2009 um 03:12 Uhr
Zitat von tom1234:

Wie isoliere ich ihn aber richtig? Reicht es schon, wenn ich keinen
Gateway eintrage?

Je nach Netztopologie schießt du dir damit mächtig in den Fuß.

Schwarze Grüße,
Tom
Bitte warten ..
Mitglied: maretz
10.08.2009 um 07:58 Uhr
Naja - "kein Internet -> mehr sicherheit" stimmt generell schon - solange man eben das ganze RICHTIG macht!

Es bringt natürlich nichts nur das Gateway rauszunehmen und sich dann zurückzulehnen. Wenn man das ganze richtig macht und z.B. noch die Sicherheitsupdates via WSUS, Virenscanner-Updates ebenfalls via Mgmt-Server macht usw. dann bringt es schon was -> der Server kann in dem Fall nicht direkt angegriffen werden (und natürlihc nicht auf dem Server wahrlos Software installieren - versteht sich wohl von selbst...)

Warum muss ein DNS-Server im AD zugriff aufs Internet haben?!? Was soll der dort -> den intressieren für die funktion des AD nur die "internen" Clients und diese stehen bei mir selten im Provider-DNS oder sonstwo! Von daher geht das auch noch ohne Anbindung an externe Netze.

Ob das ganze "viel nutzen" hat hängt arg von dem Anwendungsfall ab und was auf dem Server drauf ist. Generell würde ich aber sogar sagen das ein Fileserver normal sogar vom Internet abgekoppelt sein sollte -> er hat schlicht und ergreiffend dort nichts verloren! Egal ob es nun ist das man nicht will das der Daten an MS sendet (Fehlerbericht, Aktivierung,...) oder ob das Software ist die darauf läuft und meint die muss dem Hersteller regelmäßig berichten wie es ihm so geht... Hier kann es ggf. allerdings Sinn machen das man (je nach Hardware und Supportvertrag) z.B. bestimmte Ports explizit freischaltet -> damit das Gerät z.B. bevorstehende Ausfälle direkt an den Hersteller melden kann und dieser dann mit Ersatzteilen direkt vor der tür steht)

Kommen wir jetzt zur Fragestellung: Das "WIE"! WICHTIG: Ob das so geht oder nicht hängt arg von der Netzwerk-Stuktur ab. Wenn z.B. via VPN auch Rechner an den Server sollen wäre Gateway wegnehmen fatal - ansonsten wäre es ein guter Schritt... Ich würde allerdings eher gucken das ich den Server in eine spezielle Firewallregel packe die eben den Traffic nach aussen speziell für den Server blockt bzw. nur die wirklich benötigten Ports explizit freischaltet. Damit einhergehend ist natürlich das auch der REST des Netzes dieser expliziten Regelung unterworfen ist (z.B. Internet nur über nen Proxy und ggf. ne Download-Sperre). Hier ist es ganz einfach so das man bei der Sicherheit nicht nur den Server nehmen kann/darf und danach alles sicher ist -> hier muss das ganze Netz betrachtet werden...
Bitte warten ..
Mitglied: tom1234
10.08.2009, aktualisiert 18.10.2012
Guten Morgen,

vielen Dank für die vielen Infos. Um dieses nun vernünftig umzusetzten, baue ich nochmal auf euch.

Um aber eine gute Lösung zu finden, müssten wir meinen anderen Beitrag auch hinzuziehen:
http://www.administrator.de/forum/vpn-sicherheit-und-konfigurations-fra ...

Wie ihr richtig angenommen habt, wird der Server auch für AD, DNS, File und Druckserver genutzt.

Für diese Dienste benötigt er aber keinen I-Net Zugang. AV-Updates und Windows Updates könnte ich aus einem angeschlossenen DMZ bekommen, auf dieses habe ich aus dem LAN heraus Zugriff.

Vor dem Aufwand scheue ich mich nicht, da einige Firmendaten auf eben diesem Server abgelegt werden.

Ich versuche mal eine Netztopologie zu erstellen und diese anzuhängen, evtl. könnt ihr mir dann noch Tips geben.

Ich wäre da sehr dankbar.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Einfaches Netzwerk, Clienten Isolieren
gelöst Frage von 132954Netzwerkmanagement5 Kommentare

Hi, folgendes Problem: Ich plane gerade ein neues Netzwerk. ICh zeige mal den groben aufbau auf, glassfaser zugang, Modem/Router- ...

Netzwerkmanagement
Pfsense Watchguard kein Internet auf LAN
gelöst Frage von medikopterNetzwerkmanagement19 Kommentare

Hallo, habe es ja nun endlich geschafft auf meiner Watchguard Pfsense zu installieren und auch eine Internet Verbindung über ...

Router & Routing
PfSense im LAN kein Internet
gelöst Frage von RalphTRouter & Routing1 Kommentar

Hallo, ich bin gerade von der Monowall auf pfsense umgestiegen. Momentan habe ich ein Problem: Auf der LAN-Seite habe ...

Batch & Shell
Powershell Hashtable - Relativ sinnvoll eingesetzt?
gelöst Frage von MarabuntaBatch & Shell3 Kommentare

Ich hab das mal geschrieben um für zukünftige Einsätze die Powershell Hastables einsetzen zu können. Habt ihr da evtl. ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...