Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nur im LAN eingesetzter Server 2003 vom Internet isolieren.

Frage Microsoft Windows Server

Mitglied: tom1234

tom1234 (Level 1) - Jetzt verbinden

09.08.2009, aktualisiert 18.10.2012, 2841 Aufrufe, 4 Kommentare

Guten Abend,

evtl. kann mir jemand kurz helfen...

Ich möchte einen als Fileserver eingesetzten Server 2003 vom I-Net isolieren. Also, eigentlich möchte ich erstmal wissen ob das Sinn macht.

Mein Gedanke dabei, kein I-Net = mehr Sicherheit.

Da der Fileserver nur im LAN genutzt wird, braucht er ja kein I-Net.

Wie isoliere ich ihn aber richtig? Reicht es schon, wenn ich keinen Gateway eintrage?

Habt ihr Vorschläge oder Anregungen?

Danke im Voraus.
Mitglied: StefanKittel
10.08.2009 um 01:51 Uhr
Hallo,

Kein Internet = Mehr Sicherheit stimmt so ein nicht

Besonders wenn wie hier die Clients wohl weiterhin Internet haben.
Evtl. schleppen die was ein und da auch dem Server keine Sicherheitsupdates gemacht und kein AV installiert (geraten) ist, ist die Gefahr sogar größer.

Hast Du eine AD/Domäne? Dann muss doch der Server der DNS-Server sein und auch Zugriff aufs Internet haben.
Mindestens aber den Router als DNS.

Klingt nach Aufwand ohne viel Nutzen.

Stefan
Bitte warten ..
Mitglied: Sonnenscheinhasser
10.08.2009 um 03:12 Uhr
Zitat von tom1234:

Wie isoliere ich ihn aber richtig? Reicht es schon, wenn ich keinen
Gateway eintrage?

Je nach Netztopologie schießt du dir damit mächtig in den Fuß.

Schwarze Grüße,
Tom
Bitte warten ..
Mitglied: maretz
10.08.2009 um 07:58 Uhr
Naja - "kein Internet -> mehr sicherheit" stimmt generell schon - solange man eben das ganze RICHTIG macht!

Es bringt natürlich nichts nur das Gateway rauszunehmen und sich dann zurückzulehnen. Wenn man das ganze richtig macht und z.B. noch die Sicherheitsupdates via WSUS, Virenscanner-Updates ebenfalls via Mgmt-Server macht usw. dann bringt es schon was -> der Server kann in dem Fall nicht direkt angegriffen werden (und natürlihc nicht auf dem Server wahrlos Software installieren - versteht sich wohl von selbst...)

Warum muss ein DNS-Server im AD zugriff aufs Internet haben?!? Was soll der dort -> den intressieren für die funktion des AD nur die "internen" Clients und diese stehen bei mir selten im Provider-DNS oder sonstwo! Von daher geht das auch noch ohne Anbindung an externe Netze.

Ob das ganze "viel nutzen" hat hängt arg von dem Anwendungsfall ab und was auf dem Server drauf ist. Generell würde ich aber sogar sagen das ein Fileserver normal sogar vom Internet abgekoppelt sein sollte -> er hat schlicht und ergreiffend dort nichts verloren! Egal ob es nun ist das man nicht will das der Daten an MS sendet (Fehlerbericht, Aktivierung,...) oder ob das Software ist die darauf läuft und meint die muss dem Hersteller regelmäßig berichten wie es ihm so geht... Hier kann es ggf. allerdings Sinn machen das man (je nach Hardware und Supportvertrag) z.B. bestimmte Ports explizit freischaltet -> damit das Gerät z.B. bevorstehende Ausfälle direkt an den Hersteller melden kann und dieser dann mit Ersatzteilen direkt vor der tür steht)

Kommen wir jetzt zur Fragestellung: Das "WIE"! WICHTIG: Ob das so geht oder nicht hängt arg von der Netzwerk-Stuktur ab. Wenn z.B. via VPN auch Rechner an den Server sollen wäre Gateway wegnehmen fatal - ansonsten wäre es ein guter Schritt... Ich würde allerdings eher gucken das ich den Server in eine spezielle Firewallregel packe die eben den Traffic nach aussen speziell für den Server blockt bzw. nur die wirklich benötigten Ports explizit freischaltet. Damit einhergehend ist natürlich das auch der REST des Netzes dieser expliziten Regelung unterworfen ist (z.B. Internet nur über nen Proxy und ggf. ne Download-Sperre). Hier ist es ganz einfach so das man bei der Sicherheit nicht nur den Server nehmen kann/darf und danach alles sicher ist -> hier muss das ganze Netz betrachtet werden...
Bitte warten ..
Mitglied: tom1234
10.08.2009, aktualisiert 18.10.2012
Guten Morgen,

vielen Dank für die vielen Infos. Um dieses nun vernünftig umzusetzten, baue ich nochmal auf euch.

Um aber eine gute Lösung zu finden, müssten wir meinen anderen Beitrag auch hinzuziehen:
http://www.administrator.de/forum/vpn-sicherheit-und-konfigurations-fra ...

Wie ihr richtig angenommen habt, wird der Server auch für AD, DNS, File und Druckserver genutzt.

Für diese Dienste benötigt er aber keinen I-Net Zugang. AV-Updates und Windows Updates könnte ich aus einem angeschlossenen DMZ bekommen, auf dieses habe ich aus dem LAN heraus Zugriff.

Vor dem Aufwand scheue ich mich nicht, da einige Firmendaten auf eben diesem Server abgelegt werden.

Ich versuche mal eine Netztopologie zu erstellen und diese anzuhängen, evtl. könnt ihr mir dann noch Tips geben.

Ich wäre da sehr dankbar.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Netzwerkgrundlagen
gelöst Heimnetzwerk über Server im Internet und OpenVPN erreichbar machen (16)

Frage von byt0xm zum Thema Netzwerkgrundlagen ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...