Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkabsicherung per Firewall?

Frage Sicherheit Firewall

Mitglied: Horb

Horb (Level 1) - Jetzt verbinden

09.03.2005, aktualisiert 16:15 Uhr, 5093 Aufrufe, 6 Kommentare

Hallo alle zusammen,

ich bin mit der Vernetzung von ca. 10 Windows-Rechnern beauftragt worden, die Bestandteil eines großen Netzwerkes sind, daher haben sie schon mal feste IP-Adressen. Diese Rechner sollen fortan Mitglieder einer neuen Arbeistgruppe werden, wobei nochmals 3 Untergruppen entstehen sollen.

So weit so gut, nur wie stelle ich das an?

Das Problem sind die Untergruppen:
Einmal sollen nur 2 Rechner miteinander kommunizieren (G1), ebenfalls wie weitere 5 (G2). Die restlichen 3 Rechner kommunizieren generell nur untereinander, sollen aber ggf. auch auf die ersten beiden Gruppen zugreifen können (G3).[Daher auch die eine Arbeitsgruppe]
Nach außen hin sollte die Arbeitsgruppe vom restlichen Netzwerk abgeschottet sein (abgesehen von der Internetverbindung).

Zur Umsetzung hatte ich folgendes vor:
Auf jedem Rechner wollte ich eine Firewall installieren um IP-Zonen festlegen zu können. Für G1 und G2 sowie die Komunnikation innerhalb von G3 wäre dies sicherheitstechnisch völlig ausreichend. Lediglich die Einstellung, dass G3 auf G1 und G2 zugreifen dürfen soll, aber nicht anders herum, ist nicht mit jeder Firewall umsetzbar.

Da es sich um Arbeitsplatzrechner handelt sollten die Nutzer keine Möglichkeit zur Umgehung dieser Richtlinien haben. Am ehensten eignet sich hier die Umsetzung mit einem Dienst - oder???

Hinzu kommt ein Finanzielles Problem:
Ich benötige wie beschrieben lediglich die Regelung der IP-Richtlinien und nicht die restlichen Möglichkeiten heutiger Firewalls. Desto preiswerter die Sache desto eher ist sie umsetzbar.


Bei der Gruppe G3 kommt ein weiteres Problem hinzu:
Es handelt sich um Windows XP Rechner auf den Ordner freigegeben werden sollen. Ist es möglich, eine Passwortabfrage für den Zugriff aus dem Netzwerk auf diesen Ordner zu legen?
Unter 98/ME/2000 etc konnte man dies noch wunderbar über den Lese-/Schreibzugriff regeln!

Letzte Frage:
Ist es möglich die Rechner im Netzwerk nicht anzuzeigen, dies würde die Sicherheit ja nochmals erhöhen. Über die direkte IP oder Namensanwahl sollte dann ja dennoch eine Verbindung möglich sein.

Ich hoffe mir kann jemand in diesem ganzen Chaos von Ansatzpunkten weiterhelfen

Gruß
Horb!
Mitglied: BartSimpson
09.03.2005 um 15:04 Uhr
Ich würde es wenn ein VLAN fähiger swiitch da ist,. es darüber lösen sowie einem Linuxrechner mit iptables. Damit würdes du es henbekommen, mit den zugriffsrechen zwischen den netzen.
Bitte warten ..
Mitglied: gooogix
09.03.2005 um 15:22 Uhr
"Bei der Gruppe G3 kommt ein weiteres Problem hinzu:
Es handelt sich um Windows XP Rechner auf den Ordner freigegeben werden sollen. Ist es möglich, eine Passwortabfrage für den Zugriff aus dem Netzwerk auf diesen Ordner zu legen? "

Bei der Freigabe kannst Du festlegen, wer Lese und wer Schreibrechte hat. Wenn dann auf die Freigabe zugegriffen wird, so ist Benutzername/Passwort einzugeben. Der User muss aber auf dem XP-Rechner bekannt sein. Falls er sich schon mal angemeldet hat, wird das System die Abfrage unterdrücken. Die Freigabe würde ich mit "$" am Ende versehen, somit ist die Freigabe versteckt und nicht ersichtlich, ausser man kennt den Namen. Also z.B. Freigabe$.

"Letzte Frage:
Ist es möglich die Rechner im Netzwerk nicht anzuzeigen, dies würde die Sicherheit ja nochmals erhöhen. Über die direkte IP oder Namensanwahl sollte dann ja dennoch eine Verbindung möglich sein."

Sicher ist es immer besser, wenn man was nicht sieht. Aber wenn der User keine Berechtigung auf dem Zielrechner hat, dann kann er es solange versuchen wie er will, er bekommt keine Verbindung mit ihm. Mir ist es selber aber auch nicht bekannt, ob das Ausblenden möglich ist.


Ansonsten finde ich Deine Konstellation nicht gerade "alltäglich"
Bitte warten ..
Mitglied: priez
09.03.2005 um 15:48 Uhr
auf jedem Rechner eine Personal Firewall? Das ist ein riesen Aufwand und die Pflege ist ja fast ein Fulltimejob.

Du willst 10 Rechner (aufgeteilt in 3 Untergruppen mit bestimmten Sichtbereichen) softwäretechnisch strukturieren. Um die Sichtbereiche sicherzustellen willst du am Netzwerkinterface eines jeden Rechners bestimmte Regeln aufsetzen mit Hilfe der FW.

Wäre eine physische Strukturierung mit einem Router nicht sinnvoll? kostengünstig mit Linux und iptables?

Auch ein Zugriff von G3 auf die anderen beiden kannst du so realisieren ohne die Gegenrichtung zuzulassen.
Bitte warten ..
Mitglied: Horb
09.03.2005 um 15:57 Uhr
@BartSimpson:

Die Rechner werden an eine bestehende Verkabelung angeschlossen, von daher ist der Einsatz eines Routers oder ähnlicher Hardware nicht umsetzbar

Bei der Freigabe kannst Du festlegen, wer
Lese und wer Schreibrechte hat. Wenn dann
auf die Freigabe zugegriffen wird, so ist
Benutzername/Passwort einzugeben. Der User
muss aber auf dem XP-Rechner bekannt sein.
Falls er sich schon mal angemeldet hat, wird
das System die Abfrage unterdrücken. Die
Freigabe würde ich mit "$" am
Ende versehen, somit ist die Freigabe
versteckt und nicht ersichtlich, ausser man
kennt den Namen. Also z.B. Freigabe$.

@jeutix:
Kannst du mir das genauer erklären? Die erweiterte Freigabe gibt mir unter "Berechtigungen" die Möglichkeit dem Benutzer "Jeder" verschiedene Attribute zu zu teilen. Es soll aber nicht jeder drauf zugreifen können, sondern nur diejenigen, die den entsprechenden LogIn und das dazugehörige PW kennen.

"$" hinter dem Namen bedeutet, dass der Ordner im Netzwerk nur Sichtbar wird wenn man den genauen "Zielpfad" kennt???

Ansonsten finde ich Deine Konstellation
nicht gerade "alltäglich"

Ist sie auch nicht
Bis hier hin schonmal vielen Dank!
Bitte warten ..
Mitglied: Horb
09.03.2005 um 16:09 Uhr
auf jedem Rechner eine Personal Firewall? Das
ist ein riesen Aufwand und die Pflege ist ja
fast ein Fulltimejob.

Ich will aus der Firewall ja nur die IP-Zone, d.h. eine generelle Grundeinstellung. Für mehr brauch ich sie nicht. Bsp. ZoneAlarm:

Die IP-Zone über ZoneAlarm einrichten, anschließend benötigt man die ProgrammDatei von Zonealarm nicht mehr (ZoneAlarm muss auch nicht mehr aktiviert sein). Die Regelung laufen über den TrueInternet Monitor der wiederum ein Dienst ist und somit auf Admin Zugriff gesperrt werden kann. Den Ordner für Zonealarm muss man dann natürlich auch für sämtliche Benutzer sperren.

Aus diesem Grund suche ich derzeit auch ein entsprechendes Tool, was nur diesem Zweck dient.

MfG
Horb!
Bitte warten ..
Mitglied: gooogix
09.03.2005 um 16:15 Uhr
"Kannst du mir das genauer erklären? Die erweiterte Freigabe gibt mir unter "Berechtigungen" die Möglichkeit dem Benutzer "Jeder" verschiedene Attribute zu zu teilen. Es soll aber nicht jeder drauf zugreifen können, sondern nur diejenigen, die den entsprechenden LogIn und das dazugehörige PW kennen."

Bei Berechtigungen würde ich "Jeder Alles" setzen und unter Sicherheit nur den User und/oder Gruppe auswählen, die wirklich Schreibrechte benötigt. Die anderes User/Gruppen dort löschen (ausser Admin- und Systemkonten selbstverständlich).

Bzgl. dem $: Wenn ein User in der Netzwerkumgebung browst und einen Client doppelklickt, dann werden normale die Shares angezeigt. Wenn er keine Rechte hat, nützt ihm das zwar nichts, aber mit dem "$" dahinter, wird die Freigabe erst gar nicht angezeigt.
Bitte warten ..
Ähnliche Inhalte
Firewall
gelöst Suche Hardware-Firewall im privaten Bereich von Sophos (5)

Frage von Stefan007 zum Thema Firewall ...

Windows Server
Windows BranchCache - nur mit aktivierter Windows-Firewall? (1)

Frage von User1000 zum Thema Windows Server ...

Exchange Server
Exchange 2013 Autodiscover über DynDNS hinter Securepoint Firewall

Frage von Kai-Holstein zum Thema Exchange Server ...

Router & Routing
gelöst FIrewall Webfilter produziert extrem hohen Traffic (22)

Frage von ketanest112 zum Thema Router & Routing ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(6)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
gelöst Benutzer lässt sich nur an einem Clientcomputer anmelden (14)

Frage von Ammann zum Thema Windows Server ...

Batch & Shell
gelöst Gruppenzugehörigkeit von AD Usern ermitteln - die Perfektion fehlt (11)

Frage von Stefan007 zum Thema Batch & Shell ...

LAN, WAN, Wireless
gelöst Netzwerk in 2 Teile trennen (11)

Frage von pattex zum Thema LAN, WAN, Wireless ...

Netzwerke
SFP Modul (miniGibic) (10)

Frage von apranet zum Thema Netzwerke ...