Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkabsicherung per Firewall?

Frage Sicherheit Firewall

Mitglied: Horb

Horb (Level 1) - Jetzt verbinden

09.03.2005, aktualisiert 16:15 Uhr, 5078 Aufrufe, 6 Kommentare

Hallo alle zusammen,

ich bin mit der Vernetzung von ca. 10 Windows-Rechnern beauftragt worden, die Bestandteil eines großen Netzwerkes sind, daher haben sie schon mal feste IP-Adressen. Diese Rechner sollen fortan Mitglieder einer neuen Arbeistgruppe werden, wobei nochmals 3 Untergruppen entstehen sollen.

So weit so gut, nur wie stelle ich das an?

Das Problem sind die Untergruppen:
Einmal sollen nur 2 Rechner miteinander kommunizieren (G1), ebenfalls wie weitere 5 (G2). Die restlichen 3 Rechner kommunizieren generell nur untereinander, sollen aber ggf. auch auf die ersten beiden Gruppen zugreifen können (G3).[Daher auch die eine Arbeitsgruppe]
Nach außen hin sollte die Arbeitsgruppe vom restlichen Netzwerk abgeschottet sein (abgesehen von der Internetverbindung).

Zur Umsetzung hatte ich folgendes vor:
Auf jedem Rechner wollte ich eine Firewall installieren um IP-Zonen festlegen zu können. Für G1 und G2 sowie die Komunnikation innerhalb von G3 wäre dies sicherheitstechnisch völlig ausreichend. Lediglich die Einstellung, dass G3 auf G1 und G2 zugreifen dürfen soll, aber nicht anders herum, ist nicht mit jeder Firewall umsetzbar.

Da es sich um Arbeitsplatzrechner handelt sollten die Nutzer keine Möglichkeit zur Umgehung dieser Richtlinien haben. Am ehensten eignet sich hier die Umsetzung mit einem Dienst - oder???

Hinzu kommt ein Finanzielles Problem:
Ich benötige wie beschrieben lediglich die Regelung der IP-Richtlinien und nicht die restlichen Möglichkeiten heutiger Firewalls. Desto preiswerter die Sache desto eher ist sie umsetzbar.


Bei der Gruppe G3 kommt ein weiteres Problem hinzu:
Es handelt sich um Windows XP Rechner auf den Ordner freigegeben werden sollen. Ist es möglich, eine Passwortabfrage für den Zugriff aus dem Netzwerk auf diesen Ordner zu legen?
Unter 98/ME/2000 etc konnte man dies noch wunderbar über den Lese-/Schreibzugriff regeln!

Letzte Frage:
Ist es möglich die Rechner im Netzwerk nicht anzuzeigen, dies würde die Sicherheit ja nochmals erhöhen. Über die direkte IP oder Namensanwahl sollte dann ja dennoch eine Verbindung möglich sein.

Ich hoffe mir kann jemand in diesem ganzen Chaos von Ansatzpunkten weiterhelfen

Gruß
Horb!
Mitglied: BartSimpson
09.03.2005 um 15:04 Uhr
Ich würde es wenn ein VLAN fähiger swiitch da ist,. es darüber lösen sowie einem Linuxrechner mit iptables. Damit würdes du es henbekommen, mit den zugriffsrechen zwischen den netzen.
Bitte warten ..
Mitglied: gooogix
09.03.2005 um 15:22 Uhr
"Bei der Gruppe G3 kommt ein weiteres Problem hinzu:
Es handelt sich um Windows XP Rechner auf den Ordner freigegeben werden sollen. Ist es möglich, eine Passwortabfrage für den Zugriff aus dem Netzwerk auf diesen Ordner zu legen? "

Bei der Freigabe kannst Du festlegen, wer Lese und wer Schreibrechte hat. Wenn dann auf die Freigabe zugegriffen wird, so ist Benutzername/Passwort einzugeben. Der User muss aber auf dem XP-Rechner bekannt sein. Falls er sich schon mal angemeldet hat, wird das System die Abfrage unterdrücken. Die Freigabe würde ich mit "$" am Ende versehen, somit ist die Freigabe versteckt und nicht ersichtlich, ausser man kennt den Namen. Also z.B. Freigabe$.

"Letzte Frage:
Ist es möglich die Rechner im Netzwerk nicht anzuzeigen, dies würde die Sicherheit ja nochmals erhöhen. Über die direkte IP oder Namensanwahl sollte dann ja dennoch eine Verbindung möglich sein."

Sicher ist es immer besser, wenn man was nicht sieht. Aber wenn der User keine Berechtigung auf dem Zielrechner hat, dann kann er es solange versuchen wie er will, er bekommt keine Verbindung mit ihm. Mir ist es selber aber auch nicht bekannt, ob das Ausblenden möglich ist.


Ansonsten finde ich Deine Konstellation nicht gerade "alltäglich"
Bitte warten ..
Mitglied: priez
09.03.2005 um 15:48 Uhr
auf jedem Rechner eine Personal Firewall? Das ist ein riesen Aufwand und die Pflege ist ja fast ein Fulltimejob.

Du willst 10 Rechner (aufgeteilt in 3 Untergruppen mit bestimmten Sichtbereichen) softwäretechnisch strukturieren. Um die Sichtbereiche sicherzustellen willst du am Netzwerkinterface eines jeden Rechners bestimmte Regeln aufsetzen mit Hilfe der FW.

Wäre eine physische Strukturierung mit einem Router nicht sinnvoll? kostengünstig mit Linux und iptables?

Auch ein Zugriff von G3 auf die anderen beiden kannst du so realisieren ohne die Gegenrichtung zuzulassen.
Bitte warten ..
Mitglied: Horb
09.03.2005 um 15:57 Uhr
@BartSimpson:

Die Rechner werden an eine bestehende Verkabelung angeschlossen, von daher ist der Einsatz eines Routers oder ähnlicher Hardware nicht umsetzbar

Bei der Freigabe kannst Du festlegen, wer
Lese und wer Schreibrechte hat. Wenn dann
auf die Freigabe zugegriffen wird, so ist
Benutzername/Passwort einzugeben. Der User
muss aber auf dem XP-Rechner bekannt sein.
Falls er sich schon mal angemeldet hat, wird
das System die Abfrage unterdrücken. Die
Freigabe würde ich mit "$" am
Ende versehen, somit ist die Freigabe
versteckt und nicht ersichtlich, ausser man
kennt den Namen. Also z.B. Freigabe$.

@jeutix:
Kannst du mir das genauer erklären? Die erweiterte Freigabe gibt mir unter "Berechtigungen" die Möglichkeit dem Benutzer "Jeder" verschiedene Attribute zu zu teilen. Es soll aber nicht jeder drauf zugreifen können, sondern nur diejenigen, die den entsprechenden LogIn und das dazugehörige PW kennen.

"$" hinter dem Namen bedeutet, dass der Ordner im Netzwerk nur Sichtbar wird wenn man den genauen "Zielpfad" kennt???

Ansonsten finde ich Deine Konstellation
nicht gerade "alltäglich"

Ist sie auch nicht
Bis hier hin schonmal vielen Dank!
Bitte warten ..
Mitglied: Horb
09.03.2005 um 16:09 Uhr
auf jedem Rechner eine Personal Firewall? Das
ist ein riesen Aufwand und die Pflege ist ja
fast ein Fulltimejob.

Ich will aus der Firewall ja nur die IP-Zone, d.h. eine generelle Grundeinstellung. Für mehr brauch ich sie nicht. Bsp. ZoneAlarm:

Die IP-Zone über ZoneAlarm einrichten, anschließend benötigt man die ProgrammDatei von Zonealarm nicht mehr (ZoneAlarm muss auch nicht mehr aktiviert sein). Die Regelung laufen über den TrueInternet Monitor der wiederum ein Dienst ist und somit auf Admin Zugriff gesperrt werden kann. Den Ordner für Zonealarm muss man dann natürlich auch für sämtliche Benutzer sperren.

Aus diesem Grund suche ich derzeit auch ein entsprechendes Tool, was nur diesem Zweck dient.

Mit freundlichen Grüßen
Horb!
Bitte warten ..
Mitglied: gooogix
09.03.2005 um 16:15 Uhr
"Kannst du mir das genauer erklären? Die erweiterte Freigabe gibt mir unter "Berechtigungen" die Möglichkeit dem Benutzer "Jeder" verschiedene Attribute zu zu teilen. Es soll aber nicht jeder drauf zugreifen können, sondern nur diejenigen, die den entsprechenden LogIn und das dazugehörige PW kennen."

Bei Berechtigungen würde ich "Jeder Alles" setzen und unter Sicherheit nur den User und/oder Gruppe auswählen, die wirklich Schreibrechte benötigt. Die anderes User/Gruppen dort löschen (ausser Admin- und Systemkonten selbstverständlich).

Bzgl. dem $: Wenn ein User in der Netzwerkumgebung browst und einen Client doppelklickt, dann werden normale die Shares angezeigt. Wenn er keine Rechte hat, nützt ihm das zwar nichts, aber mit dem "$" dahinter, wird die Freigabe erst gar nicht angezeigt.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (7)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Firewall
Passende Firewall gesucht (7)

Frage von harald.schmidt zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...