Sichere INTRAnet-Verbindung mit Router?

Hallo Experten,
wie stelle ich das am besten an, wenn ich 3 Rechner im Netz habe,
natürlich :wink: einen Internetzugang über Router/Switch, und Daten
zwischen den 3 Rechnern austauschen möchte?
a = Win XP pro
b = Win 2000 pro
c = Win 2000 pro
Beim Win XP pro-Rechner habe ich über „Heimnetzwerk einrichten“
die Verbindung zu den b und c gefunden (Arbeitsgruppe und feste IPs).
(Beim 2000-Rechner war’s glaube ich über Netzwerkidentifikation).
Was mich aber an der Konfiguration stört ist, dass ich „Datei- und
Druckerfreigabe“ aktiviert haben muss, um die anderen im Intranet
zu sehen (z.Z. schalte ich diese Einstellungen sofort nach einem
Datentransfer wieder aus!). Außerdem is’ mir dieser Standard-„Shared Docs“-
Ordner von XP auch suspect!?!
Mir is’ auch klar, dass 100 % Sicherheit nur mit „Strom aus“ möglich
ist. Nur würde ich gerne mit einfachen Mitteln, bzw. Einstellungen,
meine Kisten soweit dicht machen, dass nicht jedes Scriptkiddy nur
auf einen der 3 Rechner zugreifen muss, und dann auch gleich die
anderen beiden sehen und drauf zugreifen kann.
Wäre z.B. je ein freigegebener Ordner, der nur für bestimmte User
sichtbar ist und mit Passwortabfrage evt. eine Lösung?
Wie mach’ ich das? Kann ich den „Shared Docs“ dann besser löschen?
Wie richte ich bei XP OHNE diesen nervenden Assistenten ein Netzwerk
ohne Domäne ein? Bei 2000 geht das ja auch.
Danke für Hilfe,
Erik
p.s. auf der XP-Kiste, womit ich im Internet surfe, hab’ ich noch
Norton Internet Security 2003 laufen.

Was mich aber an der Konfiguration stört ist, dass ich „Datei-
und
Druckerfreigabe“ aktiviert haben muss, um die anderen im
Intranet
zu sehen (z.Z. schalte ich diese Einstellungen sofort nach
einem
Datentransfer wieder aus!). Außerdem is’ mir dieser
Standard-„Shared Docs“-
Ordner von XP auch suspect!?!

dafür gibt’s doch IPSEC!!! Und TCP-IP-Filter!!! Win2k und winxp sind inhärent und per se unsicher in nicht vertrauenswürdigen Netzwerken. Du hast keinerlei ernsthafte Chance, Netbios in unsichere Netze zu unterbinden. Freigaben ins lokale Netz sind Freigaben an alle.

Stell eine Firewall davor. Entweder einen Hardware-Router, oder eine Linux-Kiste.

P.S.: Ich gehe von der w2k-Serverversion aus. Vielleicht sind die Client-Versionen (Home und ‚Professional‘) da ja besser ausgestattet.

dafür gibt’s doch IPSEC!!! Und TCP-IP-Filter!!!

Was bitte??? Und wie setze ich die ein?
Win2k und

winxp sind inhärent und per se unsicher in nicht
vertrauenswürdigen Netzwerken. Du hast keinerlei ernsthafte
Chance, Netbios in unsichere Netze zu unterbinden. Freigaben
ins lokale Netz sind Freigaben an alle.

Und wenn diese mit Passwort geschützt sind? Immerhin besser als
ohne, oder?

Stell eine Firewall davor. Entweder einen Hardware-Router,

Hardware-Router hab ich doch. Nur wie muss ich mir das vorstellen.
Der Router arbeitet in einem bekannten Adressbereich und die
Konfigurationm des Geräts ist per http auch nur mit Passwort zugänglich.
Sonst könnte man da noch ein paar Einstellungen am Router vornehmen,
wovon ich aber keine Ahnung habe (VPN u.s.w.)

oder eine Linux-Kiste.

P.S.: Ich gehe von der w2k-Serverversion aus. Vielleicht sind
die Client-Versionen (Home und ‚Professional‘) da ja besser
ausgestattet.

Denke mal auch nicht besser.

Du meinst also, dass man möglichst versuchen sollte ungebetene Gäste
schon am Eingang (Router) abzuweisen und dass der Schutz „innerhalb“
des privaten Netzes keinen Sinn macht?
Wenn nun aber ein Trojaner bereits aktiv ist, muss der ja nicht gleich
alle Türen des Hauses (Home-Netzwerk) geöffnet vorfinden. Darum
ging’s mir.
Thanks für die Hilfe,
Erik

Stell eine Firewall davor. Entweder einen Hardware-Router,

Hardware-Router hab ich doch. Nur wie muss ich mir das
vorstellen.

Wenn du einen Hardware-Router bereits einsetzt, ist dein Netz schon weitgehend sicher, da alle Rechner hinter dem Router vom Internet aus nicht direkt erreichbar sind. Datei- und Druckerfreigaben sind damit von aussen nicht sichtbar.

Anfragen von aussen auf die Netbios-Ports werden vom Router zwar entgegengenommen, aber an keinen Rechner weitergeleitet sofern du dies nicht per NAT selbst so eingestellt hast.

Wenn nun aber ein Trojaner bereits aktiv ist, muss der ja
nicht gleich
alle Türen des Hauses (Home-Netzwerk) geöffnet vorfinden.

Wenn die Verbindung von innen aufgebaut wird, wie das bei Trojanern der Fall ist, werden die Schutzmechanismen des Routers natürlich ausgehebelt. Gegen einen bereits aktiven Trojaner hilft allenfalls noch ein Intrusion Detection System. Dafür müsstest du den gesamten Netzwerkverkehr auf dem Router mitschneiden, und auf Auffälligkeiten untersuchen. Dies verlangt natürlich ein gewisses Know How.

Aber die Freigaben oder „Shared Docs“ sind auch dann unerheblich, nimmst du sie raus, setzt der Hijacker diese bei Bedarf eben einfach wieder rein. Wenn ein Trojaner einmal erfolgreich aktiviert ist, kannst du noch soviele Türen zusperren - in einem Haus mit papiernen Wänden helfen auch stählerne Tresortüren nicht weiter.

Gruss,
Schorsch