Sicherheit ohne Firewall

Hallo Leute!

Nachdem auf meine Frage vom 1.10. ( http://www.wer-weiss-was.de/cgi-bin/forum/showarticl… ) keiner weiter geantwortet hat und ich jetzt auch wohl nicht mehr damit rechnen kann, hier nochmal:

Ich habe jetzt schon oft gelesen, daß man Windows mit Boardmitteln schon ziemlich sicher kriegt. Wie aber muss es dafür konfiguriert sein, besonders in puncto Freigaben?

Leider habe ich nicht die Zeit, mich mit der Technik von Firewalls zu beschäftigen und das soll ja wohl das Wichtigste dabei sein.

Netz (TCP/IP):
1 PC mit Win2000 + AVM KEN! dient nur als „Internet-Gateway“
3 PCs mit Win98SE zum Arbeiten mit diversen Freigaben

Hoffe weiter auf Eure Hilfe!
Hans

Nachdem auf meine Frage vom 1.10. (
http://www.wer-weiss-was.de/cgi-bin/forum/showarticl…
) keiner weiter geantwortet hat und ich jetzt auch wohl nicht
mehr damit rechnen kann, hier nochmal:

also erstmal, das antworten hier ist freiwillig, du hast nicht ein wie auch immer geartetes recht auf beantwortung aller fragen. und wenn auf eine frage in einer newsgroup/forum niemand geantwortet hat, bringt ein dauerndes neuposten derselben meist auch nichts mehr, sondern hoechstens dumme kommentare.

Ich habe jetzt schon oft gelesen, daß man Windows mit
Boardmitteln schon ziemlich sicher kriegt. Wie aber muss es
dafür konfiguriert sein, besonders in puncto Freigaben?

da hast du leider falsch gehoert. aber vielleicht haben wir ja unterschiedliche begriffe von sicherheit.

Leider habe ich nicht die Zeit, mich mit der Technik von
Firewalls zu beschäftigen und das soll ja wohl das Wichtigste
dabei sein.

weiss ich nicht, ob firewalltechnik fuer dich das wichtigste ist, fuer mich sicher nicht, aber es gehoert halt zum job…

joachim

ps: es gibt ganz ordentliche (fuer den hausgebrauch) one-floppy linux firewalls, bei denen man nicht wirklich viel koennen muss!

Ich habe jetzt schon oft gelesen, daß man Windows mit
Boardmitteln schon ziemlich sicher kriegt. Wie aber muss es
dafür konfiguriert sein, besonders in puncto Freigaben?

Die Idee ist die, daß ein Rechner z.B. (aber nicht ausschließlich!) über offene Ports angreifbar sein kann. Ports sind immer dann offen, wenn ein Rechner einen Dienst anbietet.
Hast Du die Rechner mit Standardoptionen installiert, so gilt es nur noch die Datei- und Durckerfreigabe in den Griff zu bekommen.

Damit erhälst Du jedoch noch kein Hochsicherheits-System. Vor Trojanern bist Du damit beispielsweise noch weitgehend ungeschützt.

Netz (TCP/IP):
1 PC mit Win2000 + AVM KEN! dient nur als „Internet-Gateway“
3 PCs mit Win98SE zum Arbeiten mit diversen Freigaben

Liegen die Freigaben auf dem Win2k-Rechner oder geben auch die Win98-Rechner Verzeichnisse frei?

Den größten Fehler solltest Du unbedingt vermeiden: Keine Datei- und Druckerfreigabe für das WAN-Interface. Ansonsten ermöglichst Du anderen Internet-Nutzern, auf die Freigaben Deines PCs zuzugreifen.

Bei Win2k wird dies automatisch konfiguriert (Freigabe nur im LAN). Bei Deinen Win98-Rechnern müßtest Du es manuell tun, kannst es allerdings nicht trennen, weil sowohl das Internet als auch die Freigaben über das LAN (die Netzwerkkarte) genutzt werden.

Hier ist entscheidend, welche Dienste KEN! anbietet. Ist es nur ein HTTP-Proxy, dann droht bezüglich der Freigaben keine Gefahr.
Schau einmal nach, welche Protokolle von KEN! unterstützt werden bzw. ob man etwas abschalten kann, das als „NetBIOS“, „SMB“, „Samba“ oder „Datei- und Druckerfreigabe“ bezeichnet ist.

CU
Markus

Hallo Joachim!

Tut mir leid, daß Du mich so schlecht verstanden hast.

also erstmal, das antworten hier ist freiwillig, du hast nicht
ein wie auch immer geartetes recht auf beantwortung aller
fragen.

Es war keine Beschwerde, sondern eher ein „Entschuldigung, daß ich es nochmal poste“ und ein Anbringen des Links zur Frage, zum Nachsehen für eventuelle Antwortgeber.

und wenn auf eine frage in einer newsgroup/forum
niemand geantwortet hat, bringt ein dauerndes neuposten
derselben meist auch nichts mehr, sondern hoechstens dumme
kommentare.

Naja, zweimal ist wohl nicht dauernd. Und die Frage war bei meiner Reaktion schon so weit nach unten gerutscht, daß sie dort wohl kaum noch jemand gelesen hätte.

Ich habe jetzt schon oft gelesen, daß man Windows mit
Boardmitteln schon ziemlich sicher kriegt. Wie aber muss es
dafür konfiguriert sein, besonders in puncto Freigaben?

da hast du leider falsch gehoert. aber vielleicht haben wir ja
unterschiedliche begriffe von sicherheit.

Nicht gehoert, gelesen. Hier. In diesem Forum.

Leider habe ich nicht die Zeit, mich mit der Technik von
Firewalls zu beschäftigen und das soll ja wohl das Wichtigste
dabei sein.

weiss ich nicht, ob firewalltechnik fuer dich das wichtigste
ist, fuer mich sicher nicht, aber es gehoert halt zum job…

Nicht die Firewalltechnik, sondern wenn Firewall, dann die Beschäftigung damit und (der Aufbau von) Wissen und Erfahrung zu der ganzen Thematik.

ps: es gibt ganz ordentliche (fuer den hausgebrauch)
one-floppy linux firewalls, bei denen man nicht wirklich viel
koennen muss!

Ich bin kein Netzwerkprofi und von Linux kenne ich nicht mehr als den Namen, aber wenn es wirklich so einfach ist - hast Du vielleicht eine konkrete Empfehlung?

Nicht so negativ an die Dinge herangehen, Joachim! Mit Unvoreingenommenheit versteht man andere Menschen besser.

Viele Grüße
Hans

Hallo Markus,

vielen Dank für Deine Antwort.

Damit erhälst Du jedoch noch kein Hochsicherheits-System. Vor
Trojanern bist Du damit beispielsweise noch weitgehend
ungeschützt.

Ich erwarte ja auch kein Hochsicherheitssystem.
Alles was ich gern von jemandem, die sich damit auskennen wissen möchte ist - Wie konfiguriere ich ein kleines Windowsnetzwerk wie unseres so, daß das Risiko bei einer Verbindung zum Internet so weit wie (mit Boardmitteln) möglich minimiert ist?

Netz (TCP/IP):
1 PC mit Win2000 + AVM KEN! dient nur als „Internet-Gateway“
3 PCs mit Win98SE zum Arbeiten mit diversen Freigaben

Liegen die Freigaben auf dem Win2k-Rechner oder geben auch die
Win98-Rechner Verzeichnisse frei?

Nur die Arbeitsplatz-PCs (Win98) haben Freigaben, der Win2000-PC hat keine, der ist eben nur zur Internetverbindung da.

Den größten Fehler solltest Du unbedingt vermeiden: Keine
Datei- und Druckerfreigabe für das WAN-Interface. Ansonsten
ermöglichst Du anderen Internet-Nutzern, auf die Freigaben
Deines PCs zuzugreifen.

Bei Win2k wird dies automatisch konfiguriert (Freigabe nur im
LAN). Bei Deinen Win98-Rechnern müßtest Du es manuell tun,
kannst es allerdings nicht trennen, weil sowohl das Internet
als auch die Freigaben über das LAN (die Netzwerkkarte)
genutzt werden.

Das mit dem „nicht trennen können“ habe ich leider nicht ganz kapiert, kannst Du es bitte nochmal ein wenig anders erklären?

Hier ist entscheidend, welche Dienste KEN! anbietet. Ist es
nur ein HTTP-Proxy, dann droht bezüglich der Freigaben keine
Gefahr.
Schau einmal nach, welche Protokolle von KEN! unterstützt
werden bzw. ob man etwas abschalten kann, das als „NetBIOS“,
„SMB“, „Samba“ oder „Datei- und Druckerfreigabe“ bezeichnet
ist.

Danke, das werde ich tun.

Viele Grüße
Hans

Leider habe ich nicht die Zeit, mich mit der Technik von
Firewalls zu beschäftigen und das soll ja wohl das Wichtigste
dabei sein.

Sagt wer?

Im Ernst: Eine Firewall ist eigentlich nur ein Bestandteil eines umfassenden Sicherheitskozepts. Nicht das Wichtigste, aber was wie wichtig ist, muss eh jeder selber wissen.

Mein Tip: Hol Dir die aktuelle c’t (21/2001). Dort drin ist ein umfassender Beitrag zum Thema ‚Sicherheitsrisiko Microsoft‘. Es wird u.a. erläutert, wie man als Normaluser die wichtigsten Risiken in den Griff bekommt.

Zu einem gewissen Grad wirst Du Dich mit der ganzen Thematik befassen müssen. Ohne ein Mindestmass an Knowhow gehts nicht.

CU
Peter

Den größten Fehler solltest Du unbedingt vermeiden: Keine
Datei- und Druckerfreigabe für das WAN-Interface. Ansonsten
ermöglichst Du anderen Internet-Nutzern, auf die Freigaben
Deines PCs zuzugreifen.

Bei Win2k wird dies automatisch konfiguriert (Freigabe nur im
LAN). Bei Deinen Win98-Rechnern müßtest Du es manuell tun,
kannst es allerdings nicht trennen, weil sowohl das Internet
als auch die Freigaben über das LAN (die Netzwerkkarte)
genutzt werden.

Das mit dem „nicht trennen können“ habe ich leider nicht ganz
kapiert, kannst Du es bitte nochmal ein wenig anders erklären?

Wenn Du die Datei- und Druckerfreigabe über TCP/IP nutzt, sowie Internet (natürlich auch über TCP/IP), dann mußt Du dafür sorgen, daß aus dem Internet Deine Freigaben nicht zugreifbar sind.

Einfach geht dies in folgendem Fall:
Die Internetverbindung kommt über eine ISDN-Karte oder ein Modem zustande, die Dateifreigaben (im LAN) werden über eine Netzwerkkarte genutzt. In diesem Fall kannst Du Windows so konfigurieren, daß TCP/IP sowohl an Modem/ISDN-Karte als auch an der Netzwerkkarte verfügbar ist. Die Datei- und Druckerfreigabe darf jedoch nur an die Netzwerkkarte gebunden sein, da dieser Dienst nur im LAN verfügbar sein soll.

Win2k nimmt diese Einstellung automatisch vor. Bei Win9x muß die Bindung der Freigaben für TCP/IP an Modem/ISDN-Karte explizit entfernt werden.

Ein Problem hast Du dann, wenn sowohl Internet als auch LAN (mit Dateifreigaben) über denselben Adapter (eine Netzwerkkarte) laufen. In diesem Fall gibt es in Windows 9x keine Konfigurationsmöglichkeit, um zwischen Internet und LAN zu unterscheiden. Sinnvoll ist es in diesem Fall, den Rechner, der die Internetverbindung für das LAN zur Verfügung stellt (bei Dir der Win2k-Rechner) so zu konfigurieren, daß er die Dateifreigaben nicht ins Internet weitergibt.

Habe bei AVM mal nachgeschaut:
Nach meinem ersten Eindruck handelt es sich beim KEN um einen Proxy für einige spezielle Protokolle (SMTP, POP3, FTP, HTTP). Es scheint so, als wenn die Nutzung von Dateifreigaben über KEN nicht möglich ist, also der Zugriff auf Freigaben über das Internet. Das ist das, was Du sicherstellen mußt!

CU
Markus

Vielen Dank! (owt)
Hans

Hallo Peter und Danke für Deine Antwort!

Leider habe ich nicht die Zeit, mich mit der Technik von
Firewalls zu beschäftigen und das soll ja wohl das Wichtigste
dabei sein.

Sagt wer?

Ironie?

Mein Tip: Hol Dir die aktuelle c’t (21/2001). Dort drin ist
ein umfassender Beitrag zum Thema ‚Sicherheitsrisiko
Microsoft‘. Es wird u.a. erläutert, wie man als Normaluser die
wichtigsten Risiken in den Griff bekommt.

Gut, dann werde ich mir die kaufen.

Zu einem gewissen Grad wirst Du Dich mit der ganzen Thematik
befassen müssen. Ohne ein Mindestmass an Knowhow gehts nicht.

Ein wenig geht ja ok, aber es ist wirklich nicht mein Spezialgebiet und dieses nimmt einen Haufen Zeit in Anspruch, glaub mir.

Eigentlich geht es mir nur darum, das Sicherheitsrisiko - soweit mit meinen bescheidenen Mitteln möglich - zu verringern. Und ich denke, man kann ein Windows-Netzwerk (auch ohne Firewall) als offenes Scheunentor oder (ab)geschlossene Haustür konfigurieren und wie letztes geht hoffte ich hier erfahren zu können.

Beste Grüße!
Hans

Hallo Peter und Danke für Deine Antwort!

Bitte, gern geschehen.

[Firewalls das Wichtigste…]

Sagt wer?

Ironie?

Auch. Aber wenn Du eine Quelle nennen könntest, die solch einen Standpunkt vertritt, könnte man da mal nachschauen oder so.

Mein Tip: Hol Dir die aktuelle c’t (21/2001). Dort drin ist

Gut, dann werde ich mir die kaufen.

Dann muss ich nämlich nicht mehr alles hinschreiben…

Ein wenig geht ja ok, aber es ist wirklich nicht mein
Spezialgebiet und dieses nimmt einen Haufen Zeit in Anspruch,
glaub mir.

Eben. Die Einrichtung einer Firewall ist nicht trivial. Denn wenn man eine verwenden will, dann muss man sie auch entsprechend konfigurieren, sonst hilft sie nichts oder nur wenig.

Eigentlich geht es mir nur darum, das Sicherheitsrisiko -
soweit mit meinen bescheidenen Mitteln möglich - zu
verringern. Und ich denke, man kann ein Windows-Netzwerk (auch
ohne Firewall) als offenes Scheunentor oder (ab)geschlossene
Haustür konfigurieren und wie letztes geht hoffte ich hier
erfahren zu können.

Findest Du, wie erwähnt, in der c’t. Weitere Fragen können wir dann gern genauer anschauen.

Zum Schluss ein kleiner Tip am Rand: Wenn Du auf einen Beitrag antwortest, so lass doch bitte zwischen zitiertem Text und Deinem neuen Text eine Leerzeile stehen (so, wie ich es hier tue). Dadurch wird der Beitrag viel besser lesbar.

Andererseits muss man, wenn Du den Text unmittelbar an das Zitat anhängst, vielfach mühsam suchen, wo das Zitat fertig ist und der neue Text beginnt.

CU
Peter

Hallo Peter!

[Firewalls das Wichtigste…]

Sagt wer?

Ironie?

Auch. Aber wenn Du eine Quelle nennen könntest, die solch
einen Standpunkt vertritt, könnte man da mal nachschauen oder
so.

Nein, nicht ‚Firewalls das Wichtigste‘, sondern ‚Wenn Firewall - dann Ahnung davon das Wichtigste‘.

Quelle? Hier dieses Forum.

Mein Tip: Hol Dir die aktuelle c’t (21/2001). Dort drin ist

Gut, dann werde ich mir die kaufen.

Dann muss ich nämlich nicht mehr alles hinschreiben…

Aber wenn ich sie irgendwann verlege, kann ich die Info dann hier im Archiv auch nicht finden

Ein wenig geht ja ok, aber es ist wirklich nicht mein
Spezialgebiet und dieses nimmt einen Haufen Zeit in Anspruch,
glaub mir.

Eben. Die Einrichtung einer Firewall ist nicht trivial. Denn
wenn man eine verwenden will, dann muss man sie auch
entsprechend konfigurieren, sonst hilft sie nichts oder nur
wenig.

Das könnte doch schon als Quelle zu Punkt 1 angenommen werden

Eigentlich geht es mir nur darum, das Sicherheitsrisiko -
soweit mit meinen bescheidenen Mitteln möglich - zu
verringern. Und ich denke, man kann ein Windows-Netzwerk (auch
ohne Firewall) als offenes Scheunentor oder (ab)geschlossene
Haustür konfigurieren und wie letztes geht hoffte ich hier
erfahren zu können.

Findest Du, wie erwähnt, in der c’t. Weitere Fragen können wir
dann gern genauer anschauen.

Danke für das Angebot!

Zum Schluss ein kleiner Tip am Rand: Wenn Du auf einen Beitrag
antwortest, so lass doch bitte zwischen zitiertem Text und
Deinem neuen Text eine Leerzeile stehen (so, wie ich es hier
tue). Dadurch wird der Beitrag viel besser lesbar.

Andererseits muss man, wenn Du den Text unmittelbar an das
Zitat anhängst, vielfach mühsam suchen, wo das Zitat fertig
ist und der neue Text beginnt.

Wie Du siehst, auch in meinem Alter hab ich mir einen Rest von Lernfähigkeit und Flexibilität erhalten…

Viele Grüße
Hans