Hi,
wenn ich über ein Netzwerk mehrere Rechner ins Internet bringe, wo lohnt es sich dann, Firewall und Virenwächter zu installieren?
Auf dem Gateway, den Clients, oder beides?
THX
DT
wenn ich über ein Netzwerk mehrere Rechner ins Internet
bringe, wo lohnt es sich dann, Firewall und Virenwächter zu
installieren?
Virenwächter würde ich - wenn ich denn überhaupt welch installieren will (wozu eigentlich?) - auf den clients installieren.
Eine Firewall macht unter Umstänsen auf dem Gateway Sinn.
Wichtiger ist allerdings, sich ersteinmal ein Sicherkeitskonzept zu erstellen, was erlaubt und verboten sein soll /ist.
Möglicherweise kommt es dann ohne eine sog. „Firewall“ aus.
Sebastian
wenn ich über ein Netzwerk mehrere Rechner ins Internet
bringe, wo lohnt es sich dann, Firewall und Virenwächter zu
installieren?Virenwächter würde ich - wenn ich denn überhaupt welch
installieren will (wozu eigentlich?) - auf den clients
installieren.
Nö. Is nich wahr. Der Virenwächter gehört zentral positioniert. Wozu??? Weil er schlicht unabdingbar ist! Warum zentral? Beim Anwender ist`s zu spät, der hat wegen „zuviel genervt“ den Wächter längst deaktiviert.
Eine Firewall macht unter Umstänsen auf dem Gateway Sinn.
Eine Firewall ist das absolute Minimum, kann aber nur funktionieren wenn…
Wichtiger ist allerdings, sich ersteinmal ein
Sicherkeitskonzept zu erstellen, was erlaubt und verboten sein
soll /ist.
genau: ein Sicherheitskonzept vorliegt. Ohne ausreichendes Wissen über mögliche Gefährdungen und Abwehrstrategien wiegt eine Firewall nur in falscher Sicherheit. Für ein privates Netzwerk ist z.B. ZoneAlarm hinreichend, zumindest viel besser als nix. Wenn du aber wichtige Daten zu schützen hast - Lehrgang - lernen - Lehrgang - lernen…
Möglicherweise kommt es dann ohne eine sog. „Firewall“ aus.
Nö. Das kannst du für dich machen; wenn du für mehrere Rechner (i. e. ein Netzwerk) verantwortlich bist, kannst du mit dieser Einstellung gleich retirieren.
Virenwächter würde ich - wenn ich denn überhaupt welch
installieren will (wozu eigentlich?) - auf den clients
installieren.Nö. Is nich wahr. Der Virenwächter gehört zentral
positioniert.
Cool. Und die Viren, die per https oder PGP-Verschlüsselt 'reinkomman, analysiert der Virenscanner gleich mittels PGP- und RSA-Entschlüsselungsmechanismus?
Wozu??? Weil er schlicht unabdingbar ist!
Die Begründung leuchtet mir sofort ein.
Warum
zentral? Beim Anwender ist`s zu spät, der hat wegen „zuviel
genervt“ den Wächter längst deaktiviert.
Aha. Ein System an dem der Anwender mal eben die Sicherheistmechanismen abstellen kann?
Ööökrs!
Der Anwender, der die Sicherheistmechanismen eben 'mal abstellt installier sicher auch 'mal das coole Programmm von http:www.warez-crackerz.com
Nochmal öööörks!
Eine Firewall macht unter Umstänsen auf dem Gateway Sinn.
Eine Firewall ist das absolute Minimum,
under den Bedingungen, daß […bitte vervollständigen…]
kann aber nur
funktionieren wenn…
Wichtiger ist allerdings, sich ersteinmal ein
Sicherkeitskonzept zu erstellen, was erlaubt und verboten sein
soll /ist.genau: ein Sicherheitskonzept vorliegt. Ohne ausreichendes
Wissen über mögliche Gefährdungen und Abwehrstrategien wiegt
eine Firewall nur in falscher Sicherheit.
Bingo. Das gilt auch für konzeptionell kaputte Firewalls…
Für ein privates
Netzwerk ist z.B. ZoneAlarm hinreichend, zumindest viel besser
als nix.
weil konzeptionell kranke Programme von Hobbyinstallarteuren alles besser machen aber keine falsche Sicherheit bringen?
Wenn du aber wichtige Daten zu schützen hast -
Lehrgang - lernen - Lehrgang - lernen…
Oder Rechner ohne Schnickschnack konfigurieren.
In ein pures Windows einzubrechen ist - sofern sinnig konfiguriert - nichttrivial.
Möglicherweise kommt es dann ohne eine sog. „Firewall“ aus.
Nö. Das kannst du für dich machen; wenn du für mehrere Rechner
(i. e. ein Netzwerk) verantwortlich bist, kannst du mit dieser
Einstellung gleich retirieren.
Das dürfte keine grundsätzliche Frage von mehreren Rechnern sein, sondern eher, was mit den Rechnern gemacht werden soll (Stichwort: „Dienste“) und ob „Bertrauensverhältnisse“ zwiischen den Rechnern bestehen.
Das ist allerdings garnicht soo häufig. Also: wozu die Firewall?
Und wohin?
Sebastian
Zusammenfassung?
Hi,
erstmal Danke für die Antwort.
Kann man also zusammenfassend sagen:
Virenwächter und Firewall mindestens auf den Gateway, nach Möglichkeit auch noch auf den Clients?
DT
Kann man also zusammenfassend sagen:
Virenwächter und Firewall mindestens auf den Gateway, nach
Möglichkeit auch noch auf den Clients?
Wie sieht denn Dein Sicherheitskonzept insgesamt aus?
Sebastian
Wie sieht denn Dein Sicherheitskonzept insgesamt aus?
könntest du dazu erstmal erläutern, was du unter einem Sicherheitskonzept verstehst?
(Die Frage „wo installiere ich Firewall und Virenwächter?“ würde ich schon als Sicherheitskonzept bezeichnen, oder willst du damit wissen, welche Programme ich genau verwenden will?. Oder meinst du vielleicht, wie die Rules der Firewall aussehehn sollen?)
mfg
DT
Wie sieht denn Dein Sicherheitskonzept insgesamt aus?
könntest du dazu erstmal erläutern, was du unter einem
Sicherheitskonzept verstehst?(Die Frage „wo installiere ich Firewall und Virenwächter?“
würde ich schon als Sicherheitskonzept bezeichnen,
Nein, das ist dann eine Frage, wie das Sicherheitskonzept umgesetzt wird.
oder willst
du damit wissen, welche Programme ich genau verwenden will?.
Nein, das ist auch Umsetzungg.
Oder meinst du vielleicht, wie die Rules der Firewall
aussehehn sollen?)
Nein, auch das ist Umsetzung.
Also:
Wie ist Dein Netzwerk aufgebaut?
Was für Dienste bietes Du an?
Wer soll sie nutzen können?
Wie läuft die Authentifizierung der Nutzer ab?
Worauf haben die Nutzer Zugriff?
Welche Richtlinien müssen/können die Benutzer beachten?
Welche Aufgaben müssen erledigt werden?
Welche Daten müssen verwaltet werden?
Wie Sicherheitskritisch sind diese Daten?
Das als groben Anhalt, welche Fragen Du Dir vor Erstellung eines Konzeptes stellen musst.
Lesenswert: RFC 1244, RFC 2196
Wenn das Konzept steht, gehts an die Umsetzung. Und da kann man dann allmählich über das Filtern von Ports oder ähnlichem sprechen.
Sebastian
Konzept?
Hi,
vielen Dank für dein grosses Engagement in dieser Sache, allerdings vermute ich, du hast dir das „Projekt“ etwas größer vorgestellt.
Wie ist Dein Netzwerk aufgebaut?
Gateway:
P 166 / 64 MB / Win 98 SE oder NT 4 (noch offen)
Clients:
Athlon 1200 / 512 MB /Win 98 SE
P 3 733 / 256 MB / Win 98 SE
Cel. 533 / 196 MB / Win 98 SE
3 750 / 128 MB / Win 2000 Notebook
über 100 MBit /s NICs und 100 MBit / s Hub verbunden
Gateway ist über ADSL am Internet, läuft 24h / Tag
Was für Dienste bietes Du an?
Drucker an einem Client wird von allen genutzt
Freigegebene Daten werden von allen genutzt
Alle Clients kommen über Gateway mit Sygate Internet Connection Sharing ins WWW
Wer soll sie nutzen können?
Alle Clients
Wie läuft die Authentifizierung der Nutzer ab?
Windows Anmeldung (also im Prinzip garnicht)
Worauf haben die Nutzer Zugriff?
User haben totale Kontrolle über eigene Rechner
Daten sind im Netz mit Kennwort freigegeben
Freier Zugang zu Drucker und WWW
Welche Richtlinien müssen/können die Benutzer beachten?
Keine ?
Welche Aufgaben müssen erledigt werden?
Daten untereinander austauschen,
Im Netz Drucken,
Zugang zum WWW
Welche Daten müssen verwaltet werden?
Nichts besonderes
Wie Sicherheitskritisch sind diese Daten?
Überhaupt nicht
Eigentlich war ja nur die Frage, wo ich Firewall und TSR-Virenwächter installieren sollte: Nur auf dem Gateway, oder auf allen Clients auch noch.
mfg
DT
Wie ist Dein Netzwerk aufgebaut?
Gateway:
P 166 / 64 MB / Win 98 SE oder NT 4 (noch offen)
Ich würde als gatewayrechner eine alte Linux-Möhre nehmen (das ist eindeutig meine persönlicher Preferenz). Oder Win NT, wobei ich zu brauchbarer Software nicht viel sahen kann.
Bei Linux: ipchains. Kostet nichts und genügt professionellen Ansprüchen…
Clients:
Athlon 1200 / 512 MB /Win 98 SE
P 3 733 / 256 MB / Win 98 SE
Cel. 533 / 196 MB / Win 98 SE
3 750 / 128 MB / Win 2000 Notebook
Grr! Softwareauswahl vor Nennung der Anforderungen:frowning:
Aber sei es 'drum.
über 100 MBit /s NICs und 100 MBit / s Hub verbunden
Gateway ist über ADSL am Internet, läuft 24h / Tag
Was für Dienste bietes Du an?
Drucker an einem Client wird von allen genutzt
Freigegebene Daten werden von allen genutzt
Also die SMB-Ports 137-139 blocken.
Alle Clients kommen über Gateway mit Sygate Internet
Connection Sharing ins WWW
Kenn ich nicht.
Ich würde für soetwas wahl einen Proxy (Squid) aufsetzen und alle anderen Verbindungen nach draußen verbieten (DNS muß natürlich funktionieren, also lokalen Forwarder)
Wer soll sie nutzen können?
Alle Clients
Ok.
Wie läuft die Authentifizierung der Nutzer ab?
Windows Anmeldung (also im Prinzip garnicht)
Ok. Freigaben werden ja von aussen durch den Packetfilter geblockt
Worauf haben die Nutzer Zugriff?
User haben totale Kontrolle über eigene Rechner
Daten sind im Netz mit Kennwort freigegeben
Freier Zugang zu Drucker und WWW
WWW ist hier: Proxy. nntp, pop, imap funtioniert so nicht, ist aber wohl auch nicht gefragt.
Welche Richtlinien müssen/können die Benutzer beachten?
Keine ?
Und tschüß!
Sie dürfen alle Programme installieren, wo sie Bock haben (Zladko?) und per Webmail alle Geschäftsunterlagen an die Konkurrenz und Die Sekte[tm] verschickn?
Welche Aufgaben müssen erledigt werden?
Daten untereinander austauschen,
Im Netz Drucken,
Zugang zum WWW
Sonst tun sie nichts den ganzen Tag als ersurfte Dokumete zu drucken und auszutausche`? Oder wie entsteht das, was gedruckt werden soll?
Welche Daten müssen verwaltet werden?
Nichts besonderes
?Hrmpf?
Wie Sicherheitskritisch sind diese Daten?
Überhaupt nicht
Na, dann mal her damit.
Eigentlich war ja nur die Frage, wo ich Firewall und
TSR-Virenwächter installieren sollte: Nur auf dem Gateway,
oder auf allen Clients auch noch.
Firewall installieren ohne stringentes Konzept bringt genau nichts.
Ich (Linux-Fan) würde mit den Vorstellungen, die ich von Deinem „Setting“ hätte etwa folgendes basteln:
Alte Kiste mit „Routerfunktionalität“ und vielleicht einem WWW-Proxy.
Intern eine Fileserver (meinetwegen als SAMBA, falls sich eine Windows-Maschine ins Netzwerk verirrt), Surfen, Texte schreiben, Mail etc. unter Netscape/StarOffice (wenn die Oberfläche so wie Windows aussehen soll…).
Software-Kosten für gesamte Installetion maximal 120 DM für eine Linux-DIstribution, falls Du niemenden kennst plus Einarbeitungszeit für die Administation.
Aber viellcieht sollte man doch zuerst eine Sicherheitsrichtlinie erstellen,sonst ist das ohnehin alles Banane.
Sebastian