Softwarefirewall auf Server?

[eXOs 10]

Hi zusammen,

 

hier und da immer wieder Themen zu Firewalls, mal im Netz, auf den Clients oder auf den Servern. Die einen machen so, die anderen so...

 

Also mal eine Umfrage dazu, ausgehend von einer Domäne die zum WAN eine Hardwarefirewall hat.

[Dr.Melzer 191]

Die Dinger heissen nciht umsonst "Desktopfirwall"!

So etwas hat nichts auf einem Server zu suchen! Da sollten die paar Euro für eine Hardwareappliance schon drinnen sein.

[eXOs 10]

Die Dinger heissen nciht umsonst "Desktopfirwall"!

So etwas hat nichts auf einem Server zu suchen! Da sollten die paar Euro für eine Hardwareappliance schon drinnen sein.

 

So sehe ich das auch! Aber scheinbar sehen das manche auch anders - daher die Umfrage weil es mich interessiert.

[GerhardG 10]

kann je nach ungebung durchaus sinnvoll sein, w2k3 sp1/r2 bringt ja bereits entsprechende lösungen mit.

[rziwin 10]

Die Dinger heissen nciht umsonst "Desktopfirwall"!

So etwas hat nichts auf einem Server zu suchen! Da sollten die paar Euro für eine Hardwareappliance schon drinnen sein.

 

Naja, eine Hardwarefirewall bringt aber nur etwas gegen Angriffe aus dem Fremdnetz (also Internet) und nicht bei Angriffen aus dem eigenen Netz.

 

Und wo kommen wohl die meisten Angriffe her??

[eXOs 10]

Naja, eine Hardwarefirewall bringt aber nur etwas gegen Angriffe aus dem Fremdnetz (also Internet) und nicht bei Angriffen aus dem eigenen Netz.

 

Und wo kommen wohl die meisten Angriffe her??

 

Also bei uns mit sicherheit nicht aus dem internen Netz!

[GerhardG 10]

Also bei uns mit sicherheit nicht aus dem internen Netz!

 

mit welchen maßnahmen verhinderst du interne angriffe?

[eXOs 10]

mit welchen maßnahmen verhinderst du interne angriffe?

 

Meine Aussage war, dass bei uns im die meisten Angriffe nicht aus dem internen Netz kommen... User dürfen auf dem Fileserver auf die Daten zugreifen und sich auf dam TS einloggen, auf dem TS absolut keinen Zugriff auf die Systempartition. Private Wechseldatenträger sind verboten.

 

Klar ist das in gewisser hinsicht auch vertrauenssache - wer weiß schon, bzw. kann schon ständig prüfen, ob sich die User dran halten.

 

Hm... allerdings muss ich ehrlich sagen, dass unser Netzwerk nicht gerade als Paradebeispiel dient. Ich fang erst gerade an das so nach und nach zu übernehmen und erst gestern musste ich an drei Systemen feststellen, dass die Domänenbenutzer in der Gruppe der lokalen Admins waren...

[Sailer 11]

Naja, eine Hardwarefirewall bringt aber nur etwas gegen Angriffe aus dem Fremdnetz (also Internet) und nicht bei Angriffen aus dem eigenen Netz.

 

Und wo kommen wohl die meisten Angriffe her??

 

 

Das stimmt so nicht ganz, eine Hardwarefirewall kann man an jeder Stelle eines Netzwerks platzieren -> vor den Internetlink, zur Trennung aller LAN-Subnetze oder wenns ganz genau hergehen soll sogar als transparente Layer2 Firewall vor jedem beliebigen Gerät (unabhängig von Subnetgrenzen)

 

Ich bin der Meinung, dass das Thema "Internal Firewalling" noch viel zu wenig in Erwägung gezogen wird. In Zeiten von Netzwerk-Viren, Trojanern und Betriebsspionage sind gerade die internen Angriffe das größte Problem -> nur mal als Stichwort: Sassa, der kam per Mail, USB-Sticks und was auch immer an den Internet-Firewalls vorbei und konnte dann ungestört im LAN wüten...

 

Um es mal anders auszudrücken:

Wenn ein Portscanner an meiner Internetfirewall anklopft kostet mich das ein Schulterzucken, wenn aber mal jemand an meiner internen Firewall klopft dann weiß ich es ist Zeit zu handeln! ;)

[eXOs 10]

Das stimmt so nicht ganz, eine Hardwarefirewall kann man an jeder Stelle eines Netzwerks platzieren -> vor den Internetlink, zur Trennung aller LAN-Subnetze oder wenns ganz genau hergehen soll sogar als transparente Layer2 Firewall vor jedem beliebigen Gerät (unabhängig von Subnetgrenzen)

 

Ich bin der Meinung, dass das Thema "Internal Firewalling" noch viel zu wenig in Erwägung gezogen wird. In Zeiten von Netzwerk-Viren, Trojanern und Betriebsspionage sind gerade die internen Angriffe das größte Problem -> nur mal als Stichwort: Sassa, der kam per Mail, USB-Sticks und was auch immer an den Internet-Firewalls vorbei und konnte dann ungestört im LAN wüten...

 

Um es mal anders auszudrücken:

Wenn ein Portscanner an meiner Internetfirewall anklopft kostet mich das ein Schulterzucken, wenn aber mal jemand an meiner internen Firewall klopft dann weiß ich es ist Zeit zu handeln! ;)

 

Das wäre doch was für ein ServerHowTo...

[Sailer 11]

Das wäre doch was für ein ServerHowTo...

 

Was konkret? :wink2:

[eXOs 10]

Hi,

 

hätte wohl bei meinem Zitat was abschneiden sollen. Meinte das Internal Firewalling

[Weihnachtsmann 10]

Mit 802.1x Authentifizierung kannst du effektiv alle fremdartigen Clients aus deinem internen Netz aussperren und damit die User von ihren Windows Clients keinen unfug machen bietet Windows ja genügend Möglichkeiten. Falls deine aktiven Komponenten kein 802.1x unterstützen wäre evtl. eine Möglichkeit die Kommunikation mit den Servern ausschliesslich über IPSEC zu erlauben.

 

Gruß

Weihnachtsmann

[RoadRanner 10]

Hi Hi,

 

ich wusste nicht, dass ISA 2004 eine Desktop Firewall ist, aber gut! mann lernt immer wieder was dazu was für Ansichten es . . . . .

 

Ich wuste auch nicht das mann mit einer Desktop Firewall den ganzen Verker im LAN und DMZ steuern kann.

[eXOs 10]

Hi Hi,

 

ich wusste nicht, dass ISA 2004 eine Desktop Firewall ist, ....

 

Hat auch keiner behauptet... oder hab ich was verpasst?