IcedEarthAngel 10 Geschrieben 27. Dezember 2004 Melden Teilen Geschrieben 27. Dezember 2004 Hallo Leute, ich möchte ein kleines Heimnetz aufbauen, habe aber noch ein paa Probleme bzw. bräuchte Tipps es vielleicht besser zu gestalten. Ich habe DSL + einen Draytek Vigor 2200E Router. An Hardware habe ich einen Server (Win2k3) mit zwei Netzwerkkarten und mehrere Clients (WinXP). Server + Clients sind alle am Router angeschlossen. Momentan habe ich es folgendermassen konfiguriert: Server: 1. Netzwerkkarte Internet IP: 192.168.1.10 255.255.255.0 Gateway / DNS: 192.168.1.1 (mein Router) 2. Netzwerkkarte LAN IP: 192.168.2.10 255.255.255.0 Gateway / DNS: Nichts Auf dem Server läuft der der Squid Proxy 2.5 STABLE. Alles ohne Probleme. Meine Clients hängen auch am Router und haben folgende IP's: 192.168.2.1 ... 5 255.255.255.0 Gateway / DNS: Nichts Sie sehen also nur die LAN Netzwerkkarte mit deren Freigaben. Den Router und die andere Netzwerkkarte sehen sie nicht. Soweit ist alles klar. Als Proxy für die Clients zum surfen verwende ich dann die 192.168.2.10, also die LAN IP. Funktioniert auch tadellos. Nur wie in Gottes Namen bring ich es jetzt zu Stande, dass meine Clients auch "Gamen" können, oder ICQ nutzen können. Aufgrund des anderen Subnetzes in dem sie sich befinden, sehen sie den Router nicht. Folglich ist auch nichts mit ICQen oder sonstwas. Internet surfen und der LAN Betrieb funktionert mit der Config tadellos. Wie muss ich jetzt routen, bzw. wo kann ich das realisieren? Bringen mir diese zwei getrennten Subnezte überhaupt was? Klärt mich mal bitte auf! Für Verbesserungsvorschläge bin ich immer zu haben, möchte schliesslich noch viel dazulernen. MfG Iced Zitieren Link zu diesem Kommentar
joenas 10 Geschrieben 27. Dezember 2004 Melden Teilen Geschrieben 27. Dezember 2004 Also z.B. ICQ hat Proxy Support, da könntest du das easy einrichten. Zum zocken musst du wohl den Server als "Zwischen"-Router nehmen, entweder mit RIP oder einfacher Netzwerverbindungen brücken. Was mich aber interessiert, wieso so kompliziert? Also erstmal warum ne Server Version, für 5 _home_ clients wohl extrem teuer... Und zweites wieso hängst du nicht den Router ins Subnetz von den Clients? Also ich sehe keinen Vorteil an deinem VLan, eher mehr konfigurations Aufwand... Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 28. Dezember 2004 Melden Teilen Geschrieben 28. Dezember 2004 Hi, mit dem Routing und RAS-Server (RRAS) aktivierst Du das Routing zwischen deinen beiden Netzwerkkarten und gibst den Clients als Gateway die IP des Servers (2.10) und als DNS die des Internet Routers. Ich bezweifle aber, daß Dir das irgendwas bringt. Das einfachste in deinem Fall ist wirklich alle Geräte in einem Netzwerk zu halten. Den Squid kannst Du ja dennoch nutzen, wenn du gerne cachen möchtest. Willst Du mit dem zusätzlichen Netzwerk Sicherheit erreichen oder was hattest Du eigentlich vor? Andre /edit: Zur obigen Lösung fehlt noch der entsprechende statische Routingeintrag in das Client-Netz für den Internet Router. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 28. Dezember 2004 Melden Teilen Geschrieben 28. Dezember 2004 War für eine Serverversion (standard, enterprise, SBS ...) ist das denn und was für eine Lizenzart (OEM, SB, OPEN...) Zitieren Link zu diesem Kommentar
Steeli 10 Geschrieben 28. Dezember 2004 Melden Teilen Geschrieben 28. Dezember 2004 Original geschrieben von Dr.Melzer War für eine Serverversion (standard, enterprise, SBS ...) ist das denn und was für eine Lizenzart (OEM, SB, OPEN...) Warum fragst Du nicht gleich: "Ist die Serverversion legal oder illegal" ??? :mad: Matthias Zitieren Link zu diesem Kommentar
IcedEarthAngel 10 Geschrieben 28. Dezember 2004 Autor Melden Teilen Geschrieben 28. Dezember 2004 Also eines Vorweg. Es handelt sich um eine legale Win2k3 Standard Version. Ich mach gerade eine Ausbildung zum Fachinformatiker und von der Schule aus, haben wir Zugriff auf folgendes: MSDN Academy von Microsoft. Dort gibt es fast die komplette Palette zum Download + Keys. ------------------------------------------------------------------------------------------ Jetzt wieder zum Thema. Mit dem zusätzlichen Netzwerk möchte ich die Clients einfach komplett vom Internet bzw. vom Router fernhalten und den kompletten Verkeher über den Server laufen lassen. Dort möchte ich später dann noch nen Virenscanner zwischenschalten. Die Lösung von Operator scheint mir also logisch. Nur die Frage: Bringt mir das mehr Sicherheit oder nicht? Und welche "Spielerreien" könnt ihr mir sonst noch für meine Server empfehlen? Netzwerkmonitor etc. Danke! Iced Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 28. Dezember 2004 Melden Teilen Geschrieben 28. Dezember 2004 Hi, Sicherheit erlangst Du mit dem Konzept der 2 Netzwerke ganz bestimmt. Allerdings würde ich dann den Server NAT machen lassen (geht auch via RRAS) und zusätzlich nochmal von dem Router, um die Internetverbindung auch nutzen zu können. Diese Konstellation ist auch optimal zum Testen eines ISA Servers, der dann Proxy bereitstellen könnte (genau wie Squid) und zusätzlich Firewall Dienste bereitstellen kann. Wenn Du deinen Vigor so konfigurierst, daß der ISA Server ein Exposed Host des Routers ist (also den gesamten Traffic aller Ports dorthin weiterleitest, manchmal fälschlicherweise auch als DMZ Host bezeichnet) könntest Du auch noch Server des sicheren LAN freigeben, um dort z.B. einen Webserver hinzustellen, der vom Internet aus dann erreichbar ist. Für optimale Sicherheit könnte ich Dir dann noch http://www.gfisoftware.de/de/dsec/ empfehlen (GFI Download Security). Ist allerdings kostenpflichtig, Testversion ist aber verfügbar. Damit kannst Du den gesamten Traffic auf Viren prüfen etc. Den mitgelieferten Netzwerkmonitor kannst Du nur für Traffic vom und zum Server gebrauchen... das ist vielleicht nicht immer das was Du willst. Als kostenlose Alternative kann ich Dir Packetyzer empfehlen (http://www.packetyzer.com), eine Portierung von Ethereal von Linux nach Windows. Viel Spaß beim Experimentieren... Bei weiteren Fragen antworten wir auch gerne ;) Gruß Andre Zitieren Link zu diesem Kommentar
IcedEarthAngel 10 Geschrieben 28. Dezember 2004 Autor Melden Teilen Geschrieben 28. Dezember 2004 Danke für die Antwort! :) Also ich hab grad geschaut, der ISA Server 2004 wird auch zum Download angeboten. Da liegt der Einsatz wohl nahe... Jetzt aber bitte nochmal im Detail... Wenn ich das richtig verstanden habe, dann muss ich das so aufziehen: DSL Modem Verbindung mit: Netzwerkkarte Internet Router Verbindung mit: Netzwerkkarte LAN Der Server macht dann komplett NAT und leitet Anfragen aus dem Internet etc. an den Router weiter. Mit dem ISA Server habe ich dann auch eine Firewall, NAT etc. VOR dem Router. Der Server ist praktisch die erste Instanz. Nur wie sicher ist das wirklich, wenn ich zum Beispiel auch meine Files auf den Server ablege, dieser sitzt dann direkt hinter dem DSL Modem... Ahh richtig, die eine Netzwerkkarte ist ja komplett im anderen Subnetz, also sollte dies keine Probleme machen. Also wie gehe ich nun im Detail vor? Brauche da doch etwas Hilfestellung. Was kommt zuerst? Danke schonmal. Iced Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 28. Dezember 2004 Melden Teilen Geschrieben 28. Dezember 2004 Hi Iced, sicher sind deine Daten nur in dem Netzwerk hinter dem Windows-Router. Dort sollten also keine Daten liegen. Der Server entspricht nach dem Router der ersten Hürde für einen Angreifer. Wenn dort schon Daten zu finden sind ist eh vorbei :) Der Server sollte auch kein DC oder ähnliches sein... das würde die Sicherheit wieder gegen Null schrauben. Also nur Firewall. Vom Aufbau siehts ungefähr so aus.. DSL-Modem->Vigor---Crossoverkabel--X--->Netzwerkkarte1-Windows-Server (Internetverbindung, externes Interface in den Augen des ISA Servers) Die 2. Netzwerkkarte des Server steckst Du dann in den Switch für's lokale Netz. (Als Behelfsvariante stöpselst Du alle Komponenten in den Switch des Vigor und vertraust auf die Trennung auf Layer 3 des OSI Modells, sprich der Trennung durch andere IP Netze. Richtig sicher wird es aber erst, wenn du hinter dem Server einen seperaten Switch nutzt, um das Netzwerk physikalisch vom restlichen Netz zu trenen). Der Vigor macht dann NAT für den Server, der Server macht NAT für die Clients. Das ist ziemlich sicher. Allerdings doppelt viel Konfigurationsaufwand, wenn Ports an die Clients im LAN weitergeleitet werden sollen (z.B. für Games, P2P etc.) Daher die Konfiguration des Servers als "Exposed Host", damit Du nur an einer Stelle Portforwarding machen musst. Allerdings wieder auf Kosten der Sicherheit. Das Problem ist halt immer den goldenen Mittelweg aus Sicherheit und Bequemlichkeit zu finden. Viel Spaß Andre Zitieren Link zu diesem Kommentar
IcedEarthAngel 10 Geschrieben 28. Dezember 2004 Autor Melden Teilen Geschrieben 28. Dezember 2004 Hi, ich route jetzt erstmal zwischen den beiden Netzen. Das funktioniert soweit wunderbar. (Config wie am ThreadStart) Mit dem ISA Server werde ich mal morgen in Angriff nehmen. Allerdings brennt mir noch eine Frage auf der Zunge, zu der ich keine Antwort gefunden habe. Gibt es für den Squid Proxy für Windows die Möglichkeit Werbung und Banner rauszufiltern? Dies geht unter Linux mit SquidGuard, welche es aber leider nicht für Win gibt. Ideen? Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 29. Dezember 2004 Melden Teilen Geschrieben 29. Dezember 2004 Hi, also bei uns setzen wir bislang noch Scanprodukte der InterScan Familie von Trend Micro ein, die bislang auch sehr gut laufen. Leider meint unserer Sicherheitsmensch jetzt auf integrierte Appliances wie der BlueCoat umsteigen zu müssen. Ich bin aber nicht sehr überzeugt von solchen Lösungen, weil ich ungern etwas Fertiges benutze, das ich schlecht abändern/erweitern kann. Hab mir den SquidGuard mal angesehen... soweit ich das sehe ist das doch "nur" ein cgi/perl script, das via Squid eingebunden wird. Also sollte doch die Installation von Perl ausreichen, um das Script auch unter Windows in Betrieb nehmen zu können. Gruß Andre Zitieren Link zu diesem Kommentar
IcedEarthAngel 10 Geschrieben 29. Dezember 2004 Autor Melden Teilen Geschrieben 29. Dezember 2004 So der ISA Server 2004 läuft. Caching ist auch schon aktiviert. Feine Sache! :) Von der Konstellation her, habe ich alles wie folgt angeschlossen: ISA Server mit zwei Netzwerkkarten beide am Router angestöpselt. Der ISA Server befindet sich HINTER dem Router. Der Router ist also erste Instanz, dann kommt der ISA Server. Nun hätte ich aber wieder ein paar Fragen.... Wenn ich direkt auf dem ISA Server einen eMule Client laufen lassen, verschlechtert dies die Sicherheit, wenn ja warum? Und wie würde es ausschauen wenn der eMule Client nicht direkt auf dem ISA Server läuft, sondern auf den Clients? Wie sieht es dann mit der Sicherheit aus? Nur zum Verständnis! Und dann noch eine Frage zum ISA Server. Wie kann ich dort eigentlich Web Content Filter einstellen, also Banner/Werbe Blocker? Habe noch ein paar gute Seiten zum Thema gefunden: http://www.msisafaq.de http://www.isaserver.org/ Gruss Iced Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 29. Dezember 2004 Melden Teilen Geschrieben 29. Dezember 2004 Hi Iced, danke für die URL's ;-) Ich glaub jeder der schon mal mit ISA Server gearbeitet hat, kennt die :-) Die Sicherheit eines Netzwerks verschlechtert sich mit jedem Port, der der Öffentlichkeit präsentiert wird. Falls es also mal einen Exploit für den Port 4662 und einer bestimmten eMule Version geben sollte, ist es möglich den PC auf den der Port umgeleitet ist zu übernehmen und böse Dinge im Netzwerk anzurichten. Jeder weiter ins Netzwerk Du den eMule weiterreichst desto schlimmer, weil Du ja eigentlich das Netzwerk schützen willst, in das Du externe Ports weiterleitest. Also sollte eMule (oder auch jeder andere Internetserver) in der DMZ laufen. Nichts anderes ist die Verbindung zwischen deinem Router und dem Server im ersten Netzwerk. (Anstatt DMZ wirst Du vielleicht auch noch den Begriff Perimeternetzwerk hören; das bezeichnet dasselbe). Auf dem Router hätte eMule eigentlich auch nichts verloren, weil dieser ebenfalls eine Verbindung in das zu schützende Netzwerk hat. Richtig wäre eigentlich einen weiteren Rechner in der DMZ aufzustellen, der diese Funktion dann übernimmt. In deinem Falle also zusammen an einem einzelnen Switch: Vigor, Router, eMule-Client. Sollte dann der Client übernommen werden können, ist der Angreifer immer noch im Perimeter Netzwerk, wo er ja weiter nichts machen kann, sofern er nicht auch noch eine Sicherheitslücke im Router findet. Aber der ISA sichert da eigentlich recht zuverlässig ab. Also müsste jemand erst 2 Barrieren überwinden, um Zugriff auf sentitive Daten zu erlangen. In der DMZ darf dann natürlich kein weiterer wichtiger Server stehen. Soviel zur Einführung in die Sicherheit :-) Einen Webcontent Filter gibts standardmäßig in ISA 2000 nicht, ob's den in ISA 2004 gibt kann ich nicht beantworten. Sorry. Aber es gibt massenhaft Plugins dafür. Leider fast immer kostenpflichtig. Ich konnte auf die schnelle nichts kostenloses finden. Aber es gibt ja auch kostenlose Filter-Proxies für Werbung, die Du dann dem ISA Proxy vorschalten kannst (Content nicht direkt abrufen, sondern von alternativem Proxy). Dieses Konzept bezeichnet man als Proxy-Chaining. Dazu findest Du mit Sicherheit auch Informationen auf den genantnen Webseiten. Gruß Andre Zitieren Link zu diesem Kommentar
IcedEarthAngel 10 Geschrieben 29. Dezember 2004 Autor Melden Teilen Geschrieben 29. Dezember 2004 Hi Andre! :) Noch zum Verständnis. Wenn ich den ISA jetzt aber in eine DMZ setzte, dann ist er nicht mehr durch den Router geschützt, ist das soweit richtig? Er wäre dann auch direkt aus dem Internet erreichbar, wie eben der Router auch. Simulieren wir mal einen Angriff, bei der derzeitigen Situation. Der Angreifer müsste erstmal den Router hacken. Danach ist er praktisch auf dem ISA Server und muss diesen erstmal überwinden. Auf meine Clients hätte er durch das andere Subnetz erstmal keinen Zugriff. Stelle ich den ISA Server in die DMZ, dann ist er (wie ich momentan noch denke) von aussen erreichbar. Der Angreifer müsste dann entweder den Router ODER der ISA Server hacken und hätte nicht mehr beide Barrieren vor sich. Ich weiss nicht ob ich mit dem Gedankengang richtig liege, da ich bisher damit noch nicht gearbeitet habe. ------ Das oben erstmal zur Erklärung. Ich habe dann mal kurz spasseshalber den ISA Server in die DMZ des Vigors gesetzt. Prompt ging das Internet erstmal nicht mehr. Da muss ich wohl noch was umkonfigurieren. Und nochwas, erstmal möchte ich eigentlich alles an einem Router (also den Vigor) lassen und keinen zusätzlichen Switch dazukaufen. ------- Ach und nochwas: Vielen Dank für deine Bemühungen, mich bei meinen Fragen zu unterstützen! :) :) :) Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 30. Dezember 2004 Melden Teilen Geschrieben 30. Dezember 2004 Hi, Ich fasse mal zusammen :) - Internetzugang hat NUR der Vigor -> 1. Barriere - Der ISA hängt hinter dem Vigor -> 2. Barriere - ISA und Vigor sind nicht gleichzeitig im Internet, ISA bekommt Internet durch Vigor - DMZ ist momentan bei Dir nur die Verbindung zwischen Vigor und ISA - Bei nur einem Switch für LAN und DMZ ist ein Rechner in der DMZ einfach nur ein Rechner, der am Vigor hängt mit einer IP-Adresse im Subnetz des Vigor und des ISA - Die 2 Subnetze trennt man eigentlich physikalisch, da ein Angreifer derzeit in der DMZ einfach nur eine IP aus dem sicheren Netzwerk nehmen müsste, um am ISA vorbeizukommen. Mit einer Trennung wäre dies nicht möglich. Für konzeptionelles Experimentieren aber in Ordnung :) - Das was der Vigor als DMZ bezeichnet ist keine ernsthafte DMZ. Also gar nicht erst damit arbeiten. DMZ bezeichnet, wie erwähnt, ein vom lokalen Netz getrenntes Zwischen-Netz (Perimeter-Netz), daß das LAN vom Internet trennt. Hoffe das genügt als Erklärung :-) Andre Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.