Jump to content
Sign in to follow this  
watumba

Sicherheit bei kleinen Netzwerk

Recommended Posts

Hallo,

 

ich habe ein paar Fragen zu einer Sicherheitslösung für ein kleines Firmennetzwerk. Aber zuerst mal die jetztige Konf.:

3 Mbit- DSL I-Net Zugang --- Netgear FVS 338 --- 14 XP pro Workgroup - Clients mit Zonealarm Security Suite Pro und ein 2003 File Server Bis jetzt hatte wir absolut keine Probleme nur habe wir eine neue Warenwirtschaftssoftware (Comtech) erhalten und diese macht Problem mit Zonealarm und auch anderen Firewalls. Am besten wäre auf den Clients keine Firewall zu aktivieren.

 

Jetzt zu meinen Fragen:

 

Reicht der FVS 338 als Firewall für die Sicherheit heutiger Angriffe aus (in Verbindung mit Mcafee Antivirus auf den Clients)?

 

Oder ist ein ISA Server zw. Router und Lan zu empfehlen ?

 

Und wie siehts mit Linux Firewalls aus ?

 

 

Das ganze soll natürlich auch halbwegs in finanzierbaren Rahmen bleiben. Nur wenn wirklich grobe Sicherheitsmängel zu Erwarten sind kann ich meinen Boss überzeugen zB: einen 2003er Server mit ISA zu kaufen.

Ich bin sehr gespant auf eure Lösungsvorschläge bzw. Meinungen und Erfahrungen.

Noch was am Rande: Was haltet ihr von einer AD-Domäne in einen so kleinen Netzwerk?

 

gruß

Paul

Share this post


Link to post
Share on other sites

hi,

 

so schlecht sieht die Konfiguration ja gar nicht aus.

 

AD würde ich bei einem Netzwerk mit 14 Rechnern auf jeden Fall aktivieren, da du dir dadurch einiges an Administration erleichtern kannst.

 

Wenn du eine vernünftige Hardwarefirewall hast und nicht mutwillig Ports on aussen nach innen öffnest bzw. öffnen musst kann das durchaus genügen.

 

P.S.: Die Softwarefirewalls auf den Clients sind meiner meinung nach eher zum gegenseitigen Schutz, schaden aber sicher nicht.

Setz auf den Clients die integrierte Windows Firewall ein, die kannst du schön über Gruppenrichtlinien steuern.

 

lg

il_principe

Share this post


Link to post
Share on other sites

Also meiner Meinung nach nutzen Personal-Firewalls nur etwas an Rechner die direkt am Netz hängen. Schutz hast du eigentlich schon durch die NAT-Firewall im Router genug. Meines Erachtens sollte es da keine Probleme geben, okay eventuell wenn die User die ganze Zeit auf http://www.richtigdicke*****n.de rumserfen. Aber da kann dann die Software auch nichts für!

 

Hier stehen noch einige Beispiele warum man keine PFW braucht: http://www.ntsvcfg.de/#_pfw

 

Wegen des ADS: Also mir ist die Lauferei bei mehr als 5 PCs schon zuviel ;) Ja, ja faule Sau und so ;D

Share this post


Link to post
Share on other sites

man darf ja durchaus geteilter Meinung zu dem einen oder anderen Sicherheitskonzept sein, aber was ich total sinnfrei finde, ist der Link zum Thema warum man keine PFW benötigt.

 

@cschra:

darf ich mal in Dein Netz kommen und Dir die Rechner lahmlegen?

 

Es ist doch wohl so:

Jeder User hat schon mal eine Diskette/CD/USB-Stick von zu Hause aus mitgebracht, um die Wochenendarbeit für die Firma am Montag am Firmenrechner weiter zu führen, oder?

 

Achtung: Das Argument "Bei uns ist das Diskettenlaufwerk/CD-ROM/USB abgeklemmt" lasse ich nicht gelten, weil in 99 von 100 Fällen genau das nicht der Fall ist.

 

Zurück zum arbeitswütigen Kollegen:

Der steckt nun sein Medium in den Firmenrechner und schwupps ist der Netzwerkwurm befreit und hat sich auch schon auf die anderen Firmen-PCs verbreitet.

 

Im Übrigen ist NAT keine Firewall.

 

@watumba

Ich persönlich habe da eine etwas "stringente" Einstellung zu Sicherheitsthemen.

 

1. am Gateway sollte eine richtige Firewall stehen, die den Namen auch verdient. Ein simpler DSL-Router muss aus technischen Gründen schon NAT machen. Das heisst aber nicht, dass dadurch ein vollwertiger Ersatz für eine Firewall gegeben ist. NAT ist lediglich die Voraussetzung, dass eingehende Paket auch an den internen Rechner weitergeleitet werden, der diese angefordert hat. Nur dadurch ist es möglich, dass Daten an private IP-Adressen geroutet werden können. Siehe auch http://de.wikipedia.org/wiki/Network_Address_Translation

 

2. vermutlich ist die PFW für eure WaWi nur richtig zu konfigurieren. Dann dürfte es auch funktionieren. Zu erfragen wären die benötigten Start- und Zielports sowie Protokolle.

 

Wenn Du eine richtige Firewall suchst, die eben diesen Namen verdient (http://de.wikipedia.org/wiki/Firewall), ist diese für ca. 1000 Euronen zu bekommen. Eine Lösung auf ISA-Basis kommt meist teurer (Hardware, OS, ISA).

 

Kurz ein Sicherheitskonzept, was den technischen Standarts entsprich, die Banken und Versicherungen befriedigt und auch den gesetzlichen Vorschriften auf jedem Fall entspricht:

 

1. Am Gateway eine Firewall und keinen simplen DSL-Router

2. am Gateway einen Virenscanner

3. am PC eine PFW

4. am PC einen anderen Virenscanner als am Gateway

5. regelmäßige (am besten automatische) Updates der Virenpattern (stündlich anfragen)

6. Betriebssysteme (am besten automatisch, Stichwort WSUS) stets aktuell halten

 

So und nun löst euch bitte auch von dem Gedanken: Ist ja nur ein kleines Netz mit 5 Usern. Es gibt ein prima Gesetzt "KonTraG". Reinschauen, Gedanken machen und überlegen, ob nicht auch eine 5-Mann-Butze darunter fallen könnte. Und falls nicht: Gedanken machen, ob nicht auch eine andere Unternehmensform soetwas umsetzen sollte, also aus reinem Selbstinteresse von wegen Firmenerhalt, Schadensersatz, Basel II usw.

 

grüße

 

dippas

Share this post


Link to post
Share on other sites

Für das Diskettenlaufwerk/CD-ROM/USB-Stick Problem gibts ja auch Tools womit man das sinnvoll bekämpfen kann. Als PFW würde ich auch die integrierte Windows-Firewall empfehlen, da diese über Gruppenrichtlinien sehr gut gesteuert werden kann.

 

@dippas: Das Problem mit der "richtigen Firewall" liegt ja schon mal rein in der Definition da streiten sich die Geister. Zu den gesetzlichen Vorschriften könntest du diesbezüglich ein paar mehr Infos posten? Wär super

 

Gruß

Weihnachtsmann

Share this post


Link to post
Share on other sites
Für das Diskettenlaufwerk/CD-ROM/USB-Stick Problem gibts ja auch Tools womit man das sinnvoll bekämpfen kann. Als PFW würde ich auch die integrierte Windows-Firewall empfehlen, da diese über Gruppenrichtlinien sehr gut gesteuert werden kann.

 

@dippas: Das Problem mit der "richtigen Firewall" liegt ja schon mal rein in der Definition da streiten sich die Geister. Zu den gesetzlichen Vorschriften könntest du diesbezüglich ein paar mehr Infos posten? Wär super

 

Gruß

Weihnachtsmann

 

Hi,

 

also ich würde auch dazu tendieren die PFW's richtig zu konfigurieren bevor ich sie ausschalten würde. Für eine gescheite WaWi sollten die dafür notwendigen Informationen wie verwendete Ports und Protokolle vorhanden sein - ansonsten würde ich die Finger von dieser Lösung weg lassen.

 

@Firewall: Das Thema "was ist eine richtige FW" hatten wir doch vor kurzem schon mal ;). Also NAT würde ich da definitiv raus nehmen. Eine FW muss aus meiner Sicht min. den verkehr von aussen nach innen und in die andere Richtung effektiv mit entsprechenden Regeln limitieren können.

 

@dipas: Dein FW Konzept dürfte in keiner Bank / Versicherungsinstitut stehen. Vorschrift ist hier eine zweistuffige FW! Sprich z. B. FW1 - Proxy in einer DMZ - FW2 - CN wobei die in und externen FW's oft von unterschiedlichen Herstellern sind - aber das wird wohl etwas zu viel sein für ein kleines Unternehmen - auch wenn man aus meiner Sicht nie genügend Sicherheit haben kann. :D

 

@Weihnachtsmann: Sorry Rechtsberatung dürfen wir hier nicht leisten! Zu Basel II findest du z. B. hier Infos: http://en.wikipedia.org/wiki/Basel_2 - wenn du in einem entsprechenden Unternehmen arbeitest sollte sich damit min. eine Person schon mal mit beschäftigt haben. Sonst könnte es beim nächsten Gang zur Bank unangenehm werden :shock:

 

Gruß

Share this post


Link to post
Share on other sites

Für mich ist eine richtige Firewall folgendes:

 

- gehärtetes Betriebssystem

- Funktionalitäten, die den Datenstrom untersuchen

- fein einstellbares Regelwerk mit Berücksichtigung des jeweiligen Protokolls

- Steuerbarkeit des Datenflusses

 

Wenn ich also bespielsweise einstellen kann, dass das Protokoll 4711 auf Port 4812 unter Berücksichtigung von Regel 4913, initiiert vielleicht von Server abc nur an meinen Server 5014 geleitet wird, dann habe ich eine Firewall vor mir, die im Leistungsumfang (und leider auch im Preis) jeden DSL-Router in die Tasche packt.

 

Zu den Gesetzen:

de.wikipedia.org/wiki/KonTraG

www.beckmannundnorda.de/kontrag.html

www.steuernetz.de/controllerlex/r4.html

www.virenschutz.info/Gesetz-StGB-303b-Spyware-Tutorials-22.html

www.virenschutz.info/Gesetz-StGB-202a-Spyware-Tutorials-21.html

www.computerpartner.de/news/225422/index.html

enterprisesecurity.symantec.de/content.cfm?articleid=6379

www.zdnet.de/security/print_this.htm?pid=39138984-39001544c

www.mittelstand-sicher-im-internet.de/topologien-details.php?11

www.bsi.de

 

Am wichtigsten scheint mir hierzu:

Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

 

Wegen unerlaubter Rechtsberatung von Dr.Melzer editiert

 

...Auch mittlere und große Mittelständler tun gut daran, regelmäßig Risikoberichte zu erstellen und ein System zum Risikomanagement einzurichten. Denn seit Basel II ist eine belastbare Sicherheitsinfrastruktur ein wichtiges Kriterium, das Banken heranziehen, um bei der Kreditvergabe die Bonität eines Unternehmens zu beurteilen. Nicht nur der Gesetzgeber verpflichtet Unternehmen zu proaktivem Sicherheitsmanagement. Unverkennbar zeichnet sich eine Tendenz zur Selbstverpflichtung auf privatwirtschaftlicher Seite ab, internen Risiken systematisch zu begegnen: Branchenstandards wie ISO 17799 oder die Richtlinien von VISA CISP dienen nicht nur der Absicherung des eigenen Unternehmens, sondern vor allem dem Schutz sensibler Kundendaten. Unternehmen, die freiwillig anerkannte (Sicherheits)standards erfüllen, haben verstanden, dass Vertrauenswürdigkeit ein starker Wettbewerbsvorteil ist.

 

dazu

 

Wegen unerlaubter Rechtsberatung von Dr.Melzer editiert

 

und weiter

 

Wegen unerlaubter Rechtsberatung von Dr.Melzer editiert

 

Ich denke, das Thema ist zu "groß" um mal eben eine handvoll Links und Informationen zu posten. Da sollte jeder mal in sich gehen und schauen, was man selbst umsetzen muss (Rechtsanwalt befragen) oder will (eigenes Gewissen befragen) ;) PS: Bin kein Rechtsverdreher, also die Infos nicht als Rechtberatung werten!!!!! (<- ja, shift-1 klemmt ;))

 

@johannes

Mein Sicherheitskonzept soll nicht bei einer Bank oder Versicherung stehen, sondern in einem Unternehmen, welches von einer Bank (Stichwort Basel II, Ranking, Risikomanagement) oder Versicherung (Stichwort Sicherheitseinrichtungen, Risikomanagement) geprüft würde. Habe mich vielleicht etwas undeutlich ausgedrückt.

 

grüße

 

dippas

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...