Zum Inhalt springen

Sicherheit im Netzwerk vom Server aus konfiguriert

masei85

Von masei85
in Security

 Teilen

Empfohlene Beiträge

masei85

masei85

Geschrieben
Geschrieben

Habe in meinem Abschlussprojekt die Aufgabe, tiefgreifend auf unberechtigte ZUgriffe auf mein Netzwerk mit 10 Clients und einem DC einzugehen.

Dabei möchte ich eine Firewall und ein Antivirus Programm einsetzen (Vielleicht auch im Bundle). Möchte aber nicht jeden PC einzelnen konfigurieren (Zeitgründe)

Welche Firewalls/AV-Progs sind zu empfehlen?

Hab schonmal ein Augenmerk auf GData! (AntiVirenKit 2005 pro) da würde dann nur noch eine Firewall fehlen, bin aber auch für andere Tips und Vorschläge offen!!!

Link zu diesem Kommentar
Auf anderen Seiten teilen
masei85

masei85

Geschrieben
  • Autor
Geschrieben

Also

Serverbetriebssystem: WIN2k3 Server Enterprise Edition. ADS ist konfiguriert.

Clientbetriebssystem ist WINXP mit SP2.

Die Lösung sollte so günstig wie möglich aber auch so gut wie möglich sein.

Auf was meinst du sollte ich sonst noch achten wegen den unberechtigten Zugriffen?

Link zu diesem Kommentar
Auf anderen Seiten teilen
janlutmeh

janlutmeh

Geschrieben
Geschrieben

Bei uns wird das ganze in naher Zukunft mehrstufig gelöst. Netzwerkintern mit CA ETrust Antivirus für alle Server und Clients, unkomfortabel aber zentral. Und am Entrypoint mit einer Gatzeprotect Firewall mit integriertem TrandMicro auf der Firewall die den ganze Verkehr schon beim reinkommen checkt.

Wenn das komplett zentralisiert sein soll, könnte man an sowas wie einen Bastion-Host mit W2K3 und ISA 2004 denken mit einer Antivirus-Implementation. Aber alleine beim Gedanken daran verdrehen sich meine Eingeweide, solange das der einzige Schutz fürs Netzwerk wäre. Nicht auszudenken, ein DC mit Firewall und Antivirus, ist vielleicht als SBS Lösung denkbar, das wars dann aber auch. Wenn der fällt wars das.

Das wäre der klassische Single-Point-of-Failure. Ich denke ein mehrstufiges Konzept ist dann schon ratsam. Zusätzlich erhöht das die Bandbreite an technologien die überwunden werden muß.

Link zu diesem Kommentar
Auf anderen Seiten teilen
masei85

masei85

Geschrieben
  • Autor
Geschrieben
Ein paar Stichworte:

- Erweitertes Logging

- Intrusion Detection System

- Intrusion Prevention System

- Honeypot / Honeynet

mfg

cane

Danke für die Hinweise, leider ist das alles neuland für mich, da muss ich mich jetzt erstmal durcharbeiten! mal sehen ob was dabei ist, was ich durchführen kann.

was ich vergessen hatte: Bei dem Netzwerk handelt es sich um einen Schulungsraum mit Internet sowie intranet zugang! Die wichtigen daten der mitarbeiter können auf dem DC hinterlegt werden, da ist für jeden Mitarbeiter ein Homedir angelegt. Auf dem DC sind alle daten gespiegelt (2 Festplatten mit RAID)

Link zu diesem Kommentar
Auf anderen Seiten teilen
masei85

masei85

Geschrieben
  • Autor
Geschrieben

Gibt es eine Firewall die man an einem PC (Server) einrichtet, únd dann auf sämtliche PC's in meinem Netz übertragen lässt?! bei Antivirusprogrammen gibts es sowas aber bei Firewalls??

Mein Problem besteht einfach darin, ich führe dieses Projekt nur am eigenen PC zu Hause durch und kann/darf es nicht komplett in der Firma realisieren! :( d.h. das ich alles auf eigenkostenbasis durchführe, daher kann ich mir nur mit Demoversionen helfen!

Mein Projekt ist also halb real aber auch halb virtuell!

Link zu diesem Kommentar
Auf anderen Seiten teilen
cane

cane

Geschrieben
Geschrieben

Das Szenario ist also ein Schulungsraum mit 10 XP_SP2 Clients und einem WIN2k3 Enterprise DC.

Ich schlage folgendes vor:

1. Die Clients soweit wie möglich beschränken - wie weit genau hängt davon ab welche Art von Schulungen durchgeführt werden. Werden nur bestimmte Anwendungen geschult kannst Du die Clients per Gruppenrichtlinien richtig abdichten, sollen die Benutzer am System "rumspielen" können mußt Du ihnen auch mehr Freiheiten lassen... Interessant könnten für Dich die beiden Freeware-Tools Harden-IT und Secure-IT sein: http://www.heise.de/security/artikel/56314

Außerdem BIOS-Pwd setzen, Bootreihenfolge festlegen und die ganzen anderen Standardmaßnahmen durchführen.

2. Regelmässige Updates - dazu würde ich einen SUS-Server aufsetzen der die Clients automatisiert mit Updates versorgt. Der SUS-Server kann das komplette Netz bedienen - nicht nur den Schulungsraum. Er ist einfach einzurichten und kostet selbst nichts - mehr Infos beispielsweise hier:

http://susserver.com/

http://www.microsoft.com/germany/sicherheit/guidance/prodtech/SUS.mspx

http://cert.uni-stuttgart.de/os/ms/sus.php

3. Firewall und IDS

Da Du das Projekt möglichst günstig realisieren möchtest empfehle ich den Einsatz von IPCop, einer spezialisierten Linux-Dixtribution die auch von Einsteigern schnell und einfach zu bedienen ist (u. a. Webfrontend) und zusätzlich zu einer Firewall (Iptables) auch nette Dienste wie ein IDS (Snort) beinhaltet. Infos:

http://ipcop.org

http://ipcop-forum.de

mfg

cane

Link zu diesem Kommentar
Auf anderen Seiten teilen
cane

cane

Geschrieben
Geschrieben
Gibt es eine Firewall die man an einem PC (Server) einrichtet, únd dann auf sämtliche PC's in meinem Netz übertragen lässt?! bei Antivirusprogrammen gibts es sowas aber bei Firewalls??

Das würde nicht wirklich etwas bringen weil der Server andere Regelsätze benötigt als die Clients. Wenn Du wie oben beschrieben einen IPCop als Firewall zwischen Schulungsraum und restliches Netz hängst kannst du dir eine Firewall auf den Clients sparen, falls Du eine haben möchtest nutze die in XP_SP2 integrierte Windows-Firewall.

mfg

cane

Link zu diesem Kommentar
Auf anderen Seiten teilen
masei85

masei85

Geschrieben
  • Autor
Geschrieben

Ich schaue mir das jetzt alles mal an!

Danke für eure Hilfe!!

Nur eine Frage noch!? Hab ja jetzt die dinge noch nicht installiert und ausprobiert! Hab mir nur mal die Definitionen und beschreibungen durchgelesen und hab überall LINUX oder UNIX gelesen!

Ich bin ein absoluter X-Laie! Ich komm zwar mit der graphischen oberfläche klar aber das wars auch schon!

Ist das jetzt schwer für mich die Programme zu begreifen bwz konfigurieren?

Gibts vielleicht auch Lösungen direkt im Windows Server oder Zusatztools von Microsoft??

Link zu diesem Kommentar
Auf anderen Seiten teilen
cane

cane

Geschrieben
Geschrieben

Den von mir genannten IPCop kannst Du ohne Linuxkenntnisse administrieren :)

Alles bis auf sehr spezielle Sachen ist über das Webfrontend machbar.

Am besten Du saugst Dir mal das aktuelle ipcop1.4.4.iso und installierst ihn auf einem alten Rechner (er überschreibt die ganze Platte aber eine Platte > 1 GB reicht). Die Installation ist in < 15 Minuten geschehen und Du kannst den IPCop

dann per https://"IPdesIPCop":445 erreichen.

Im Bereich Sicherheit spielt Linux übrigens eine sehr wichtige Rolle...

mfg

cane

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...