Tag zusammen,
ich hoffe, ich vermische nicht zu viele Fragen auf einmal.
Wir haben im Moment ein klassisches Setup:
1
/ DSL-Modem -> Router -> Rechner A, B, C ...
2
TAE -> Splitter <
3
\ NTBA -> ISDN-Telefon
Da wir gerade neu gebaut haben (schön viele Leerrohre) und sich
demnächst ein geräumiges Server-Rack im Keller befindet, war mein Wunsch
den ganzen Gerätepark einmal zu sortieren/konsolidieren.
Das Serverrack befindet sich etwa in 5 m Abstand (Leerrohrlänge) von der
TAE-Dose. Folgende Fragen geistern mir mir durch den Kopf, wozu ich
gerne mal ein paar Meinungen hätte:
Ist es sinnvoll das Kabel aus der TAE-Dose bis in den Serverschrank zu
verlängern? Gibt es da geschirmte Kabel für? Oder ist es pauschal besser
erst dem Kabel nach dem DSL-Modem die notwendige Länge zu verleihen?
Beim NTBA ergibt sich auch die Frage, ob der Ein- oder der Ausgang
verlängert werden sollte (der landet am Ende im Patch-Panel im Schrank)
Da die Routing-Funktion später mal durch den Server erledigt werden soll
(benötigt ja nur 1-2 Netzwerkkarten dafür), hatte ich mich gefragt, ob
man das DSL-Modem als Steckkarte (PCIe?) bekommen kann. Damit hätte ich
einen Kasten (Blackbox) weniger, hoffentlich mehr Konfigurations- und
Diagnosemöglichkeiten und ggf. geringere Latenzen durch den Wegfall von
PPPoE, Netzwerkkarte, etc. Allerdings müsste ich dafür die analoge
Zuleitung verlängern. Eine solche Karte konnte ich jedoch bislang nicht
finden. Ist die Idee so abwegig?
Ich weiß, dass es viele "Hauptsache es funktioniert"-Lösungen gibt. Aber
ich habe im Moment die Chance es vernünftig zu machen und würde diese
gerne nutzen.
Danke und schöne Grüße,
runtimeterror
Kai Giebeler schrieb:> Aber ich habe im Moment die Chance es vernünftig zu machen und würde diese> gerne nutzen.
Vernünftig wäre es, eine Fritzbox hinzustellen. Alles andere ist
Gebastel.
> ggf. geringere Latenzen
Bei den durch die DSL-Codierung zwangsläufig anfallenden Latenzen ist
alles andere völlig egal.
Würde sich vielleicht einer von euch zu mir herablassen und mich mit ein
paar Erklärungen erleuchten?
> Bei den durch die DSL-Codierung zwangsläufig anfallenden Latenzen ist> alles andere völlig egal.
Ok danke dir, bleiben noch alle anderen Argumente...
> Vernünftig wäre es, eine Fritzbox hinzustellen. Alles andere ist> Gebastel.
Was ist daran Gebastel? Was soll ich mit einem Gerät, dessen
Funktionsumfang ich nur zu einem Bruchteil nutze?
... und warum werden hier immer genau die Dinge diskutiert, die ich
gar nicht zur Diskussion gestellt habe?
Kai Giebeler schrieb:> Ist es sinnvoll das Kabel aus der TAE-Dose bis in den Serverschrank zu> verlängern? Gibt es da geschirmte Kabel für? Oder ist es pauschal besser> erst dem Kabel nach dem DSL-Modem die notwendige Länge zu verleihen?
das kabel ist mehre km ungeschirmt vom nächsten T-Com verteiler bis zu
dir verlegt, glaubst du wirklich das sich 5m irgendwie auswirken?
Bis gerade wusste ich nicht, dass die Kabel ungeschirmt verlegt werden.
Bei einem Freund von mir hat ein kürzeres Kabel mal zu weniger
Verbindungsabbrüchen geführt - das war bislang die einzige Infomation,
die ich dazu besaß.
Dann kann das ganze Gerümpel zumindest schonmal zwei Räume weiter,
danke!
Kai Giebeler schrieb:> Ist es sinnvoll das Kabel aus der TAE-Dose
Es ist sinnvoll die gelieferten Teile im Urzustand zu lassen, damit sie
im Störfall (z.B. Blitzschaden) unkompliziert ausgetauscht werden
können.
Wenn alles in den Schrank soll, dann beachte bitte auch die
Wärmeentwicklung!
Kai Giebeler schrieb:> Routing-Funktion später mal durch den Server erledigt werden soll
Du solltest erst mal den Stromverbrauch von Fritzbox und dem Server
Deiner Träume vergleichen. 24h*365d
Handbücher/Daten findest Du z.B. da:
http://www.avm.de/de/Service/Handbuecher/index.php?category=FRITZ!Box
oszi40 schrieb:> Kai Giebeler schrieb:>> Routing-Funktion später mal durch den Server erledigt werden soll> Du solltest erst mal den Stromverbrauch von Fritzbox und dem Server> Deiner Träume vergleichen. 24h*365d
Das ist einfach:
Serververbrauch < Serververbruch + Fritz!Box-Verbrauch
Der Server läuft seit 5 Jahren 24/7 ... die eine Netzwerkkarte mehr
macht den Kohl auch nicht fett.
> Es ist sinnvoll die gelieferten Teile im Urzustand zu lassen
Hä? Wie definierst zu Urzustand bei einem Kabel? Ob ich jetzt ein
kurzes oder ein langes Kabel kaufe ist doch wurscht?!
du braucht nicht mal 2 netzwerkkarten.
Einfach ein normales Modem oder einen router wo man noch auf dem Modem
zugreifen kann. dann kann du auf dem Server PPPoE laufen lassen dieser
legt dann eine PPP* device an.
So läuft es bei mir seit jahren ohne Probleme. Eine 2.Netwerkkate würde
zwar nicht schaden aber bringt auch kaum vorteile.
Ein Modem als PCI karte gab es mal von AVM aber aktuell gibt es da
meines wissen nichts mehr.
Peter II schrieb:> So läuft es bei mir seit jahren ohne Probleme. Eine 2.Netwerkkate würde> zwar nicht schaden aber bringt auch kaum vorteile.
Danke, gut zu hören.
Die zweite Netzwerkkarte wollte ich primär aus Sicherheitsgründen,
nachdem ich gesehen habe, wie das PPPoE-Protokoll nach dem Modem sucht.
Ginge aber natürlich auch ohne.
> Ein Modem als PCI karte gab es mal von AVM aber aktuell gibt es da> meines wissen nichts mehr.
Ich finde auch immer nur die AVM-Karte oder so lustige Kombinationen, wo
die Netzwerkkarte mit dem Modem auf einer PCI-Karte sitzt?!
Kai Giebeler schrieb:> Ich finde auch immer nur die AVM-Karte oder so lustige Kombinationen, wo> die Netzwerkkarte mit dem Modem auf einer PCI-Karte sitzt?!
Bei mir liegt noch eine DSL-S0 Kombikarte von AVM rum. Ich kann diesen
ewigen Hype hier im Forum über die AVM und Fritzboxen aber auch nicht
verstehen. Es gibt durchaus auch andere sehr gut funktionierende Router,
die bessere Möglichkeiten als das AVM Geraffel bieten, von den Preisen
mal ganz abgesehen. Und etwaige Sicherheitlöcher werden bei den besseren
Linuxdistros schneller gestopft als bei jeder Routerfirmware.
Eine gut aufgesetzte Routersoftware mit ner anständigen Firewall auf
einer aktuellen Linuxbox ist durchaus eine Alternative. Zumal die
gleiche Kiste dann noch Samba, Mail, netatalk, Printserver und all die
anderen Sachen machen kann, die man so braucht. Läuft bei mir seit
Jahren rocksolide, würde aber eine 2te Netzwerkkarte für WAN empfehlen.
Da behält man einfach besser den Überblick.
Kai Giebeler schrieb:> Aber> ich habe im Moment die Chance es vernünftig zu machen und würde diese> gerne nutzen.
Ich würds alles in den Schrank verfrachten, wenn der gut belüftet ist.
Da kann man die Tür abschliessen und die gesamte Kabelage ordentlich
drin verstauen. Am besten 2 Patchfelder rein, damit du eines für S0 und
eines für Ethernet hast. Eine etwaige Telefonanlage kannst du dann
entweder auf den Server aufsetzen (Asterisk) oder zusätzlich in den
Schrank einbauen.
Kai Giebeler schrieb:> Ist es sinnvoll das Kabel aus der TAE-Dose bis in den Serverschrank zu> verlängern? Gibt es da geschirmte Kabel für?
Das Kabel für die TAE-Dose kann man fast beliebig verlängern. Ich mache
das meistens mit einen Cat5e Kabel, da ich es generell bei
Installationen mithabe und es ausreichend geschirmt ist.
Kai Giebeler schrieb:> Die zweite Netzwerkkarte wollte ich primär aus Sicherheitsgründen
und aus den Sicherheitsgründen willst du deinen Server direkt mit dem
Internet koppeln? Selbst die einfachen Router erhöhen die Sicherheit.
MfG Goto
Von der internen Karte würde ich abraten. Bei Blitschlag ist es
wahrscheinlicher, dass der Server was abbekommt. Die Stromerstarnis von
Server + PCIe und Server + Fritzbox dürfte im unteren einstelligen
Wattbereich sein (außerdem hätte die Fritzbox meist noch WLAN, VPN und
ISDN+ Fax2Mail mit neuer Firmware)
Wenn du der Fritzbox allerdings das Routing nicht zutraust, dann sollte
man es schon professionell machen und einer Firewall überlassen (und
damit mein ich nicht die Softwarefirewall der
Internetverbindungsfreigabe von Windows!)
Gruß
Roland
Das Sicherheitskonzept, Server und Router zu vereinen, ist nicht ganz
unumstritten. Da würde ich bei einer Kiste, die 24/7 mit dem Internet
verbunden ist, nochmal ein Weilchen drüber nachdenken.
Rufus Τ. Firefly schrieb:> Das Sicherheitskonzept, Server und Router zu vereinen, ist nicht ganz> unumstritten. Da würde ich bei einer Kiste, die 24/7 mit dem Internet> verbunden ist, nochmal ein Weilchen drüber nachdenken.
ob nun der Router - was auch nur ein PC ist - mit dem internet verbunden
ist oder ein echter PC ist von der sicherheit egal.
Selbst die Windowsfirewall macht 100% von außen dicht. Alles blocken
außer verbinden die von innen aufgebaut werden kann heute wirklich jeder
Packetfilter. Und wenn man seinen Webserver von außen ereichbar haben
will muss man den Port eh zum PC weiterleiten, dann bringt ein router
auch keine Sicherheit mehr.
Angriffe über netzt macht heute niemand mehr, 99% der Angriffe gehen vom
PC aus in dem dort irgendwelche JAVA/JAVAscript/browser lücken
ausgenutzt werden und da hilft auch der Beste router mit firewall nicht.
Kai Giebeler schrieb:> Was ist daran Gebastel? Was soll ich mit einem Gerät, dessen> Funktionsumfang ich nur zu einem Bruchteil nutze?
Noch... außerdem hat es einen unschlagbaren Vorteil: Es funktioniert
"out of the box".
Kai Giebeler schrieb:> Bei einem Freund von mir hat ein kürzeres Kabel mal> zu weniger Verbindungsabbrüchen geführt
Meist sind das Problem zusätzliche Abzweigdosen und ein sowieso schon
Grenzwertiges DSL Signal, dann kann das was bringen (hatte ich auch
schon mal den Fall).
Peter II schrieb:> ob nun der Router - was auch nur ein PC ist - mit dem internet verbunden> ist oder ein echter PC ist von der sicherheit egal.
Kann man so sehen. Muss man aber nicht.
> Selbst die Windowsfirewall macht 100% von außen dicht.
Wenn sie zuverlässig funktioniert.
Kai Giebeler schrieb:> Bis gerade wusste ich nicht, dass die Kabel ungeschirmt verlegt werden.
Es ist eine Telefonleitung und entsprechend simpler Telefondraht. Der
war noch nie geschirmt.
Peter II schrieb:> ob nun der Router - was auch nur ein PC ist - mit dem internet verbunden> ist oder ein echter PC ist von der sicherheit egal.
Es geht nicht darum, ob es ein Router oder ein PC ist, sondern darum,
daß das System, wo die ganzen Daten zentral gelagert werden, nicht
direkt aus dem Internet erreichbar ist. So muß man sich in zwei (noch
dazu recht unterschiedliche) Systeme hacken, bevor man an die Daten
kommt.
> Selbst die Windowsfirewall macht 100% von außen dicht. Alles blocken> außer verbinden die von innen aufgebaut werden kann heute wirklich jeder> Packetfilter. Und wenn man seinen Webserver von außen ereichbar haben> will muss man den Port eh zum PC weiterleiten, dann bringt ein router> auch keine Sicherheit mehr.
Doch, da man den Router dann so konfigurieren kann, daß man sich auf
diesen von außen gar nicht einloggen kann. Und der routet dann nur den
einen Port weiter. Dann einen Exploit zu finden, mit dem man da trotzdem
reinkommt, ist sehr viel schwerer, als wenn der Rechner direkt
erreichbar ist und einen offenen Port hat. Da kann man durch passende
Exploits Code auf dem Rechner ausführen und damit dann andere Ports
öffnen.
> Angriffe über netzt macht heute niemand mehr,
Diese Behauptung halte ich für Unsinn.
Rolf Magnus schrieb:> Doch, da man den Router dann so konfigurieren kann, daß man sich auf> diesen von außen gar nicht einloggen kann. Und der routet dann nur den> einen Port weiter. Dann einen Exploit zu finden, mit dem man da trotzdem> reinkommt, ist sehr viel schwerer, als wenn der Rechner direkt> erreichbar ist und einen offenen Port hat. Da kann man durch passende> Exploits Code auf dem Rechner ausführen und damit dann andere Ports> öffnen.
wenn man ein port an den Server weiterleitet, dann kann man auch direkt
den Server angreifen, der router kann da nicht mehr machen.
Und sicherheitsupdate für Router sind sind ja fast eine ausnahme,
aktuell Betriebssysteme werden da besser geflegt.
Und wenn ich den Router übnehmen kann, dann ist es ein kinderspiel in
den rest des netzes zu kommen (Man-in-the-middle).
Peter II schrieb:> Und sicherheitsupdate für Router sind sind ja fast eine ausnahme,> aktuell Betriebssysteme werden da besser geflegt.
Die Angriffsmöglichkeiten auf einen Router sind auch um Größenordnungen
geringer als bei Betriebssystemen. Router zu hacken ist deshalb viel
schwieriger, weil
- aufgrund der Modellvielfalt der Hack genau auf das Gerät abgestimmt
sein muß
- das OS der Router i.d.R. proprietär ist
- sofern der Admin nicht pennt, der Router nach außen dicht ist
- der Hack geflasht werden muß, soll er dauerhaft sein
Bei den 2-3 gängigen PC-Betriebssystemen ist ein Hack wesentlich
einfacher, weil man auf bekannte Schwachstellen und Exploits
zurückgreifen und einen "breitbandigen" Angriff starten kann.
Icke ®. schrieb:> - das OS der Router i.d.R. proprietär ist
meist linux - nichts mit proprietär
> - sofern der Admin nicht pennt, der Router nach außen dicht ist
genau das ist ja ziel vom packetfilter, geht genauso auf dem PC
> - der Hack geflasht werden muß, soll er dauerhaft sein
nein, siehe WRT54GL oder FritzBox dort kann man ohne Probleme dinge zu
laufzeit ablegen.
> Bei den 2-3 gängigen PC-Betriebssystemen ist ein Hack wesentlich> einfacher, weil man auf bekannte Schwachstellen und Exploits> zurückgreifen und einen "breitbandigen" Angriff starten kann.
worauf willst du denn einen Angriff starten wenn kein Port offen ist?
Wenn ein port offen ist, dann muss man auch das Portforwarding vom
router einrichten - damit ist dann der server auch angreifbar.
Wenn man also Router und Server hat - dann man man 2 Angriffstellen.
Peter II schrieb:> worauf willst du denn einen Angriff starten wenn kein Port offen ist?> Wenn ein port offen ist, dann muss man auch das Portforwarding vom> router einrichten - damit ist dann der server auch angreifbar.
Nein. Wenn der direkt mit dem Netz verbundene Server dank seiner
Firewall nur einen offenen Port hat, aber durch einen Exploit dieser
Port angreifbar ist, also in den Server eingedrungen werden kann, dann
kann ab diesem Zeitpunkt die Firewall als nicht existent angesehen
werde. Und damit steht der Server praktisch mit runtergelassener
Unterhose im Netz. Und die auf dem Server liegenden Daten sind damit
auch komplett ungeschützt.
Bei einem per Portforwarding durch einen Router erreichbarem Server kann
der Server zwar auch in diesen Zustand versetzt werden, er ist aber nach
wie vor nur durch diesen einen Port erreichbar, ein Schadprozess muss
also ausgehende Netzwerkverbindungen nutzen (die, wenn der Router sauber
konfiguriert ist, auch nicht alle durchgelassen werden) oder alles, was
er macht, über den einen von außen erreichbaren Port tunneln.
Es gibt übrigens noch andere Router als die ewige Fritzbox, die z.B.
auch VPN-Endpunkt sein können - ein k.o.-Kriterium für externen Service.
Ich selber besitze einen Draytek IPBX 2820 , der gleich noch vertable
Telefonanlage ist und zu dem es auch ein Rack-Trägerblech als Zubehör
gibt.
Kunden, die sich das leisten können, installiere ich meist
Lancom-Router, ebenfalls mit Rackträger ... wird übrigens auch bei
Weitem nicht so heiss wie eine FB.
Rufus Τ. Firefly schrieb:> Bei einem per Portforwarding durch einen Router erreichbarem Server kann> der Server zwar auch in diesen Zustand versetzt werden, er ist aber nach> wie vor nur durch diesen einen Port erreichbar, ein Schadprozess muss> also ausgehende Netzwerkverbindungen nutzen (die, wenn der Router sauber> konfiguriert ist, auch nicht alle durchgelassen werden) oder alles, was> er macht, über den einen von außen erreichbaren Port tunneln.
wenn es wirklich in den Server geschafft hat,dann hat er auch mit dem
Tunnel überhaupt kein Problem. Und wenn er IP over DNS macht.
Frank schrieb:> Es gibt übrigens noch andere Router als die ewige Fritzbox, die z.B.> auch VPN-Endpunkt sein können - ein k.o.-Kriterium für externen Service.
willst du damit sagen die FritzBox kann kein Endpunkt sein? für die gibt
es doch extra einen VPN client.
Peter II schrieb:> meist linux - nichts mit proprietär
Als Beispiel Lancom und Cisco -> absolut proprietär. Arcadyan-basierte
Router, also viele Easyboxen und Speedports, ebenfalls. Die meisten
Router nutzen natürlich als OS irgendwelche Unix-Derivate, allerdings
modifiziert und auf das Modell zugeschnitten. Standard-Linux wohl eher
selten.
> nein, siehe WRT54GL oder FritzBox dort kann man ohne Probleme dinge zu> laufzeit ablegen.
Die aber dennoch geflasht werden müssen, sollen sie nach Neustart noch
wirksam sein. Auf das Dateisystem eines PCs läßt sich wesentlich
einfacher zugreifen.
> worauf willst du denn einen Angriff starten wenn kein Port offen ist?
Rufus hat es schon erklärt.
Letzlich kann es uns natürlich wurscht sein, was Peter II mit seinem
Server anstellt. Wenn er der Ansicht ist, daß all die Leute, die sich
mit Sicherheitskonzepten, Routern, DMZ etc. beschäftigen, Trottel sind,
dann darf er das gerne. Solange vom Geschick seines Servers nicht auch
andere Leute abhängen (wie z.B. Arbeitsplätze, wenn dieser Server in
einer Firma betrieben wird, oder die Daten von anderen Anwendern, die
Serverfunktionen nutzen, die ihnen Peter II zur Verfügung stellt),
bitte. Offene Messer sind nicht verboten, das Reinlaufen auch nicht,
auch wenn es schmerzhaft ist.
Peter II schrieb:> willst du damit sagen die FritzBox kann kein Endpunkt sein? für die gibt> es doch extra einen VPN client.
Ich mag keine Lösungen, für die man einen extra Clienten braucht. Mein
Favorit ist bisher verschlüsseltes PPTP. Ja nun, ist nicht super-sicher,
aber dafür ist ein Zugang in jedem erwachsenen Betriebssystem (Win, Mac,
...) out-of-the-box stressfrei einzurichten ...
Frank schrieb:> Ich mag keine Lösungen, für die man einen extra Clienten braucht.
Falls die Abneigung auf der Kostenpflichtigkeit beruht... für IPSec
eignet sich u.a. der freie Client von Shrewsoft, der auch mit LANCOMs
als Gegenstelle zuverlässig funktioniert.
> > meist linux - nichts mit proprietär> Als Beispiel Lancom und Cisco -> absolut proprietär.
und schon gehackt
http://www.securitytube.net/video/266Icke ®. schrieb:> Die aber dennoch geflasht werden müssen, sollen sie nach Neustart noch> wirksam sein. Auf das Dateisystem eines PCs läßt sich wesentlich> einfacher zugreifen.
nein ebend nicht, dort kann man ja sogar packete installieren die
bleiben auch nach neustart vorhanden.
Rufus Τ. Firefly schrieb:> Letzlich kann es uns natürlich wurscht sein, was Peter II mit seinem> Server anstellt. Wenn er der Ansicht ist, daß all die Leute, die sich> mit Sicherheitskonzepten, Routern, DMZ etc. beschäftigen, Trottel sind,> dann darf er das gerne. Solange vom Geschick seines Servers nicht auch> andere Leute abhängen (wie z.B. Arbeitsplätze, wenn dieser Server in> einer Firma betrieben wird, oder die Daten von anderen Anwendern, die> Serverfunktionen nutzen, die ihnen Peter II zur Verfügung stellt),
klar kann euch das wursch sein, aber nur weil ich eine eigene Meinung
habe und nicht jeden Werbeversprechen was auf einer Firewall aufgeklebt
ist vertraue muss es nicht falsch sein.
Viele vergessen nur das sich die Angriffe komplett geändert haben, weil
ebend auf Netwerkebene kaum noch etwas möglich ist. Alles großen hacks
der letzen Zeit wurde mit SQL-Injection und Social Engineering gemacht.
Dageben helfen auch die Beste firewalls nicht.
sobald ein port an einen Server geforwardet wird, erhöht sie die
Ankreifbarkeit auf das vielfaches.
Oder auf den PC wird Skype genutzt, dann kann ich mir gleich das geld
für eine teuere Firewall sparen.
Dann habe die meisten kleinen router bei ein paar tausen verbindung
schon richtige resourcenproblem. Bei einem Synfloot brauchen sie erstmal
ein paar minuten sich zu erholen. (selbst schon auf Cisco-Pic getestet).
Peter II schrieb:> und schon gehackt> http://www.securitytube.net/video/266
Ich habe nicht behauptet, daß ein proprietäres Router-OS nicht gehackt
werden kann. Es ist jedoch um Größenordnungen unwahrscheinlicher als bei
einem PC mit Standard-OS.
Icke ®. schrieb:> Ich habe nicht behauptet, daß ein proprietäres Router-OS nicht gehackt> werden kann. Es ist jedoch um Größenordnungen unwahrscheinlicher als bei> einem PC mit Standard-OS.
dann sag doch mal bitte wann zu letzt ein Angriff auf iptables oder die
Windowsfirewall funktioniert hat - mir fällt da kein Beispiel ein.
Peter II schrieb:> dann sag doch mal bitte wann zu letzt ein Angriff auf iptables oder die> Windowsfirewall funktioniert hat - mir fällt da kein Beispiel ein.http://vigilance.fr/vulnerabilities/iptables-52000http://www.pressetext.com/news/20030521025
Unterschätze auch nicht die Gefahr, die von innerhalb des Netzwerks
ausgeht. Es gibt genug Trojaner, die sich über SMB-Freigaben auf andere
Rechner verbreiten. Bei einem Server, der gleichzeitig für
Dateifreigaben genutzt wird, kann man die entsprechenden Ports ja nicht
sperren. Wenn dann auch noch per Administrator-Account zugegriffen wird,
wie in Heimnetzwerken durchaus üblich, ist der Weg frei. Bei
Hardware-Routern müßte zumindest UPnP aktiviert oder das Paßwort auf
Default belassen worden sein.
Icke ®. schrieb:> http://www.pressetext.com/news/20030521025
ok, aber XP hatte überhaupt keine Ipv6 Stack mit dabei, wer es von hand
installieriert hat muss eh wissen was er tut.
> Unterschätze auch nicht die Gefahr, die von innerhalb des Netzwerks> ausgeht.
richtig, aber was ändere eine Firewall an diesem Problem?
> Es gibt genug Trojaner, die sich über SMB-Freigaben auf andere> Rechner verbreiten. Bei einem Server, der gleichzeitig für> Dateifreigaben genutzt wird, kann man die entsprechenden Ports ja nicht> sperren.
Klar kann man sie nur für das Subnetzt freigeben oder an eine
Netzwerkkarte binden.
> Bei> Hardware-Routern müßte zumindest UPnP aktiviert oder das Paßwort auf> Default belassen worden sein.
versteh den zusammenhang nicht, bei den home-routern kann doch ej jeder
von Innen nach außen.
Oder soll jetzt zwischen den PC und den Server noch eine Firewall?
Peter II schrieb:> Klar kann man sie nur für das Subnetzt freigeben oder an eine> Netzwerkkarte binden.
Die Clientrechner müssen auf jeden Fall mit dem Server kommunizieren
können. Beispiel: Windows-Server mit zwei Netzwerkkarten wird als Router
benutzt. Die Firewall blockt auf dem WAN alle eingehenden Verbindungen,
auf dem LAN sind natürlich die SMB-Ports frei. Nun könnte ein auf dem
Client aktiver Trojaner den Server über SMB befallen und dort die
Firewall deaktivieren. Der steht dann auch WAN-seitig mit
runtergelassener Hose da.
> versteh den zusammenhang nicht, bei den home-routern kann doch ej jeder> von Innen nach außen.
Von innen nach außen, ja. Der Trojaner kann den Router aber nicht
umkonfigurieren, sodaß dieser auch eingehende Verbindungen zuläßt. Außer
eben UPnP ist aktiviert oder das Standardpaßwort wurde nicht geändert.
Icke ®. schrieb:> Die Firewall blockt auf dem WAN alle eingehenden Verbindungen,> auf dem LAN sind natürlich die SMB-Ports frei. Nun könnte ein auf dem> Client aktiver Trojaner den Server über SMB befallen und dort die> Firewall deaktivieren. Der steht dann auch WAN-seitig mit> runtergelassener Hose da.
achso meinst du das. Ja das ist möglich.
Aber warum sollte er die Firewall deaktivieren wenn es einfacher ist
gleich eine Verbindung ins internet aufzubauen? Abgehend verbindung sind
doch zu 99% erlaubt. Und wenn ein Client befallen ist, dann kann er ja
auch die Daten vom Server weiterleiten. Oder der Virus installiert
gleich auf den Client einen VPN tunnel und schon kommt er auf den
Server.
Peter II schrieb:> Aber warum sollte er die Firewall deaktivieren wenn es einfacher ist> gleich eine Verbindung ins internet aufzubauen?
Gute Frage. Praktisch aber schon erlebt. Der Trojaner hat pauschal alle
Sicherheitsfunktionen außer Betrieb gesetzt (Windows-Firewall, Antivir,
Systemwiederherstellung, Windowsupdate, Taskmanager) und deren
Reaktivierung durch den User auch gleich mittels Setzen von GPOs
verhindert. Alle Rechner bis auf einen (der einzige auf halbwegs
aktuellem Patchlevel) waren betroffen. Direkten Schaden gabs noch nicht,
es fiel nur auf, weil das Avira-Schirmchen geschlossen blieb.
Icke ®. schrieb:> Gute Frage. Praktisch aber schon erlebt. Der Trojaner hat pauschal alle> Sicherheitsfunktionen außer Betrieb gesetzt (Windows-Firewall, Antivir,> Systemwiederherstellung, Windowsupdate, Taskmanager) und deren> Reaktivierung durch den User auch gleich mittels Setzen von GPOs> verhindert.
naja, aber dem Admin sollte das schon auffallen. Und es war ja eh schon
alles zu spät da hätte eine externe Firewall auch nichts geholfen.
Man sollte bei jeder Firwall regelmäßig Testen ob sie noch das macht was
sie soll, dabei würde das ja auffallen.
Aber ohne Firewall ist ein sonst aktueller PC immer noch nicht offen -
da müsste man extra noch eine Lücke finden.
Peter II schrieb:> naja, aber dem Admin sollte das schon auffallen.
Eigentlich schon. Aber nicht, wenn der Admin ein normaler Mitarbeiter
ist, der "was von Computern versteht", wie das in vielen kleinen Buden
eben gehandhabt wird. Die Leute haben weder das Wissen noch die Zeit,
sich intensiv mit der EDV zu beschäftigen. Hauptsache es geht irgendwie.
Bis halt gar nix mehr geht.
Hui, hier ist ja richtig was los!
Erstmal danke für die ganzen Einschätzungen! Da meine eigentlichen
Fragen (welches Kabel verlängern; DSL-Modem integrierbar) weitgehend
beantwortet sind, kann ich ja bei der Sicherheitsdiskussion mit
einsteigen ;)
Der Router/Firewall/DHCP soll als VM (Virtuelle Maschine) auf einem
Host-System laufen und bekommt eine dedizierte WAN-Netzwerkkarte. Die
anderen Anwendungen (Medienarchiv, Webserver, Haussteuerung, ...)
bekommen jeweils eine eigene VM. Wer von außen auf das System kommen
sollte, muss erstmal aus der Router-VM ausbrechen um das Host-System zu
übernehmen oder sich anschließend in das nächste System hacken. Da auf
der Router-VM niemand etwas zu suchen hat, kann z.B. bei jeder Anmeldung
eine SMS/E-Mail geschickt werden, das Passwort darf ungemütlich lang
sein, etc.
Ich denke, man kann auf diese Weise schon ein hohes Maß an Sicherheit
erreichen. Erstmal alle Ports von außen zumachen ist auf jeden Fall ein
guter Anfang.
Ich habe keine Lust die Firmware-Verfügbarkeit für zig Geräte manuell zu
prüfen, nur um eventuell gefundene Sicherheitslecks zu schließen. Falls
es für die Linux-Distribution ein Update gibt, bekomme ich das in der
Regel mit.
Gruß und Dank,
Kai
Peter II schrieb:> das kabel ist mehre km ungeschirmt vom nächsten T-Com verteiler bis zu> dir verlegt, glaubst du wirklich das sich 5m irgendwie auswirken?
Vom T-Com-Verteiler bis in Haus ist das Kabel mit Gesamtschirm. Sprich,
du hast "nur" die Einstrahlungen der anderen Telefon-/DSL-Anschlüsse,
die noch mit im Kabel sind. Können aber auch etliche hundert sein.
Thread beobachten
Seitenaufteilung abschalten