mikrocontroller.net

Forum: PC Hard- und Software Sicheres Heimnetzwerk


Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

also folgendes Szenario: Ein lokales Netzwerk mit strukturierter 
Verkabelung,
Fritzboxfon 7270 und ein 2 Switche am der Fritzbox, 7 Rechner, ein 
Netzwerkdrucker, ein RS485/Ethernet Umsetzer, das ist die Hardware die 
Switche sind nicht managebar. Also alle sind erstmal im gleichen Netz. 
Einige Rechner sollen zugang zum Internet haben und zB der rs485 
umsetzter nicht.

Es soll auch die Möglichkeit für einen Rechner gegeben sein Ihn per DNS 
aus dem Internet anzusprechen für FTP, Netmeeting, WAKE ON LAN und evtl. 
ein Remotzugriff. (da ich mehrere Monate im Ausland sein werde)

Jetzt die einfache Frage wie macht man das, aber sicher?

Ok ich fange mal an also die normalen Sicherheitsratschläge wie zb.: 
Betriebssysteme höher oder gleich WIN2K oder Linux system, nicht als 
Admin arbeiten aktuellen Virenscanner, Ports deaktivieren die man nicht 
braucht ...vorausgesetzt.

bleiben wir bei den Ports, toll wenn man nun FTP nutzen will muss der ja 
offen bleiben oder gibt es eine Alternative? Ist ja doch ein Protokoll 
was gerne verwendet wird.

Nützt es was auf den Rechnern Virtuelle Maschinen laufen zulassen und 
die Virtuellen und Realen in ein extra Netzt zu packen und den austausch 
zwischen den Netzten über ein speziellen(virtuellen) Firewall Rechner zu 
machen wo man dann alle Protokolle sperrt also die oben genannten nur in 
das Netzt lässt worin die Virtuellen Rechner sind denn die Firewall der 
Fritzbox ist ja quasi durchlöchert wenn man mehrere Ports freigeben 
will/muss?

Als Software stehen mir auch eine Win 2003 Server Lizenz (MSDNAA-Lizenz) 
bzw. mehrere WINXP home und Prof. Lizenzen zur verfügung. Als Virtuelle 
kann man ja Linux nehmen dann reichen die Lizenzen auch. Sicherlich wäre 
es möglich den 2003 server zu betreiben und eine Domäne zu betreiben, 
versuchsweise möchte ich das mal probieren aber zum täglichen gebrauch 
ist das ja mit kanonen auf spatzen geschossen und wenig praktikabel.

Was habt ihr für Ideen bin für alle ernstgemeinten Ratschläge offen.

Autor: Matthias (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Also, ich würde empfehlen ein VPN einzurichten. Reines FTP ist zu 
unsicher dafür. SFTP habe ich noch nie eingerichtet und kann daher keine 
Aussage dazu machen. Die FTP Anfragen sollen dann über den VPN Tunnel 
erfolgen.

Du wirst dann wohl auch einen DynDNS brauchen.

Für Notfälle würde ich eine KLeine Box empfehlen, mit der Du über das 
Telefon und einen DTMF-Code die ganzen Geräte per "Notabschaltung" 
ausschalten kannst.
Evtl auch wieder anschalten (Nurr falls jemand den Rechner hacken 
sollte, da Du ja nicht im Lande bist.

Sonst fällt mir grad nix dazu ein.

Autor: 6638 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Den internetserver in die DMZ, dh 
Internet-Router-Internetserver-Router-LAN(Rest)

Autor: Markus L. (lucky79)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

hab sowas bei mir am Laufen.

Internet - Router/Firewall (LinuxBox) - LAN

Den Rechner mit der Firewall musst halt mit mindestens 2 NICs 
ausstatten!
Hast halt den Vorteil, dass du auch DHCP fürs LAN, DNS und sonstige 
nette und brauchbare "Server" laufen lassen kannst. Willst auch nen 
Proxy (Squid) brauchst ordentlich RAM oder deine Performance is ziemlich 
unten!

Somit kanns an der Firewall bestimmen was rein oder raus darf. Einen 
VPN-Server einzurichten ist auch keine Problem, gibt ja genug tutorials 
im Netz (Google ist dein Freund). FTP is wie schon gesagt eher unsicher.

Ich hab einen SSH Zugang auf die LinuxBox (NICHT AUF DEM STANDARDPORT 
22!!!).
Hatte anfangs auf Port 22 den SSH offen. Ergebnis: hunderte 
Angriffe/Zugriffsversuche auf den ROOT User...

DynDNS muss sein, hast ja ne wechselnde IP und ausserdem schauts besser 
aus wenn du xxx.dyndns.org eingibst anstatt 72.66.0.61 oder sowas...

Auf der Firewall ein IDS (Intrusion Detection System) wie zB Snort nicht 
vergessen!

Kannst ja auch mal eine Out-of-the-box Lösung wie IP-Cop oder sowas 
probieren... Eleganter is allerdings eine selbstgeschnitzte Lösung, da 
du da auch genau weißt, was passiert.

Grüße,
Markus

Autor: Sven P. (haku) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich würde auch empfehlen, vor deine ganze Geschichte in jedem Fall eine 
Linuxkiste einzuschalten. Und zwar um Gottes Willen nicht einfach nur 
an den Switch hängen. Die Kiste hat zwei eigene Netzwerkkarten zu 
kriegen, eine nach außen (=Internet) und eine nach drinnen (Switch 
etc.). Dann erst wird vernünftig gefiltert und durchgeroutet, wenns denn 
erlaubt ist.

Da du nen Router benutzt, geh ich mal davon aus, dass der konfigurierbar 
ist, und dass auf dem Gerät sowieso ein Linux-System läuft. Aber schaden 
kann die zweite Barriere auf keinen Fall.

Von virtuelle Maschinen halt ich persönlich nix, das is auch nur wieder 
Software, die Fehler hat, alles verlangsamt und falsch eingestellt 
werden kann.

Was den selektiven Internetzugang angeht (Rechner ja, RS485 nein etc.): 
Entweder du filterst per MAC-Adresse raus (ist unsicher, die kann mit 
Leichtigkeit verstellt werden), oder du schaffst dir wirklich eine 
zwischengeschaltete Linux-Kiste an:

Unser Schulnetzwerk hat eine solche Filterkiste (Slackware-Linux), die 
hat mittlerweile fünf Netzwerkkarten eingebaut:
* Internet (=nach draußen)
* WLAN
* Netzwerk Gymnasium
* Netzwerk angrenzende Realschule über Glasfaser-Uplink
* Netzwerk Verwaltung

Einzig und allein dieser Rechner hatte dann direkten Zugriff aufs 
Internet; alles Andere muss erst durch den Rechner durch gefiltert 
werden.

DYNDNS kannste dann diesem Rechner gleich mitauferlegen...

EDIT
Nachtrag: Was dein FTP angeht: Pack auf diese Linux-Kiste entweder 
gleich dein VPN-Zeugs, oder lass da nen guten SSH-Server laufen. Der 
kann nämlich auch ganz gezielt einzelne Verbindungen verschlüsseln. Ist 
super-flexibel.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.