Hallo, also folgendes Szenario: Ein lokales Netzwerk mit strukturierter Verkabelung, Fritzboxfon 7270 und ein 2 Switche am der Fritzbox, 7 Rechner, ein Netzwerkdrucker, ein RS485/Ethernet Umsetzer, das ist die Hardware die Switche sind nicht managebar. Also alle sind erstmal im gleichen Netz. Einige Rechner sollen zugang zum Internet haben und zB der rs485 umsetzter nicht. Es soll auch die Möglichkeit für einen Rechner gegeben sein Ihn per DNS aus dem Internet anzusprechen für FTP, Netmeeting, WAKE ON LAN und evtl. ein Remotzugriff. (da ich mehrere Monate im Ausland sein werde) Jetzt die einfache Frage wie macht man das, aber sicher? Ok ich fange mal an also die normalen Sicherheitsratschläge wie zb.: Betriebssysteme höher oder gleich WIN2K oder Linux system, nicht als Admin arbeiten aktuellen Virenscanner, Ports deaktivieren die man nicht braucht ...vorausgesetzt. bleiben wir bei den Ports, toll wenn man nun FTP nutzen will muss der ja offen bleiben oder gibt es eine Alternative? Ist ja doch ein Protokoll was gerne verwendet wird. Nützt es was auf den Rechnern Virtuelle Maschinen laufen zulassen und die Virtuellen und Realen in ein extra Netzt zu packen und den austausch zwischen den Netzten über ein speziellen(virtuellen) Firewall Rechner zu machen wo man dann alle Protokolle sperrt also die oben genannten nur in das Netzt lässt worin die Virtuellen Rechner sind denn die Firewall der Fritzbox ist ja quasi durchlöchert wenn man mehrere Ports freigeben will/muss? Als Software stehen mir auch eine Win 2003 Server Lizenz (MSDNAA-Lizenz) bzw. mehrere WINXP home und Prof. Lizenzen zur verfügung. Als Virtuelle kann man ja Linux nehmen dann reichen die Lizenzen auch. Sicherlich wäre es möglich den 2003 server zu betreiben und eine Domäne zu betreiben, versuchsweise möchte ich das mal probieren aber zum täglichen gebrauch ist das ja mit kanonen auf spatzen geschossen und wenig praktikabel. Was habt ihr für Ideen bin für alle ernstgemeinten Ratschläge offen.
Also, ich würde empfehlen ein VPN einzurichten. Reines FTP ist zu unsicher dafür. SFTP habe ich noch nie eingerichtet und kann daher keine Aussage dazu machen. Die FTP Anfragen sollen dann über den VPN Tunnel erfolgen. Du wirst dann wohl auch einen DynDNS brauchen. Für Notfälle würde ich eine KLeine Box empfehlen, mit der Du über das Telefon und einen DTMF-Code die ganzen Geräte per "Notabschaltung" ausschalten kannst. Evtl auch wieder anschalten (Nurr falls jemand den Rechner hacken sollte, da Du ja nicht im Lande bist. Sonst fällt mir grad nix dazu ein.
Den internetserver in die DMZ, dh Internet-Router-Internetserver-Router-LAN(Rest)
Hallo, hab sowas bei mir am Laufen. Internet - Router/Firewall (LinuxBox) - LAN Den Rechner mit der Firewall musst halt mit mindestens 2 NICs ausstatten! Hast halt den Vorteil, dass du auch DHCP fürs LAN, DNS und sonstige nette und brauchbare "Server" laufen lassen kannst. Willst auch nen Proxy (Squid) brauchst ordentlich RAM oder deine Performance is ziemlich unten! Somit kanns an der Firewall bestimmen was rein oder raus darf. Einen VPN-Server einzurichten ist auch keine Problem, gibt ja genug tutorials im Netz (Google ist dein Freund). FTP is wie schon gesagt eher unsicher. Ich hab einen SSH Zugang auf die LinuxBox (NICHT AUF DEM STANDARDPORT 22!!!). Hatte anfangs auf Port 22 den SSH offen. Ergebnis: hunderte Angriffe/Zugriffsversuche auf den ROOT User... DynDNS muss sein, hast ja ne wechselnde IP und ausserdem schauts besser aus wenn du xxx.dyndns.org eingibst anstatt 72.66.0.61 oder sowas... Auf der Firewall ein IDS (Intrusion Detection System) wie zB Snort nicht vergessen! Kannst ja auch mal eine Out-of-the-box Lösung wie IP-Cop oder sowas probieren... Eleganter is allerdings eine selbstgeschnitzte Lösung, da du da auch genau weißt, was passiert. Grüße, Markus
Ich würde auch empfehlen, vor deine ganze Geschichte in jedem Fall eine Linuxkiste einzuschalten. Und zwar um Gottes Willen nicht einfach nur an den Switch hängen. Die Kiste hat zwei eigene Netzwerkkarten zu kriegen, eine nach außen (=Internet) und eine nach drinnen (Switch etc.). Dann erst wird vernünftig gefiltert und durchgeroutet, wenns denn erlaubt ist. Da du nen Router benutzt, geh ich mal davon aus, dass der konfigurierbar ist, und dass auf dem Gerät sowieso ein Linux-System läuft. Aber schaden kann die zweite Barriere auf keinen Fall. Von virtuelle Maschinen halt ich persönlich nix, das is auch nur wieder Software, die Fehler hat, alles verlangsamt und falsch eingestellt werden kann. Was den selektiven Internetzugang angeht (Rechner ja, RS485 nein etc.): Entweder du filterst per MAC-Adresse raus (ist unsicher, die kann mit Leichtigkeit verstellt werden), oder du schaffst dir wirklich eine zwischengeschaltete Linux-Kiste an: Unser Schulnetzwerk hat eine solche Filterkiste (Slackware-Linux), die hat mittlerweile fünf Netzwerkkarten eingebaut: * Internet (=nach draußen) * WLAN * Netzwerk Gymnasium * Netzwerk angrenzende Realschule über Glasfaser-Uplink * Netzwerk Verwaltung Einzig und allein dieser Rechner hatte dann direkten Zugriff aufs Internet; alles Andere muss erst durch den Rechner durch gefiltert werden. DYNDNS kannste dann diesem Rechner gleich mitauferlegen... EDIT Nachtrag: Was dein FTP angeht: Pack auf diese Linux-Kiste entweder gleich dein VPN-Zeugs, oder lass da nen guten SSH-Server laufen. Der kann nämlich auch ganz gezielt einzelne Verbindungen verschlüsseln. Ist super-flexibel.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.