Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

IP-Cop oder doch eine Hardware-Firewall?

Sovebämse am 03.11.2006, 19:34 / 25 Antworten / Flachansicht

Ein Kollege, der mit Netzwerken zu tun hat und auch für grössere Firmen den Support übernimmt, hat wieder mal meine Firewall - IP Cop auf separatem Rechner - kritisiert und gemeint, eine Hardwarefirewall sprich Router mit integrierter Firewall würde genügen und sei "besser". Bei IP-Cop kommt man ja zum Beispiel ohne Passwort auf das Interface drauf, ist das normal oder kann man das auch einstellen? Ist es auch üblich, dass man immer http:// und den Port 81 angeben muss, damit man drauf kommt?

Ich wollte eigentlich immer ein Netzwerk, das so sicher wie nur möglich ist, was ist denn nun die sicherste Lösung?

Ah und noch was: der Kollege meinte, man solle WLAN im Laptop wenn immer möglich ausschalten, da sich sonst jemand reinhacken könnte oder so.

Mir ist jetzt gerade aufgefallen, dass man ja einfach das Passwort ändern ... Sovebämse 03.11.2006, 20:00

Von IP-Cop habe ich noch nie gehört... wenn diese Firewall auf einem ... Olaf19 03.11.2006, 20:20

Also der Router ist mein Server sozusagen. Dort kann ich ja auch einen ... Sovebämse 03.11.2006, 20:28

Ja, so etwas dachte ich mir schon. Wahrscheinlich ein alter Rechner, der ... Olaf19 03.11.2006, 20:56

Welche Sicherheitsmassnahmen haben denn namhafte Firmen um sich zu ... Sovebämse 03.11.2006, 21:18

Mit dem Begriff Server kann ich in diesem Zusammenhang nichts anfangen, und ... Olaf19 03.11.2006, 21:28

Den Server brauche ich einfach, um die Clients an einer Domäne anzumelden, ... Sovebämse 03.11.2006, 21:47

Mit dem Benötigen ist das so eine Sache - ich bin seit Jahren ohne jede ... Olaf19 03.11.2006, 21:52

...Welche Sicherheitsmassnahmen haben denn namhafte Firmen um sich zu ... GarfTermy 03.11.2006, 22:30

Mal so eine allgemeine Frage: Was heisst eigentlich gut konfiguriert ? Z.B. ... Sovebämse 03.11.2006, 22:41

Genau das meinte ich, als ich vorhin schrieb, dass die Firewalls in den ... Olaf19 03.11.2006, 23:01

ich bezweifle extrem, dass du über die notwendigen lizenzen verfügst. ? Ventox 04.11.2006, 10:36

? Vielleicht hilft das zum Verständnis... :- out-freyn 04.11.2006, 14:38

Was Firmen machen ist etwas anderes, als was man zuhause machen will. Eine ... xafford 03.11.2006, 23:25

Da fällt mir ein: warum muss man die Patches bei IP-Cop von Hand machen? ... Sovebämse 03.11.2006, 23:37

Dito! Echt klasse solche Infos zu lesen! Hätte auch noch ein zwei Fragen: ... OWausK 04.11.2006, 09:47

xafford

OWausK „Dito! Echt klasse solche Infos zu lesen! Hätte auch noch ein zwei Fragen: Wie...“

04.11.2006, 11:03 Optionen

Hallo Oli,

wie schon geschrieben, das ist alles vom Szenario abhängig. Bei der einfachsten Ausbaustufe einer DMZ stehen meist alle Server parallel oder sind teilweise komplett auf einer physikalischen Maschine vereint. Das hat seine Vorteile bei den Kosten und dem Wartungsaufwand.

Es gibt aber auch komplexe Szenarien, in denen zB zwei DMZs hintereinander geschaltet werden. In der ersten stehen Maschinen die Dienste im Internet anbieten, da auf diese ohnehin aus dem LAN kein Zugriff nötig ist (meist existiert dafür ein paralleles Wartungs- und Konfigurationsnetz). In der zweiten DMZ stehen dann Proxy und Mailserver (wobei dem Mailserver dann gerne noch ein Store-and-Forward-Mailproxy in DMZ1 vorgeschaltet wird).

Was die Webserver betrifft, so kann man auch den Webserver im LAN belassen und zB den Zugriff von Extern (Internet) darauf auch er Proxy abwickeln, was den Vorteil hat, dass man bestimmte gefährliche Anfragen an den Webserver (zB bekannte Exploits der Serversoftware) schon über den Proxy filtern kann. Dies sollte aber nicht der gleiche Proxy sein, über den Mitarbeiter aus dem LAN ins Internet kommen.

In der Regel wird man sich auf eine DMZ beschränken, aber die Maschinen zumindest in zwei physikalische Maschinen trennen. Die eine wickelt Anfragen aus dem Internet ab wie Webserver, FTP, Mails, die andere ist dann der Proxy für den Weg der Mitarbeiter ins Internet.

Komplizierter wird es wie gesagt bei der Anbindung externer Mitarbeiter an das LAN. Das liegt weniger an der Gefahr von Enbrüchen, sondern daran, dass die externen Arbeitsplätze in der Regel nicht zentral administriert und gesichert werden können und dadurch potentiell als korrumpiert betrachtet werden müssen (die gleiche Gefahr hat man mit Mitarbeiternotebooks im LAN) und deswegen nicht uneingeschränkt in das lokale Netz eingebunden werden sollten. Im besten Fall hat man für diese Maschinen ein eigenes Netz, in welches die benötigten Resourcen entweder gespiegelt werden, oder nur über fest definierte Zugriffswege abgerufen werden können.

Was findest du denn an IP-Cop zu viel an Angriffsfläche? Das ist ein ... xafford 04.11.2006, 10:43

Ah, das hast du falsch verstanden. Mein IP-Cop läuft auf einem separaten ... Sovebämse 04.11.2006, 11:00

Ah, das hast du falsch verstanden. Mein IP-Cop läuft auf einem separaten ... xafford 04.11.2006, 11:26

Hi Xaff, danke für dein ausführliches fachkundiges Statement... jetzt ... Olaf19 03.11.2006, 23:42

Hallo Olaf, Heißt das, dass die eingesetzte Sicherheitssoftware ... xafford 04.11.2006, 11:08

Klar, gegen Schadsoftware gibt es Virenscanner - das ist nicht die Baustelle ... Olaf19 04.11.2006, 14:33

Auch von meiner Seite ein fettes Danke! Gruss OWausK 04.11.2006, 14:58

danke, hat spaß gemacht mich zu informieren. und deine antworten sind ... MDK123 04.11.2006, 20:30