Hallo,

ich bin neu hier und hoffe das richtige Unterforum erwischt zu haben

Ich hab hier einen Windows2003 Server welcher u.a. als Router fungiert und direkt mit einem Modem mit dem Internet verbunden ist.

Es ist auf dem Server die Basisfirewall aktiviert und konfiguriert. Der Paketfilter wurde noch nicht benutzt aber alle unnötigen Dienste deaktiviert. Ich hätte jetzt noch die Möglichkeit einen vorhandenen D-Link 524 zwischen Server und Modem zu schalten und dessen Firewall nutzen.

Nun ist meine Frage: Ist der Einsatz des D-Link Routers sinnvoll hinsichtlich der Sicherheit des Netzwerks dahinter und der Daten auf dem Server. Es ist klar, dass diese neue Konfiguration sicherlich mehr Sicherheit bieten kann, aber meine Frage ist WIEVIEL? Schließlich sind dahinter nur ca. gut 10 Rechner und evtl den Aufwand nicht wert. Allerdings bietet der Router auch WLAN, was natürlich auch ein PRO wäre.

Bin auf eure Meinungen gespannt

MFG

MrReed

Zitat:

Zitat von MrReed

Allerdings bietet der Router auch WLAN, was natürlich auch ein PRO wäre.

1. Ein Wlan ist eine deutliche Verschlechterung der Sicherheit.
2. Wo betreibt man privat einen legalen Windows 2k3 Server mit 10 Clients?

Bata

Zitat:

Zitat von BataAlexander

1. Ein Wlan ist eine deutliche Verschlechterung der Sicherheit.

richtig.

Zitat:

Zitat von BataAlexander

2. Wo betreibt man privat einen legalen Windows 2k3 Server mit 10 Clients?

Schrieb er/sie/es nichts drüber.


@ TO: es kommt ganz darauf an, soll der Internetzugang über/vom Server geregelt werden, ist die Methode falsch, da alles am Server vorbeigehen wird.

Das ist sehr einfach Als Wirtschaftsinformatik Student (aber erst 2. Semester) im Rahmen der MSDNAA Ist also alles mit legaler Mircosoft Lizenz!

Mir ist schon klar das WLAN ein großes Sicherheitsrisiko darstellt jedoch unterstützt der Router WPA2 und den Radius Server-Betrieb. Man könnte es also im Rahmen der möglichen von WLAN verhältnismäßig (!!!) sicher machen. Natürlich ist WLAN trotzdem ne Katastrophe, da der Server aber nicht mitten in der Stadt steht sondern in einem Vorort wo weit und breit kein anderes WLAN ist, hält sich MEINESerachtens das Risiko klar in Grenzen.

Bitte zurück zum Thema

Zitat:

Zitat von Shadow

richtig.
@ TO: es kommt ganz darauf an, soll der Internetzugang über/vom Server geregelt werden, ist die Methode falsch, da alles am Server vorbeigehen wird.

Genau der Server soll weiterhin den Internetzugang regeln. Nur eben statt direkt über das Modem mit dem D-Link dazwischen. Und dort ist meine Frage, wie sicher der Windows2003 Server ohne den DLINK ist und ob ich durch den Einsatz einer Zusatzfirewall im DLINK-Router an Sicherheit gewinne. Anders gesagt, wie katastrophal ist denn die Sicherheit bei nem gut (das unterstelle ich jetzt mal, auch wenn das NOCH nicht der Fall ist) konfigurierten Win2003 Server mit RAS

MFG

MrReed

P.S: Mr => also ein Er

Hallo.

Benutzt du einen extra W2k3 Server nur um den als Router zu "missbrauchen" ? Was macht der Server den noch?
Ich würde den Server hinter dem Dlink-Router schalten, so dass das System geschützt und eben nicht direkt aus dem Internet zu erreichen ist.

Nein natürlich nicht. Die Kiste stellt noch einen Datei-(RAID5),Drucker-, SQL und Webserver (für .NET Webanwendungsentwicklung) dar. Außerdem ist er noch ein HTPC. Was dann noch an Leistung übrig ist frisst Boinc auf. Er wird also in gewisser Weise durch den HTPC missbraucht, aber sonst absolut NICHT! Und Win2003 so hinzubiegen dass es als HTPC taugt, ist kein Spaß! Da brauchts mehrere Dateien aus dem XP usw. aber wiederrum ist das nicht der Topic

MFG

MrReed

P.S. Sicher den GAG kann man sich nur im Rahmen der MSDNAA "leisten", sonst müsste man ein XP MCE im umgekehrten Fall missbrauchen. Früher machte das auch ein Linux Server (also das Routing, sonst nix) aber HTPC mit Linux ist mit der falschen TV-Karte ein Ding der unmöglichkeit und mit Windows hab ich das hier gefragte Sicherheitsthema.

Also bei den ganzen Diensten die auf deinem W2k3 laufen, da würde ich den auf jeden Fall hinter dem Router klemmen. Das ist ein deutlicher Sicherheitsgewinn.

Nun ja, die Einbrauchsgefahr via WPA (oder WPA2) ist ja bei hinreichend guten Passwort und hinreichend fehlerfreiem Gerät eher theoretischer Natur, die geringe Reichweite tut ihr übriges - zumindest auf dem Land (da bräuchte es u.U. nicht einmal WEP).

Auch ich würde (bzw. habe "identisch") meinen Server (heute) hinter einem DSL-Router laufen. Gerade im privaten Einsatz, ist es ganz praktisch wenn der Internetzugriff auch mal ohne Server funktioniert. Großer Vorteil eine Softwareservers ist allerdings (acuh im privatem Rahmen) eben die vielfältige Unterteilung und Beschränkung die möglich ist. Nicht jeder SoHo-Hardwarerouter kann unterschiedliche Subnetze, quasi keiner kann Nutzerbezogen den Internetzugang regeln. Trotzdem ist es im privaten Umfeld meist den Aufwand nicht wert und es ist halt ärgerlich wenn du am Server was (testweise) bastelst und nichts geht mehr in Richtung Internet (auch keine Windows-Hilfe-Seiten).

Danke euch zwei erstmal. Also werd den Router dazwischen schalten aber an den Router kommt nur der Server und DANN die Clients über den Server. Das hat zwar den Nachteil, dass der Server laufen muss damit das Internet verfügbar ist (das soll er aber sowieso, da er neben seinen normalen Diensten u.a. auch Trafficinfos über SNMP bereitstellt) Es hat aber den Vorteil, wenn wirklich jemand in das WLAN reinkommen sollte, muss er immerhin noch die Basisfirewall des Server überwinden. Außerdem kann ich mit dem Server besser den Traffic für einzelne Clients verwalten/begrenzen.

MFG

MrReed

Zitat:

Zitat von MrReed

Außerdem kann ich mit dem Server besser den Traffic für einzelne Clients verwalten/begrenzen.

besser?
Nur!
(ich bezweifle dass das D-Link-Teil da irgendwas kann - hab's mir aber nicht angesehen. Es gibt "Kästchen", die können dies schon, sind aber nicht ganz billig.)

Allerdings geht ein WLAN-Nutzer am Server vorbei - zumindest glaube ich nicht dass du dem AP dieses D-Link-Teiles ein anderes Netz zuweisen könntest, welches dann erst über den Server (dieser wiederum als Router mit Zugangsbeschränkung/-kontrolle dienend) zum DSL-Router geht.
Brauchst du W-LAN nicht => ausschalten.

Wenn der Server Probleme hat, kannst du ja mit minimalen Änderungen, andere PCs ins Internet routen, also hast du diesen Vorteil durchaus noch in der Hand.

Bedenke aber, wenn du den Internetzugang überwachst, dass du - auch im privatem Umfeld(!) - den Datenschutz sowohl rechtlich wie auch zwischenmenschlich-ethisch-moralisch einhältst. Beschränken ja, mithorchen, mitprotokollieren, überwachen nur ganz im Groben bzw. nach Absprache mit den jeweiligen(!) Personen.
Liest du z.B. heimlich E-Mails mit, begehst du u.U. eine Straftat - und wie gesagt, auch rein menschlich macht man dies nicht! (Nicht jeder ist ein Schäuble)
Hüte dich davor, alles zu protokollieren, was möglich ist.

Danke für den Hinweis! Aber es geht mir rein um die Aufteilung des Traffics sonst greife ich nicht ein oder höre gar irgendetwas ab.
Zu dem WLAN, ich muss dem D-Link keine Netze zuweisen, da an seine 4 Ports nur der Server kommt, es führt also als WLAN-Einbrecher kein Weg am Server vorbei (rein Hardwaretechnisch ausgeschlossen) Die zusätzlichen Ports des D-Link nutze ich bewusst NICHT. Dafür hab ich ein "gescheites" 24-Port Switch nach dem Server.
Wegen dem Traffic, man kann, wie du schon gesagt hast, mit Bordmitteln des DLINK nicht den Traffic überwachen. Aber in Kombination mit RouterControl ist das möglich, jedoch nicht sehr komfortabel und detailiert.

Danke nochmal an alle für eure Infos!

MFG

MrReed

Zitat:

Zitat von MrReed

es führt also als WLAN-Einbrecher kein Weg am Server vorbei (rein Hardwaretechnisch ausgeschlossen)

Du hast mich oder wir uns oder ich dich
...
mißverstanden:

Nutzt DU oder einer deiner zugelassenen Gäste das WLAN für den Weg ins Internet, so geht er NICHT durch den Server (sondern am Server vorbei in dem Sinne, dass der Server nicht tangiert wird)

Mit RouterControl kannst du m.W. nur den Traffic anzeigen lassen, aber nicht regeln oder steuern, schon gar nicht zeit- oder nutzerbezogen einschränken oder freigeben. Auch ist keine Filterung (Black-Whitelist, Contentfilter, etc...) möglich.

Ok wir haben uns wirklich missverstanden. Denn das ist für mich kein Thema. Wer zu mir rauskommt und ins WLAN einbricht um über meine 2000er Leitung zu surfen, der hat wohl ein Rad ab Wichtig ist mir nur die Datensicherheit und die ist gewährleistet weil er wie gesagt noch über den Server müsste um an Daten zu kommen. Ob wer der einbricht dann über den Router surfen kann, ist mir weniger wichtig. Man muss Prioritäten setzen!

MFG

MrReed

Schon richtig, aber - theoretisch - wenn einer dein WLAN nutzt um im Web Spam, Viren, Kinderporno o.ä. zu verbreiten bringt dich dies mehr oder weniger ins Gefängnis.
1.) Müsstest du beweisen, dass du es nicht warst
2.) würdest du Beihilfe leisten (irgendwann werden die Gerichte, ein nicht ordentlich abgesichertes WLAN als Beihilfe werten, noch dazu bei jemanden der den Sachverstand haben sollte(!) - hoffentlich)

Also tu es nicht als belanglos ab und schalte WLAN ab bei nichtgebrauch oder mache es so sicher wie möglich.