firewall konzept

[mokelettsop]

hi leute,
wer kann mir eine brauchbare lösung für folgende aufgabenstellung anbieten?

habe 2 pc und einen dsl-router (d-link di-604).
windows xp und verschieden personal firewalls.

ich will den pc1 für internet und mail - nicht besonders schützenswürdig. hab mir gedacht ich lass den norton internet security drauf und automaische firewall regeln generieren. av ist auch drauf und wenn halt mal was passiert (würmer,usw) dann setzt ich ihn halt neu auf (ca. 1 stunde).

den zweiten pc will ich komplett geschützt haben. keine internet zugang (gesperrt durch den router) und keine verbindug von PC1.
dort soll nur der zugriff auf pc1 möglich sein um daten zu kopieren die gemailt werden oder vom internt kommen. der pc2 soll vom internet geschützt sein und vom pc1. pc2 darf nur zu pc1! niemand und nichts soll zu pc2 kommen *g*.

wer hat eine passende lösung für mich?

lg chris

 

[haudraufundschluss]

Das kommt mir ein wenig paranoid vor...
Der Router selbst beherrscht NAT, was bedeutet, dass die internen IP-Adressen nach außen nicht sichtbar sind. Wenn Du über T-Online ins Internet gehst, bekommst Du ohnehin von außen jedes Mal eine neue IP zugewiesen und damit ist das schon ein recht guter Schutz.
Ansonsten würde ich bei Deinem Wunsch auf den Router ganz einfach verzichten und PC 1 mit zwei Netzwerkkarten ausstatten. Mit der einen geht´s dann ins Internet und Nummer zwei verbindest Du mit PC zwei. Wäre wahrscheinlich noch vor dem Router die preiswertere Lösung gewesen.

 

[mokelettsop]

mag schon sein, dass nat am router für einen datenschutz reicht.
glaub ich zwar nicht, denn dann wären ja die personal firewalls überflüssig...

würde mich trotzdem interessieren, wie die lösung aussieht.
lg chris

 

[haudraufundschluss]

glaub ich zwar nicht, denn dann wären ja die personal firewalls überflüssig...

Wo war bloß meine Pertunze hin...

 

[Anonymous]

ich glaub ich bin im falschen forum ....

 

[haudraufundschluss]

ich glaub ich bin im falschen forum ....

Was erwartest Du, wenn Du hier ein paar Brocken hinschmeißt und dann den ungläubigen Thomas spielst?

 

[mokelettsop]

... und jetzt kenn ich auch schon einen zweiten, der im falschen forum ist. :bash:

 

[Heiko]

Fangen wir doch mal am Anfang an:
Wovor willst Du Dich eigentlich schützen?

 

[DocSnyder]

hi leute,
habe 2 pc und einen dsl-router (d-link di-604).
windows xp und verschieden personal firewalls.

Eine gescheite Firewall reicht. Diese sollte allerdings nicht unter Windows laufen. Ein fast geschenkter Flohmarkt-PC mit "fli4l"-Installation tut's vollkommen und ist leicht zu konfigurieren.

ich will den pc1 für internet und mail - nicht besonders schützenswürdig.

Soll ich dir mal das Logfile meines Mailservers zeigen, insbesondere wie viele E-Mail-Würmer tagtäglich von solchen "nicht besonders schützenswürdigen" PCs kommen?

hab mir gedacht ich lass den norton internet security drauf und automaische firewall regeln generieren. av ist auch drauf und wenn halt mal was passiert (würmer,usw) dann setzt ich ihn halt neu auf (ca. 1 stunde).

Bis du merkst, dass der PC Würmer verschickt, hat er davon schon Abertausende in der Welt verteilt und T-Online evtl. sogar schon den Stecker gezogen (die können schnell sein wenn sie nur wollen). Gerade wenn der Rechner unbedingt unter Windows laufen muss (warum eigentlich?), sollte man ihn per Firewall so abschotten, dass er nur noch das Nötigste darf.

den zweiten pc will ich komplett geschützt haben. keine internet zugang (gesperrt durch den router) und keine verbindug von PC1.
dort soll nur der zugriff auf pc1 möglich sein um daten zu kopieren die gemailt werden oder vom internt kommen.

Egal wie die Daten von PC1 auf PC2 gelangen (auch per Turnschuhnetz, d. h. Wechseldatenträger wie Disketten oder USB-Sticks) kann sich dieser etwas einfangen, sofern es sich um mehr als Plain-Text-Dateien handelt.

der pc2 soll vom internet geschützt sein und vom pc1. pc2 darf nur zu pc1! niemand und nichts soll zu pc2 kommen *g*. wer hat eine passende lösung für mich?

Wenn du zwischen PC1 und PC2 Daten austauschen willst, muss Kommunikation in beide Richtungen möglich sein. D. h. beide müssen sich anpingen können. PC2 und Router sollen sich jedoch nicht gegenseitig erreichen.

PC1 muss dazu multihomed sein, d. h. zwei IP-Adressen besitzen, damit ihn sowohl PC2 als auch der Router erreichen kann. PC2 steckt nun in einem Netzsegment, das nur PC1 kennt, aber nicht der Router. Defaultrouting gibt's auf PC2 nicht. Damit ist dieser nur von PC1 aus erreichbar, aber nicht vom Router aus.

Beispiel:
192.168.0.0/28 für Router und PC1
192.168.0.16/28 für PC1 und PC2
(die Netze können auch größer oder kleiner sein, aber /28 mit 14 nutzbaren Adressen ist für eine Handvoll Maschinen gerade richtig, da man einerseits noch genügend Luft für neue Rechner hat und andererseits nicht den Überblick verliert. Ein /29 mit 6 nutzbaren Adressen würde auch reichen.)

Konfiguration:
Router: 192.168.0.1, Netz 192.168.0.0, Netzmaske 255.255.255.240
PC1 erstes Interface: 192.168.0.9, Netz 192.168.0.0, Netzmaske 255.255.255.240
PC1 zweites Interface: 192.168.0.17, Netz 192.168.0.16, Netzmaske 255.255.255.240
PC1 Defaultrouting: 192.168.0.1
PC2: 192.168.0.25, Netz 192.168.0.16, Netzmaske 255.255.255.240
kein Defaultrouting für PC2!

Dass man auf PC2 keine Serverdienste freigeben sollte (und zwar gar keine, erst recht keine Netzlaufwerke), ist hoffentlich selbstverständlich.

/.
DocSnyder.

 

[Der Genervte]

@DocSnider

Fein, fast wie aus einem Lehrbuch.

Hast nur eins dabei vergessen: Windoof!
Mit NetBEU tauschen MS-Rechner Infos aus, wer welche Rechner/Routen kennt. Es sollte also alles bis auf TCP/IP deinstalliert/abgeschaltet sein.
Und, hilfreich ist es, den Rechner 1 mit festen Schwachsinnsrouten (zu/durchs interne Netz) zuzumüllen. Nach meinem Erfahrungswert sind 25 Fake-Routen ausreichend. Dann ist der Timeout, und es wird nicht weiter nach anderen Rechnern gesucht. Wenn Schadprogramme keine eigenen Routienen mitbringen und auf das Win-System angewiesen sind, ist dann Schluß.

Tja, da sieht man es wieder: bei Linux weiß man, was man eingerichtet/frei gegeben hat. Bei Windos ist man sich nie sicher, welche Hafeneinfahrt noch offen ist.

 

[Counselor]

Hast nur eins dabei vergessen: Windoof!
Mit NetBEU tauschen MS-Rechner Infos aus, wer welche Rechner/Routen kennt ... Tja, da sieht man es wieder: bei Linux weiß man, was man eingerichtet/frei gegeben hat. Bei Windos ist man sich nie sicher, welche Hafeneinfahrt noch offen ist.

1. Windows bietet NetBEUI der Abwärtskompatibilität wegen
2. NetBEUI setzt man nur in nicht-gerouteten Umgebungen ein (20-200 PCs)
3. Umkehrschluss aus 2.: in einem gerouteten Netzwerk schaltet man es ab.
4. Welche Scheunentore bei den Netzwerkprotokollen offen sind, siehst du in den Eigenschaften der Netzwerkumgebung, wo du die offenen Scheunentore einfach deinstallieren kannst.
5. In einer Netzwerkumgebung plant man die Installation, bevor man ein Betriebssystem aufspielt und nicht umgekehrt.

Wo ist also das Problem?

Ich empfehle auch zu lesen:
http://www.microsoft.com/technet/itsolutions/howto/sechow.asp?frame=true#a
Insbesondere zum TCP/IP Protokollstapel:
http://support.microsoft.com/default.aspx?scid=kb;en-us;315669&sd=tech

 

[DocSnyder]

Die Windoofkiste könnte sich selbst Defaultrouten verpassen soviel sie lustig ist, aber das würde nichts helfen. Der Router könnte sie trotzdem nicht anpingen. Die IP-Adresse von PC2 (192.168.0.25) liegt nämlich außerhalb 192.168.0.0/28 (192.168.0.0-15), und der Router kennt kein spezifisches Routing zu 192.168.0.16/28. Nur PC1 kennt dieses.

Wenn der Router die Windoofkiste nicht erreicht, sind zumindest keine TCP-Verbindungen möglich, da das TCP-Handshake bereits eine Kommunikation in beide Richtungen voraussetzt.

/.
DocSnyder.

 

[Der Genervte]

@Counselor + DocSnider

Beides richtig - nur nach der Art der Fragestellung wollte ich darauf hinweisen, das noch mehr gemacht werden muß.

@DocSnider
Lt. Definition richtig, aus eigener Erfahrung kann ich Dir jedoch versichern, das nach einiger Laufzeit (wenn alle Protokolle drin sind) zugriffe drin sind. Wenn Du die Möglichkeit hast, setze es mal zu testzwecken auf und warte 2-3 Tage. Dann ist da, was nicht da sein sollte.

 

[DocSnyder]

Ich bin seit 1998 komplett M$-frei, deshalb kann ich so eine Teststellung schlecht nachbauen, um festzustellen, was Redmondschrott alles an Unfug treibt.

Deswegen meine ich ja - zumindest der Router sollte nicht unter Windoof laufen.

/.
DocSnyder.

 

[Counselor]

Deswegen meine ich ja - zumindest der Router sollte nicht unter Windoof laufen.

Man sollte generell keine Softwarerouter einsetzen. Dazu besteht auch bei Heimnetzwerken keine Notwendigkeit, da es günstige ADSL Modem/Router/NATlösungen für schlappe 60 € gibt:

http://www.saturn.de/frontend/offer...1013196&grp_id=371000011&sub_grp_id=371000016

 

[Der Genervte]

@Counselor + DocSnider

Wieder beides richtig - nur....

... seit dem die NT-Nachfolger (XP, 2K) Einzug gehalten haben, wird ein Router standardmäßig mitinstalliert (ICS) und bei "Bedarf" aktiviert.
Wenn nun irgendwo noch andere Rechner in Subsystemen verzeichnet sind, könnte das für Schadprogramme interessant sein - da wollen sie ja im Allgemeinen auch hin. Das Starten des Dienstes ist dabei das Geringste Prob.

 

[Counselor]

... seit dem die NT-Nachfolger (XP, 2K) Einzug gehalten haben, wird ein Router standardmäßig mitinstalliert (ICS) und bei "Bedarf" aktiviert

Das wäre der RRAS Dienst. Der ist standardmäßig auf der Workstation deaktiviert. Ferner ist er abhängig von der NetBIOS Schnittstelle (NetBIOSGroup), kann also ohne NetBIOS wohl nicht gestartet werden. Und wer hindert dich, den eingehenden NETBIOS und UDP Verkehr in deinem Netz zu sperren?

 

[Der Genervte]

@Counselor

Wie ich schon mal geschrieben hatte: wollte nur darauf hinweisen, das bei Windoof mehr zu machen ist.

 

[mokelettsop]

Hab gar keinen Mailserver. Nur einen Mailclient und der hat Norton Internetsecurity drauf. Hab nur die wichtigsten Ports am Router offen 25,80,110. Nur für PC1, PC2 wird blockiert am Router. Ich hoffe der Norton erkennt die Würmer usw. 8)

...PC1 muss dazu multihomed sein, d. h. zwei IP-Adressen besitzen, damit ihn sowohl PC2 als auch der Router erreichen kann. PC2 steckt nun in einem Netzsegment, das nur PC1 kennt, aber nicht der Router. Defaultrouting gibt's auf PC2 nicht. Damit ist dieser nur von PC1 aus erreichbar, aber nicht vom Router aus....

d.h. ich brauche eine 2ten switch oder eine ausgekreuztes kabel ...
oder erfolgt die Netztrennung über nur 1 Router?

Wo stell ich die IP-Adresse für das Netz ein? :gruebel:

 

[DocSnyder]

...PC1 muss dazu multihomed sein, d. h. zwei IP-Adressen besitzen, damit ihn sowohl PC2 als auch der Router erreichen kann. PC2 steckt nun in einem Netzsegment, das nur PC1 kennt, aber nicht der Router. Defaultrouting gibt's auf PC2 nicht. Damit ist dieser nur von PC1 aus erreichbar, aber nicht vom Router aus....

d.h. ich brauche eine 2ten switch oder eine ausgekreuztes kabel ...

Du brauchst nicht einmal eine zweite Netzwerkkarte, sondern du gibst dem Interface eine zweite IP-Adresse.

Wo stell ich die IP-Adresse für das Netz ein? :gruebel:

Wie dies unter Witz2K oder WitzP geht und ob überhaupt, können andere besser beantworten. Unter *n?x geht's so:

# ifconfig eth0 192.168.0.9 broadcast 192.168.0.15 netmask 255.255.255.240 up
# ifconfig eth0:0 192.168.0.17 broadcast 192.168.0.31 netmask 255.255.255.240 up
# route add default gw 192.168.0.1

/.
DocSnyder.