Hallo Leute!

Folgende Sachlage: Netzwerk mit NT-Server, ca. 10 Workstations. Jetzt wurde dort eine Standleitung installiert, über die die User surfen können und auch Mails versenden etc.

Natürlich muß das ganze Netz irgendwie geschützt werden - sprich Firewall.

Dazu meine Fragen:
Ein Bekannter hat mir nun empfohlen, eine gute Firewall auf einer eigenen Maschine zu intallieren, z.B. Checkpoint.
Hier muß ich natürlich Lizenzen für die Firewall kaufen. Muß ich da für jede Workstation, die im Netz hängt, eine Lizenz kaufen? Oder zählen nur die Server?
Wenn ich z.B. 5 Lizenzen kaufe und dann hängen im Netzwerkerk z.B. 10 Maschinen dran, ist das illegal bzw. ein Lizenzvergehen?
Bzw. kann die Firma, von der ich die Lizenzen kaufe, von aussen feststellen, wie viele Maschinen im Netzwerk sind?
Wozu ist eigentlich VPN gut?
Ein anderer Bekannter hat mir wiederum geraten, das ganze mittels NAT am Router zu lösen und auf eine Firewall zu verzichten.
Das sei genauso sicher und kostet nix, sagt er. Aber ich bin da nicht sicher, wozu braucht man denn dann eigentlich eine Firewall?

Danke für Eure Tips.

Ein momentan etwas verwirrter

Chris

http://www.home.pages.at/heaven/sec.htm
http://home.t-online.de/home/Gerhard.Glaser/
http://www.firewallguide.com/index.htm

ein paar Links zum Einlesen


in einen Nat Software Proxy kann eine zusätzliche Firewall eingebaut sein, muß sie aber nicht. Es ist ohne Firewall auch ein gew. Schutz, ist schon richtig, nur bist du damit sehr offen.

Als Firma würde ich mich an einen Spezialisten wenden, der mir eine Lösung aus Software, Hardware, bzw. Kombination von beiden erstellt und wartet.

Tips, an wenn du dich wenden kannst, weiß ich leider nicht, aber wahrscheindlich irgendjemand aus dem Forum

enjoy

PS: www.google.com anwerfen um Infos zu bekommen, schadet auch nicht

Oder du machst es ganz einfach (wenn man sich ein bisserl auskennt): Linux auf einem alten PC (da reicht schon ein P75!) aufsetzen, Firewall konfigurieren, und IP-Masquerading (shit, schreibt man das so?) installieren, somit bist recht gut geschützt. Linux kostet im Prinzip nichts, oder nicht viel.

Haben wir selbst so laufen, funkt echt gut. Auf den Clients brauchst dann nur die DNS-Server des Providers einstellen und den Gateway auf die IP-Adresse des Linux-Rechners einstellen.

Ach ja, am Linux-Rechner sind dann 2 Netzwerkkarten installiert (1 fürs interne Netz, 1 die rausgeht an den Router oder Splitter).

mfg. Andre@s

Ähnliche Frage dazu: Kann man in den NAT Router von Win2k Firewall Regeln einbauen?

Und was genau ist dieses IP-Masquerading bzw. welche Funktionen erfüllt es(Firewall??) das es bei Linux gibt. Hört sich recht interessant an(der Name :)) Ich will mich mit Linux beschäftigen, und nimms mir auch dauernd vor, aber ich komm nie dazu. Warum mich das so interessiert ist da wenn ich einen Linux Rechner aufsetzte dann wäre der Natürlich als Router/Firewall ideal.

------------------
so long

@chris9999: Kenn die lizenzvereinbarung von checkpoint nicht aber ich nehme an du brauchst eine lizenz pro firewall, also nur eine. Die Firma kann von aussen aber nicht feststellen wie viele rechner im netz sind, genau dass ist ja der sinn einer firewall.

@LLR + chris999: IP masquerading ist das synonym für NAT unter linux. Was sicherheit angeht ist es besser als nichts aber es schützt nur die clients die über den nat router aufs internet zugreifen, DEN ROUTER ABER NICHT ES IST DAHER KEIN ERSATZ FÜR EINE FIREWALL.

@LLR: w2k bietet zwar keine firewall aber einen packetfilter für die nat routing funktion.

@LouCypher Ist der Paketfilter automatisch aktiviert beim Win2k NAT Router? Bringt der die gleiche "Sicherheit" für die Clients wie das IP Masquerading unter http://www.wcm.at/ubb/tux.gif Linux?

------------------
so long

@LLR: Der paketfliter wird nicht automatisch aktiviert. Was die sicherheit angeht hab ich keine ahnung, hab noch keine erfahrung damit aber ich vermute der schutz wird ähnlich dem von linux sein, paketfilter is paketfilter.

------------------
Greetings
LouCypher

Wo ist der Paketfilter zu aktivieren? Bringt er eigentlich irgendwelche Einschrenkungen für die Clients wenn er aktiviert ist(bestimmte Ports gesperrt??)


------------------
so long

Ich möchte hier einmal einen unkonventionellen Ansatz einbringen: Warum nicht Internet und Firmennetzwerk weitgehendst trennen: Rechner bootet für interne und Internet-Zwecke zwei verschiedene Betriebssysteme: für interne Zwecke zb irgendwas Microsoftiges, für externe Zwecke QNX, ein scheinbar noch ziemlich unbekanntes gratis-Betriebssystem (Linux-basierend), einfachst in der Installation, für alle Internetzwecke geeignet, kann sogar auf Dos-Partitionen fehlerfrei zugreifen und kommt zB mit einer ICS von Win98 bequem und sicher ins Internet!

@klingsor: Da hast natürlich recht, welche firma braucht heutzutage schon email und e-commerce? Der Greißler ums eck lebt auch ohne http://www.wcm.at/ubb/gates1.gif http://www.wcm.at/ubb/gates1.gif http://www.wcm.at/ubb/gates1.gif

------------------
Greetings
LouCypher

@LouCypher: Bezogen auf alle, die einen Internetzugang mit mehreren Computern nützen wollen, wie viele brauchen z.B. einen Exchange-Server (doch selbst den packt QNX locker) und wieviele brauchen superteuren sogenannten e-commerce. Was glaubst Du denn, lauft alles nicht unter QNX? (wenn man mit Linux oder Unix ein bißchen umgehen kann)

Ich zweifle ja nicht an den fähigkeiten von qnx, aber ich zweifle sehr wohl daran das jemand alle 10 bis 30 minuten rebooten will um zu sehen obs neue mails gibt während man an irgend einem word dokument arbeitet. Dass hast du doch gemeint, oder? Dokumente usw. mit zb. word unter windows zu erstellen, und für den internet access qnx booten?

------------------
Greetings
LouCypher

Ich freu mich, daß Du QNX auch Fähigkeiten zusprichst und Du hast mich auch richtig verstanden. Nur frage ich mich ob es für die meisten (!) User wichtig ist, alle 30min Mails zu checken bzw. gleichzeitig mit Internet und MS-Applikationen zu arbeiten. Ich kann jetzt nur aus eigener Erfahrung sprechen, und da ist mir bis jetzt nix abgegangen. Internet-Recherchen, Mails, Downloads etc Wenn ich die Zeit für den Reboot auf komplexe Firewall-Installationen umrechne, die mich letztlich vor manchen heimtückischen MS-Ideen auch nicht retten werden...
QNX bootet übrigens auch sauschnell. Aber ich hab im Linux-Forum schon eine kleine Diskussion darüber angezettelt, lass ma die Netzwerkler damit in Ruhe.

------------------
Das Leben ist eines der schwersten aber es ist alles viel einfacher!

naja, ich find das hat keinen sinn. für was überhaupt email, wenn ich sie net bekomm und nur alle 2-3 stunden anschauen kann.

dann müßte ich immer nt herunterfahren, qnx starten (auch wenns schnell geht)...

dann wieder nt starten, neu anmelden,....

ist viel zuviel zeit. außerdem wenn ein user was dringendes will schreibt er ne mail und wartet auf ne schnelle antwort. nach ner halben stunde hängt der schon am telefon und ist sigant. :D
und was machst wennst ne accessdatenbank bekommst und die anschauenmußt, aber gerade was runterladest :D

sicher ist qnx ein gutes os, aber es wird sicher net so bald verbreiten. (leider)
an ottonormal user ist mit windows schon fast überlastet. :D dann noch qnx, pff das wäre zuviel :D

Na gut, dann will ich mich auch nicht beherrschen:
Kollege Chris9999 kommt mir gar nicht als Otto vor, und wer sagt denn, daß selbst in einer professionellen Netzwerkumgebung alle so arbeiten müssen, wie Du das beschreibst? Eben weil die Ottos mit MS gar nicht leicht zurechtkommen ist ja QNX so lustig! Und ich plädiere dafür, wenn einer so offen fragt wie Chris9999, die Diskussion über Lösungsvarianten möglichst breit zu führen.
Es gibt nämlich durchaus Firmen, die gar nimmer wollen, daß alle überall zu jeder Zeit verbunden mit allen sensiblen Netzwerkressourcen durchs Internet gurken. Gerade die Ottos wissen am allerwenigsten, was für Sicherheitsfragen das aufwirft und gemessen an der Tatsache, daß die User weiterhin die große Basis der Pyramide der Sicherheitsprobleme bilden, kann man die gar nicht genug vor sich selbst schützen! Irgendwie klingst Du aber genau wie einer jener "Poweruser" mit denen die Sicherheitsadministratoren so ihre Alpträume haben!

------------------
Das Leben ist eines der schwersten aber es ist alles viel einfacher!

bei uns hat keiner zugriff ins inet. für was auch? wir haben einenn mailserver laufen.

und als admin bin ich mein eigener alptraum :D

Jetzt bin ich ein bißchen verwirrt, Dein Diskussionsfaden mäandert wie ein Urwaldfluß am Kilimandscharo!

------------------
Das Leben ist eines der schwersten aber es ist alles viel einfacher!

<BLOCKQUOTE><font size="1" face="Verdana, Arial">quote:</font><HR>Original erstellt von Klingsor:
Na gut, dann will ich mich auch nicht beherrschen:
Kollege Chris9999 kommt mir gar nicht als Otto vor, und wer sagt denn, daß selbst in einer professionellen Netzwerkumgebung alle so arbeiten müssen, wie Du das beschreibst? Eben weil die Ottos mit MS gar nicht leicht zurechtkommen ist ja QNX so lustig! Und ich plädiere dafür, wenn einer so offen fragt wie Chris9999, die Diskussion über Lösungsvarianten möglichst breit zu führen.
Es gibt nämlich durchaus Firmen, die gar nimmer wollen, daß alle überall zu jeder Zeit verbunden mit allen sensiblen Netzwerkressourcen durchs Internet gurken.


-darum will er ja a firewall


Gerade die Ottos wissen am allerwenigsten, was für Sicherheitsfragen

-die dau´s sollen sind dafür ned zuständig. das ist aufgabe der admins

t schützen! Irgendwie klingst Du aber genau wie einer jener "Poweruser" mit denen die Sicherheitsadministratoren so ihre Alpträume haben!


-i bin da admin :D
<HR></BLOCKQUOTE>


ich würd ihm einen hardwarerouter und ne hardwarefirewall raten. da euer netz nicht besonders groß ist brauchst nix übergroßes. hardwarerouter und firewall von zyxel kostet zusammen so 15000ats.
alternativ wäre ein (wie schon gepostet) ein linux router mit firewall möglich. wennst jemand findest der ihn die installiert, kommt sehr günstig davon. alten pc (max p200 mehr braucht nicht) und linux (kostenlos runteladen)

wenn mit qnx das gleiche möglich ist (router und firewall) dann wäre das sicher ideal wenns wirklich einfach zu handhaben ist.
mir ist die hardwarelösung am liebsten, kostet halt entsprechend.

zu vpn: hast das vpn angebot von netway bekommen? sowas wird vorraussichtlich unsere alten standleitungen ersetzen. was ich so mitbekommen hab, funkt das ganze etwa so:

du hast ne normale post standleitung bis zum nächsten knoten vom provieder (0-30km)
dann gehen die daten kodiert durch den backbone vom provieder wieder in eine standleitung der post bis zu deinem anderen standort.

wahrscheinlich werden unsere 64k standleitungen (bis jetzt nur für fernwartung, telefon, as400 und s390 anwendungen) auf 512 k bis 1mbit aufgestockt. (für surfen und schellere fernwartung, 64k oh gott ;) )

das ganze kostet uns nur so 35% mehr pro monat. wennst das über normale standleitungen der post laufen lassen würdest, wärst wohl bald arm.
von adsl wurde uns von allen proviedern abgeraten. soll zu anfällig und überlastet sein (keine ahnung ob´s stimmt)

der provider garantiert dir volle datensicherheit (deine netz geht ja durch seinen backbone) wie und wie stark verschlüssselt wird weiß ich noch nicht. falls es blödsinn ist was ich hier erzähle, tut mir leid. ich geb nur weiter was ich von meinen kollegen gehört hab. :)

nochmal klingsor, sicher mag qnx ne tolle sache sein, aber leider wollen die meisten user ein alles drin packet. möglichst einfach und schnell. mir wäre es auch am leibsten wenn die leute unter linux arbeiten würden mit staroffice, opera,..
da können sie nicht viel anstellen. damit kennt sich keiner von denen aus. auch kleine spielchen, herumhüpfende katzen und anderer *.exe kack würd nicht laufen.
aber leider bin nicht ich der chef und die dau´s randalieren wennst ihnen alles sperrst (mir aber wurscht, ist eh a code tür zum serverraum :) )

Hochachtung für die umfassende Auseinandersetzung! Zweifelslos hat Dein Konfigurationsvorschlag viel für sich. Und ich sage ja nicht so wie viele zu Linux: QNX all over and everywhere! Aber es hat ganz einfach konkurrenzlose Vorteile bei Installation und Sicherheit. Und weil Deine Richtung eher dem allgemeinen Standard in NT-Admin-Communities entspricht, will ich mit QNX einfach die Diskussion erweitern, das wirklich wesentliche rausfinden und entscheiden muß dann sowieso chris999 was er dann tut, aber den scheints eh nimmer so zu interessieren!

------------------
Das Leben ist eines der schwersten aber es ist alles viel einfacher!

jedem das seine. ich würde gerne alternativen einsetzen wie linux oder sonstiges. die ganze software wie office, as400, s390 ist problemlos und sehr günstig zu bekommen. jährlich geht viel mehr mehr cash an ibm und microsoft für lizenzen als an mich :(

aber wie gesagt ich bin net die konzernleitung. die hat halt an aldi pc zuhause und findet sowas gut. :D

aber es gibt lichtblicke, denn für .at ist denen eine hardwarefirewall zu teuer (bis jetzt geht´s über ne firewall in .de) und es müssen 2 unix firewall her :D

Na, ich versteh Dich eh schon. Aber ich meine, daß eine Entscheidungsfindung hier im Forum sich doch nicht an den Maximen einer Konzernleitung orientieren soll, oder?

------------------
Das Leben ist eines der schwersten aber es ist alles viel einfacher!

naja, was ist einfacher, ein linux router mit firewall (oder hardware) in ein bestehendes netz eingliedern oder auf jeden pc qnx installieren und dann erst wieder nach einer routing und firewall lösung suchen? :D

wie gesagt wenn es mit qnx möglich wäre, eine einfache und für jeden schaffbare routing und firewall lösung zu installieren, wäre das ein hit (würd mir a patent geben lassen :D )

aber über das thema können wir wohl lange reden. ist die sache vom chris und aus.

[Dieser Beitrag wurde von spunz am 14. Februar 2001 editiert.]

Darf ich Dich ins Linux-Forum einladen, Thema: Gutes-Gratis-Echtzeitbetriebssystem? Diskutiere gern mit Dir dort weiter über alles, was einfacher ist als was? Was ist genau das funktionale Ziel für eine spezifische Usergruppe?

------------------
Das Leben ist eines der schwersten aber es ist alles viel einfacher!