DanielV 10 Geschrieben 29. Januar 2007 Melden Teilen Geschrieben 29. Januar 2007 Hallo, ich hab nun bei meiner Firma ein VPN-Server mit Routing und Ras (Win Server 2003) eingerichtet. Intern funktiniert es einwandfrei. Für extern habe ich bei meinen Router (Netgear DG834) den Port 1723 geöffnet. Leider unterstützt mein Router nicht das GRE Protokoll, so müsste ich den DMZ-Standardserver auf dem Router aktivieren und auf dem Server weiterleiten. Ich hab gehört dies ist ein Sicherheitsrisiko, da alle unbekannten Anfragen automatisch an den Server geschickt werden. Wie groß ist das Sicherheitsrisiko? (kann man mit dem Leben) Was könnte im schlimmsten Fall alles passieren? Bedeutet dass dann dass jeder mit dem "\\meinserver" automatisch auf die Ordner Freigaben gelangen kann. Freue mich schon auf eure Antworten.. Grüße Daniel Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 29. Januar 2007 Melden Teilen Geschrieben 29. Januar 2007 Du solltest dem Server in diesem Fall 2 Netzwerkkarten spendieren und ihn zum NAT Router mit Basisfirewall machen. Mit einer Karte würde ich das nicht machen, da in der Tat alle von extern initiierten Anfragen zum Server geleitet wird ... Und Du bist sicher, dass Dein Router keine Funktion wie VPN-Passthrough (oder wie auch immer das heissen mag) hat ? Allerdings würde ich das auch mit den 2 Karten so machen, selbst wenn der Router das Passthrough beherrscht ... Zitieren Link zu diesem Kommentar
DanielV 10 Geschrieben 29. Januar 2007 Autor Melden Teilen Geschrieben 29. Januar 2007 Hallo, vielen Dank schon mal. Das mit den 2 Karten finde ich eine gute Idee, aber leider weis ich nicht wie ich den Server zum NAT Router mit Basisfirewall machen kann. Mit welcher IP sollte ich dann die neu Netzwerkkarte versehen (eigene Subnetzmaske?) Gibt es da eventuell eine Anleitung? Vielen Dank. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 29. Januar 2007 Melden Teilen Geschrieben 29. Januar 2007 Auf jeden Fall befinden sich die externe Karte des Servers und die interne LAN-Verbindung des Routers in einem Subnetz und die die interne Karte des Servers und die Clients in einem anderen Subnetz ... Für NAT kann ich Dir was schicken ... Zitieren Link zu diesem Kommentar
lopes 10 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 hi IThome und Netzguru, könnte mir jemand von euch das auch schicken? schonmal danke. Gruß Lopes Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Hi, aus Security Sicht würde ich von von einem solchen Aufbau jedoch abraten. Es ist nie eine gute Idee einen Server direkt ins Internet zu stellen. Eine Basis Firewall bietet wie der Name schon sagt nur einen Grundlegenden Schutz und ersetzt keine vollwertige FW. BTW: Nach reiner Lehre sollte jeder Server in der DMZ dual Homed sein ;) Gruß Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Klar, Application-Layer Firewall und physikalische DMZ ist natürlich besser ... :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.