Softwarefirewall auf Server?

[Sailer 11]

Mit 802.1x Authentifizierung kannst du effektiv alle fremdartigen Clients aus deinem internen Netz aussperren und damit die User von ihren Windows Clients keinen unfug machen bietet Windows ja genügend Möglichkeiten. Falls deine aktiven Komponenten kein 802.1x unterstützen wäre evtl. eine Möglichkeit die Kommunikation mit den Servern ausschliesslich über IPSEC zu erlauben.

 

802.1x schützt zwar vor fremden Geräten, gewährt den eigenen aber weiterhin uneingeschränkten Zugriff auf das LAN.

Das grundsätzliche Problem bleibt also bestehen -> da diverse Würmer/Viren/Trojaner Sicherheitslücken ausnutzen, kann man nicht mal den eigenen Workstations/Laptops trauen

Da nützt auch eine IPSEC-Verbindung zum Server nichts wenn damit dann halt verschlüsselte Attacken gefahren werden :D

 

Ein interessanter Ansatz wäre Cisco NAC (unter Zuhilfenahme von 802.1x). Dabei kommt jeder Client erst in ein Quarantäe-VLAN, wird dort mit allen neuen Updates, Hotfixes und Patterns versorgt und wird danach automatisch ins "normale" LAN verschoben.

Bietet aber natürlich auch keinen Schutz der Server vor bislang unbekannten Viren und dergleichen :(

[nerd 28]

Hi,

 

sehr spannende Themen die Ihr da ansprecht.

 

@Internal Firewalling: Meiner Meinung nach ist das min. vor allen wichtigen / kritischen Infrastuktur Komonenten Pflicht! Sprich Domaincontroller, PKI etc. Wenn man dann schon einen entsprechenden Komplex hat sollte es auch kein Problem sein die anderen Server ebenfalls hinter eine FW zu hängen. Da hat an sich mehrere Vorteile. Zum einen schützt man seine Server vor seinen Usern. Zum anderen weiß man so ganz genau was für ein Datenverkehr durch das eigene Netz geht (nämlich nur der für den man einen Port auf gemacht hat :-))

 

@802.1x: Leider ist die Technik nicht wirklich ausgereift und die Schwächen die vorhanden sind machen die Kosten / Nutzen Rechnung aufgrund der i. d. R. hohen Anschaffungskosten recht schnell sehr schlecht.

 

@Client Quarantäne: Die Implementierung von Cisco kenne ich leider noch nicht. Ich hatte nur mal auf einer MS Veranstalltung etwas gehört, dass man ein solches System in Zusammenarbeit mit Cisco & co plannt. Wenns mal funktioniert ist das bestimmt eine gute Sache um sicher zu stellen, dass alle Clients immer schön die neusten security Updates und Virenpatterns installiert haben.

 

@Topic:

Desktopfirwall auf Desktops ja auf Servern wie gesagt bevorzuge ich eindeutig richtige FW's

 

Gruß