Kleines LAN ans I-Net anbinden - Hardwarefirewall?

[Alforno 10]

@franky Z

 

Ich habe mich mal ein bisschen durch die Standard Tutorials für den IPCop gelesen.

Sehr interessant. Allerdings gibt es wohl keine Möglichkeit sich mit Windows Boardmitteln mit dem VPN Server des IPCop zu verbinden.

 

Die Idee mit der DMZ finde ich ja einleuchtend, aber wenn in der Firewall nur die Ports geöffnet werden, die auch benötigt werden, also sagen wir mal VPN, dann hätte ein Angreifer doch nur die Möglichkeit über diesen Port mein System zu kompromittieren. Wenn ich jetzt davon ausgehe, das der IPCop keine Sicherheitslücke hat und mein VPN Server korrekt konfiguriert wurde, dann sollte man das doch als sicher bezeichnen können?

 

Das derjenige, der sich per VPN verbindet, über seinen Client Müll ins Netz bringen kann ist klar. Wenn ich dem Chef aber ne extra Windows Partition erstelle und er diese nur zum Arbeiten im Netz verwendet, dann sollte das doch klappen.

 

Wenn ich es am Wochenende zeitlich schaffe, werde ich mal auf einem alten Pentium II 233 MHz, 64 mb und 20gb platte den IPCop aufsetzen.

 

Kann ich denn trotzdem den DHCP auf dem Windows Server laufen lassen? Oder muss ich zwingend den DHCP des Routers verwenden? Würde gerne auf dem Windows Server den RIS laufen lassen.

 

Danke im Voraus.

 

mfg

Alforno

[franky Z 10]

Sehr interessant. Allerdings gibt es wohl keine Möglichkeit sich mit Windows Boardmitteln mit dem VPN Server des IPCop zu verbinden.

Das geht schon irgendwie, ist aber irre aufwändig. Nicht zu empfehlen.

Die Idee mit der DMZ finde ich ja einleuchtend, aber wenn in der Firewall nur die Ports geöffnet werden, die auch benötigt werden, also sagen wir mal VPN, dann hätte ein Angreifer doch nur die Möglichkeit über diesen Port mein System zu kompromittieren.

Ja genau, dito mit z.B. dem Mailserver, der im internen Netz direkt angesprochen wird. Ein Angriff setzt i.d.R. voraus, dass die Anwendung eine Sicherheitslücke hat oder schwache Passwörter.

Wenn ich jetzt davon ausgehe, das der IPCop keine Sicherheitslücke hat und mein VPN Server korrekt konfiguriert wurde, dann sollte man das doch als sicher bezeichnen können

Das derjenige, der sich per VPN verbindet, über seinen Client Müll ins Netz bringen kann ist klar.

Genau das ist der Kritikpunkt, man hat die Kisten nicht so unter Kontrolle wie lokale Maschinen. Wenn das VPN aber nur einige User verwenden, kann man da IMHO schon ein Auge drauf haben.

Wenn ich es am Wochenende zeitlich schaffe, werde ich mal auf einem alten Pentium II 233 MHz, 64 mb und 20gb platte den IPCop aufsetzen.

Kann ich denn trotzdem den DHCP auf dem Windows Server laufen lassen? Oder muss ich zwingend den DHCP des Routers verwenden? Würde gerne auf dem Windows Server den RIS laufen lassen.

Hardware ist OK solange kein Proxy aktiviert ist. DHCP sollte unbedingt auf dem Win Server bleiben (DHCP auf dem Router deaktiviert und Router als Default Gateway beim Windows DHCP eingetragen).

Grüße,

Frank

[Alforno 10]

Danke Dir.

 

Wie löse ich das Problem, dass man sich dann nicht mittels Boardmitteln mit den VPN Server verbinden kann?

Wenn jemand das von außerhalb nutzen möchte um zu arbeiten, dann soll er sich ja auch an der Domäne anmelden, damit die gpos ziehen. Wie wird soetwas realsiert?

 

Danke Dir für deine Mühe.

 

mfg

Alforno

[Frederik 10]

Moin.

 

Du machst nen Connect ins Netzwerk über den Router / Firewall.

 

Dann kannst du einen Terminalserver aufsetzten über den sich dann die User in der Domäne anmelden wo dann auch die Gpos greifen.

[franky Z 10]

Du nimmst einfach den integrierten VPN-Server von Windows und nicht den von IPCOP. Oder du steigst um auf SBS2003, dann kannst du den "Remote Webarbeitsplatz" nutzen und brauchst überhaupt kein VPN einrichten. Damit kann man sich per Browser auf seinem Office-Computer remote anmelden. Da gibt es sogar ein Wake On Lan Tool dafür mit dem der Arbeitsplatzrechner remote gestartet werden kann.

 

Wenn sich der Remote-Computer direkt an der Domäne anmelden soll kann er das mit "per DFÜ" im Anmeldebildschirm. Wenn der User sich per Remote-Desktop oder Remote Webarbeitsplatz an seinem Bürorechner anmeldet, greifen die GPOs natürlich auch und du hast bessere Performance und deine gewohnte Arbeitsumgebung.

[Alforno 10]

@franky

 

dann steht aber mein windows server, vielleicht nicht mit einem ganzen aber zumindest nem halben bein im netz. das wollt ich ja gerade verhindern.

 

@frederik

 

ich habe nochmal nach dem von dir angesprochenen vigor gesucht, aber rein garnichts gefunden, weder auf der deutschen seite von draytek noch auf der englischen.

 

Ist das Teil noch nicht draußen oder hast du dich geirrt?

 

bei den draytek hw's gibt es ja eklatante Preisunterschiede.

Der DrayTek Vigor 2950 Router kostet so um 500 Euro, der von Dir erwähnte soll 200 kosten. Wie lassen sich solche Unterschiede erklären?

 

Danke.

 

mfg

Alforno

[franky Z 10]

@franky

dann steht aber mein windows server, vielleicht nicht mit einem ganzen aber zumindest nem halben bein im netz. das wollt ich ja gerade verhindern.

Das macht aber nur etwas wenn du das integrierte VPN für unsicherer hältst als das in einem Router. Das integrierte VPN hat Vorteile:

- einfache Installation auf Server und Client

- Verwaltung der Berechtigungen über AD

- keine zusätzliche Clientsoftware

- keine zusätzliche Benutzerverwaltung

- kostet nix

[substyle 20]

IPCOP und Windows VPN = PPTP ADDON

 

www.ipcop-forum.de :: Thema anzeigen - PPTP Addon

mhaddons: Downloads / Addons für Ipcop 1.4.7 - 1.4.10/Addons for Ipcop 1.4.7 - 1.4.10 / PopTop (pptpd) Ipcop 1.4.8 v.0.2.6

 

subby

[franky Z 10]

Auch cool! Kann es sein dass der DL Link ein anderes Modul als das im Thread ist? Im Thread ist ein Verweis auf das Ankündigungsforum: www.ipcop-forum.de :: Thema anzeigen - PPTPD Addon 0.3.1

Ich würde allerdings trotzdem das windowseigene nehmen.

 

Grüße,

Frank