heckenbichler 10 Geschrieben 9. Juni 2004 Melden Teilen Geschrieben 9. Juni 2004 Hallo Leute! Ich hab ein kleines Problem, für das ich noch keine Lösung habe ... Ich installiere grad bei einem Kunden einen neuen W2K3 SBS Standard Server. Dieser ist mit ADSL und einem Router von Devolo ans Internet angeschlossen. D.h. Firewall gibt es im richtigen Sinne keine. Der Server übernimmt die Rolle eines Exchange und Fileservers. Um Kleinigkeiten vom Büro aus zu administrieren, möchte ich eine Fernwartung einrichten. Seht ihr eine Möglichkeit diese auf eine sichere Art und Weise zu implementieren, auch wenn kein VPN zur Verfügung steht? Wäre schön wenn ihr mir ein paar Denkansätze geben könntet. mfg Robert Zitieren Link zu diesem Kommentar
Ivo 10 Geschrieben 9. Juni 2004 Melden Teilen Geschrieben 9. Juni 2004 Hy! Könnte mit DynDns etwas machbar sein? Gruß Ivo Zitieren Link zu diesem Kommentar
dongel 10 Geschrieben 9. Juni 2004 Melden Teilen Geschrieben 9. Juni 2004 vpn kannste doch auch ohne Firewall. aber, ein Netz mit Internetanbindung ohne Firewall zu betreiben ist ja eher unverantwortlich. Da würd ich aber mit dem Kunden nochmal sprechen und zusehen, das du da was anständiges hinstellst. Gruß dongel Zitieren Link zu diesem Kommentar
heckenbichler 10 Geschrieben 9. Juni 2004 Autor Melden Teilen Geschrieben 9. Juni 2004 naja, bei dem router ist ja so eine art pseudo firewall dabei. aber der router unterstützt halt kein vpn. ich müsste also die vpn-unterstützung vom w2k3 server hernehmen. Ist das vom Sicherheitsstandard her aktzeptabel? Zur Firewall ... wenn man nichts investieren will (Kunde ist gemeint), dann ist es ausgesprochen schwierig so was jemandem zu verkaufen. Danke für Eure Antworten! mfg Robert Zitieren Link zu diesem Kommentar
dongel 10 Geschrieben 9. Juni 2004 Melden Teilen Geschrieben 9. Juni 2004 Die Sicherheit beim vpn , wenns nur um vpn geht, ist sich akzeptabel. aber wie gesagt eine vernünftige Lösung sieht anders aus. Zudem vermute ich, wirst du probleme mir dem Router haben die benötigten Protokolle und ports zu forwarden, wenn der Router nur rudimentaär Firewalling und Routing bietet. Argumente für ne vernünftige Firewall gibt es genug. Wenn der Kunde es trotzdem nicht will, würde ich jede Verantwortung für einen sicheren Betrieb ablehnen!!! Und wenn das Kind erstmal in den Brunnen gefallen ist, ist das Geschrei groß.... Wie gesagt, ich würde da nochmal das Gespräch suchen. die 800€ sollten das auch nicht fett machen, wenn man anschließend ein gesichertes Netz hat. Gruß dongel Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. Juni 2004 Melden Teilen Geschrieben 10. Juni 2004 naja, bei dem router ist ja so eine art pseudo firewall dabei. aber der router unterstützt halt kein vpn. ich müsste also die vpn-unterstützung vom w2k3 server hernehmen. Ist das vom Sicherheitsstandard her aktzeptabel? Ja, das ist sicherheitstechnisch absolut ok, wenn man mit PPTP arbeitet und für den Einwahlbenutzer ein langes und kompliziertes Kennwort wählt. grizzly999 Zitieren Link zu diesem Kommentar
servercluster 10 Geschrieben 10. Juni 2004 Melden Teilen Geschrieben 10. Juni 2004 Welche Software wolltest du denn für die Fernwartung benutzen? Terminaldienste?? Ich persöhnlich benutze pcAnywhere von Symantec. ist zwar nicht gerade günstig aber in meinen Augen trotzdem sehr gut in der Handhabung. Um den Zugang zu erreichen habe ich im Router lediglich den einen Port(5631) für pcAnywhere zum Server geroutet. Kann jetzt über meine Dyndns Adresse auf den Server zugreifen. Bis jetzt hatte ich damit noch keine Sicherheitsprobleme (bin mal gespannt was andere von euch dazu sagen). Um nicht jeden aus der Welt einwählen zu lassen habe ich den Zugang im Router auf die IPs von T-Online beschränkt. Grüße Hubertus Zitieren Link zu diesem Kommentar
BlackPixel 10 Geschrieben 10. Juni 2004 Melden Teilen Geschrieben 10. Juni 2004 Wir schrauben bei unseren Servern immer eine Fritzkarte rein, richten RAS ein und wählen uns per VPN Wählverbindung auf den Server drauf und starten dann ne Terminalsession... Wär doch ne Idee, oder? Grüße Manfred Zitieren Link zu diesem Kommentar
Flecki 10 Geschrieben 10. Juni 2004 Melden Teilen Geschrieben 10. Juni 2004 Hi heckenbichler! Also ich habe zuHause den Teledat Router 820 mit 8 VPN Tunnel in Betrieb. Bei dem kannste Dyndns, ISDN Einwahl mit Client, LAN-Capi und auch die Verbindungsanfrage, also Anruf beim Router > dann Übermittlung der öffentlichen IP und daß Anstoßen der ;) Internetnetverbindung zu einem kleinen Preis realisieren. Eine kleine Firewahl ist auch drin, und das ganze für 179€, denke das ist für den Kunden doch bezahlbar! :D hier der Link zur Info http://www.t-com.de/is-bin/INTERSHOP.enfinity/WFS/PK/de_DE/-/EUR/PK_DisplayProductInformation-Start;sid=PPPyITS9NmxVe3R1DS34KyKwWrvuJboD8ef3uR2DXoosIA==?ProductID=o_4P0KChTYEaYAAAD38vh7w_eC Gruß Michael Zitieren Link zu diesem Kommentar
Constral 10 Geschrieben 13. Juni 2004 Melden Teilen Geschrieben 13. Juni 2004 Tagchen, wenn wir bei unseren Kunden Fernwartung einrichten machen wir meistens folgendes: - Kunde wird bei Dyndns.org regstriert, ist daher immer über das Internet erreichbar - Installation einer sinnvollen Firewalllösung wie z.B. GateProtect - Anlage eines VPN-Benutzers in der Firewall - mit der Freeware VNC (RealVnc.org) realisieren wir die Fernwartung auf den Servern und Clients (Kosten f. PC-Anywhere gespart) Dieses Szenario hat sich vielfach bei uns bewährt. Gruß Constral Zitieren Link zu diesem Kommentar
NightFlight 10 Geschrieben 13. Juni 2004 Melden Teilen Geschrieben 13. Juni 2004 Hi Heckenbichler, wenn der Kunde keine Dienste zum Internet hin von diesem Rechner aus anbieten möchte, geht das imho schon. Aber als sicher möchte ich das nicht bezeichnen. Im Router alle Ports sperren und nur bei dem Port den Du für Remote Desktop benötigst, richtest Du ein Forwarding ein. Vielleicht bietet der Router auch eine DynDNS Unterstützung an, falls nicht gibt es eine Vielzahl an Tools für DynDNS. Wichtig ist es das Du bei jedem Account auf dem Server ein langes und sicheres Passwort einrichtest und diese regelmäßig wechselst. Was dann auch noch wichtig ist, beschränke die Anmeldezeiten des RRUsers auf die von Dir genutzen Zeiten. Außerdem solltest Du die RRErlaubnis auf einen einzigen User beschränken. Sinnvoll wäre es auch das dieser User nur die Rechte bekommt, die Du für die Fernwartung benötigst. mit nem netten Gruß NightFlight Zitieren Link zu diesem Kommentar
SFHE 10 Geschrieben 13. Juni 2004 Melden Teilen Geschrieben 13. Juni 2004 Also ich mach das immer folgendermassen: - Fritz Card in den Server rein - RAS konfigurieren - Einen Benutzer mit Einwahlrechten und Rückrufnummer einrichten - ellenlanges kryptisches Passwort vergeben - Terminaldienste (Remoteadmin - Modus), und das wars Zitieren Link zu diesem Kommentar
heckenbichler 10 Geschrieben 13. Juni 2004 Autor Melden Teilen Geschrieben 13. Juni 2004 Hallo! Danke für die zahlreichen Antworten. Jetzt muss ich erst mal alle Möglichkeiten prüfen. Aber gleich vorweg. Der Portforward auf den Server für den RemoteDesktop gefällt mir überhaupt nicht, da steht der Rechner wirklich komplett offen im Netz ... Ich werd euch dann bescheid geben, wie ich mich entschieden habe. Nochmals danke! mfg Robert Zitieren Link zu diesem Kommentar
NightFlight 10 Geschrieben 13. Juni 2004 Melden Teilen Geschrieben 13. Juni 2004 Hi Heckenbichler, > Der Portforward auf den Server für den RemoteDesktop gefällt mir überhaupt nicht, da steht der Rechner wirklich komplett offen im Netz ... hmm ... egal wie Du es machen möchtest, einen Portforward musst Du immer einrichten, sobald Du einen Dienst von außen (Internet) erreichbar machen willst. Die einzige Ausnahme wäre das Du den Server direkt, d.h. ohne Firewall oder ähnlichem mit dem Internet verknüpfelst ... über die Unsinnigkeit dieser Ausnahme brauche ich mich hoffentlich nicht auszulassen ... ;-) mit nem netten Gruß NightFlight Zitieren Link zu diesem Kommentar
Arachnophobia 10 Geschrieben 14. Juni 2004 Melden Teilen Geschrieben 14. Juni 2004 Hi Heckenbichler, falls du einen alten Rechner beim Kunden auftreiben kannst, empfehle ich Dir Smoothwall. Smoothwall ist eine starke Linux- Software Firewall mit Routing- Fähigkeiten. Hierbei hast du sämtliche Einstellungsmöglichkeiten. Eine Installationsanleitung gibts unter: http://www.netzadmin.org/server/router-proxy/smoothwall.htm und den Download gibts unter: http://www.smoothwall.org/ und alles für Umsonst!!!! Grüße Arachno Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.