Kleines Firmennetzwerk absichern

[computerbaser1]

Hallo,
wir haben in der Firma mit 15 PCs einen Server (Windows Server 2008 R2). Auf dem Server und PCs läuft Symantec Antivirus, kein normaler sondern speziell für Server.
Der Internetkabel geht von einem üblichen Router in den Server und dann durch Switch an die einzelenen PCs.
Wie kann man das ganze System etwas sicherer gestalten?
Ich habe im Forum gelesen, dass es möglich ist, einen PC z.B. mit Linux zwischen Router und Server dazwischen zu schalten, und diesen als Firewall zu betreiben.
Was wäre in diesem Fall am ratsamsten? Welche (kostengünstige) Möglichkeiten gibt es?
Vielen Dank für eurer Antworten

 

[Pandora]

Google mal nach IPFire und lese dich dort ein wenig ein ...

Dies wäre, in Verbingung mit einem dafür zugeschnittenen PC (ca. 250€) wohl die günstigste Lösung, bedarf aber auch etwas an know-how bzw Zeit das ganze dann einzurichten ...
Alternativ gibt es auch recht viele Hardwarefirewalls, aber ohne ein vorgegebenes Budget könnte man da jetzt recht viel empfehlen
.

 

[wib.poTty]

IT Grundschutz

 

[Grugeschu]

Erstens Symantec ist eigentlich naja Suboptimal, gibt da bessere.

Im Regelfall würde ein RouterModem mit integrierter Firewall ausreichen. Frage ist geht über den Router Verkehr wie VPN usw? Sind Ports nach außen offen weil z.B. Dienste über NAT veröffentlicht werden?
Steht der Server in einer DMZ?
Warum ein Windows Server?

Zur Vereinfachung ist die Verkabelung der Clients nicht korrekt dargestellt.
Hier steht der Server in einer DMZ da er Dienste nach außen veröffentlicht. Im dem Falle das der Server nur für interne Dienste arbeitet und nicht in der DMZ steht wäre ein guter Router mit Modem und Firewall das beste Quasi eine Fritz Box oder ein anderer Router mit guter Firewall.
Je nach Anwedungsfall muss entschieden werden ob die Sicherheit überhaupt erhöht werden muss. Im Falle einer zusätzlichen Firewall wäre IP Fire auf Alix Boards mit AMD Geode oder eine Atomlösung gut. Generell sollten die Einrichtungs und Wartungskosten bedacht werden sowie die Härtung der Firewall. Energiekosten spielen bei einem 24/7 Betrieg auch eine hohe Rolle.

Bei veröffentlichten Diensten ist eine intrusion Detection immer von Vorteil.

 

[xXNeXoNXx]

Entschuldige, ich weiß die Frage ist unhöflich aber..Wie zum Teufel kommt es, dass jemand, der offensichtlich so wenig Ahnung hat wie du, mit der Absicherung eines Firmennetzwerkes betraut wird? Beauftagt eine externe Firma, andernfalls darfst du dich nicht wundern, wenn eure Daten bald in falsche Hände geraten und ihr Teil eines Botnetzes werded...

 

[Ölpest]

Hallo

@xXNeXoNXx

Wenn du schon weißt, daß die Frage unhöflich ist überdenke sie doch nochmal. Ein offentsichtlich neuer User wendet sich an an COMPUTER BASE um möglichst brauchbare Infos zu bekommen. Wie wärs mit "Willkommen im Forum" und einer solchen Info?

Desweiteren kostet eine "Firma".

Welche (kostengünstige) Möglichkeiten gibt es?

In diesem Sinne no offense und "Willkommen im Forum" computerbaser1

mfg

 

[Grugeschu]

@xXNeXoNXx
Also was bei vielen Dienstleistern rumläuft ist auch nicht besser als die Beratung in einem Forum. Ebenso kann man dies auch als Gegenprobe zu einem Dienstleistervorschlag haben.

 

[xXNeXoNXx]

Es geht mir einfach nur Darum, dem TE klarzumachen, dass wenn er schon fragen muss, er offensichtlich nicht der geeignete Kandidat für eine derartige Administration ist. Das meine ich keinesfalls böse, kann man aber jemandem genauso schwer höflich beibringen, wie wenn er etwas zwischen den Zähnen hat bspw.

 

[computerbaser1]

Entschuldige, ich weiß die Frage ist unhöflich aber..Wie zum Teufel kommt es, dass jemand, der offensichtlich so wenig Ahnung hat wie du, mit der Absicherung eines Firmennetzwerkes betraut wird? Beauftagt eine externe Firma, andernfalls darfst du dich nicht wundern, wenn eure Daten bald in falsche Hände geraten und ihr Teil eines Botnetzes werded...

Hallo,
ich habe nicht gesagt, dass ich das System administriere. Oder dürfen nur Admins sich über solche Sachen schlau machen? Ich denke nicht.

Wäre also eine Hardware Firewall im Prinzip sinnvoll?
mindfactory.de/search_result.php/search_query/firewall/listing_sort/6
Reichen z.B. die Modelle D-Link Firewall UTM, DFL-160 oder D-Link Firewall DFL-210 6 Port für 15-20 PCs? Kostenpunkt ist ca. 300,-.
Vielen Dank

 

[xXNeXoNXx]

Ist euer Netzwerk denn nur Firmenintern mit Internetanschluss, oder stellt ihr darüber auch Sachen bereit (VPN, Web-Server usw.)?

Und naja ich klinge jetzt vermutlich wie ne Meckerliese, aber auch bei der Hardwarefirewall ist es schlussendlich eine Sache der Konfiguration...Die Frage nach welchem Modell hängt halt sehr stark von eurer Anforderungen ab...
Nimm mir die Kommentare wirklich nicht böse, aber ich habe zu viele Leute gesehen, die da "Spaß" dran hatten das mal eben zu machen und so eine weitere Spamschleuder online gestellt haben...

 

[Grugeschu]

Die Frage des Sinns ist ja nicht geklärt. Wenn wir eine Skizze wie die oben hätten mit einer Erwähnung der dort laufenden Serverdienste wäre es was anderes. So kann man sagen toll Firewall super teil desto teurer desto besser also gleich Juniper ....

 

[Masamune2]

Einen wirklichen Sicherheitsgewinn würdet ihr durch den Einsatz einer UTM Lösung schon erreichen. Die dient dann als Proxy für HTTP(S) und FTP, scannt den Datenverkehr mit einem oder mehreren Virenscannern, sorgt für die Verteilung und Säuberung von Mails und stellt wenn nötig einen gesicherten Zugang von außen bereit.

Wir setzen bei uns diese Kisten ein: http://sx-gate.de/produkte/sx-gate.html
Ein kurzer Blick ins Datenblatt zeigt die möglichen Funktionen: http://sx-gate.de/files/Datenblatt_SXGATE-09-09.pdf

Aber auch hier sollte die Büchse von jemandem eingerichtet werden der Ahnung davon hat, sonst kann man es sich auch gleich sparen.