Firewall

Die Sicherheit ist wichtiger Bestandteil beim Betrieb eines Home Servers, der mit dem Internet verbunden ist.
Puh
Foren-Einsteiger
Beiträge: 35
Registriert: 8. Okt 2007, 11:20

Re: Firewall

Beitrag von Puh »

TVVista hat geschrieben:Hallo,

wenn ein tatsächlicher Einsteiger für den WHS hier liest "uPNP für einen Router", heißt das "Bahnhof", das gilt für einiges hier im Thema.

Besteht eine DSL-Verbindung zur "Außenwelt", dazu noch einen Router mit anständigem Kennwort, ein Client/PC der Virensoftware u. evtl. eine zusätzliche Firewall, macht der Benutzer regelmäßig alle Updates (eben auch automatisch), kann im Home User Bereich eigentlich fast nichts, rein gar nichts passieren. Spreche aus 10 jähriger Erfahrung mit PC in das feindliche Web.
Ich hab in 15 jähirger Erfahrung noch nie einen Virus gehabt - und ich hab erst seit wenigen Jahren einen Virenscanner. Man darf halt nicht alles anklicken was auf den Rechner kommt :) Und ein "normaler User" würde auch nicht auf die Idee kommen sich einen IPcop hinzustellen - ich denke das Thema ist auch nur für Leute interessant die sich eben dafür interessieren bzw einen gewissen Spieltrieb haben. Für Ottonormal User ist der Thread oversized. Da geb ich Dir recht. Aber ich glaube bei Ottonormal User ist der WHS schon oversized :D auch wenn MS das gerne anders sehen würde ... das könnten eventuell die fertigen Boxen ändern die einige Hersteller angekündigt haben.

Aber UPnP auf dem Router aktivieren (weil damit Azureus so fix funzt und der WHS das auch will um sich seine Löcher in die RouterFW zu basteln) macht gerade der, der nicht weiß was er tut. Ich denke da zu sensibilisieren macht Sinn ...

Gruß
Puh
TVVista
Foren-Mitglied
Beiträge: 930
Registriert: 15. Jun 2007, 19:17

Re: Firewall

Beitrag von TVVista »

Hallo,

danke für Deine Meinung, die ich fast in allen Punkten teile.

Hier in den Foren/Themen haben die Moderatoren mehrfach geschrieben UPnP eben nicht zu aktivieren/nutzen.

Grundsätzlich kann ich Deiner Argumentation zustimmen, betrachte den WHS jedoch nicht als "Future Overkill".

Dazu hat der WHS, wenn er auch noch Verbesserungsbedürftig ist, sehr nützliche Funktionen in einem
kleinen Heimnetzwerk.

Der WHS, Mann oder Frau können schimpfen auf Bill Gates Leute, ist aus meiner Sicht ein längst fälliges Produkt aus dem Hause MS
für den Heimanwender, bietet eben auch für den ambitionierten "Do-it-your-self" User vielfältige Anwendungsgebiete, um sich auszutoben.
Natürlich ist es in diesem Fall auch eine gewisse Herrausforderung, sein eigenes Heimnetzwerk zu "basteln", der eigene Server, das Goldstück im medialen Haushalt.

Gruß
Holger
MB: ASUS M2NBP-VM CSM
Chipsatz: NVIDIA Quadro NVS 210S+nForce 430B
LAN: Gigabit MAC with external Marvell PHY
CPU: AMD Athlon X2 BE-2400
Speicher: 2x1024MB Corsair, 667 MHz
Netzteil: Seasonic 330 Watt
HD: 750GB, Hitachi (HUA721075KLA330)
Idle 43 Watt
JeHo
Foren-Mitglied
Beiträge: 381
Registriert: 6. Okt 2007, 21:06
Wohnort: Thüringen

Re: Firewall

Beitrag von JeHo »

hallöchen,

als Nichtfachmann (aber auch kein Anfänger oder Laie) hätte ich gerne einmal eine Einschätzung der Sicherheit in meinem Netz von jemanden der "Profi" ist.

Das private Haus Netz:

6 Clients, 1 WHS
der Serverschrank steht im Keller, darin Telefon Anlage, Router (D-Link DSL G684T) 24 Port Switch, Patchfelder etc.), kommt außer dem potentiellen Einbrecher keiner ran.
Der Router hat keine Fernwartung (deaktiviert), kein uPnP (deaktiviert) der Zugriff erfolgt über LAN (PW 6 Zeichen Groß und Klein Buchstaben, Ziffern und Sonderzeichen sowie über einen selbst festgelegten eher ungebräuchlichen Port) DHCP ist deaktiviert. Alle PC haben eine feste IP und der Bereich ist nicht im "üblichen" 192.168.xxx.xxx). Es sind vier Regeln für die Portweiterleitung zum WHS eingerichtet (remote Zugriff und Remotedesktopverbindung).

Der WHS läuft nur wenn er benötigt wird (hochfahren über "Knöpfchen", WOL oder über Telefon. Zur Erreichbarkeit bin ich bei DynDNS angemeldet, die Aktualisierung erfolgt aber nicht ständig über den Router sonder über einen Dienst auf dem WHS. Das Administrator Passwort ist eine willkürliche Zeichenfolge aus 14 Zeichen (Groß/Klein Buchstaben, Sonderzeichen, Ziffern). Es läuft die Windows Firewall, ein Server Virenwächter noch nicht (AntiVir Server ab 320€ pro Jahr :? - bin aber am überlegen). Als einzige Zusatzsoftware läuft "PowerOff" als Dienst, das den WHS abends zu einer bestimmten Zeit schlafen schickt, wenn ich es vergesse.

Die Clients:
5x Win XP Professional, 1 x Vista Ultimate. Kein System läuft im Admin Modus, kein Nutzer hat Berechtigungen Programme zu installieren. Alle Admin Passwörter (die nur ich kenne) haben min. 8 Zeichen mit der oben beschriebenen Mischung aus Zeichen und werden ca. alle 6-8 Wochen geändert. Auf allen Clients läuft die Windows Firewall (Standarteinstellung) sowie Antivir Premium (wird alle 3 Stunden automatisch aktualisiert). Alle PCs werden automatisch via Windows Update aktualisiert. Es läuft auf allen PCs nur lizensierte Standardsoftware und einige Freeware Programme von denen (meines Wissens) noch nie eine Bedrohung ausging. Der Internetzugriff erfolgt über Firefox (obwohl da mit Sicherheit auch Lücken sind - wie bei allen Programmen ;) )

Hab ich was vergessen?

Ich bin seit 1993 online (damals noch via BTX und Mailboxen - melodische Modems :P ) hatte bislang noch nie einen Virus oder andere Probleme mit meinen PCs- mal abgesehen von einigen Hardware Problemen.

Danke für eure Einschätzung


Gruß JeHo
Server:
WHS 2011 Eigenbau
-Intel Core i3-4160 auf ASUS H97 plus 8GB RAM --256 SSD (System); 2TB Serversicherung; 2TB Clientsicherungen, 2*2TB shared Folders,
Clients:
-AMD Ryzen R7 3700X 32 GB RAM 10 Pro x64
-AMD Ryzen R5 3600X 16 GB RAM 10 Pro x64
-Intel Core i7 2600K 16GB RAM, Windows 10 Pro x64
-Intel Core i5 4460 8GB RAM, Windows 10 Pro x64
-Laptop Lenovo Ryzen 4800H 32 GB RAM, Windows 10 Pro x64
Hornen
Foren-Mitglied
Beiträge: 152
Registriert: 17. Sep 2007, 19:46

Re: Firewall

Beitrag von Hornen »

Ich glaube, da muss man kein Fachmann sein um dir zu bestätigen, dass du dir bei so einem Setup wenig Gedanken um deine Sicherheit machen musst ;). Solange man nicht fahrlässig agiert, seine Systeme immer aktuell hält und evtl. einige Sachen über den Router/Server unterbindet/absichert (für die Clients, auf die man nicht ständig Zugriff hat/die andere Leute benutzen) sollte es da wenig Probleme geben..

Evtl. noch ne kleine Anregung: Schau dir mal http://www.opendns.com an. Wenn du deren DNS Server verwendest (kostenlos, aber kein Open Source - Projekt) und dich auch dort anmeldest, kannst du dein Netz noch zusätzlich durch einen globalen Phishingfilter (Phishtank)schützen, d.h. alles was diese DNS Server nutzt (und was ja bei einem System mit Router alle Clients sein sollten, die da dranhängen) wird davon profitieren. Zusätzlich kann man noch eine White- und Blacklist für Domains, was aber auch schon viele Router bieten. Bei dynamischen IPs funktioniert es genauso wie bei DDNS Anbietern, soll heißen eine Software (bei mir der Router) aktualisiert den Account, damit immer die aktuelle IP gemeldet ist. Ein zusätzlicher Vorteil ist auch noch (zumindestens bei mir) dass deren DNS Server um einiges flotter sind, als die einiger ISPs (Telekom bei mir). Benutzen kann man die DNS Server auch ohne Anmeldung ,allerdings sind dann die erweiterten Optionen nicht möglich.

PS: Ich habe schon geglaubt, dass ich meine System und das LAN ausreichend absichere, aber wenn ich das hier lese, muss ich ja vor Scham im Boden versinken :D .
Gehäuse: Chieftec CA-01B-B-SL
Netzteil: Seasonic S12II 330W
Mainboard: Gigabyte GA-8I945GMMFY-RH
CPU: Core Duo T2300 (Yonah)
RAM: 1024 MB
Controller: Promise SATA300 TX4
HDDs: 2x(ST340062AS)+ST3400832AS+ST3500830AS = 1,5TB
Puh
Foren-Einsteiger
Beiträge: 35
Registriert: 8. Okt 2007, 11:20

Re: Firewall

Beitrag von Puh »

Hi JeHo,

ich denke auch das das so OK ist ;) Natürlich sind die offenen Ports ein potenzielles Risiko: wenn MS in der Applikation mist programmiert hat was man über die offenen Ports ausnutzen kann dann ist die Kiste quasi "in Gefahr" ... aber bis Dato ist da nichts drüber bekannt - man sollte also immer mal Heisec-News http://www.heise.de/security/ lesen oder andere Security News, um da bisserl auf dem laufenden zu sein.

Das Problem kann man bisserl eingrenzen indem man den Server der vom Internet erreichbar ist in eine sogenannte DMZ http://de.wikipedia.org/wiki/Demilitarized_Zone steckt. Manche (teurere) Router unterstützen diese DMZ funktion. Wenn jemand in den Server einbricht trennt der Router das eigentliche LAN von dem Server, der virtuelle Einbrecher kommt nicht auf die Clients. Alelrdings ist der Server dann schon kompromitiert, und in der Regel liegen da die (mehr oder weniger) wichtigen Daten. Aber da Dein WHS nciht immer an ist sollte man das Problem nicht allzuhoch aufhängen ...

Zum Thema Virenscanner: ich hatte auch das AntiVir, bin aber seit einem Jahr auf NOD32 umgesteigen. Die Updates kommen schneller als bei Avira und das Tool frisst nicht ganz soviele Ressourcen. Was ich aber empfehlen würde: auf dem Server eine andere Virensoftware einsetzen als auf den Clients. Zwei verschiedene Wächter bringen mehr Sicherheit als ein Produkt aus der gleichen Firma. Daten die vom Client auf den Server geschoben werden werden dann von Avira und von dem zweiten Scanner gescannt, und wenn beide kein Alarm schlagen kann man recht sicher sein das kein Virus vorhanden ist. NOD32 gibts hier http://www.heise.de/kiosk/special/ct/07/03/ auf der Heft CD - für 6 Monate und für 5 Clients gleichzeitig - und es läuft bei mir auch auf dem WHS ohne Serverlizens ;)

Gruß
Puh
Antworten