Re: Abschottung nach aussen

E.Kremer schrieb:

> Hallo !
>
> Wenn ich ein Netzwerk mit fester IP-Adresse nach aussen hin
> weitestgehend abschotten wollte, reicht ein Router der NAT
> versteht oder sollte auf jedenfall noch ein System mit
> Firewall (z.B IP-Cop) vor das Intranet geschaltet werden ?
>
Ich kenne die Größe Deines Netzes nicht. Für kleine, überschaubare
Netze würde ich folgendes tun.

Analyse des zu erwartenden Netzverkehrs.
1. Welche Dienste werden aus dem Internet verwendet. (z.B. http, https,
dns usw.)
2. Welche Dienste können und sollen über interne Proxys abgewickelt
werden?

Router zwischen Internet und LAN aufbauen. Der Router hat folgende
Funktionen.
1. Masquerading (Alle Teilnehmer verstecken sich hinter einer Adresse.)
2. IP Adressfilter
3. Portfilter

Der Adress- Portfilter sollte folgende Grundkonfiguration haben.
A. Pakete aus dem Internet
1. Pakete die von außen kommen und zu bestehenden Verbindungen
gehören und Ports aus dem oberen Bereich verwenden werden akzeptiert.
2. Alle anderen Pakete werden verworfen.
B. Pakete aus dem LAN
1. Pakete die von einem Proxyserver kommen und Verbindungen zum
Internet aufbauen sollen, werden durchgelassen.
2. Der Aufbau von Managementverbindungen aus dem LAN zum Router wird
bestimmten internen Rechnern erlaubt.
3. Alle Pakete die von innen kommen und zu bestehenden Verbindungen
gehören dürfen im oberen Portbereich passieren.
4. Alle anderen Pakete werden zurück gewiesen

In dem LAN werden Proxyserver für die einzelnen Internetdienste
ausfgesetzt. Nur sie dürfen über den Router ins Internet. Daher
müssen die Clients entsprechend konfiguriert werden.

Hiermit ist das LAN weitestgehend vom Internet abgeschirmt. Der Einsatz
von Virenscannern und ggf. eines IDS würde das Ganze ergänzen. In den
Proxys lassen sich zusätzlich noch Filter und
Überwachungsmöglichkeiten auf dem Application Level realisieren. Von
außen können keine Rückschlüsse auf die interne Netzstruktur
erfolgen.

> Die Frage ist vielleicht ein wenig schwammig gestellt, dient
> für mich aber nur zur allerersten Orientierung.
>
> Vielen Dank,
>
> E.Kremer
MFG Stefan

.

Relevant Pages

  • RAS - Routingproblem? DNS? Wins?
    ... ging übers Kabelmodem ins Internet und die andere ins LAN. ... Adapter und über diesen nam der Router externe Anrufe unseres Aussenlagers ... anderen PCs ganz normal mit 1 Netzwerkkarte im LAN angehängt ist. ...
    (microsoft.public.de.german.windowsxp.networking)
  • RAS - Routingproblem? DNS? Wins?
    ... ging übers Kabelmodem ins Internet und die andere ins LAN. ... Adapter und über diesen nam der Router externe Anrufe unseres Aussenlagers ... anderen PCs ganz normal mit 1 Netzwerkkarte im LAN angehängt ist. ...
    (microsoft.public.de.german.windowsxp.networking)
  • Re: CEICW Network Error
    ... Normally with a router in the mix, the router gets the public IP ... address on its WAN side and its LAN side is given a private IP ... Please post results of an ipconfig /all for sbs server. ... Users brought in another tech and messed up internet ...
    (microsoft.public.windows.server.sbs)
  • Re: Router install problem
    ... A router is an interface between two networks that otherwise couldn't ... that's the Internet (the Wide Area ... Network or WAN) and your local area network (LAN). ... and 5 buttons on the left (Wizard, Wireless, WAN, LAN, DHCP). ...
    (microsoft.public.windowsxp.network_web)
  • Re: Internet Connection Falls Asleep
    ... onboard LAN adapter, Cable MODEM, and D-Link Router. ... Problem is the WinXP machine seems to lose the Internet connection ... Can you ping the LAN IP of the DLink? ...
    (microsoft.public.windowsxp.network_web)