Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Praxisnetzwerk absichern
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Wed Oct 02, 2013 11:33 am    Post subject: Praxisnetzwerk absichern Reply with quote

Hallo allerseits :-)

Ich hab in der Arbeit ein etwas älteres Netzwerk mit folgenden Computern:

  • 1x Windows Server 2003
  • 2x Windows XP
  • 1x Windows Vista Business

Im Moment hängen alle Computer über einen Router direkt am Internet. Auf Windows kann ich leider Gottes nicht verzichten, da mein Abrechnungs- und Röntgenprogramm (natürlich) nur unter Windows lauffähig sind.

Jetzt läuft ja 2014 der Support für Windows XP endgültig aus und man sollte mit keinem XP-Rechner mehr ins Internet gehen.

Was ich brauche ist Internetzugriff auf mindestens einem Rechner und einen VPN-Zugriff auf den Server (prinzipiell wäre natürlich auch denkbar, den Server als den Rechner mit Internet zu nutzen). Das ganze sollte, ganz im Sinne von „Never change a running system“ mit möglichst wenig Änderungen an der Infrastruktur von statten gehen.

Ich habe mir überlegt, ob man nicht einen Rechner in eine virtuelle Maschine verschiebt und diese dann auf einem Linux-Host betreibt. Und mit dem macht man dann Internetangelegenheiten, also E-Mails schreiben, Material bestellen etc. Was bleibt ist der VPN-Zugang zum Server – wenn trotzdem alle Rechner im selben Netzwerk hängen und ich einfach kein Internet damit nutze (also keinen Router eintrage), ist das dann sicher? Auch, wenn ich meinen VPN-Port an den Server weiterleite?

Bzw. sollte man einfach den Vista-Rechner ans Internet hängen statt der Lösung mit der virtuellen Maschine? Auch hier wären natürlich alle Rechner im selben Netzwerk.

Was ich als Empfehlung unseres Dachverbandes gelesen habe ist der Einsatz eines Proxyservers, über den der Internetzugriff geleitet wird. Was soll das bringen? Der cachet oder loggt doch auch bloß, was kommuniziert wird, das eigentliche Sicherheitsproblem bleibt doch aber, oder?

Für alle Ideen, Hinweise oder Erklärungen bin ich sehr dankbar!
Back to top
View user's profile Send private message
bbgermany
Veteran
Veteran


Joined: 21 Feb 2005
Posts: 1474
Location: Oranienburg/Germany

PostPosted: Wed Oct 02, 2013 12:27 pm    Post subject: Reply with quote

Hi,

den Proxy kannst du mit plugins erweitern, siehe squidClamAV. Damit kannst du zumindest die Virenanzahl vermindern.

MfG. Stefan
_________________
1st: i5-4440 3.1GHz, 16GB, 1.7TB, HD4850
2nd: Celeron 2.6GHz, 2GB, 500GB, HD4350
3rd: TP X220, 2,5GHz, 8GB, 320GB, HD3000
4th: Athlon X2 BE-2300, 4GB, 64GB SSD + 3TB RAID5 GF7025
5th: Samung N350, 2GB, 250GB, HD3150
6th: Rasperry Pi, 512MB, 32GB SD
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Wed Oct 02, 2013 1:53 pm    Post subject: Reply with quote

Wäre das deiner Meinung nach auch die beste der denkbaren Varianten? Dafür hätt ich z. B. ein Raspberry Pi übrig, was den Proxy dann bereitstellen könnte.
Back to top
View user's profile Send private message
bell
Guru
Guru


Joined: 27 Nov 2007
Posts: 418

PostPosted: Wed Oct 02, 2013 4:32 pm    Post subject: Reply with quote

Was hast Du für einen Router? Wenn es eine FritzBox ist, kannst Du diese dann mit freetz erweitern und per IpTables für bestimmte Systeme (IP's) den Zugang blocken.
http://freetz.org/wiki/packages/iptables

Für einen anderen Router gibt es sicherlich OpenWRT.

Mein Vorschlag ist also den Router zu einer richtigen Firewall auszubauen.
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Wed Oct 02, 2013 4:36 pm    Post subject: Reply with quote

Ich hab eine Fritz-Box, aber eine ziemlich alte. Ist aber grundsätzlich keine schlechte Idee mit der Firewall!

Bleibt aber das Problem, dass Steinzeit-Windows-Versionen im Spiel sind …
Back to top
View user's profile Send private message
bell
Guru
Guru


Joined: 27 Nov 2007
Posts: 418

PostPosted: Wed Oct 02, 2013 5:15 pm    Post subject: Reply with quote

Updates für eine Steinzeit-Windows-Version kann ich nicht anbieten. Was möchtest Du?

Mit Iptables kannst Du steuern was welches System genau machen darf und was nicht.
Es wäre auch sinnvoll das Freetz-Paket dnsmasq zu nutzen weil man damit feste IP-Adressen pro Mac-Adresse hat.
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Wed Oct 02, 2013 5:28 pm    Post subject: Reply with quote

bell wrote:
Was möchtest Du?

l3u wrote:
Was ich brauche ist Internetzugriff auf mindestens einem Rechner und einen VPN-Zugriff auf den Server (prinzipiell wäre natürlich auch denkbar, den Server als den Rechner mit Internet zu nutzen). Das ganze sollte, ganz im Sinne von „Never change a running system“ mit möglichst wenig Änderungen an der Infrastruktur von statten gehen.

bell wrote:
Es wäre auch sinnvoll das Freetz-Paket dnsmasq zu nutzen weil man damit feste IP-Adressen pro Mac-Adresse hat.

Feste IP-Adressen haben die Rechner eh. Mir geht es nur um ein sicheres Setup! Prinzipiell muss ich ja den Internetzugriff auch nicht per iptables verbieten, das kann ich meinem Personal auch persönlich sagen, dass sie z. B. nur mit einem Rechner ins Internet sollen ;-)

Ich will nur eben kein komplettes Systemupdate fahren und Windows-7-Lizenzen kaufen oder sowas. Siehe oben … deswegen hatte ich an die Sache mit der Virtualisierung gedacht.
Back to top
View user's profile Send private message
bbgermany
Veteran
Veteran


Joined: 21 Feb 2005
Posts: 1474
Location: Oranienburg/Germany

PostPosted: Fri Oct 04, 2013 5:48 am    Post subject: Reply with quote

l3u wrote:
Wäre das deiner Meinung nach auch die beste der denkbaren Varianten? Dafür hätt ich z. B. ein Raspberry Pi übrig, was den Proxy dann bereitstellen könnte.


Hi,

um Viren gering zu halten ist ein Virenscanner immer eine gute Idee. Jedoch wird es dir nicht gelingen, die PCs voll abzuschirmen gegen alles was da draußen oder bei dir drin passiert. Man sollte immer bedenken die größten und gefährlichsten Angriffe gehen immer von innen aus, also von deinem Personal. Grundsätzlich solltest du ein Setup wählen, dass den PC vor "Zugriffen" verschiedenster Art schützt. Du kannst nicht alles einberechnen, aber vieles.

Ein RPi ist vielleicht bei deinem Setup noch möglich als Proxy zu betreiben, ich bin mir jedoch nicht sicher ob die Performance dafür wirklich ausreicht. Ein Virenscanner benötigt viel "Power". Zusätzlich solltest du auf jedem Rechner einen aktuellen Virenscanner haben, der sich auch nicht durch das Personal deaktivieren lässt. Auf lange Frist gesehen wirst du jedoch nicht darum herum kommen, die Windows XP Rechner auf Windows 7 an zu heben. Das gleiche gilt auch für Vista. Ansich kannst du, nach ein wenig suchem im Internet für ca 100€ drei Upgrade Lizenzen (ca 35€ pro Lic) von Windows 7 Pro erwerben, die wie ich finde nicht wirklich teuer sind. Damit hast du zumindest die Upgrade/Update-Problematik wieder für ein gewissen Zeitraum erschlagen.

MfG. Stefan
_________________
1st: i5-4440 3.1GHz, 16GB, 1.7TB, HD4850
2nd: Celeron 2.6GHz, 2GB, 500GB, HD4350
3rd: TP X220, 2,5GHz, 8GB, 320GB, HD3000
4th: Athlon X2 BE-2300, 4GB, 64GB SSD + 3TB RAID5 GF7025
5th: Samung N350, 2GB, 250GB, HD3150
6th: Rasperry Pi, 512MB, 32GB SD
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Sat Oct 05, 2013 12:31 pm    Post subject: Reply with quote

Prinzipiell sehe ich eigentlich die Internetanbindung als einziges ernstzunehmendes Sicherheitsproblem.

Wäre es deiner Meinung nach akzeptabel, wenn man einen Rechner auf Windows 7 updatet und dann nur den als Internetrechner nutzt? Und was ist mit der OpenVPN-Verbindung zu dem Server? Macht es was, wenn man zu diesem Rechner Port 1194 (und _nur_ diesen einen Port) durchroutet?
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Sun Oct 06, 2013 11:55 am    Post subject: Reply with quote

Nach nochmaligem Überlegen wird’s wohl das Gescheiteste sein, wenn man alle bisherigen Rechner einfach vom Internet trennt und einen aufstellt (mit Linux drauf), der als einziger für den Internetzugriff genutzt wird. Z. B. sowas wie einen Zotac Zbox ID17 oder sowas. Muss ja kein Großrechner sein. Damit ist dann der alte Kram ein geschlossenes System und es kann nix passieren.

@bbgermany: Danke für den Tip mit Freetz und iptables!
Back to top
View user's profile Send private message
ChrisJumper
Veteran
Veteran


Joined: 12 Mar 2005
Posts: 1804
Location: Germany

PostPosted: Wed Oct 30, 2013 12:46 am    Post subject: Reply with quote

Hi l3u,

langfristig würde ich die Hardware Aktualisieren, Windows so weit wie möglich in eine Virtuelle Box oder VM sperren. Eventuell auch die Server komplett alle auf ein modernen Linux System sperren. Hardware ist ja ein vielfaches schneller und kostet ja fast nichts mehr. Allerdings für die Nutzer der Systeme eventuell doch Rücksicht auf Windows-Nutzer nehmen. Daher vielleicht schon ein Internet-System mit Windows Vista/Windwos 7. Andererseits halte ich Linux für wesentlich sicherer und die Distanz zum Arbeitspc bringt dritte nicht so in die Versuchung dort Software wie Itunes, Massanger (z.B. Skype *hust*) oder Mobile-OS Update Software zu installieren.

Ich halte die Lösung via VM und einem komplett getrennten Netzwerk für die beste. Allerdings bedarf das Planung und wirklich mehr Aufwand bei der Migration. Andererseits kannst du wahrscheinlich einfach Disk-Images von allen drei erstellen, diese als VM Teilweise importieren/anpassen und einfach mal starten.

Wobei ich nicht mehr aktuell bin, glaube das Nutzen solcher Images geht nicht, da die Hardware-Konfiguration eine andere ist als in der Virtuellen Box. Aber wenn die Systeme ein mal aktuell sind. Wie bei einer Windows Neunstallation, Windows installieren, Treiber installieren, Programme einspielen, Backups der Bestandsdaten(banken) installieren. Dann läuft alles gut und lässt sich auch in Zukunft einfacherer sichern (virtuelles Discimage).

In den besten Fällen kannst du die VM's parallel vorbereiten/ausprobieren so das ein Umstellung dann auch relativ einfach läuft. Was die Hardware betrifft da bin ich mir aber auch selber noch nicht sicher. Zum einen habe ich gerne alles auf einem System laufen, das spart Energie und Platz, ist was Ausfallsicherheit betrifft aber auch nicht clever. Wenn die eine Festplatte dann mal den Geist aufgibt sind gleich alle Systeme hin. Daher würde ich vielleicht schon 2 Rechner verwenden für Windows und Windows Server. Aber du kannst ja in ruhe überlegen wie das aussehen soll.

Alte Hardware finde ich nicht unbedingt schlecht, aber manch mal kommt sie einfach in die Jahre und Hardwarekrankheiten häufen sich.

Grüße

Chris
Back to top
View user's profile Send private message
firefly
Advocate
Advocate


Joined: 31 Oct 2002
Posts: 4113

PostPosted: Wed Oct 30, 2013 6:31 am    Post subject: Reply with quote

ChrisJumper wrote:

Ich halte die Lösung via VM und einem komplett getrennten Netzwerk für die beste. Allerdings bedarf das Planung und wirklich mehr Aufwand bei der Migration. Andererseits kannst du wahrscheinlich einfach Disk-Images von allen drei erstellen, diese als VM Teilweise importieren/anpassen und einfach mal starten.

Wobei ich nicht mehr aktuell bin, glaube das Nutzen solcher Images geht nicht, da die Hardware-Konfiguration eine andere ist als in der Virtuellen Box. Aber wenn die Systeme ein mal aktuell sind. Wie bei einer Windows Neunstallation, Windows installieren, Treiber installieren, Programme einspielen, Backups der Bestandsdaten(banken) installieren. Dann läuft alles gut und lässt sich auch in Zukunft einfacherer sichern (virtuelles Discimage).


Mit dem VMWare Converter lassen sich Windows Installationen konvertieren, dass diese ohne Neuinstallation als VM laufen gelassen werden.
AFAIK wird beim erstmaligen Start des konvertierten Systems ein minimales Setup durchlaufen, damit Windows die passenden Treiber (wichtig sind hier der HAL Part) installiert, damit Windows problemlos in der VM laufen kann.

Wobei ich nicht weis, wie es aussieht, wenn man so eine konvertiertes Windows direkt mit Virtualbox startet.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Thu Oct 31, 2013 8:21 am    Post subject: Reply with quote

Also so in etwa hatte ich mir das vorgestellt, zumindest mittelfristig:

Ein Server, der komplett auf einem RAID5 läuft zwecks Hardwareausfallabsicherung (geht netterweise seit Grub2 ohne Probleme :-). Dazu eine minimale graphische Oberfläche (Blackbox oder so). Der tut nichts anderes, als ein virtualisiertes Windows hosten (VirtualBox?), das seinerseits die Praxissoftware bereitstellt. Datenbankdaten, Röntgenbilder und all sowas werden dabei nicht in der virtuellen Maschine gespeichert, sondern direkt auf dem Linux-Host (per Samba-Share).

Die Client-Rechner sind normale Linuxrechner, die sich per rdesktop auf dem Server anmelden und somit Zugriff auf das Abrechnungsprogramm etc. kriegen.

Im Moment habe ich die „Never change a running system“-Lösung gemacht: einen neuen kleinen Rechner mit Linux drauf an die Anmeldung gestellt und allen anderen per iptables (auf der Fritz-Box) die Kommunikation mit dem Internet verboten (außer Port 1194 UDP, den der Server zwecks OpenVPN-Anbindung nutzen darf). Sollte ja auch erstmal für ein Plus an Sicherheit sorgen.
Back to top
View user's profile Send private message
bbgermany
Veteran
Veteran


Joined: 21 Feb 2005
Posts: 1474
Location: Oranienburg/Germany

PostPosted: Thu Oct 31, 2013 1:30 pm    Post subject: Reply with quote

firefly wrote:


Mit dem VMWare Converter lassen sich Windows Installationen konvertieren, dass diese ohne Neuinstallation als VM laufen gelassen werden.
AFAIK wird beim erstmaligen Start des konvertierten Systems ein minimales Setup durchlaufen, damit Windows die passenden Treiber (wichtig sind hier der HAL Part) installiert, damit Windows problemlos in der VM laufen kann.

Wobei ich nicht weis, wie es aussieht, wenn man so eine konvertiertes Windows direkt mit Virtualbox startet.


Das geht schon, es sind warscheinlich noch ein paar Reboots mehr nötig ;). Jedoch sollte man die VMWare Tools dabei entweder nicht installieren oder danach deinstallieren, da VBox ja seine eigenen Gasttreiber mitbringt.

l3u wrote:
Also so in etwa hatte ich mir das vorgestellt, zumindest mittelfristig:

Ein Server, der komplett auf einem RAID5 läuft zwecks Hardwareausfallabsicherung (geht netterweise seit Grub2 ohne Probleme :-). Dazu eine minimale graphische Oberfläche (Blackbox oder so). Der tut nichts anderes, als ein virtualisiertes Windows hosten (VirtualBox?), das seinerseits die Praxissoftware bereitstellt. Datenbankdaten, Röntgenbilder und all sowas werden dabei nicht in der virtuellen Maschine gespeichert, sondern direkt auf dem Linux-Host (per Samba-Share).

Die Client-Rechner sind normale Linuxrechner, die sich per rdesktop auf dem Server anmelden und somit Zugriff auf das Abrechnungsprogramm etc. kriegen.

Im Moment habe ich die „Never change a running system“-Lösung gemacht: einen neuen kleinen Rechner mit Linux drauf an die Anmeldung gestellt und allen anderen per iptables (auf der Fritz-Box) die Kommunikation mit dem Internet verboten (außer Port 1194 UDP, den der Server zwecks OpenVPN-Anbindung nutzen darf). Sollte ja auch erstmal für ein Plus an Sicherheit sorgen.


Mit dem RAID5 ist eine super Idee. Da du ja eine 2003 Server Lizenz hast, solltest du aber eventuell noch RDP Lizenzen dafür nachordern. Auch 2K3 kann nur 2 gleichzeitige (ACHTUNG) administrative Verbindungen nutzen. Da du aber drei Clients hast, könnte das eng werden. Der Preis für eine 5User Device Cal liegt lt Idealo momentan bei ca 350€.

MfG. Stefan
_________________
1st: i5-4440 3.1GHz, 16GB, 1.7TB, HD4850
2nd: Celeron 2.6GHz, 2GB, 500GB, HD4350
3rd: TP X220, 2,5GHz, 8GB, 320GB, HD3000
4th: Athlon X2 BE-2300, 4GB, 64GB SSD + 3TB RAID5 GF7025
5th: Samung N350, 2GB, 250GB, HD3150
6th: Rasperry Pi, 512MB, 32GB SD
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Thu Oct 31, 2013 1:55 pm    Post subject: Reply with quote

bbgermany wrote:
Da du ja eine 2003 Server Lizenz hast, solltest du aber eventuell noch RDP Lizenzen dafür nachordern. Auch 2K3 kann nur 2 gleichzeitige (ACHTUNG) administrative Verbindungen nutzen.

Heißt, dass ich mehr nicht-administrative Verbindungen nutzen kann? Die Clients laufen ohne administrative Rechte. Aber bisher hatte ich nur maximal zwei RDP-Verbindungen laufen, vom Linux-Anmeldungsrechner aus und über VPN von zu Hause (was bisher problemlos funktioniert hat).

Fürchterlich für einen Linux-User dieser Lizenzkram …
Back to top
View user's profile Send private message
bbgermany
Veteran
Veteran


Joined: 21 Feb 2005
Posts: 1474
Location: Oranienburg/Germany

PostPosted: Thu Oct 31, 2013 2:47 pm    Post subject: Reply with quote

Hi,

wenn du den Server in einen Terminal Server änderst, kannst du mehr als nur die zwei gleichzeitigen Verbindungen machen. Es können sich auch ganz normal User Anmelden. Es sind dann aber noch ein paar andere Dinge zu beachten (z.B. Installation von Programmen, Druckertreiber müssen TS fähig sein, sonst gibt es unerwartetet Probleme, gilt auch für Programme). Die maximale Anzahl der RDP Verbindungen limitiert dann erstmal die Anzahl der installierten RDP-CALs anschließend die Hardware. Wenn du alle deine Rechner dort mit Linux austatten möchtest und alle Nutzer gleichzeitig mit den Programmen arbeiten sollen, dann bleibt dir nichts anderes übrig als ein RDP-CAL-Paket zu kaufen. IIRC ist die kleinste Einheit dahingegen sowieso 5-User/Device-CALs. Also können 5 Nutzer gleichzeitig arbeiten oder administrieren ;)

MfG. Stefan
_________________
1st: i5-4440 3.1GHz, 16GB, 1.7TB, HD4850
2nd: Celeron 2.6GHz, 2GB, 500GB, HD4350
3rd: TP X220, 2,5GHz, 8GB, 320GB, HD3000
4th: Athlon X2 BE-2300, 4GB, 64GB SSD + 3TB RAID5 GF7025
5th: Samung N350, 2GB, 250GB, HD3150
6th: Rasperry Pi, 512MB, 32GB SD
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Sun Nov 03, 2013 10:30 pm    Post subject: Reply with quote

Wäre rauszufinden, ob der Kasten nicht schon eh ein Terminalserver ist ;-)
Back to top
View user's profile Send private message
bbgermany
Veteran
Veteran


Joined: 21 Feb 2005
Posts: 1474
Location: Oranienburg/Germany

PostPosted: Mon Nov 04, 2013 7:47 am    Post subject: Reply with quote

Bekommst du recht leicht raus; Schau mal ob die Terminal Server Lizensierungsdienste installiert und konfiguriert sind. Wenn ja, dann ist er ein TS, wenn nein, dann arbeitet er nur im Remote Verwaltungsmodus.

MfG. Stefan
_________________
1st: i5-4440 3.1GHz, 16GB, 1.7TB, HD4850
2nd: Celeron 2.6GHz, 2GB, 500GB, HD4350
3rd: TP X220, 2,5GHz, 8GB, 320GB, HD3000
4th: Athlon X2 BE-2300, 4GB, 64GB SSD + 3TB RAID5 GF7025
5th: Samung N350, 2GB, 250GB, HD3150
6th: Rasperry Pi, 512MB, 32GB SD
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2079
Location: Konradsreuth (Germany)

PostPosted: Mon Nov 04, 2013 12:40 pm    Post subject: Reply with quote

Quote:
Lizensierung: Remotedesktop für Veraltung. Diese Richtlinie erlaubt nur zwei gleichzeitige Verbindungen.

Alles klar.

Vielen Dank für die Info! Ich bin echt ne Windows-Null … das letzte Mal, dass ich selbst Windows eingesetzt habe (mal abgesehen von der Arbeit jetzt natürlich), war 2003.

Jetzt weiß ich Bescheid :-)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum