[Silent-Eye]

Mein Kumpel hat folgendes Problem:

Mein Kumpel hat auf einem Windows 2003 Terminalserver die Sygate Personal Firewall 5.5 installiert und sie funktioniert auch. Das einzigste Problem an der kombination ist, da der Server keinen Monitor hat, wird er über die Windowsremotedesktopunterstützung bedient. Leider ist die Firewall nach dem anmelden beim Terminal nicht in der Taskleiste sichtbar, was das ganze eher unbrauchbar macht.

Wisst ihr vielleicht, ob und wie man das beheben kann?
Oder kennt ihr eine Firewall die da sichtbar ist und auch Windows 2003 läuft?

Wenn dies nicht klappen sollte, wird das ganze wohl darauf hinaus laufen, dass wir RemoteAdministrator (kurz rAdmin) installieren werden, wobei wir nicht wissen, ob das auf dem Windows läuft bzw. funktioniert.

Dieser Beitrag wurde von Silent-Eye bearbeitet: 22. August 2004 - 18:03

[puppet]

verbinde dich einfach mit der consolensitzung dann sollte es klappen!
wenn du den ms-rdp client benutzt mach einfach dies:
mstsc /v:SERVERNAME /console

noch ein tipp: installiere keine pfw auf einem server-betriebssystem

Dieser Beitrag wurde von puppet bearbeitet: 22. August 2004 - 18:10

[Master_P.]

Zitat (puppet: 22.08.2004, 19:07)

noch ein tipp: installiere keine pfw auf einem server-betriebssystem

Dem kann ich nur zustimmen.

Alternativen sind ISA-Server 2000 oder 2004.
2004 ist für W2k3 Server ausgelegt und läßt sich sehr schön konfigurieren.

[Rika]

Gerade bei ISA und sämtlichen anderen echten Firewalls gilt: Nie auf dem zu schützenden Rechner laufen lassen. Ja, mit ISA wäre das noch kranker als mit der Sygate PFW:

[Master_P.]

Zitat (Rika: 24.08.2004, 02:52)

Gerade bei ISA und sämtlichen anderen echten Firewalls gilt: Nie auf dem zu schützenden Rechner laufen lassen. Ja, mit ISA wäre das noch kranker als mit der Sygate PFW:

Darf man fragen wieso?
Klar sollte man nen einzelnen Rechner zur Trennung 2er Netze haben, aber wenns Hardwaremäßig nicht hinhaut!
Was spricht denn so sehr dagegen?

[Silent-Eye]

Der Server ist grundsätzlich dazu da um die ganzen PCs im Netzwerk ins Internet zu Routen. Dann soll da noch nen FTP-Server drauf und halt über Remoteaccess drauf zugreifbar sein.

[Rika]

@Master_P:

Schau dir doch mal bitte was Firewall bedeutet...
Und sie soll ja gerade verhindern, daß gefährliche Daten erst bis zum zu schützenden System vordringen. Läuft sie hingegen direkt auf dem zu schützenden System, sind Teile des TCP/IP-Stacks und der Verarbeitung bereits durchlaufen, bevor die Firewall eingreifen kann.

@Silent-Eye:

Dito. Total schlechtes Netzwerkdesign. Verletzt die goldene Regel: Missbrauche nie einen Server für mehrere Sachen. Also entweder Router oder Firewall oder FTP-Server.

Wie wär's denn mal wenn du den FTP-Server in 'ne DMZ schiebst und zwischen INet und Router bzw. Route rund internem Netz 'ne kleine PIX hinstellst?

[BlackHawke]

Das ist mir zu schwarz und weiss.

Ja, vor einen Rechner, der Serverfunktionen bietet, gehört eine vernünftige Firewall.

Ja, eine vermischung von Diensten auf einem Server birgt Risiken.

Aber nein, eine (personal) Firewall hat auf einem Server sehr wohl eine Existenzberechtigung.

Unter dem Begriff personal Firewall sind heute Produkte zusammengefasst, die i.d.R. sogenannte Hostbased Intrusion Prevention-Systeme (HID / HIP) darstellen.

Deren Funktionen können mehrheitlich nicht von vorgeschalteten (Netzwerk- oder L3/4-) Firewalls übernommen werden und deshalb sind solche Systeme auf einem Server sehr wohl sinnvoll.

Aber nochmal: Nicht als alleinige Absicherung!

Also: Internet --> Netwerk-Firewall --> Server (ggf. mit "personal Firewall)

[Rika]

Zitat

Aber nein, eine (personal) Firewall hat auf einem Server sehr wohl eine Existenzberechtigung.

Unsinn. Software, die nicht auf den Server gehört, hat tunlichst nicht darauf zu laufen, erst recht nicht wenn er so kaputte Software wie eine PFW ist. Zu Sicherheit gehört auch Ausfall- und Laufsicherheit, die wäre so wahrlich stark beeinträchtigt.

Zitat

Unter dem Begriff personal Firewall sind heute Produkte zusammengefasst, die i.d.R. sogenannte Hostbased Intrusion Prevention-Systeme (HID / HIP) darstellen.

Auch hier hat die Marketing-Abteilung mal wieder am Rad gedreht, denn eine 0815-RegExp mit unbrauchbaren Signaturen sowie diverse Layer7-Filter von unbrauchbarster Qualität sind nicht mal auch nur ansatzweise mit einem dedizierten HIDS/HIPS vergleichbar, geschweige denn mit einem NIPS a la snort_inline. Ja, sogar wenn man letzteres nur auf dem Server laufen lässt.

Zitat

Deren Funktionen können mehrheitlich nicht von vorgeschalteten (Netzwerk- oder L3/4-) Firewalls übernommen werden und deshalb sind solche Systeme auf einem Server sehr wohl sinnvoll.

Bitte? Analysen sind, wenn sie erst bzw. nur am Zielrechner ausgeführt werden, schon viel zu spät gekommen. Ein interner Server gehört gar nicht ans Netz, ein extern erreichbarer Server gehört im Falle von tunlichst mit einem Proxy ausgestattet.

Zitat

Aber nochmal: Nicht als alleinige Absicherung!

Ja. Stelle mit Softwarerestriktionen und Zugriffsrechten sicher, daß keine PFW, die den Server angreifbarer und instabiler macht, installiert wird. Ohne dies hat dein Konzept, wie benannt, ja schon einmal versagt. Herrje, 'ne PFW auf 'm Server...