[djkreuz]

Hallo miteinander!

Ich habe auf zwei PC! Auf dem einem ist Windows 2003 Server Enterprise Edition installiert. Der zweite läuft unter Windows XP SP2! Bisher sind die beiden PC per statischer IP-Adresse verbunden, also ohne Active Directory (also Domaincontroler)! Der Server fungiert als Gateway über den Internet-Connection-Sharing Service. Alles läuft super. Auf dem Server habe ich bisher einen Dateiserver (eigentlich nur einen Ordner) und einen Druckserver (also einen Drucker) installiert und freigegeben! Als Antivirus habe ich mir Symantec Antivirus 9.0 Corporate Edition geholt. Meine Fragen:

1.) Ich brauche noch eine Firewall! Welche kann man da benutzen, oder bringt Windows 2003 Server eine mit, ich meine nicht die normale Windows-Firewall (wie bei Windows XP), die taugt nix. Ich muss Ports freigeben/sperren können und einzelnen Programmen Rechte zuweisen. Ich hatte vorher Norton Personal Firewall 2004. Die Fand ich gut Ich habe aber gehört, das es einen ISA Server für Windows 2003 Server geben soll. Stimmt das, wenn ja wo bekomme ich den her und wie konfiguriere und installiere ich den? Außerdem hatte ich überlegt, mir vielleicht die Symantec Firewall 8.0 Enterprise Edition zu besorgen. Was ist am besten?

2.) Ich möchte Active Directory einrichten, also mit Domains arbeiten, weil auf die Dauer noch mehr PC hinzukommen werden. Außerdem soll da die Rechtevergabe besser sein. Wie installiere und konfiguriere ich sowas?

So, langer Text, aber ich hoffe ihr versteht meine Problematik!

Danke im Voraus, Euer DJKreuz!

[Rika]

1. Ja, du brauchst eine Firewall, und zwar um deinen Win2K3 Server zu schützen - wie also kommst du auf die Idee, einen Paketfilter genau dort zu installieren? Die Norton PFW ist als Paketfilter und Sicherheitsmaßnahme Müll, vor allem hat das Schutzsystem nix auf dem zu schützenden System zu suchen. Programmkontrolle hat mit Firewalling auch nix zu tun, sondern ist eine Sache des Betriebssystems und kann nur von diesem zuverlässig erfolgen - aber wenn du deinen eigenen Programmen nicht mal traust, dann hast du schon verloren. Die Enterprise-Produkte von Symantec sind übrigens fast genauso müllig.
2. Das solltest du doch wissen. Wo ist deine Ausbildung geblieben?

[djkreuz]

Erstmal Danke für die schnelle Antwort!

Ich weiß, dass man eigentlich eine Hardwarefirewall oder einen extra PC als Firewall nutzen sollte, das kommt für mich aber aus kostengründen nicht in Frage. Also fungiert der Win2k3 als Gateway. Deshalb soll der halb irgendwie per Softwarefirewall geschützt werden. Symantec soll ich also nicht benutzen, was ist so schlecht daran? Was ist mit dem ISA Server, von dem ich gehört habe? Da ist doch eine Firewall mit drin oder?

Bis dahin!

[Rika]

Zitat

Ich weiß, dass man eigentlich eine Hardwarefirewall oder einen extra PC als Firewall nutzen sollte, das kommt für mich aber aus kostengründen nicht in Frage.

Ein 30€-Billigrouter schützt besser als ein hostbasierender Paketfilter.

Zitat

Also fungiert der Win2k3 als Gateway.

Mit Verlauch, aber das ist eine ganz ganz blöde Idee. Du weißt doch was passiert wenn man nur ein normalen Workstation-Windows einfach so ans Netz hängt - ein Gateway, auch wenn's Win2K3 ist, ist da noch wesentlich gefährdeter.

Zitat

Deshalb soll der halb irgendwie per Softwarefirewall geschützt werden.

Nein, sowas nennt sich dann hostbasierender Paketfilter und ist eine ungleich schwächere Schutzmaßnahme als eine Firewall. Versuch's mal lieber mit einem Hardening (Dienste, NetBIOS, RAS, TCP/IP-Stack, Security Policy), das sollte wesentlich mehr bringen.

Zitat

Symantec soll ich also nicht benutzen, was ist so schlecht daran?

Gegenfrage: Was davon funktioniert bzw. funktioniert zuverlässig? Das unübersichtliche Regelsystem? Die anfällige kaputte Implementierung? Der lausige Support? Das Marketinggeschwafel? OK, letzteres wirkt zuverlässig.

Zitat

Was ist mit dem ISA Server, von dem ich gehört habe? Da ist doch eine Firewall mit drin oder?

Die den Rechner selbst genau wieviel schützt? Der ISA Server mag ja schön und nett sein, um ihn als Gateway, Proxy, VPN-Endpunkt und minimale Firewall zu betreiben, ist aber selber so anfällig daß er durch eine Firewall geschützt werden muss. Aber wenn du dir den ISA Server leisten kannst, ist dann etwa kein Geld für eine einfache Pix oder einen Draytek drin? Oder wenigstens 'nen 30€-Router? Oder einen alten P1-Rechner vom Sperrmüll mit Linux+iptables?

[djkreuz]

Überredet, werde vorläufig die Windowseigene Firewall benutzen und mir umgehend eine billige Hardwarefirewall holen. Bin am überlegen, ob ich meinen DSL-Anschluss wechsele, vielleicht springt da ja dann noch ein DSL-Router raus mit WirelessLAN. Danke für deine Hilfe.

Ciao!

[Philipp]

kannst ja einen linux router betreiben passt sogar auf eine diskette