Netzwerk ans Internet?Absicherung????

Hallo ihr Netzwerkfreaks,

ich habe folgendes Problem:
Ich soll ein Bildungsunternehmen ans Internet bringen, wobei neben 20 Win2000 WS ein File-Server läuft.
Die Frage ist nun, ob ich denselben Server als Proxy laufen lassen soll, was allerdings ein Sicherheitsrisiko bedeuten würde.
Einen extra Rechner will ich aber auch ungern als Proxy installierenen: Die Frage ist nun, ob ich mich für einen Hardwareproxy entscheiden soll, allerdings hätte ich dann
eingeschränkte Möglichkeiten, was den Virenschutz betrifft.
Diesen hätte ich nämlich auch noch ganz gern auf dem Proxy gehabt.
Für mich als Anfänger ist es natürlich schwierig, zu entscheiden, was die richtige Strategie ist.
a.Ein Linux Proxy mit Antivirus?
b.Ein Hardwareproxy? Allerdings ist dann die Virenfrage offen!
c. Den WIN2000 Server auch als Proxy laufen lassen???
...
bezüglich der Seiteninhalte habe ich mir natürlich schon Gedanken gemacht. Es ist so, dass das Ganze ein Schulungsunternehmen ist, das neben allen möglichne (Projektmanagement, Office...) auch Internetschulungen anbieten will, während dieser die Schüler "alles" dürfen sollen. D.h. sowohl FTP, POP3, telnet...Brauchen sie zwar nicht, aber naja.
Der Zugang zum Internet soll dan für die jeweilige Schulung vom Dozenten freigesachaltet werden, d.h. eine einfache Bedienung der Firewall wäre auch von Vorteil!
Sie sollen praktisch Internet an/abschalten können.
Wie ist das gemeint, wenn du sagst, dass ich keinen Gateway einrichten soll auf dem Server? Komme ich dann von dem server aus nicht ins Internet?....

Auf diese Fragen in einem anderen Internetforum bekam ich den Tipp mit einem Linuxproxy, wobei ich nicht weiß, welches Linux ich dafür verwenden soll bzw. welche Firewall (ipchains)?
Hab gelesen, dass Suse z.B. ein vorkonfiguriertes Linux für "Anfänger", genannt Suse Linux Office Server anbietet....

Die Idee mit dem Linuxrechner finde an sich ganz gut, wobei ich auch schon an eine Hardwarefirwall gedacht habe, da ich eigentlich keinen extra Rechner aufstellen wollte.
Was haltet ihr von der Idee bzw. wie ist die Bedienung?

Außerdem hat man mir F-Prot als günstige Alternative eines Antivirenprogramms empfohlen, wobei ich nicht weiß, ob
F-Prot die richtige Wahl ist. Hatte das vor 2 Jahren mal bei mir drauf und ich fand es lästig, die Aktualisierung von Hand vornehmen zu müssen . Haben die das jetzt verändert?
Hätte eher an Norton oder sowas gedacht, aber vielleicht bin ich da ja auch ein von "markenwerbung" gebranntmarktes Kind...!:-)

Ich wäre euch dankbar, wenn ihr mir mal sagt, was ihr an meiner Stelle machen würdet....
Bin für jeden Tipp dankbar!

MfG

Andreas

 

bösen seiten\'. tolles, graphischen frontent für ipchains kenn ich leider keins.. is aber keine große programmierarbeit.. z.b. mit einem java/browser-management-frontend in ein config-file zu schreiben.

 

Hi Andreas,

eine umfassende Lösung zu allen fragen kann ich Dir zwar nicht bieten, aber ich greife mal Deine Fragen in Sachen Linux-basierter-Router auf : schau Dir doch mal unter http://www.ipcop.org/cgi-bin/twiki/view/IPCop/WebHome die Router- / Firewall-Software Ipcop an. Die kann einiges, ist von den Ansprüchen her recht genügsam (ich würde dann einen kleinen ausrangierten Pentium 1 als Basis nehmen, der reicht dicke) und man muss kein Linux-Guru sein, um das Teil zu bedienen - die Verwaltung geschieht bequem über ein Web-Interface (wahlweise http oder https) unter Windows.
Features von Ipcop :
- DNS Proxy
- Web-Server
- Intrusion Detection System
- Cron-Server
- DHCP
- Web-Proxy
- VPN
- secure shell
- DMZ-Einrichtung
und vieles mehr - ein Blick lohnt sich. Alles ist komplett frei, gute Handbücher gibt es ausserdem dazu.
In Sachen Virenscanner kannst Du vielleicht mal hier vorbeischauen : http://www.free-av.de/

Gruss,

anakin_x4

 

Du solltest dir ein umfangreiches Buch zu dem Thema kaufen, da es grade bei solchen Aktionen einige Sicherheitsprobleme geben kann.

Ob Hardwarerouter oder Rechner ist eigendlich egal, da es von der Sache das Gleiche ist. Ob Linux oder w2k wird nicht zuletzt davon abhängen, welche Funktionalitäten du benötigst. Die nächste Frage ist, ob selber Inhalte für das Internet bereitgestellt werden sollen oder nur das Netzwerk Zugriff auf das Internet haben soll. Letzteres läst sich sehr komfortabel per Ken unter w2k lösen. So kann man für jedem Client im Netzwerk Internet-Protokolle freischalten bzw. sperren.

Zur Sicherung generell:
ein Virenscanner auf dem Proxy macht nur bedingt Sinn, da a) anhand von einzelnen Datenpaketen bei einer Internetverbindung ist ein Erkennen von Viren fast unmöglich ist - es sei denn eine Datei liegt bereits komplett im Proxy. b) bei eMail-Anhängen hast du das Gleiche Problem, es sei denn, du betreibst einen eigenen Mailserver.
Eine Firewall sollte man in jedem Fall auf dem Server betreiben, hilft dir aber auch nicht immrer weiter, wenn über den Server auf Grund der gewünschten Protokolle zu viele Ports freigeschaltet werden müssen.
Am Ende müssen alle Clients mit Virenscannern und Personal Firewalls ausgerüstet werden, um halbwergs sicher zu gehen.

Wie gesagt, das Ganze sind Anregungen und du solltest dir jemanden suchen der davon Ahnung hat, sonst spielst du mit nicht kalkulierbaren Risiken.

Gruss, Matthias