Zwischen Vorsicht und Paranoia

[Neuling]

Hi!
Ich wollte hier mal eine Diskussion darueber starten, welche Sicherheitsmassnahmen in einem kleinen bis mittleren LAN (Privatzwecke) sinnvoll sind, wobei ich mit sinnvoll "objektiv angebracht" meine, kombiniert mit der Befriedigung der Bastellust von Geeks, die schonmal ueber das Ziel hinausschiessen

Mein Beispiel: 4-6 PCs + 1 Server

Was meint ihr, welche (uebertriebenen ^^) Sicherheitsmassnahmen man treffen sollte? Taugen Standartrouter von Telekom oder D-Link was? Sollte man eine N-ISD-Box dazu nehmen?

"Gruesse sie, Commander" (welches Spiel? )

 

[soul_rebel]

hm kommt drauf an, welche dienste... und welche davon nach innen/außen?
was für pcs(betriebsysteme), wer sitzt dran(vertrauenswürdig:ja/nein, kennt sich gut aus:ja/nein)?

 

[Neuling]

vertrauenswuerdige Personen, gemischte Betriebssysteme (Win, Linux, BSD), Web- und Mailserver

 

[FreeBSDuser]

Empfehlenswert wäre nen ordentlicher Router, die Telecom hat doch grade erst nen port komplett geblockt weil nen fehler in ihren routern is/war.

Keine Windows freigaben verwenden, alternative -> FreeSSHd + sftpdrive/fuse-sshfs.

Wlan mit nem 63 stelligen key und WPA2 verschlüsseln.

Windows immer updaten, keine IE benutzen.

arpspoof detection // arpwatch benutzen.

keine non-SSL verbindungen für Mail und passwörter benutzen.

Tja, ich glaub das is schonmal ne gute Basis.

 

[Neuling]

Was sollte ein "guter" Router denn drauf haben? Paketfilter (stateful?), NAT? Wie stehts mit Proxy und IDS/IPS? Lohnt sich selberbauen (vom Spassfaktor abgesehen)?

 

[Daemotron]

Was sollte ein "guter" Router denn drauf haben? Paketfilter (stateful?), NAT? Wie stehts mit Proxy und IDS/IPS? Lohnt sich selberbauen (vom Spassfaktor abgesehen)?

Wenn Du einen Proxy mit ordentlichem Caching und eventuell auch für mehrere Protokolle brauchst/haben willst, würde sich ein Rechner mit richtiger Platte empfehlen - die CF-Dinger überleben das einfach nicht lange genug. Als Software würde sich dann ggf. die Zorp Proxy Firewall Suite anbieten. Wenn Du "nur" einen etwas aufgebohrten Router und WLAN-Accesspoint haben willst, würde ich mir eine WRT54GL besorgen und mich bei den alternativen Firmware-Projekten umschauen. Da gibt's einen Haufen interessantes Zeugs zum Basteln

 

[peterle]

Empfehlenswert wäre nen ordentlicher Router, die Telecom hat doch grade erst nen port komplett geblockt weil nen fehler in ihren routern is/war.

Das muß ja ein Karnevalsverein sein.
Mit sowas haben Sie nicht nur einem Freund von mir den Betrieb in Teilen lahm gelegt, sie haben auch noch abgestritten sowas zu machen.

 

[soul_rebel]

am besten eine kleinen router selber bauen mit freebsd drauf und openvpn-server (und nur verbindungen per openvon annehmend).
dann brauchst du auch kein wpa fürs netzwerk und kannst nfs zur dateifreigabe nutzen (da gabs doch auch clients für windows für).

auf dem router dann pf und eventuelle öffentliche dienste in jails.
dann ist sicherheit m.e. gut bedient.

 

[FreeBSDuser]

Ein WRT54GL tuts auch, hauptsache schön updaten.

VPN, hmm, ja , ganz praktisch wenn man aus dem internet aufs eigene LAN zugreifen will, für WLAN mit WPA2 übertrieben und unpraktisch.

pfSense oder m0n0wall sehen sehr gut aus, wenn du noch nen Thin Client rumliegen hast ;>