Firewall Hardware oder Router

Question

Hallo,
wie ich Titel oben schon beschrieben bin ich mir unsicher im Bezug
auf eine Firewall.

Ich schildere mal kurz mein Problem.
Für die Firma eines guten Freundes administriere ich das Netzwerk.
Meine Kenntnisse sind nicht überragend, da ich kein IT-ler bin,
aber sie reichen aus, um die 5 Rechner, den Server, die 2 Drucker
und 2 Laptops am Laufen zu halten.
Da sich im Netzwerk empfindliche Daten lagern, wurde bisher
darauf verzichtet, es an den Internet-Router zu hängen.
Dort war bisher nur ein einzelner Rechner für Internetrecherchen
und als Email-Empfangsstation. Die Laptops konnten sich über
WLAN ebenfalls ins Internet verbinden.

Nun ist es so, das eine neue Datenbanksoftware angeschafft wird,
welche eigentlich den Internetzugang benötigt. Aus welchem Grund
auch immer ist erstmal egal.

Für mich stellt sich jetzt die Aufgabe, das ganze zu realisieren,
soweit ich kann, oder aber das ganze in an die Profis abzugeben.

Deshalb einfach mal ein paar Fragen geradeheraus. Vielleicht kann
mir ja einer von euch mal wieder helfen.

1. Der Internet-Router ist eine 2 Monate alte Fritzbox. ( Bezeichnung
hab ich grad nicht da, kann ich aber nachreichen !)
Dort ist eine Firewall integriert. Laut mehreren Tests soll diese
Firewall ganz gut sein.
Reicht das im Normalfall aus?
Muss man die Firewall speziell einstellen oder läuft die
mit den Grundeinstellungen schon gut?

2. Wenn der Router nicht ausreicht, wovon ich derzeit ausgehe,
welche Software empfiehlt sich für eine Hardware-Firewall.
Zur Verfügung steht ein ungenutzer P3-1000 mit 2GB RAM und
80GB HDD.
Ich würde auf jeden Fall natürlich "Freeware" bevorzugen.
Linux ist nicht das große Problem. Ein wenig Grundwissen dazu
besitze ich.

3. Wie würde dann der Hardwareaufbau aussehen?

Splitter - Fritzbox - Firewall- Router(der wo der Server und die Clients
schon dran sind) - Clients

Würde mich freun, wenn mir jemand ein wenig helfen könnte.
Und bitte nicht in Fachfranzösich. Wie gesagt..... NON-ITler.

CU Rony

Answer 1

Hallo Rony,

die Antworten auf deine Fragen könnten je nach persönlicher Paranoia recht unterschiedlich ausfallen. ;0) Meiner Meinung nach ist jedoch die Fritz!Box als Schutz vor Angriffen von Außen ausreichend -> Sicherheitsfunktionen (Firewall) der FRITZ!Box

Über die s.g. 'Kindersicherung' ließe es sich in der Fritz!Box auch einrichten, dass weiterhin nur bestimmte Rechner Zugang zum Internet bekommen. Persönlich halte ich das aber eher für ein Sicherheitsrisiko, da dann ja auch keine zeitnahen Updates für das jeweilige System und die Sicherheitssoftware auf diesen Rechnern möglich sind. Wie habt ihr das denn bisher gehandhabt?

Etwas unklar ist für mich auch die Sache mit dem s.g. 'Server'. Ist das tatsächlich ein Server, dann mit welchem Betriebssystem, oder ist es lediglich eine zentrale Datenablage? Bei einem Netzwerk mit einem echten zentralen Server würde ja nur dieser als Client an der Fritz!Box angemeldet werden und der gesamte Datenverkehr der übrigen Rechner würde über diesen Server und dessen Sicherheitseinrichtungen laufen.

Gruß
Kalle

Answer 2

1. die Clients laufen noch auf W2K. Und sind auf dem letzten
Verfügbaren Stand installiert. Sicherheitsupdates sind nicht nötig,
da kein Internet. -- für den Umbau werden diese Maschinen dann
vermutlich W7 bekommen.

2. Der Server ist nur ein "quasi" Server. Aufgebaut auf dem Family-
Server von Microsoft. Die gemeinsamen Datenbanken sind dort
abgelegt, sowie gemeinsame Dateien. Außerdem sind die Drucker
daran angeschlossen. Auch hier.. da kein Internet, auch keine
Sicherheitssoftware mit Ausnahme der Datenverschlüsselung.

3. Es geht weniger darum den Zugriff auf das Internet zu
unterbinden als eher verkehrt herum. Wie gesagt die Daten sind
sensibel und können, wenn jemand sie "finden" sollte, durchaus
größeren finanziellen Schaden bei meinem Freund, wie auch
seinen Kunden verursachen. Zudem bin ich nicht scharf darauf ein
aufwändiges Antivirensystem aufzubauen, um eine Infizierung zu
verhindern. Klar! sollte es nötig sein, werde ich auch dafür eine
Lösung finden.

4. die neue Datenbanksoftware braucht den Internetzugriff auf allen
Clients und auf dem Server selber bzw. auf die Datenbank selber.
Das hängt auch mit dem zu Grunde liegenden Sicherheitssystem
bzw. Sicherheitskonzept dieser Software zusammen.

Letztendlich muss man bei allem mitbetrachten, das alle
Funktionen "funktionieren" müssen. Wenn ich dauerhaft vor dem
Server sitzen muss, um Sicherheitsprotokolle zu sichten usw. bringt
es nichts. Sprich der Büroalltag soll nach dieser ganzen
Updategeschichte genau so ungestört laufen können wie bisher.
Nur mit dem Unterschied, das dann eben alles am Netz hängt.

Danke schonmal für die 1.Antwort.
Cu Rony

Answer 3

Hallo Rony,

ich glaube du bewertest hier was falsch. Die Fritz!Box kann das Netzwerk recht gut gegen Angriffe von Außen schützen, obwohl natürlich die zusätzliche Kontrolle durch einen Server etwas besser wäre. Aber mit dem Schutz gegen Anfgriffe von Innen sieht es bei deinem Denk-Schema eher etwas mau aus.

Selbst wenn von den untereinander vernetzten Rechnern nur ein einziger eine Internetverbindung hätte, müssten alle Rechner im Firmen-Netzwerk geschützt und der gesamte Datenverkehr zwischen diesen Rechner überwacht werden, damit ein eingeschleppte Schädling dort keine Daten manipulieren oder auslesen kann. An einer Schutzsoftware, welche auch den Datenverkehr im Firmen-Netz überwacht, sollte dein Freund also besser nicht sparen.

Sonst müsste er beispielsweise alle Laufwerke für Wechseldatenträger (CD/DVD, USB, Card-Reader) z.B. mit Heißkleber physikalisch unbrauchbar machen, damit darüber keine 'Schädlinge' auf seinen vermeintlich sicheren Rechnern eingeschleppt werden können. Gegen die wäre nicht nur die Firewall der Fritz!Box relativ machtlos, auch die Firewall von Win2K, die vermutlich in diesem Netz für den Datenverkehr nach Außen zuständig ist, würde Änderungen an ihren Einstellungen durch so einen Schädling i.d.R. klaglos akzeptieren und dich nicht einmal darüber informieren.

Richtig ist, dass jede Firma zum Schutz ihrer Daten hierzulande gesetzlich verpflichtet ist und ggf. auch dafür haftbar gemacht werden kann, wenn Dritte wegen eines 'nach dem Stand der Technik' unzureichenden Schutzes finanzielle Schäden erleiden. Und das ist auch richtig so.

Eine auch unentgeltlich Hilfe unter Freunden ist auch für mich selbstverständlich. Aber wenn der eine damit Geld verdient und der andere sich für den reibungslosen Ablauf dann lediglich 'in aller Freundschaft' zumindest moralisch den Hut aufsetzen soll, könnte so eine Freundschaft auch mal schnell mit Misstönen enden. Unterhaltet euch besser in aller Freundschaft darüber, dass dir schon für die rein rechtlichen Aspekte so eines Firmen-Netzwerks einfach die notwendigen Kenntnisse fehlen und sich auf längere Sicht für ihn die Kosten für eine professionelle Hilfe mit einer eindeutigen, ggf. mal auch rechtlich einklagbaren Vertragsbasis bzgl. eventueller Schadenersatzfälle durchaus rechnen könnten.

Gruß
Kalle