[NT]Praktijk server met internet op werkstations

Met een (Goed geconfigureerde! = bijna alles dicht) firewall ertussen zou het "theoretich" onmogelijk moeten zijn om vanaf internet op de server (laat staan de werkstations) te komen.

Andersom is het wat lastiger, als je namelijk op internet kan is het ook mogelijk om d.m.v. een interne hack op een werkstation (spyware/hacktools) via poort 80 data te versturen naar buiten toe.
Tenzij je natuurlijk op basis van datapakket content gaat filteren, maar de apparatuur die dat soort dingen kan zijn vaak vrij prijzig, daarnaast als de data op de client al versleuteld wordt kan het door zo'n apparaat niet herkent worden.

* geen enkel netwerk is 100% waterdicht *

Lees eens even Hoe deel ik Internet ?. Laat gerust weten als je daarna nog vragen hebt Hier op GoT verwachten we dat je eerst zelf aan de slag gaat. Lees daarover de Algemene gedragsregels (Netiquette) nog even door

Lijkt me zoiezo geen overbodige luxe om je daar even in te verdiepen, denk dat je met de termen NAT en proxy al aardig veel zult vinden

Ik zou gebruik maken van een firewall voor die server, bijv linux of een sonicwall.

in ieder geval een firewall/proxy server ervoor zetten. Voordeel van de proxyserver is dat je ook nog weer bepaalde websites kunt disabelen door de toegang te ontzeggen. Maar dit is ook niet echt een PN&S topic moet ik zeggen.

Als ik de praktijk was waar je dit voor gaat doen, zou ik jouw niet dit netwerk laten aanleggen. Sorry dat ik het zeg.

Je praat er over van... oh dat doe ik even. Maar je hebt totaal nog geen kennis van zaken omtrend veiligheid. Ben blij dat mijn gegevens daar niet staan.

Verder gewoon dit bericht negeren hoor!

[ Voor 7% gewijzigd door Falcon op 23-08-2005 09:13 ]

Eigenlijk voeg ik mij bij bovenstaand. Dat is de veiligste manier.

Daarbij komt nog eens dat NT4 niet meer gesupport wordt en dat ik persoonlijk erg terughoudend zou zijn om een EOL OS (met of zonder firewall) aan het internet te hangen. Ik zou dus zeker niet alleen een firewalltje installeren maar op z'n minst een christelijke hardware firewall of een firewall/proxyserver neerzetten.

Enne, dit gaat naar NT.

Ik zou er als ik jou was voor kiezen, een aparte firewall / proxie neer te zetten en deze niet op de NT4 bak te draaien. Mocht er dan onverhoopts nog een inbraak komen, dan zitten ze iig niet direct op de server met alle persoonlijke gegevens.
Met een oude PC (P1 is al ruim voldoende) met FreeSco en evt wat aanvullende modules zal al ruim voldoende zijn imho

Ik zou eerder eens gaan denken aan Linux, meeste programma's kun je dan gebruiken, denk hierbij aan Samba en printer server, mail server etc....Ik hoop dat het netwerk professioneel genoeg is, want een beetje hacker doet met gemak het moeilijkste password achterhalen met de techniek van tegenwoordiug

Ik zou gaan voor een losse router/firewall.
Als het even kan zou ik die NT bak geen default gateway geven, scheelt weer een stukje veiligheid

Zoals ik de handleiding zie heeft die iig NAT, dat is een start, ik zie geen aanvullende firewall mogelijkheid. Wellicht dat een nieuwe router of een losse firewall financieel te verantwoorden is ?

Ik zou een beetje een goede router kopen die een connectie kan leggen naar je SpeedTouch via PPTP. Deze routers zijn ook te kopen met goede basis firewall mogelijkheden. Vervolgens hanteer je daar NAT en forward je alleen de porten van de router door naar clients die strict noodzakelijk zijn (wellicht zijn die er zelfs niet, misschien een publieke webserver port 80 of Remote Desktop 3383, maar iig zo min mogelijk).

Koop er dan een 8 of 16 poorts switch bij (geen hub, dat is pas je netwerk martelen) en sluit die aan op de router via de uplink port (dit is meestal of de 1e of de laatste port van de router, een speciale port).

Mocht je toch heel graag een PC als router op willen zetten, met twee netwerkkaarten (1 incoming, 1 outgoing). Dan kan ik je zeker IPCop aanraden. Gemakkelijk op te zetten, best heel veilig en vanaf een andere PC met een webinterface prima te beheren. http://www.ipcop.org/. Helaas kan dit dan niet met die NT machine, omdat je daar Sql op draait. Het lijkt mij wel verstandig om, als je een pc als router op zet, die puur dedicated als router in te zetten en hier geen andere dingen op te draaien.

Met de informatie uit dit topic (zie ook de topics van GOT networking zelf) en wat google werk moet je er volgensmij prima komen

Als ik de praktijk was waar je dit voor gaat doen, zou ik jouw niet dit netwerk laten aanleggen. Sorry dat ik het zeg.

Dit soort uitspraken vind ook ik uitermate storend. Als mensen allemaal zo zouden reageren, dan zou jij zelf nu ook niks over het onderwerp weten. Want dan was er tenslotte geen boek of website over geschreven.

[ Voor 22% gewijzigd door Zyphrax op 24-08-2005 00:16 ]

jeehaa schreef op maandag 22 augustus 2005 @ 23:50:
aloha,

ik zit met het volgende. We hebben op de praktijk een bedrijfsnetwerk, met 6 werkstations en een server. Het is nu de bedoeling dat er ADSL verbinding wordt aangelegd zodat de werkstations allemaal het internet op kunnen. Daar het een praktijk betreft met vertrouwelijke en persoonsgebonden informatie mag er geen toegang van buiten af zijn voor zowel de server (extreem belangrijk) als de werkstations.

Ik zelf ga ook in een soort gelijke situatie komen, wij hebben een eigen restaurant en dus ook genoeg boekhouding. Ik heb ons netwerk ingericht met een draadloze router, aan deze router heb ik een SAMBA server en een printserver, voor de rest heb ik alle verbindingen naar buitenaf geblokkeerd, men kan wel op msn, maar een p2p programma kan alleen op zondag worden gebruikt, de rest van de week kan men weinig naar buiten doen. Een ftp server en terminal server draait op mijn pc, zodat ik ook altijd even kan inloggen op mijn eigen pc.

De rest heb ik allemaal afgeschermd met een goede firewall en virusscanner, mijn router heeft al een ingebouwde firewall, maar je kan het beter te goed beveiligen, dan juist te weinig, verder staat op elke werkstation McAfee geinstalleerd met de nieuwste updates etc. Allemaal Windows 2000 met sp4 en RU1.

De computers binnen de werkgroup Halfblood (Ja ik ben een Haryy Potter fan ) kunnen overal bij elkaar inloggen, behalve bij de gevoelige delen van de computers, ze kunnen niet inloggen bij elkaars documenten. ( gewoon via de shares gedaan, simpel iets doet de truc )

De Samba server hebben wij draaiend voor backups, ik heb iedere user ( 5 users, ic ikzelf ) toegang gegeven tot een partitie, hierbij kunnen ze hun backups aan toevoegen in een gecomprimeerd bestand voorzien met wachtwoord.
Printen gaat via de ingebouwde printerserver van de router ( Asus WL500g)

Zoals je ziet allemaal heel erg basic, maar juist deze basic dingen doen vaak de truc, ik heb verschillende exploits en scanners over mijn netwerk laten gaan en geen een kon een echt zwak punt vinden. Voor de rest werkt dit allemaal goed, en hebben geen klachten ontvangen over allerlei problemen.
Morgen gaan wij over op geheel bedraad netwerk en een bridge tussen twee routers, aangezien de verbinding tussen de overige clients met draadloos wel eens wilt wegvallen...

Als ik de praktijk was waar je dit voor gaat doen, zou ik jouw niet dit netwerk laten aanleggen. Sorry dat ik het zeg.

Je praat er over van... oh dat doe ik even. Maar je hebt totaal nog geen kennis van zaken omtrend veiligheid. Ben blij dat mijn gegevens daar niet staan.

Verder gewoon dit bericht negeren hoor!

Dit vind ik dus een enorme ******** opmerking, de TS wilt zich gaan verdiepen in beveiliging en netwerken, zonder daar een beroep van te maken. Ik zelf ben GEEN ict-er, sterker nog ik ben werkzaam in de chemische sector en werk normaal alleen met word en excel, als je je alleen een beetje gaat verdiepen in iets, heb ik echt geen jaren lange studie nodig om een goed beveiligd iets te maken.
Ik moet dan natuurlijk wel toegeven dat het werk van een ict-er dan professioneler eruit ziet, en waarschijnlijk met moeilijkere dingen is opgebouwd en onderhouden. Maar de normale user die zich erin wilt verdiepen wilt gewoon met simpele dingen 'iets' maken, en dat een figuur zoals jij ( Geen flame, ik generaliseer alleen ) hem de grond in duwt vind ik ronduit onsportief. Sterker nog, dit vind ik zwak. Want als ik zo lees in diverse topics op GoT, dan kan ik me de indruk ontwekken dat een systeem beheerder juist wilt dat een user "iets" meer zelf gaat uitzoeken, ipv hen iedere keer lastig te vallen.

Voor de TS nogmaals,

Als je een netwerkje wilt opzetten, is het in mijn opzicht ook goed om je netwerk te testen met allerlei soorten exploits en scanners. Ga je passwords proberen te cracken etc. Pas dan weet je of het goed werkt wat jij hebt aangelegd. Teminste dat vind ik

Ik wil ook geen flame uiten op de systeembeheerders die dit lezen, natuurlijk is het leuk om iemand zonder enige "echte" kennis van Linux/MacOS/Server systemen even te wijzen op zijn fouten. Maar ga daarin niet zeggen dat hij het absoluut niet kan....mocht het mislukken, dan kan hij het alsnog laten doen, ik vind het alleen maar goed dat hij het zelf probeert, menig een laat een bedrijf hiervoor komen, en moet diep in de buidel tasten voor niks.
Tot slot, een wijs spreekwoord

Van je fouten kun je leren Gegaraneerd dat de TS fouten maakt, maar hiervan leert hij alleen maar IMHO

Over and Out

Smoothwall is net als IpCop een goede en eenvoudige firewall die je op een oude pc kunt laten draaien. (mijn voorkeur gaat naar de Smoothwall)

_Ik_ zou gaan voor een dedicated firewall kastje, heb zelf goede ervaringen met de Basewall 1000 vpn
Prima te configureren en betaalbaar.

Over de verschillende opmerkingen in dit draadje wil ik alleen toevoegen dat ze niet altijd bijdragen aan het komen tot een antwoord/oplossing voor TS.

Wel zal TS heel erg goed rekening moeten houden met het feit dat het om patient gegevens gaat. Als die op straat komen te liggen heeft betreffende praktijk een groot probleem lijkt me.