LAN schützen

Hallo!
Ich bin Verwalter eines Netzwerkes mit ca 40 angeschlossenen PC-Clients.
Das Netzwerk hat einen Internetzugang per DSL. Auf Grund der immer stärker werdenden Internetkriminalität, Hackerangriffe etc. möchte ich das LAN stärker schützen. Es darf absolut keine Möglichkeit geben unauthorisiert in unser Netz zu kommen. Gleichzeitig sollen jedoch externe Geräte wie z.B. iPhones einen authorisierten Zugang zu bestimmten Diensten haben. So soll z.B. der Chef einen Online-Zugriff auf seinen Kalender im Outlook haben. Weiterhin haben wir eine Anwendung im Netzwerk laufen, die auch einen Webzugriff für Auskünfte erlaubt. Dieses sollte auch authorisiert zugreifbar sein.
Der Mailserver und der Server mit der WebApp sollten dann in einer DMZ laufen.

Hat jemand einen Vorschlag mit welchen Systemen / Programmen ist so etwas realisieren kann?

Gehen alle PC über einen Server ins Internet, oder hat jeder PC einen direkten Anschluss zum Router für das Internet.

Jedenfalls sobald Du Hochsicherheits Software einsetzt und z.b. auch beim Internet Explorer die höchste Sicherheit aktivierst wirst Du ein Problem mit den Anwender bekommen da viele Warnungen erscheinen werden.

Das grösste Problem bei einem Netzwerk wird immer der Internetzugriff sein, auch der Mailverkehr stellt ein Sicherheitsproblem dar.

Die Erfahrung zeigt das nicht das Hackerproblem die grösste Gefahr ist, sondern die Anwender welche am PC sitzen und unüberlegt überall herumsurfen, auch gibt es viele Anwender wo das Gefühl haben Gratis Programme herunterzuladen.

Selber habe ich bei meinem Netzwerk bei jedem einzelnen PC, Notebook und Netbook einen Virenschutz installiert und den WIN 7 Firewall aktiviert, der DSL Router hat schon eine NAT Firewall welche in den meisten Fällen genügt.

N.b. auch USB Stick welche Anwender von zu Hause mitbringen können Mist auf das Netzwerk bringen, so etwas war letztes Jahr beim Stadtnetzwerk mit über 100 Clients passiert.

Walter

Hallo!
Also ich hatte hier schon vor mit entsprechenden Firewall und Proxysysteme zu arbeiten.
Einen DSL Router, der die Internetverbindung aufbaut, dahinter einen IPCop wo ich über verschiedene Netzkarten unterschiedliche Anbindungen schaffen kann.
Einmal um das internet Netz mit DSL zu versorgen und um Server für WebAnwendungen in eine DMZ zu stellen.
Praktische wäre es, wenn man hier auch gleich eine VirenSoftware zum Filtern des Netzverkehrs auf Viren einbringen könnte.

Schau Dir mal den Link unten an, ist vielleicht eine Variante um mehr Sicherheit zu haben.

http://technet.microsoft.com/de-de/magazine/gg547618.aspx

Walter

baxxter333 schrieb:

[...]Es darf absolut keine Möglichkeit geben unauthorisiert in unser Netz zu kommen[...]

Zum Vergrößern anklicken....

Dann zieh den Stecker.

[...]Gleichzeitig sollen jedoch externe Geräte wie z.B. iPhones einen authorisierten Zugang zu bestimmten Diensten haben.[...]

Zum Vergrößern anklicken....

Die grösstmögliche Absicherung für den mobilen Zugang ist ein eigenes VPN im Mobilfunknetz, du bekommst dann einen eigenen APN, über den deine mobilen Geräte online gehen - wobei online hier _NICHT_ das öffentliche Internet meint. Durch den eigenen APN sind die Geräte quasi Teil deines Netzwerks und du kannst dir die DMZ sparen. Hat auch den tollen Nebeneffekt, das du so kontrollieren kannst, was die mobilen Geräten dürfen und was nicht.

100% Sicherheit wirst du in diesem Umfeld nie erreichen, alles ist knackbar. Ich kann daher, wenn es z.B. noch VPN-Einwahlen von extern geben soll, nur dazu raten, auf aktuelle Protokolle und Standards zu setzen, also IPSEC und/oder SSL, und alte Zöpfe wie PPTP und/oder L2TP konsequent abzuschneiden.