surfen ja, intranet nein

[McAtze]

Hallöle,

ich hab da folgende Situation:
Wir haben in unserer Firma ein Windows Intranet mit nem Server wo jeder drauf zugreifen kann. Jetzt hab ich das WLAN an dem WLAN-Router aktiviert, damit ich mit meinem iBook drauf zugreifen kann. Dabei komme ich auch ganz easy auf den Server, Netzwerk verbinden usw. Da nun demnächst auch "Fremde" auf das WLAN zugreifen dürfen sollen, sich aber nicht mit dem Intranet/Server verbinden sollen können, hab ich als Netzwerk-Null keine Ahnung, wie ich das verhindern kann. Der WLAN-Router vergibt übrigens dynamische IPs. Meiner Meinung nach müsste ich einen bestimmten Port sperren. Hab aber absolut keine Ahnung welchen???
Wer hat da Erfahrung und kann mir weiterhelfen? Kommen Windows-User auch so easy auf den Server/ins Intranet???
Übrigens is der Router ein Siemens Gigaset SE555 ...

Danke, Atze!

 

[Hobbes_]

Ein Spiel mit dem Feuer

Ein Intranet sollte immer möglichst gut gegen das Internet und auch fremden WLAN-Zugriff gesichert sein.

Ich würde bei dieser Frage die Netzwerktopologie ändern. Ich würde das WLAN ausserhalb der Firewall (sollte bei einem Geschäftsnetz vorhanden sein) positionieren (zB. in der sogenannten DMZ) und Zugriffe auf das Intranet nur via VPN erlauben.

So kann das WLAN für Internet genutzt werden ohne dass es dem Intranet schaden kann. WPA2 bleibt dennoch Pflicht für das WLAN.

Just my 2 cents
psc

 

[McAtze]

Ich weiß, dass es heiß ist ...
Das soll auch nur für ein Wochenende sein und keine Dauerlösung. WPA2 is natürlich vorhanden.
DMZ: hmm, da müsste man doch sicher die IP von unserem Server eingeben oder? Der will von mir eine Öffentliche IP und eine Client PC-IP, was heißt das?

 

[Hobbes_]

Ich weiß, dass es heiß ist ...
Das soll auch nur für ein Wochenende sein und keine Dauerlösung. WPA2 is natürlich vorhanden.
DMZ: hmm, da müsste man doch sicher die IP von unserem Server eingeben oder? Der will von mir eine Öffentliche IP und eine Client PC-IP, was heißt das?

Wenn es nur für ein Wochenende sein soll: Brauchst Du an diesem Wochenende wirklich Zugriff auf das Intranet?

Wenn Du es nicht brauchen solltest, dann gäbe es die simple Möglichkeit, für diesen Zeitraum den Server mit dem ganzen Intranet-Teil vom Router zu nehmen (Stecker raus). Dies ist die sicherste Firewall, die es gibt

 

[McAtze]

Klaro, kein Ding. Aber das geht auch nicht. Weil andere Mitarbeiter ganz normal mit ihren Desktop-PCs draufzugreifen müssen, auch an dem Wochenende.

 

[Appleboy]

Mir fällt schon eine Lösung ein, diese ist jedoch etwas komplexer und beansprucht schon ein bisschen Konfigurationszeit.

Ich weiß ja nicht, wieviel Zeit Du investieren willst.

 

[Hobbes_]

Es kommt immer etwas auf den Sicherheitsgrad an, den man erreichen können muss.

Auf jeden Fall sollte der Server selbst eine Firewall haben, mit der Du ebenso wieder Zugriffsrechte unterteilen kannst. So kann man dort beispielsweise bestimmten IP-Adressen/Bereichen etwas erlauben oder andere blockieren. Dazu würden sich für die Computer, die auf den Server zugreifen können müssen, fest verteilte IP-Adressen ausserhalb des DHCP-Bereiches für das WLAN anbieten. Wo wie ich es verstanden habe, greifen die anderen Mitarbeiter nicht per WLAN auf den Server zu (?).

Dennoch muss klar sein, dass dies kein wirklicher Schutz ist, da eine IP-Adresse auch vorgetäuscht werden kann. Da kommt es etwas aufs Angriffspotential der "Fremden" an, die da kommen. Selbstverständlich gehört eine passwortgeschützte Identifikation auf dem Server wohl sowieso zum Standard (?): Shares/Applikationen.

Noch eine kurze Frage: Müssen die Mitarbeiter an diesem WE nur auf den Server oder auch aufs Internet zugreifen können?

 

[Hobbes_]

Ergänzung:

DMZ: hmm, da müsste man doch sicher die IP von unserem Server eingeben oder? Der will von mir eine Öffentliche IP und eine Client PC-IP, was heißt das?

In die DMZ kannst Du Server stellen, die ohne Aufwand sozusagen ungeschützt auch von aussen erreichbar sein sollen. Dies im Gegensatz zu den hinter der Firewall geschützten Computer. Somit solltest Du Deinen Server auf gar keinen Fall in diese DMZ stellen

Letztlich kommt es auch auf den finanziellen Rahmen an, den Du investieren möchtest. Wäre ein zweiter WLAN-Router drin, mit dem Du ein Gastnetz aufbauen könntest?

 

[pepi]

Fremde haben in einem Intranet nichts verloren und sollen dort auch garnichts dürfen oder wollen. Ende der Diskussion.

Die korrekte und auch sichere Lösung ist in dem Fall einen eigenen Router für die Gäste des Hauses zur Verfügung zu stellen der eine eigene externe IP bekommt die erst außerhalb des Intranetrouters in den Internetzugang mündet. So sind die beiden Netze physisch voneinander getrennt und um den Rest kümmert sich hoffentlich die Firmenfirewall.

Die 60€ die so ein kleiner Fuzirouter kostet sollte es einem schon wert sein, daß man seine Firmendaten schützt.
Gruß Pepi

 

[Hobbes_]

Fremde haben in einem Intranet nichts verloren und sollen dort auch garnichts dürfen oder wollen. Ende der Diskussion.

Die korrekte und auch sichere Lösung ist in dem Fall einen eigenen Router für die Gäste des Hauses zur Verfügung zu stellen der eine eigene externe IP bekommt die erst außerhalb des Intranetrouters in den Internetzugang mündet. So sind die beiden Netze physisch voneinander getrennt und um den Rest kümmert sich hoffentlich die Firmenfirewall.

Die 60€ die so ein kleiner Fuzirouter kostet sollte es einem schon wert sein, daß man seine Firmendaten schützt.
Gruß Pepi

Wo Du recht hast, hast Du recht! Man sollte keine faulen Kompromisse eingehen... Ich storniere den Workaround in Posting Nr. 7.

 

[McAtze]

Das klingt gut mit dem zweiten Router! So werd ich das machen!!!
Dankeschön für die vielen Tipps!