suche firewall

[stpe]

ich suche ein firewall-prog fuer w2k, bei dem man nicht bestimmten programmen erlaubt mit dem internet zu kommunizieren, sondern ein prog, bei dem man regeln erstellen kann, die auf ip's, mac-adressen (besonders wichtig!), ports und verbindungsstati basieren. so wie bei iptables unter linux halt.

 

[Gnoovy]

hi leutz,




also ein Programm, welches alle deine Aufzählungen erfüllt, ist mir nicht bekannt. Am ehesten und meines Erachtens nach Besten ist die Norton Personal Firewall. Aber warum setzt du nicht auf Linux-Router, wie etwa Ipcop, Fli4l, etc.?




greetz
gnoovy

 

[stpe]

ich moechte den zugriff von pcs aus meinem netzwerk auf den domain-controller beschraenken. und zwar habe ich das ganze folgendermassen eingerichtet:

alle clients bekommen ueber dhcp ihre ip zugewiesen. diese ist allerdings ueber eingerichtete reservierungen immer die gleiche (also reserviere mir zu einer bestimmten mac-adresse eine feste ip)

jetzt sollen alle geraete deren mac-adresse nicht in der liste steht, gar nicht erst auf den dc zugreifen duerfen.

hintergrund der ganzen geschichte ist , dass wir netzwerk-dosen in unseren patientenzimmern haben (die betriebsbedingt am gleichen netzwerksegment angebunden sind, wie unsere krankenhaus-datenbank) und ich verhindern moechte, dass jemand auf die idee kommt, sich unser netzwerk einmal genauer anzugucken.

 

[Gnoovy]

hi leutz,



achso jetzt verstehe ich die ganze Sache. Naja... Ok.... ein paar Ungereimtheiten gibt es da schon noch. Und zwar wieso regelst du das nicht über Gruppenrichtlinien. Oder kannst du das vielleicht nicht über Subnetze regeln? Also beispielsweise Subnetz1 dein reguläres Netzwerk und Subnetz zwei die Krankenhauszimmer?



greetz
gnoovy

 

[Gnoovy]

hi leutz,


@stpe



was mir gerade noch eingefallen ist. Wenn du per DHCP die Reservierungen anhand der MAC-Adressen durchgeführt hast, kommen doch die Patienten sowieso nicht auf dein Netzwerk, da sie ja gar keine IP-Adresse vom Server bekommen, da ja jede MAC-Adresse eindeutig ist. Somit dürften die nur eine Adresse aus dem APIPA-Bereich bekommen und das da einer sowieso den gleichen Benutzernamen, wie einer deiner Workstations hat, denke ich mal ist sowieso "fast" unmöglich. Über die Norton Personal Firewall oder ZoneAlarm könntest du ja rein Theoretisch den APIPA-Bereich komplett sperren.

Sag mir aber auf jeden Fall bescheid, falls ich doch noch was nicht richtig gerafft haben sollte.



greetz
gnoovy

 

[stpe]

wieso regelst du das nicht über Gruppenrichtlinien

weil ein boeser mensch versuchen wuerde, genau diese auszuhebeln bzw. zu umgehen. ausserdem laufen auf den betroffenen servern auch noch andere dienste, die sich nicht ueber gruppenrichtlinien fassen lassen.

Oder kannst du das vielleicht nicht über Subnetze regeln?

das geht leider auch nicht so einfach, da ich dieses ja physikalisch vom anderen netz trennen muesste (also mit anderen switches).

 

[Gnoovy]

hi leutz,



@stpe



und die Punkte mit dem DHCP-Server und der Personal Firewall-Sperre, die ich im letzten Post weiter unten aufgeführt hab, könnte das nicht vielleicht noch ne Problemlösung sein?

Schwierig, schwierig...



greetz
gnoovy

 

[stpe]

@gnoovy: danke, ich glaub ich guck mir die norton fw mal an.

 

[Gnoovy]

hi leutz,



@stpe



ich weiss ich nerv... , aber von einer Installation auf dem Domänencontroller würde ich abraten, also ich hab da nur schlechte Erfahrungen gemacht. würde vielleicht nen Member-Server hinstellen, der als Tor oder Brücke, also Bildlich gesehen zwischen den Clients und dem DC geschaltet ist. Dann mit Trusted und Restricted Zones arbeiten.



greetz
gnoovy