Rechner abschotten

[Whatever]

Ausgangssituation:

[Welt] <---> TK-Anlage <---> Steuerungs-PC <---> [Firmennetz]

Die TK-Anlage ist (natürlich) an die Telefonleitung angebunden und der Dienstleiter von dem wir sie bezogen haben, kann sich von aussen auf diese einwählen und sie aus der Ferne warten.

Von der TK-Anlage geht ein Crossover-Kabel zu einem Steuerungs-PC auf dem 2 Programm laufen (einmal die Verwaltung für die Anlage und eine Analysesoftware für die Gesprächsdaten). Dieser PC ist über eine zweite NW-Karte mit unserem internen Firmennetz verbunden.

Jetzt haben wir wegen diesem Aufbau Sicherheitsbedenken. Da auf der TK-Anlage ein Unix läuft wäre es durchaus vorstellbar, dass ein böser, böser Hacker sich ebenfalls auf diese einwählt, und sich von dort weiter in den Steuerungs-PC (Windows 2000) arbeitet. Wäre er erstmal dort hätte er nichts zwischen sich und dem internen Netz.

Nun möchte ich auf dem Steuerungs-PC sämtlichen IP-Verkehr der über die NW-Karte der TK-Anlage kommt blocken, mit ausnahme bestimmter Ports die für die Funktion der Software notwendig sind.

Wie stelle ich das an? Am sichersten wäre natürlich ein vollwertige Firewall, allerdings sprengt das ein wenig die Dimensionen. Gibt es Software die sowas erledigt (vorzugsweise Freeware) oder kann ich mit IPSec arbeiten? Das habe ich gerade schonmal kurz getestet, scheint aber irgendwie nicht zu funktionieren.

[..::rEnE::..]

Unterstützt die TK-Anlage denn IPSec ??? Ich denke nicht...

Du kannst eine Software-Firewall (Personal-Firewall) einsetzen, hier würde sogar die Version 1.0 von Agnitum Outpost-Firewall ausreichen, die kann man kostenlos runterladen... Damit kannste dann Anwendungen und Ports freigeben oder sperren....

[Satrap]

Wie der vorredner schon sagte, ev. eine firewall hinstellen (smoothwall, redwall oder ipcop). Damit das ganze dann so aussieht.

<Welt>--(ISDN?)--<TK-Anlage>--<Steuerungs-PC>

                                       |

                                       |DMZ

                                       |

                                       |orage

                           red         |         green

<Welt-Internet-DSL o-ä.>-----------<Firewall>---------------<LAN intern>

[Doham]

Wir in der Firma lassen aus Sicherheitsgründen nur zwei Möglichkeiten zu:

Möglichkeit 1:

Stecker an der Telefondose ziehen und wenn euer Dienstleister sich einwählen will, muss er vorher anrufen.

Möglichkeit 2:

Der Dienstleister ruft das Modem an. Das Modem legt auf und wählt eine festgespeicherte Nummer (die des Dienstleisters) zurück.

[Whatever]

1.) Der Dienstleister wählt sich über die ISDN-Verbindung ein. Und weil es eine Telefonanalge ist, wäre "Stecker ziehen" höchst...nunja...ungünstig.

2.) Kann die TK-Anlage nicht

[janlutmeh]

Eine äusserst rudimentäre Möglichkeit wäre die von MS mitgelieferte TCP/IP-Filterung.

Befindet sich in den IP-Eigenschaften - erweitert - Optionen

Damit lässt sich einstellen welche Ports und Protokolle für eingehende Verbindungen erlaubt sind.

Ersetzt natürlich keine Firewall ist aber schonmal ein mitgelieferter, wenn auch unkomfortabler Ansatz.

[Crash2001]

Kann man bei der TK-Anlage denn nicht einstellen, dass nur Verbindungen von einer bestimmten Rufnummer akzeptiert werden? Das würde schonmal fast alle möglichen Angriffe ausschliessen. Und ein nicht zu vernachlässigbarer Vorteil wäre, dass auch niemand (selbt bei Kenntnis des usernamen und passwortes) irgendwas an der TK-Anlage verändern könnte, ausser dem berechtigten Mitarbeiter.

Ansonsten würde ich auch (oder auch zusätzlich) eine Software-Firewall vorschlagen. Dabei jedoch auch jeden unerwünschten Traffic vom internen LAN zur TK-Anlage (bzw. zum Steuerungs-PC) verbieten, damit auch intern keiner was daran verstellen kann. Angriffe können schliesslich nicht nut von aussen, sondern auch von innen kommen.