# Praxisnetzwerk absichern

## l3u

Hallo allerseits :-)

Ich hab in der Arbeit ein etwas älteres Netzwerk mit folgenden Computern:

1x Windows Server 2003

2x Windows XP

1x Windows Vista Business

Im Moment hängen alle Computer über einen Router direkt am Internet. Auf Windows kann ich leider Gottes nicht verzichten, da mein Abrechnungs- und Röntgenprogramm (natürlich) nur unter Windows lauffähig sind.

Jetzt läuft ja 2014 der Support für Windows XP endgültig aus und man sollte mit keinem XP-Rechner mehr ins Internet gehen.

Was ich brauche ist Internetzugriff auf mindestens einem Rechner und einen VPN-Zugriff auf den Server (prinzipiell wäre natürlich auch denkbar, den Server als den Rechner mit Internet zu nutzen). Das ganze sollte, ganz im Sinne von „Never change a running system“ mit möglichst wenig Änderungen an der Infrastruktur von statten gehen.

Ich habe mir überlegt, ob man nicht einen Rechner in eine virtuelle Maschine verschiebt und diese dann auf einem Linux-Host betreibt. Und mit dem macht man dann Internetangelegenheiten, also E-Mails schreiben, Material bestellen etc. Was bleibt ist der VPN-Zugang zum Server – wenn trotzdem alle Rechner im selben Netzwerk hängen und ich einfach kein Internet damit nutze (also keinen Router eintrage), ist das dann sicher? Auch, wenn ich meinen VPN-Port an den Server weiterleite?

Bzw. sollte man einfach den Vista-Rechner ans Internet hängen statt der Lösung mit der virtuellen Maschine? Auch hier wären natürlich alle Rechner im selben Netzwerk.

Was ich als Empfehlung unseres Dachverbandes gelesen habe ist der Einsatz eines Proxyservers, über den der Internetzugriff geleitet wird. Was soll das bringen? Der cachet oder loggt doch auch bloß, was kommuniziert wird, das eigentliche Sicherheitsproblem bleibt doch aber, oder?

Für alle Ideen, Hinweise oder Erklärungen bin ich sehr dankbar!

----------

## bbgermany

Hi,

den Proxy kannst du mit plugins erweitern, siehe squidClamAV. Damit kannst du zumindest die Virenanzahl vermindern.

MfG. Stefan

----------

## l3u

Wäre das deiner Meinung nach auch die beste der denkbaren Varianten? Dafür hätt ich z. B. ein Raspberry Pi übrig, was den Proxy dann bereitstellen könnte.

----------

## bell

Was hast Du für einen Router? Wenn es eine FritzBox ist, kannst Du diese dann mit freetz erweitern und per IpTables für bestimmte Systeme (IP's) den Zugang blocken.

http://freetz.org/wiki/packages/iptables

Für einen anderen Router gibt es sicherlich OpenWRT. 

Mein Vorschlag ist also den Router zu einer richtigen Firewall auszubauen.

----------

## l3u

Ich hab eine Fritz-Box, aber eine ziemlich alte. Ist aber grundsätzlich keine schlechte Idee mit der Firewall!

Bleibt aber das Problem, dass Steinzeit-Windows-Versionen im Spiel sind …

----------

## bell

Updates für eine Steinzeit-Windows-Version kann ich nicht anbieten. Was möchtest Du?

Mit Iptables kannst Du steuern was welches System genau machen darf und was nicht. 

Es wäre auch sinnvoll das Freetz-Paket dnsmasq zu nutzen weil man damit feste IP-Adressen pro Mac-Adresse hat.

----------

## l3u

 *bell wrote:*   

> Was möchtest Du?

 

 *l3u wrote:*   

> Was ich brauche ist Internetzugriff auf mindestens einem Rechner und einen VPN-Zugriff auf den Server (prinzipiell wäre natürlich auch denkbar, den Server als den Rechner mit Internet zu nutzen). Das ganze sollte, ganz im Sinne von „Never change a running system“ mit möglichst wenig Änderungen an der Infrastruktur von statten gehen.

 

 *bell wrote:*   

> Es wäre auch sinnvoll das Freetz-Paket dnsmasq zu nutzen weil man damit feste IP-Adressen pro Mac-Adresse hat.

 

Feste IP-Adressen haben die Rechner eh. Mir geht es nur um ein sicheres Setup! Prinzipiell muss ich ja den Internetzugriff auch nicht per iptables verbieten, das kann ich meinem Personal auch persönlich sagen, dass sie z. B. nur mit einem Rechner ins Internet sollen ;-)

Ich will nur eben kein komplettes Systemupdate fahren und Windows-7-Lizenzen kaufen oder sowas. Siehe oben … deswegen hatte ich an die Sache mit der Virtualisierung gedacht.

----------

## bbgermany

 *l3u wrote:*   

> Wäre das deiner Meinung nach auch die beste der denkbaren Varianten? Dafür hätt ich z. B. ein Raspberry Pi übrig, was den Proxy dann bereitstellen könnte.

 

Hi,

um Viren gering zu halten ist ein Virenscanner immer eine gute Idee. Jedoch wird es dir nicht gelingen, die PCs voll abzuschirmen gegen alles was da draußen oder bei dir drin passiert. Man sollte immer bedenken die größten und gefährlichsten Angriffe gehen immer von innen aus, also von deinem Personal. Grundsätzlich solltest du ein Setup wählen, dass den PC vor "Zugriffen" verschiedenster Art schützt. Du kannst nicht alles einberechnen, aber vieles. 

Ein RPi ist vielleicht bei deinem Setup noch möglich als Proxy zu betreiben, ich bin mir jedoch nicht sicher ob die Performance dafür wirklich ausreicht. Ein Virenscanner benötigt viel "Power". Zusätzlich solltest du auf jedem Rechner einen aktuellen Virenscanner haben, der sich auch nicht durch das Personal deaktivieren lässt. Auf lange Frist gesehen wirst du jedoch nicht darum herum kommen, die Windows XP Rechner auf Windows 7 an zu heben. Das gleiche gilt auch für Vista. Ansich kannst du, nach ein wenig suchem im Internet für ca 100€ drei Upgrade Lizenzen (ca 35€ pro Lic) von Windows 7 Pro erwerben, die wie ich finde nicht wirklich teuer sind. Damit hast du zumindest die Upgrade/Update-Problematik wieder für ein gewissen Zeitraum erschlagen.

MfG. Stefan

----------

## l3u

Prinzipiell sehe ich eigentlich die Internetanbindung als einziges ernstzunehmendes Sicherheitsproblem.

Wäre es deiner Meinung nach akzeptabel, wenn man einen Rechner auf Windows 7 updatet und dann nur den als Internetrechner nutzt? Und was ist mit der OpenVPN-Verbindung zu dem Server? Macht es was, wenn man zu diesem Rechner Port 1194 (und _nur_ diesen einen Port) durchroutet?

----------

## l3u

Nach nochmaligem Überlegen wird’s wohl das Gescheiteste sein, wenn man alle bisherigen Rechner einfach vom Internet trennt und einen aufstellt (mit Linux drauf), der als einziger für den Internetzugriff genutzt wird. Z. B. sowas wie einen Zotac Zbox ID17 oder sowas. Muss ja kein Großrechner sein. Damit ist dann der alte Kram ein geschlossenes System und es kann nix passieren.

@bbgermany: Danke für den Tip mit Freetz und iptables!

----------

## ChrisJumper

Hi l3u,

langfristig würde ich die Hardware Aktualisieren, Windows so weit wie möglich in eine Virtuelle Box oder VM sperren. Eventuell auch die Server komplett alle auf ein modernen Linux System sperren. Hardware ist ja ein vielfaches schneller und kostet ja fast nichts mehr. Allerdings für die Nutzer der Systeme eventuell doch Rücksicht auf Windows-Nutzer nehmen. Daher vielleicht schon ein Internet-System mit Windows Vista/Windwos 7. Andererseits halte ich Linux für wesentlich sicherer und die Distanz zum Arbeitspc bringt dritte nicht so in die Versuchung dort Software wie Itunes, Massanger (z.B. Skype *hust*) oder Mobile-OS Update Software zu installieren.

Ich halte die Lösung via VM und einem komplett getrennten Netzwerk für die beste. Allerdings bedarf das Planung und wirklich mehr Aufwand bei der Migration. Andererseits kannst du wahrscheinlich einfach Disk-Images von allen drei erstellen, diese als VM Teilweise importieren/anpassen und einfach mal starten.

Wobei ich nicht mehr aktuell bin, glaube das Nutzen solcher Images geht nicht, da die Hardware-Konfiguration eine andere ist als in der Virtuellen Box. Aber wenn die Systeme ein mal aktuell sind. Wie bei einer Windows Neunstallation, Windows installieren, Treiber installieren, Programme einspielen, Backups der Bestandsdaten(banken) installieren. Dann läuft alles gut und lässt sich auch in Zukunft einfacherer sichern (virtuelles Discimage).

In den besten Fällen kannst du die VM's parallel vorbereiten/ausprobieren so das ein Umstellung dann auch relativ einfach läuft. Was die Hardware betrifft da bin ich mir aber auch selber noch nicht sicher. Zum einen habe ich gerne alles auf einem System laufen, das spart Energie und Platz, ist was Ausfallsicherheit betrifft aber auch nicht clever. Wenn die eine Festplatte dann mal den Geist aufgibt sind gleich alle Systeme hin. Daher würde ich vielleicht schon 2 Rechner verwenden für Windows und Windows Server. Aber du kannst ja in ruhe überlegen wie das aussehen soll.

Alte Hardware finde ich nicht unbedingt schlecht, aber manch mal kommt sie einfach in die Jahre und Hardwarekrankheiten häufen sich.

Grüße

Chris

----------

## firefly

 *ChrisJumper wrote:*   

> 
> 
> Ich halte die Lösung via VM und einem komplett getrennten Netzwerk für die beste. Allerdings bedarf das Planung und wirklich mehr Aufwand bei der Migration. Andererseits kannst du wahrscheinlich einfach Disk-Images von allen drei erstellen, diese als VM Teilweise importieren/anpassen und einfach mal starten.
> 
> Wobei ich nicht mehr aktuell bin, glaube das Nutzen solcher Images geht nicht, da die Hardware-Konfiguration eine andere ist als in der Virtuellen Box. Aber wenn die Systeme ein mal aktuell sind. Wie bei einer Windows Neunstallation, Windows installieren, Treiber installieren, Programme einspielen, Backups der Bestandsdaten(banken) installieren. Dann läuft alles gut und lässt sich auch in Zukunft einfacherer sichern (virtuelles Discimage).

 

Mit dem VMWare Converter lassen sich Windows Installationen konvertieren, dass diese ohne Neuinstallation als VM laufen gelassen werden.

AFAIK wird beim erstmaligen Start des konvertierten Systems ein minimales Setup durchlaufen, damit Windows die passenden Treiber (wichtig sind hier der HAL Part) installiert, damit Windows problemlos in der VM laufen kann.

Wobei ich nicht weis, wie es aussieht, wenn man so eine konvertiertes Windows direkt mit Virtualbox startet.

----------

## l3u

Also so in etwa hatte ich mir das vorgestellt, zumindest mittelfristig:

Ein Server, der komplett auf einem RAID5 läuft zwecks Hardwareausfallabsicherung (geht netterweise seit Grub2 ohne Probleme :-). Dazu eine minimale graphische Oberfläche (Blackbox oder so). Der tut nichts anderes, als ein virtualisiertes Windows hosten (VirtualBox?), das seinerseits die Praxissoftware bereitstellt. Datenbankdaten, Röntgenbilder und all sowas werden dabei nicht in der virtuellen Maschine gespeichert, sondern direkt auf dem Linux-Host (per Samba-Share).

Die Client-Rechner sind normale Linuxrechner, die sich per rdesktop auf dem Server anmelden und somit Zugriff auf das Abrechnungsprogramm etc. kriegen.

Im Moment habe ich die „Never change a running system“-Lösung gemacht: einen neuen kleinen Rechner mit Linux drauf an die Anmeldung gestellt und allen anderen per iptables (auf der Fritz-Box) die Kommunikation mit dem Internet verboten (außer Port 1194 UDP, den der Server zwecks OpenVPN-Anbindung nutzen darf). Sollte ja auch erstmal für ein Plus an Sicherheit sorgen.

----------

## bbgermany

 *firefly wrote:*   

> 
> 
> Mit dem VMWare Converter lassen sich Windows Installationen konvertieren, dass diese ohne Neuinstallation als VM laufen gelassen werden.
> 
> AFAIK wird beim erstmaligen Start des konvertierten Systems ein minimales Setup durchlaufen, damit Windows die passenden Treiber (wichtig sind hier der HAL Part) installiert, damit Windows problemlos in der VM laufen kann.
> ...

 

Das geht schon, es sind warscheinlich noch ein paar Reboots mehr nötig  :Wink: . Jedoch sollte man die VMWare Tools dabei entweder nicht installieren oder danach deinstallieren, da VBox ja seine eigenen Gasttreiber mitbringt.

 *l3u wrote:*   

> Also so in etwa hatte ich mir das vorgestellt, zumindest mittelfristig:
> 
> Ein Server, der komplett auf einem RAID5 läuft zwecks Hardwareausfallabsicherung (geht netterweise seit Grub2 ohne Probleme . Dazu eine minimale graphische Oberfläche (Blackbox oder so). Der tut nichts anderes, als ein virtualisiertes Windows hosten (VirtualBox?), das seinerseits die Praxissoftware bereitstellt. Datenbankdaten, Röntgenbilder und all sowas werden dabei nicht in der virtuellen Maschine gespeichert, sondern direkt auf dem Linux-Host (per Samba-Share).
> 
> Die Client-Rechner sind normale Linuxrechner, die sich per rdesktop auf dem Server anmelden und somit Zugriff auf das Abrechnungsprogramm etc. kriegen.
> ...

 

Mit dem RAID5 ist eine super Idee. Da du ja eine 2003 Server Lizenz hast, solltest du aber eventuell noch RDP Lizenzen dafür nachordern. Auch 2K3 kann nur 2 gleichzeitige (ACHTUNG) administrative Verbindungen nutzen. Da du aber drei Clients hast, könnte das eng werden. Der Preis für eine 5User Device Cal liegt lt Idealo momentan bei ca 350€.

MfG. Stefan

----------

## l3u

 *bbgermany wrote:*   

> Da du ja eine 2003 Server Lizenz hast, solltest du aber eventuell noch RDP Lizenzen dafür nachordern. Auch 2K3 kann nur 2 gleichzeitige (ACHTUNG) administrative Verbindungen nutzen.

 

Heißt, dass ich mehr nicht-administrative Verbindungen nutzen kann? Die Clients laufen ohne administrative Rechte. Aber bisher hatte ich nur maximal zwei RDP-Verbindungen laufen, vom Linux-Anmeldungsrechner aus und über VPN von zu Hause (was bisher problemlos funktioniert hat).

Fürchterlich für einen Linux-User dieser Lizenzkram …

----------

## bbgermany

Hi,

wenn du den Server in einen Terminal Server änderst, kannst du mehr als nur die zwei gleichzeitigen Verbindungen machen. Es können sich auch ganz normal User Anmelden. Es sind dann aber noch ein paar andere Dinge zu beachten (z.B. Installation von Programmen, Druckertreiber müssen TS fähig sein, sonst gibt es unerwartetet Probleme, gilt auch für Programme). Die maximale Anzahl der RDP Verbindungen limitiert dann erstmal die Anzahl der installierten RDP-CALs anschließend die Hardware. Wenn du alle deine Rechner dort mit Linux austatten möchtest und alle Nutzer gleichzeitig mit den Programmen arbeiten sollen, dann bleibt dir nichts anderes übrig als ein RDP-CAL-Paket zu kaufen. IIRC ist die kleinste Einheit dahingegen sowieso 5-User/Device-CALs. Also können 5 Nutzer gleichzeitig arbeiten oder administrieren  :Wink: 

MfG. Stefan

----------

## l3u

Wäre rauszufinden, ob der Kasten nicht schon eh ein Terminalserver ist ;-)

----------

## bbgermany

Bekommst du recht leicht raus; Schau mal ob die Terminal Server Lizensierungsdienste installiert und konfiguriert sind. Wenn ja, dann ist er ein TS, wenn nein, dann arbeitet er nur im Remote Verwaltungsmodus.

MfG. Stefan

----------

## l3u

 *Quote:*   

> Lizensierung: Remotedesktop für Veraltung. Diese Richtlinie erlaubt nur zwei gleichzeitige Verbindungen.

 

Alles klar.

Vielen Dank für die Info! Ich bin echt ne Windows-Null … das letzte Mal, dass ich selbst Windows eingesetzt habe (mal abgesehen von der Arbeit jetzt natürlich), war 2003.

Jetzt weiß ich Bescheid :-)

----------

