Hallo, für eine kleine Arztpraxis verwalte ich die Rechner. Bald soll Internet angeschafft werden.
Es handelt sich ausschließlich, um Windows-Clients, war mir bezgl. der Sicherheit sorgen macht.
Ich hatte dabei an folgende Sicherheitskonzepte gedacht:
1. Variante
– Linux-Server (evtl. mit OpenVZ)
– (unter Gastsystem) squid + clamav
– openvpn für die Fernwartung
Die Win-Clients surfen dann mit Firefox über den Proxy. NAT MASQ wird nicht verwendet.
2. Variante
– Linux-Server
– mit NoMachine NX Terminal Sessions (Gnome oder KDE)
– openvpn für die Fernwartung Die Win-Clients surfen nur über die Terminal Sessions im Internet – ansonsten keine Verbindung direkt zum Internet.
Auf den Clients werden selbstverstänlich auch Desktop-Virenscanner laufen. Eigentlich dachte ich zuerst an Variante 1. Allerdings scheint die 2. noch schneller umzusetzen – und da es für GNU/Linux praktisch keine Malware gibt – evtl. auch sicherer zu sein.
Was ist eure Meinung dazu?
Wie sind insbesondere eure Erfahrungen mit der Erkennungsrate von clamav?
Eine kommerzielle Lösung passt leider nicht ins Budget.
Gruß, Manuel
1. 1te Linuxmaschine macht Gateway/Router inkl SQUID und iptables.
2. 2te Linuxmaschine mit NX, einmal Fernwarten zu den Windowsclients für Dich (RDP von NX aus zu den Windowsmaschinen) und einmal als Internetmaschinen für die Windowsclients ( Desktop kann gleich die richtigen Applikationen starten)
3. Windowsclients dürfen nicht in das Internet, nur an die NX-Maschine ( per iptables droppen auf Basis von MAC), falls Sie Mail brauchen, bitte die einen eigenen Dovecot und Postfix einrichten ( vielleicht noch fetchmail)
IMO die klügste Variante. Lass die Windowsmaschinen nicht nach draussen, alleine wegen der Kundendaten. Ich denke mit Debian, SEL etc kann man da sehr viel machen. Sicherheit kann man auch sehr hoch setzen und tricksen (Man kommt z.B. nur von dem NX aus an die FW zur Fernwartung etc). Als FW reicht ein alter passiver 500Mhz… sollte im Budget sein.
Gruss Seraphyn
Hi,
den Vorschlag von Seraphyn kann ich nur 100% befürworten.
Als Firewall/Gateway/Router würde ich aber einen echten Router verwenden, welcher unter OpenWRT betreibst (passende Hardware findest Du unter [1]). Zum einen sind diese Recht kompakt und zum anderen haben sie einen kleineren Stromverbrauch. Ich habe mir z.B. ein ASUS WL500g.DelWL500g.Deluxe Vuxe V [2] zugelegt, den es leider nicht mehr gibt, und ihn mit OpenWRT umprogrammiert. Nebenbei benutze ich ihn auch noch als Druckserver (da der Router zwei USB 2.0 schnittstellen besitzt) und zeitweise mit einem USB-Stick zur Speichererweiterung als kleinen Web-Server.
PS: Falls Du Probleme bei der Einrichtung hast, wende Dich doch an die Lokale LUG [3]
Ciao
Ulf
[1] http://wiki.openwrt.org/TableOfHardware
[2] http://wiki.openwrt.org/OpenWrtDocs/Hardware/Asus/WL500GD
[3] http://www.linux-magazin.de/heft_abo/service/linux_user_groups
Vielen Dank, für eure fundierten Antworten.
Ich werde wahrscheinlich anstelle eines seperaten FW-Rechners bzw. der Lösung mit OpenWRT eine VM mit ipcop als FW wählen. Ich bin mir nur noch nicht sicher ob ich Xen oder OpenVZ nehmen soll. Mit letzerem hab ich bisher immer gute Erfahrungen gemacht – mit Xen noch keine. Mich würde interressieren wie gut die VMs bei beiden Lösungen abgeschottet sind. Da bei OpenVZ ein gemeinsamer Kernel genutzt wird erscheint mir das (rein subjektiv) nicht so sicher wie Xen.
Dein Schutz mit der FW steht und fällt mit der Virtualisierungslösung. Lass dies bitte. Nimm eine dedizierte Firewall bzw Router.
Seraphyn
Ich kann mich Seraphyn im großen und ganzen nur anschließen. Ein dedizierter Router/Firewall ist auf jeden Fall vorzuziehen, insbesondere wenn man sich nicht sehr gut mit Virtualisierung auskennt, da eine Fehlkonfiguration dazu führen kann, dass Dein Netz ungeschützt im Internet hängt.
OpenVZ ist meiner Ansicht nach ehedem nicht geeignet, da es eigentlich die gleiche Umgebung nur verfielfacht (deswegen wird es ja auch bei V-Servern eingesetzt). Besser sind dort KVM und XEN, aber auch dort hängt es von der Konfiguration und der richtigen Architektur ab, wie sicher Dein System ist. Wichtig ist meiner Ansicht nach, dass es sich um echte Hardware-Virtualisierung handelt, da nur diese wirklich getrennte Systeme besitzt. Es muss dann aber auch im Server sicher gestellt sein, dass die Netzwerkkarte nach außen nur bzw. ausschließlich zur Firewall weiter geleitet wird. Startet nämlich aus versehen ein Kernel ohne Virtualisierung der die Konfiguration dann natürlich nicht kennt, hängt alles mehr oder weniger ungeschützt im Internet.
Kurze Rede, langer langer Sinn (oder war es doch umgekehrt ;-) ). Du solltest wirklich die paar Euro (normalerweise < 100,-¤) für einen echten dedizierten Router ausgeben, wie ich das z.B. in meiner vorherigen Antwort schon mal vorgeschlagen hatte. Ciao Ulf