PCs im Netzwerk Maximal absichern

[UnBreakable]

Hallo zusammen,

ich bräuchte mal eure Hilfe:

Folgende Situation:

Ich habe 2 PCs (die stark gesichert sein sollen) die untereinander Kommunizieren müssen.
Einer dieser beiden muss auch ins Internet allerdings nur zu einer bestimmten Adresse mit gewissem Port. (Kein Surfen oder ähnliches muss bzw. soll funktionieren) und es ist Windows XP SP3 installiert (das lässt sich nicht ändern). Außerdem dient dieser dem 2. PC als Server mehrerer Dienste.

Aktuell befinden sich im gleichen Netzwerk noch etliche andere Geräte die "egal" sind und "normal" kommunizieren können sollen. (Allerdings nicht mit diesen zwei!)

Netzwerktechnisch: Speedport-Router mit Wlan und angeschlossen Switch an dem aktuell alle Geräte hängen.


Die Windows XP Firewall bietet mir (zumindest nach aktueller Recherche) zu wenig Einstallung.
D.h. ich kann nur Eingehende Verbindungen einigermaßen absichern. Habt ihr hier irgendwelche Empfehlungen?

Als zweiten Schritt würde ich dann gerne die 2 (stark zu sicherenden) PCs in ein eigenes Netz hängen und mittels eines zweiten Routers der eventuell eine hierfür geeignete Firewall integriert hat ins Internet zu hängen. Gibt es für dieses etwas?

Vielen Dank im Voraus!

 

[Kampfwurst Hugo]

Pfsense und 3 Netzwerkkarten. So kannst du die 2 PCs in ein eigenes Netz bringen

 

[morduk]

Alternativ zu PFSense: PC mit IPFire Firewall und ebenfalls 3 Netzwerkkarten oder 2 Karten + Switch.

Egal welche Version, mit beidem kannst du ein- und ausgehend ziemlich alles erlauben oder verbieten.

 

[matthias3000]

Wenn du dich etwas mit Firewalls auskennst, kauf dir eine kleine Juniper... Die sind sehr günstig und du hast die volle Kontrolle

 

[UnBreakable]

Ich habe jetzt nicht all zuviel mit Firewalls gemacht, aber ich denke das sollte ich hinbringen, vor allem da sich die Regeln wirklich in Grenzen halten sollten.
Ich habe nicht wirklich vor jetzt noch einen PC da reinzustellen, das reicht so schon und will vor allem nicht zu viel rumbasteln, also wär mir eigentlich ein fertiges Komplettgerät das leise ist lieber.



@ 09matthias3000 hast du vllt. einen Link für mich? Hab auf die schnelle nichts passendes gefunden...

 

[EvilKnivel1]

Also config ist aktuell

router/switch -> sämtliche PCs

du brauchst aber

Router/switch -> sämtliche PCs und
router/switch -> 2 Spezial PCs

ich würde jetzt vom router auf einen PC gehen der Firewall & Gateway spielt und an diesem die beiden Spezial PCs anbinden
also router/switch -> firewall -> switch (oder eine weitere Netzwerkkarte in die firewall) -> 2 Spezial PCs

bsp.
router netz 192.168.178.1
firewall auf Netzwerkkarte 1 -> 192.168.178.1
firewall auf Netzwerkkarte 2 -> 10.10.1.1
Spezial PCs -> 10.10.1.2 und 10.10.1.3

auf der Firewall entsprechend die Regel eintragen, dass alles geblockt wird ausser der eine Dienst welchen der Spezial PC1 benötigt. Alles von Spezial PC2 welcher eh nicht ins netz muss würde ich ebenfalls blocken.

 

[UnBreakable]

Richtig, genau so hab ich mir das vorgestellt!
Nur welche Hardware Verwende ich für den Router?
Ich will mir eigentlich keinen eigenen Rechner dafür hinstellen, hierfür muss es doch etwas günstiges, kleines geben oder?

 

[EvilKnivel1]

Richtig, genau so hab ich mir das vorgestellt!
Nur welche Hardware Verwende ich für den Router?
Ich will mir eigentlich keinen eigenen Rechner dafür hinstellen, hierfür muss es doch etwas günstiges, kleines geben oder?

Den Router hast du ja eh schon. Du brauchst Hardware für die Firewall. Hierfür tut es eigentlich jeder x-belibige Rechner der die entsprechende Anzahl an Netzwerkkarten besitzt.

Wie weiter oben schon jemand geschrieben hat kannst du dir auch eine juniper firewall zulegen:

z.B.
http://direkt.jacob-computer.de/jun...124&adProd=1&gclid=CKKZ8ITu0bcCFQRc3godxAEAGg

 

[UnBreakable]

Das ist aber eigentlich bisschen überdimensioniert oder? Mir reicht ja eine Hardwarefirewall mit zwei Ports.
Ein ganzer Rechner erscheint mir da auch etwas oversized, hier muss es doch was geben oder nicht?

 

[matthias3000]

schau mal bei ebay nach einer gebrauchten ssg5 oder 5gt, die sind günstig und super

 

[UnBreakable]

Ein normaler Layer 3 Switch wäre mMn ausreichend, aber die die ich bis jetzt gefunden habe sind ja schweine teuer.
Der von dir genannte SSG 5 hört sich interessant an.
Mit diesem könnte ich normalerweise auch alles realisieren und absichern wie ich will.

http://www.juniper-shop.de/Juniper-SSG-5/

Der Preis mit 296 € ist eigentlich nicht so wild, da wäre auch eine Neuanschaffung eine Überlegung...

Vielen Dank schon mal für den Tipp, das schau ich mir mal genauer an!

EDIT:
Kannst du sagen wie kompliziert die Konfiguration von dem Teil ist?

 

[matthias3000]

ICH finde die Juniper sehr einfach zu konfigurieren.
Mit dem manual oder einem howto aus dem netz sollte das machbar sein.
Wir haben in der Firma unter anderem ein paar kleine Juniper für VPN´s, ich finde die sehr übersichtlich.
Normal arbeite ich eher mit "großen" Maschinen