Jump to content

DMZ-Konzept mit Cisco871 gesucht

Whistleblower

Von Whistleblower
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

blackbox Mentor

blackbox   10

Geschrieben
Geschrieben

@R.Wolff

bei einer 5510 gibt es keine 10er Lizens oder so - einzig was da begrenzt ist - sind die SSL VPN´s und Failover - IPSEc glaube 250 und VLAN 100 oder so.

 

 

Bei der 5505 kannst du entscheiden zwischen 10 / 50 / unlimited MAC Addressen die durch die FW können und zusätzlich noch die Security Plus - die eine "echte" DMZ erlaubt und noch so ein paar Feature.

 

Die SSL Lizensen kosten egal wo - Geld - wenn man mehr wie 2 haben möchte.

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben
Das hört sich doch alles ganz gut an. :)

Macht es bei einer kleineren Umgebung eigentlich Sinn, schon ein zweistufiges Firewall-Konzept mit einer internen und einer externen Firewall zu planen, und Server in der DMZ dualhomed anzubinden?

Oder ist das DMZ-Konzept mit einer ASA nahezu genauso sicher?

Zusätzlich kommt bei uns sowieso eine TippingPoint IPS jeweils mit einem Segment in die DMZ und in das externe Segment.

 

Hi,

 

das kommt auf euer Sicherheitsbedürfnis an. Grunsätzlich ist eine physisch zweistuffige Umgebung mit zwei unterschiedlichen Firewall Herstellern immer deutlich sicherer als eine einstuffige Umgebung. Man muß jedoch auch betrachten, dass man die Komplexität und damit auch die Kosten, deutlich nach oben schraubt.

 

Entscheidend für dei Auswahl der Umgebung sollte jedoch nicht deren größe sondern das Schutzbedürfnis sein! Sprich was für Dienste / Informationen stehen im Internetn Netz und werden ggf. nach aussen angeboten und wie groß ist das Risiko (Eintrittswars***einlichkeit & Auswirkung) wenn es jemand schafft über die Firewall hinweg in euer Netz zu kommen. (Eine BIA und eine RIA hilft an der Stelle weiter, wenn man sowas hat...).

 

Hat man sich dafür entschieden, ein großes Schutzbedürfnis zu haben, so macht ein zweistuffiges Konzept absolut Sinn. Man muß dann jedoch auch andere Faktoren noch einbeziehen z. B. physische Sicherheit der Umgebung. Es hilft nämlich nichts wenn da 20 Firewalls und 30 IDS Sensoren rum liegen - aber jeder mit seinem Laptop in den Rechnerraum laufen kann...

 

In vielen Fällen reicht es Firmen einstuffige Firewalls aufzusetzen. Ich empfehle jedoch immer diese virtuell (nicht im Sinne von Hyper-V oder ESX oder so) zweistuffig aufzubauen. Es sollte also min. zwei vollständig getrennte DMZ Netze geben die internen und externen traffic teilen. Die Server in der DMZ müssen damit zwangsläufig Dual Homed sein. Es ist selbstverständlich, dass es in einer solchen Umgebung möglichst keine Firewall Regeln gibt die Traffic direkt vom internen Interface nach draußen und umgekehrt routen. Es sollte alles über die DMZ Netze gehen und dort terminiert / proxyfiziert werden.

 

Noch eine grunsätzliche Anmerkung - du fragst hier sehr gezielt nach Cisco ASA Lösungen. Ist das bei euch eine Policy? Das normale vorgehen sollte sein, seine Anforderungen zu definieren und dann nach dem richtigen Produkt dafür zu suchen.

Link zu diesem Kommentar
Wordo Veteran

Wordo   11

Geschrieben
Geschrieben

Noch eine grunsätzliche Anmerkung - du fragst hier sehr gezielt nach Cisco ASA Lösungen. Ist das bei euch eine Policy? Das normale vorgehen sollte sein, seine Anforderungen zu definieren und dann nach dem richtigen Produkt dafür zu suchen.

 

Bei kleineren Firmen die finanziell nicht so grossen Spielraum haben zaehlt natuerlich auch der Knowhow-Factor. Wenn schon 2 Leute sich mit Cisco auskennen und alles andere Neuland ist, faellt die Wahl zwischen Cisco und X wohl eher auf Cisco :)

Link zu diesem Kommentar
Whistleblower Experienced

Whistleblower   45

Geschrieben
  • Autor
Geschrieben
Bei kleineren Firmen die finanziell nicht so grossen Spielraum haben zaehlt natuerlich auch der Knowhow-Factor. Wenn schon 2 Leute sich mit Cisco auskennen und alles andere Neuland ist, faellt die Wahl zwischen Cisco und X wohl eher auf Cisco :)

 

Das wär hier auch der Fall... Auch wenn ich vor Zeiten schon z.T. mit Watchguard und NetasQ gearbeitet habe, würde ich Cisco den Vorzug geben - auch wenn es eine gewisse Umstellung vom Router-IOS zur ASA bedeuten wird, ist mir das lieber als ein vollkommen neues Produkt.

Und nicht zuletzt spricht natürlich die große Cisco-Community hier :) dafür, dass man bei Problemen nicht ausschließlich auf den Hersteller angewiesen ist.

 

Es sollte also min. zwei vollständig getrennte DMZ Netze geben die internen und externen traffic teilen. Die Server in der DMZ müssen damit zwangsläufig Dual Homed sein. Es ist selbstverständlich, dass es in einer solchen Umgebung möglichst keine Firewall Regeln gibt die Traffic direkt vom internen Interface nach draußen und umgekehrt routen. Es sollte alles über die DMZ Netze gehen und dort terminiert / proxyfiziert werden.

 

Ließe sich das mit der ASA 5505 (ASA5505-SEC-BUN-K9) realisieren?

Habt Ihr da Erfahrungen mit bestimmten (freien) Reverse-Proxies? Varnish hört sich für mich bis jetzt ganz vielversprechend an.

Link zu diesem Kommentar
Whistleblower Experienced

Whistleblower   45

Geschrieben
  • Autor
Geschrieben

Das Sicherheitsbedürfnis ist schon recht hoch für das zu sichernde System.

Der Zugriff authorisierter Personen ist sicherlich überschaubar, aber wer weiss bei einem Windowssystem von einer relativ kleinen Softwareschmiede schon, wie sicher das ganze aufgesetzt ist ..? :(

Daher muss der Weg auch unbedingt über Reverse-Proxy und IPS laufen.

Und da man ja auch nie ausschließen kann, dass durch irgendwelche Exploits unbefugte Zugriff erhalten, hilft es natürlich wenig, wenn das ganze dann durchgängig über SSL geschieht...

Also Zugriff über SSL auf Reverse-Proxy in DMZ und von da ohne SSL über IPS zum IIS in der DMZ. Zusätzlich soll jeglicher Traffic vom IIS über die Firewall zum Server im internen Netz ebenfalls über ein IPS-Segment laufen.

Link zu diesem Kommentar
Wordo Veteran

Wordo   11

Geschrieben
Geschrieben
Hm, der Server läuft aber leider auf IIS ... Lässt sich da trotzdem was richten?

Hab da grad dies hier gefunden:

Mod Security with IIS (ideas) : Got Root

 

Hat schon jemand Erfahrungen mit IIS & ModSecurity?

 

Prinzipiell ist es ja egal ob das auf Windows oder Linux laeuft, ich kenn mich im Windows halt nich so gut aus und hab deswegen eher meine Bedenken, aber wie gesagt ich bin ne Windows-0 :)

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

du kannst grundsätzlcih jeden Reverse Proxy einsetzen - also von apache bis hin zu einem MS ISA. Die verschiedenen Produkte bieten dabei auch unterschiedliche Funktionen. Man kann einen reverse Proxy einfach stumpf reverse proxy spielen lassen oder man baut ihm direkt noch Logik mit ein (IPS Ansätze). Umgekehrt bringen auch einige IPS boxen reverse proxies mit!

 

@IPS Plan: Achte darauf, dass ein physisches IPS nicht in verschiedenen Sicherheitsbereichen aufgebaut ist. Die Zeichnungen der Hersteller geben das zwar meist als Lösung vor (z. B. 1 physische box mit 6 ports (also 3 pärchen) hängt vor dem internet router, in der dmz und im CN) das ist aber nur eine gute Idee wenn man davon ausgehen könnte, dass die IPSe selbst nie Fehlerhaft sein werden -> schlechte Idee ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...