Zum Inhalt wechseln


Foto

Zweistufiges Firewall Konzept


  • Bitte melde dich an um zu Antworten
15 Antworten in diesem Thema

#1 RolfW

RolfW

    Expert Member

  • 1.144 Beiträge

 

Geschrieben 29. März 2017 - 05:51

Guten Morgen zusammen,

muss mal wieder Euch belästigen. Habe mal eine grundsätzliche Frage zum Thema zweistufiges Firewall Konzept.

Werden die Clients bzw. Server im LAN direkt an der internen Firewall angeschlossen oder bleiben die in der Regel am Core Router?

Bin gespannt...

Falls es der falsche Bereich sein sollte, bitte verschieben. Sorry und danke.

Vielen Dank.

Grüße

Bearbeitet von RolfW, 29. März 2017 - 05:52.

- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#2 testperson

testperson

    Board Veteran

  • 4.602 Beiträge

 

Geschrieben 29. März 2017 - 06:12

Hi,

 

die zweistufige Firewall ist doch hier eher irrelevant. Oder sprichst du von der DMZ "zwischen" den beiden Firewalls?

Generell würde ich Server immer mit einem Switch verbinden.

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#3 magheinz

magheinz

    Newbie

  • 1.377 Beiträge

 

Geschrieben 29. März 2017 - 06:16

immer am Switch HINTER der entsprechenden firewall. Welche Firewallappluance hätte denn überhaupt genügend Ports? Ein router ist aber definitv der falsche ort, normalerweise.

#4 RolfW

RolfW

    Expert Member

  • 1.144 Beiträge

 

Geschrieben 29. März 2017 - 11:48

Hallo,

 

es geht um eine LAN Firewall, die bestimmte Bereiche trennt, bzw. absichert und eine Firewall in der "DMZ" bzw. vor dem Internet. Da nicht viele physikalische Server vorhanden sind, gäbe es durch aus Firewalls, die genügend Ports hätten. Ich persönlich, kenne bisher keine Konzepte dieser Art, hätte aber die Server trotzdem erst mal über den Core Switch (Router) angeschlossen und dann zur Firewall geroutet. Warum? Weil ich sonst an der Firewall alles wieder einstellen und routen muss und dort auch nicht endlos Ports habe. Ob das nun Sicherheitstechnisch korrekt ist, wäre daher die Frage, oder ist das "ghupft wie dupft"?

 

Danach würde ich noch die zweite Frage in die Runde werfen: Falls Ihr interne Firewalls nutzt, wie sichert Ihr virtuelle Server ab? (Physikalische oder virtuelle FWs? Andere Produkte oder techniken?usw.)

 

Grüße


- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#5 magheinz

magheinz

    Newbie

  • 1.377 Beiträge

 

Geschrieben 29. März 2017 - 12:39

Was macht eine Firewall IN der DMZ? Gehen wir mal davon aus wir reden hier von einem Filterndem gateway. Dann Trennt dieses Netze. Es müssen also mind. zwei verschiedene Netze an dem Gerät hängen.

Klar kann man auch jeden PC an einen Firewallport hängen. Normalerweise ist das schlicht zu teuer.

 

Was ist eine "interne Firewall"?

 

Interessant wäre mal euer Netzwerkaufbau. Mir ist derzeit unklar wo der Core-Switch und die Firewalls zusammenhängen.

Klassisch wäre:

FW1<->DMZ<->FW2<->interne Netz

Oft verkürzt zu.

 

FW<->DMZ

|

internes Netz

 

Also beides an einer Firewallappliance,

Alles eine Frage der Anforderungen an die Sicherheit.

 

Jeweils am DMZ und an internen Port hängt dann ein Switch.



#6 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 29. März 2017 - 17:29

Wir bauen eignetlich bei jedem Firewall Interface einen Router dahinter, dann lässt sich die Zone bequem erweitern. Erschwerend hinzu kommt bei einer ASA das eher bescheidene Handling von DHCP forwarding. Hat man mehrere DHCP Server ist das nicht besonders gut gemacht auf der ASA. Hat man einen Router davor, macht der schon den forward als unicast.

 

Ergo, Firewall -  Router (logisch,L3) und in den acls mit möglichst sinnvollen Objekten als Source arbeiten, kommt was dazu, muss man nur die entsprechenden Objekte ändern und fertig


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#7 magheinz

magheinz

    Newbie

  • 1.377 Beiträge

 

Geschrieben 29. März 2017 - 18:01

Was soll den der Router routen was die ASA nicht gleich selber routen kann?

Oder habt ihr da einen Haufen VLANs hinter jedem firewallport?



#8 RolfW

RolfW

    Expert Member

  • 1.144 Beiträge

 

Geschrieben 30. März 2017 - 06:37

Hallo zusammen,

bei diesem Konzept geht es erst mal nicht um einen Hersteller oder Details, sondern nur um das grobe Konzept, oder wie Ihr das in der Praxis umsetzt.

Grüße

Bearbeitet von RolfW, 30. März 2017 - 16:11.

- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#9 magheinz

magheinz

    Newbie

  • 1.377 Beiträge

 

Geschrieben 30. März 2017 - 07:07

Was bezweckt ihr mit dem Netzdesign?



#10 RolfW

RolfW

    Expert Member

  • 1.144 Beiträge

 

Geschrieben 30. März 2017 - 07:53

...

Bearbeitet von RolfW, 30. März 2017 - 16:02.

- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#11 DocData

DocData

    Board Veteran

  • 1.295 Beiträge

 

Geschrieben 30. März 2017 - 08:09

Mikrosegmentierung?


Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#12 magheinz

magheinz

    Newbie

  • 1.377 Beiträge

 

Geschrieben 30. März 2017 - 12:44

Absicherung vor was?

Absicherung der Server vor den Clients?



#13 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 30. März 2017 - 14:11

Was soll den der Router routen was die ASA nicht gleich selber routen kann?

Oder habt ihr da einen Haufen VLANs hinter jedem firewallport?

 

Ja, haben wir. Haufen ist Ansichtssache, aber mehr als eines :) Wenn man dann eien Router hat ist man froh weil man sich besser bewegen kann.

 

Zum Thema an sich, ja, das mehrstufige Design hat schon Sinn, aber nur wenn man auf den Boxen auch untershiedliche Features benötigt, man flexibel sein muss was changes angeht und es gibt natürlich auch das alte (aber nicht von der Hand zu weisende) Rezept: Wenn mir jemand Firewall A hackt, dann ist es unwahrscheinlich das auch Firewall B (da anderer Hersteller) direkt danach fällt. Klar, kaum jemand hackt "die Firewall",aber es könnten ja unterschiedliche Inspections, IPS Features etc darauf laufen.

Zb ganz vorne einen einfachen (aber flotten) Paketfilter, vor den haarigen Geschichten stellt man sich etwas hin das Application Inspection macht, dahinter dann vielleicht noch spezielle reverse proxys usw usf...der alte defense in depth Hut eben


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#14 NilsK

NilsK

    Expert Member

  • 12.406 Beiträge

 

Geschrieben 30. März 2017 - 14:18

Moin,

 

das ist ein klassisches Thema, das nicht in ein Forum gehört. Sowas ist Designaufgabe, die von den Anforderungen abhängt.

 

Ob es beispielsweise Sinn ergibt, Teile des "internen" Netzwerks voneinander zu trennen und mit welcher Technik man das macht, ist praktisch ausschließlich eine Frage des IT-Sicherheitskonzepts, das individuell für ein Unternehmen ist - und das aus guten Gründen nicht öffentlich diskutiert gehört.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#15 RolfW

RolfW

    Expert Member

  • 1.144 Beiträge

 

Geschrieben 30. März 2017 - 16:05

Möchte ich auch gar nicht näher besprechen. Mir ging es nur, ob man eine interne Firewall generell zwischen Server und Core setzt oder eher nach dem Core. Oder ist beides in der Praxis zu finden?
- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."