ich habe die Anforderung im Intranet eine Firewall einzurichten. Also eine Firewall zwischen zwei internen Netzwerken. Allerdings haben alle Geräte DHCP Adressen. Alle Kommunikationen basieren auf Namensauflösung (DNS / WINS).
Nach meinem Kenntnis Stand kann man in einer Firewall (z.B. Cisco Pix) nur IP Adressen und keine Rechnernamen eintragen, oder? Stimmt diese Aussage nocht, oder sollte ich wieder einmal einen Kurs belegen
Wie ist das wenn man eine Firewall basierend auf einem Windows Server realisiert. Damit habe ich leider noch garkeine Erfahrungen...
Es gibt Firewalls die DNS auflösen aber gefiltert wird generell nach IPs. Das Konzept würde sich auch völlig ändern mit SIcherheitsrelevanten Dingen wie Address Spoofing, denn der DNS Name bleibt meist gleich während die IP z.B. bei einem wie von dir erwähnten DHCP-Client von einem komplett anderen Subnetz kommen könnte...
Allerdings bleibt es dir offen nach Subnetzen oder IP Ranges (z.B.: IP 1 - 20) zu filtern.
Da du ja schon DHCP verwendest könntest du ja Reservations, also fixe Adressen, gebunden an die MAC-Adresse einrichten. Soweit es den Aufwand wert ist.
Bei der Windows-Firewall musst du konkreter werden. Was genau willst du wissen? Meinst du ISA oder ein anderes Firewall-Produkt?
Es ist die Frage was geschehen soll?!
Wenn Du sagst, dass alle Clients eine IP via DHCP bekommen, nehm ich auch an, dass diese alle im selbigen Subnet stehen. D.h.: die Clients würden nicht einmal über die Firewall gehen, wenn diese miteinander reden. Wenn Du darin auf Ports filtern möchtest, müsstest Du brigden.
Übrigens, die phion netfence 3.6 + Patch-3 wird mit DNS im Ruleset umgehen können (Patchrelease ist am 07.07.07, also nicht mehr all zu lang hin.). Das wird Dein Problem aber wahrscheinlich nicht lösen.
Ich sag ja auch nicht, es gäbe keine FWs die IPs nicht nach Namen auflösen können (z.B. für Logfiles usw.), nur ist es eine total andere Geschichte, ob die Firewall ihre Rulebase nach Namen oder nach der IP anwendet, sprich ob sie in der Rulebase zuerst versucht den Namen der IP aufzulösen. Ausserdem wäre sowas schwer fehleranfällig. Man stelle sich vor, die FW hat einen falschen DNS-Server abgesetzt oder der DNS wurde von DNS-Poisoning befallen....
Abgesehen werden damit ganze Routing/Spoofing Geschichten ausgehebelt. Ein solches Ruleset wäre praktisch nicht brauchbar.
Die IP ist da schon sicherer, es theoretisch nur eine aktive geben kann, und diese auch nicht erst aufgelöst werden muss - sie ist direkt an die MAC gebunden.
Was vielleicht noch eine Möglichkeit ist, auf einen ganzen Adressbereich und zusätzlich auf die MAC filtern.
Das Problem ist nur, dass die Firewall die Ziel-MAC nicht kennt und daher es schwer fallen sollte, ein Produkt zu finden, welches soetwas unterstützt ...
Es gibt Switche, die eine dynamische VLAN-Zuordnung machen, je nachdem in welcher Liste die MAC geplegt wurde. Aber auch da müsste man verschiedene Subnetze verwenden um was sinnvolles damit anstellen zu können. Bleibt die Frage nach dem Ziel des Vorhabens...
Ich hatte schonmal hier im Forum so einen Vorschlag gebracht (VLAN und einzelne Subnetze pro Abteilung), dass wurde ziemlich auseinander genommen ... :-)
Intranet Firewall - ohne feste IP Adressen
Keine mir bekannte.
