IThome 10 Geschrieben 16. Mai 2007 Melden Teilen Geschrieben 16. Mai 2007 Ich denke auch, dass beide Lösungen gut sind :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. Mai 2007 Melden Teilen Geschrieben 16. Mai 2007 Eine Zwischenfrage: Gibt es einen bestimmten Grund, warum der VPN-Endpunkt der Server selbst sein muß? Kenne mich mit dem SBS nicht so sehr aus, vielleicht gibt es ja einen bestimmten Hintergrund dafür... Müssen tut er das nicht, aber ich persönlich bin aus meiner vielfältigen Erfahrung im Security-bereich ein Freund des Terminierens auf der Backend-Firewall. Dieser SBS (eine Standard Edition) ist wohl in diesem Sinne keine richtige Firewall), ja, aber das Ganze ist aus meiner Sicht sicherer zu gestalten. Es fängt damit an, dass wenn die hintere FW ein Microsoft-Gerät ist (am besten ein ISA Server, aber ein Server mit Basisfirewall und VPN-Ausnahmen geht auch), dass ich eine AD-integrierte Authentifizierung habe. Ich habe keine unverschlüsselten Pakete in der DMZ, was bei einer Terminierung vorne ein Problem ist. Das Regelwerk bei einer Tunnel-Terminierung hinten auf der FW ist deutlich einfacher auszugestalten, als bei einer Tunnel-Terminierung vorne. Die Sicherheit bei einer Tunnel-Terminierung hinten in Bezug auf Spoofing Angriffe ist meist einfacher zu lösen. Das alles geht davon aus, dass man eine zweistufige FW hat, wenn hinter dem NAT-Device gleich das interen Netz kommt, dann sind meine Ausführungen logischerweise hinfällig. grizzly999 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. Mai 2007 Melden Teilen Geschrieben 17. Mai 2007 Hallo grizzly999, Du hast vollkommen Recht - der Endpunkt ist im besten Fall nicht der erste Firewall. In der Praxis wird bei größeren Unternehmen in vielen Fällen ein reiner "Paketfilter" bis OSI Schicht 4 laufen. Alle weitere Intelligenz hängt dann dahinter, was beispielsweise in Bezug auf die Härtung der Firewall-Systeme als auch die Performance eine recht gute Idee ist. ;) Wie Du aber schon richtig geschrieben hast, macht das nur in einer Umgebung Sinn, bei denen die Firewalls tatsächlich in Reihe geschaltet sind. Da im Thread von einem IPCop und einem SBS gesprochen wurde kann man also davon ausgehen, daß ein mehrstufiges Firewallkonzept nicht vorhanden ist. ;) Deshalb auch mein Einwurf zu dem Thema - denn in diesem Fall kann es durchaus Sinn machen, den IPCop selbst als Endpunkt des VPNs zu nutzen und den Traffic erst gar nicht zum Haupsystem durchzuleiten. Denn der SBS als Endpunkt ist in jedem Fall Angreifbarer als ein IPCop. Wenn auch in diesem Fall durch die Weiterleitung der IPSec Protokolle nur ein recht kleiner Angriffspunkt bleibt. Aber Fehler im Protokollstack sind ja auch leider nichts außergewöhnliches... :rolleyes: Gruß olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.