Jump to content
Sign in to follow this  
photi

Intranet Firewall - ohne feste IP Adressen

Recommended Posts

Hallo zusammen,

 

ich habe die Anforderung im Intranet eine Firewall einzurichten. Also eine Firewall zwischen zwei internen Netzwerken. Allerdings haben alle Geräte DHCP Adressen. Alle Kommunikationen basieren auf Namensauflösung (DNS / WINS).

 

Nach meinem Kenntnis Stand kann man in einer Firewall (z.B. Cisco Pix) nur IP Adressen und keine Rechnernamen eintragen, oder? Stimmt diese Aussage nocht, oder sollte ich wieder einmal einen Kurs belegen ;)

 

Wie ist das wenn man eine Firewall basierend auf einem Windows Server realisiert. Damit habe ich leider noch garkeine Erfahrungen...

 

Danke für eure Hilfe.

Gruss Photi

Share this post


Link to post

Es gibt Firewalls die DNS auflösen aber gefiltert wird generell nach IPs. Das Konzept würde sich auch völlig ändern mit SIcherheitsrelevanten Dingen wie Address Spoofing, denn der DNS Name bleibt meist gleich während die IP z.B. bei einem wie von dir erwähnten DHCP-Client von einem komplett anderen Subnetz kommen könnte...

 

Allerdings bleibt es dir offen nach Subnetzen oder IP Ranges (z.B.: IP 1 - 20) zu filtern.

Share this post


Link to post

Hallo!

 

Da du ja schon DHCP verwendest könntest du ja Reservations, also fixe Adressen, gebunden an die MAC-Adresse einrichten. Soweit es den Aufwand wert ist.

 

Bei der Windows-Firewall musst du konkreter werden. Was genau willst du wissen? Meinst du ISA oder ein anderes Firewall-Produkt?

 

VG Pinf

Share this post


Link to post

Was für Firewalls setzen auf DNS auf?

 

Kann das ISA? Ich habe ISA leider noch nicht eingesetzt. Gibt es eine Anleitung irgendwo...

 

cu

Share this post


Link to post

Es ist die Frage was geschehen soll?!

Wenn Du sagst, dass alle Clients eine IP via DHCP bekommen, nehm ich auch an, dass diese alle im selbigen Subnet stehen. D.h.: die Clients würden nicht einmal über die Firewall gehen, wenn diese miteinander reden. Wenn Du darin auf Ports filtern möchtest, müsstest Du brigden.

Übrigens, die phion netfence 3.6 + Patch-3 wird mit DNS im Ruleset umgehen können (Patchrelease ist am 07.07.07, also nicht mehr all zu lang hin.). Das wird Dein Problem aber wahrscheinlich nicht lösen.

Share this post


Link to post

Ich sag ja auch nicht, es gäbe keine FWs die IPs nicht nach Namen auflösen können (z.B. für Logfiles usw.), nur ist es eine total andere Geschichte, ob die Firewall ihre Rulebase nach Namen oder nach der IP anwendet, sprich ob sie in der Rulebase zuerst versucht den Namen der IP aufzulösen. Ausserdem wäre sowas schwer fehleranfällig. Man stelle sich vor, die FW hat einen falschen DNS-Server abgesetzt oder der DNS wurde von DNS-Poisoning befallen....

Abgesehen werden damit ganze Routing/Spoofing Geschichten ausgehebelt. Ein solches Ruleset wäre praktisch nicht brauchbar.

 

 

Die IP ist da schon sicherer, es theoretisch nur eine aktive geben kann, und diese auch nicht erst aufgelöst werden muss - sie ist direkt an die MAC gebunden.

Share this post


Link to post

Was vielleicht noch eine Möglichkeit ist, auf einen ganzen Adressbereich und zusätzlich auf die MAC filtern.

Das Problem ist nur, dass die Firewall die Ziel-MAC nicht kennt und daher es schwer fallen sollte, ein Produkt zu finden, welches soetwas unterstützt ...

Share this post


Link to post

@fischer-denkt

 

Es gibt Switche, die eine dynamische VLAN-Zuordnung machen, je nachdem in welcher Liste die MAC geplegt wurde. Aber auch da müsste man verschiedene Subnetze verwenden um was sinnvolles damit anstellen zu können. Bleibt die Frage nach dem Ziel des Vorhabens...

Share this post


Link to post

@Velius:

Da stimme ich Dir voll und ganz zu!

 

Ich hatte schonmal hier im Forum so einen Vorschlag gebracht (VLAN und einzelne Subnetze pro Abteilung), dass wurde ziemlich auseinander genommen ... :-)

Share this post


Link to post
Off-Topic:


@fischer-denkt

Ich weiss, wechen Thread du meinst, und 'auseinander genommen' find ich aber doch etwas übetrieben - das war doch ne normal Diskussion:wink2:

Ich persöhnlich würde nur Gäste und Interne trennen wollen über MAC Listen - schicker wäre natürlich 801.x was aber vom Aufwand her auch nicht ohne ist. Der Grund: Auf diesem Layer geht es mehr darum, dass möglicherweise kompromitierte Rechner keinerlei TCP/IP Zugang zum prod. Netz haben sollen. Für alles andere, also Zugriffe auf Resourcen für Mitarbeiter gibt's IMHO geeignetere Wege (z.B.: ACLs, Policies, usw.)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...