Jump to content

Intranet Firewall - ohne feste IP Adressen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe die Anforderung im Intranet eine Firewall einzurichten. Also eine Firewall zwischen zwei internen Netzwerken. Allerdings haben alle Geräte DHCP Adressen. Alle Kommunikationen basieren auf Namensauflösung (DNS / WINS).

 

Nach meinem Kenntnis Stand kann man in einer Firewall (z.B. Cisco Pix) nur IP Adressen und keine Rechnernamen eintragen, oder? Stimmt diese Aussage nocht, oder sollte ich wieder einmal einen Kurs belegen ;)

 

Wie ist das wenn man eine Firewall basierend auf einem Windows Server realisiert. Damit habe ich leider noch garkeine Erfahrungen...

 

Danke für eure Hilfe.

Gruss Photi

Link zu diesem Kommentar

Es gibt Firewalls die DNS auflösen aber gefiltert wird generell nach IPs. Das Konzept würde sich auch völlig ändern mit SIcherheitsrelevanten Dingen wie Address Spoofing, denn der DNS Name bleibt meist gleich während die IP z.B. bei einem wie von dir erwähnten DHCP-Client von einem komplett anderen Subnetz kommen könnte...

 

Allerdings bleibt es dir offen nach Subnetzen oder IP Ranges (z.B.: IP 1 - 20) zu filtern.

Link zu diesem Kommentar

Es ist die Frage was geschehen soll?!

Wenn Du sagst, dass alle Clients eine IP via DHCP bekommen, nehm ich auch an, dass diese alle im selbigen Subnet stehen. D.h.: die Clients würden nicht einmal über die Firewall gehen, wenn diese miteinander reden. Wenn Du darin auf Ports filtern möchtest, müsstest Du brigden.

Übrigens, die phion netfence 3.6 + Patch-3 wird mit DNS im Ruleset umgehen können (Patchrelease ist am 07.07.07, also nicht mehr all zu lang hin.). Das wird Dein Problem aber wahrscheinlich nicht lösen.

Link zu diesem Kommentar

Ich sag ja auch nicht, es gäbe keine FWs die IPs nicht nach Namen auflösen können (z.B. für Logfiles usw.), nur ist es eine total andere Geschichte, ob die Firewall ihre Rulebase nach Namen oder nach der IP anwendet, sprich ob sie in der Rulebase zuerst versucht den Namen der IP aufzulösen. Ausserdem wäre sowas schwer fehleranfällig. Man stelle sich vor, die FW hat einen falschen DNS-Server abgesetzt oder der DNS wurde von DNS-Poisoning befallen....

Abgesehen werden damit ganze Routing/Spoofing Geschichten ausgehebelt. Ein solches Ruleset wäre praktisch nicht brauchbar.

 

 

Die IP ist da schon sicherer, es theoretisch nur eine aktive geben kann, und diese auch nicht erst aufgelöst werden muss - sie ist direkt an die MAC gebunden.

Link zu diesem Kommentar
Off-Topic:


@fischer-denkt

Ich weiss, wechen Thread du meinst, und 'auseinander genommen' find ich aber doch etwas übetrieben - das war doch ne normal Diskussion:wink2:

Ich persöhnlich würde nur Gäste und Interne trennen wollen über MAC Listen - schicker wäre natürlich 801.x was aber vom Aufwand her auch nicht ohne ist. Der Grund: Auf diesem Layer geht es mehr darum, dass möglicherweise kompromitierte Rechner keinerlei TCP/IP Zugang zum prod. Netz haben sollen. Für alles andere, also Zugriffe auf Resourcen für Mitarbeiter gibt's IMHO geeignetere Wege (z.B.: ACLs, Policies, usw.)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...