fads 10 Geschrieben 1. August 2008 Melden Teilen Geschrieben 1. August 2008 Hallo Leute, ich habe heute eine Frage zu einer Planung. Das Netzwerk um das es geht ist Sternförmig mit nicht Managebaren Switches, d.h. kein VLan möglich. Es hat im Moment eine Firewall. Auf einem Server der mit einem Netzwerkkabel verbunden ist, soll jetzt noch ein ISA Server installiert werden. Es gibt keine Möglichkeit die zwei Firewalls mit einem direkten Kabel zu Verbinden. Was empfehlt ihr als Verbindung zwischen den zwei Swiches? VPN von einem zu anderen? Vielleicht könnt ihr mir helfen Gruß fads Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 1. August 2008 Melden Teilen Geschrieben 1. August 2008 Ägypten? Spaß beiseite, dass was Du schreibst klingt wirr... Um Dir besser helfen zu können, wäre es schön, wenn Du etwas strukturierter Dein Problem nochmal schildern könntest! Wenn das Netzwerk eine Firewall hat, warum jetzt noch ein ISA-Server? Wollt Ihr eine DMZ aufbauen? Geht es um die Zugriffssteuerung zum Internet? Bandbreitenmanagement? Inhaltsfilterung? Protokollierung? Wenn Du schreibst, was Ihr genau vorhabt, wird es sicher eine passende Lösung geben... Zitieren Link zu diesem Kommentar
fads 10 Geschrieben 1. August 2008 Autor Melden Teilen Geschrieben 1. August 2008 Klar kann ich schreiben um was es genau geht. Es soll eine zweite Firewall in das Netzwerk integriert werden. Die Gründe dafür sind: VPN, soll darüber laufen, Sicherheitssorgen des Geschäftsführers und, achtung ganz toll, die Lizenz ist schon vorhanden. Die wollen einfach ein zweite Firewall. Es bringt aber nix wenn ich die installiere aber die Daten gehen von der Frontfirewall ohne schutz über das LAN zum ISA. Deshalb mein Frage, wie ich die Daten über die bestehende Verkabelung bekomme. Ich kann den Server auf den der ISA kommt nicht vom Netzwerk getrennt an die bestehende Firewall anschließen. Zitieren Link zu diesem Kommentar
RanCyyD 10 Geschrieben 1. August 2008 Melden Teilen Geschrieben 1. August 2008 Meint der Geschäftsführer, er schaltet zwei Firewalls hintereinander und hat dann doppelten Schutz, oder wie? :) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 1. August 2008 Melden Teilen Geschrieben 1. August 2008 Hi, eine zweistuffige Firewall (dual layered firewall) ist aus sicherheitstechnischer Sicht auf jeden Fall mehr als Sinnvoll - da hat dein Chef schon recht. Siehe dazu auch: Windows Server How-To Guides: Firewall Szenarien - ServerHowTo.de Allerdings sollte man sowas auch richtig aufbauen! - Eine direkte Verbindung von der Edge Firewall und der internen Firewall ist ein nogo - ALLE Verbindungen sollten in der DMZ terminiert werden. - Die DMZ sollte auf jeden Fall ihre eigenen Switches haben - normal sagt man sogar pro DMZ Segment ein eigenes Switch. Zitieren Link zu diesem Kommentar
fads 10 Geschrieben 3. August 2008 Autor Melden Teilen Geschrieben 3. August 2008 Hi Leute, danke mal für die Antworten. Ich habe mir überlegt, da es ja nicht möglich ist die Firewall Physikalisch zu verbinden, das ich eine IPSec strecke von der Front zu der Backfirewall aufbaue. Die Frontfirewall wird für ausgehenden Transfer, bis auf die VPN zur Backfirewall gesprerrt. Die Clients dürfen nur die Backfirewall als Gateway nutzen. Auf diesem Wege müsste der Komplette Traffic durch die Backfirewall über die IPSec strecke in die Frontfirewall übergeben werden. Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 4. August 2008 Melden Teilen Geschrieben 4. August 2008 Hi Leute, danke mal für die Antworten. Ich habe mir überlegt, da es ja nicht möglich ist die Firewall Physikalisch zu verbinden, das ich eine IPSec strecke von der Front zu der Backfirewall aufbaue. Die Frontfirewall wird für ausgehenden Transfer, bis auf die VPN zur Backfirewall gesprerrt. Die Clients dürfen nur die Backfirewall als Gateway nutzen. Auf diesem Wege müsste der Komplette Traffic durch die Backfirewall über die IPSec strecke in die Frontfirewall übergeben werden. Hi, und was soll das bringen :confused::confused: das macht soweit ich deine Beschreibung verstehe absolut keinen Sinn... viele Grüße Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 4. August 2008 Melden Teilen Geschrieben 4. August 2008 Es gibt keine Möglichkeit die zwei Firewalls mit einem direkten Kabel zu Verbinden. Was empfehlt ihr als Verbindung zwischen den zwei Swiches? VPN von einem zu anderen? Gruß fads sorry aber ich glaube du weiß noch gar nicht was du überhaupt realisieren willst, 2 Server mit Cross Verbinden, mach ich nur für den "HeartBeat" bei Clustern. Bei Firewalls ist das so Sinnvoll wie Cabrio Fahren im Winter. 2) VPN zwischen 2 Switches klingt nacht ComputerBild.de 3)Das beste was du anstellen kannst ist, den Artikel von nerd zu lesen und dir selbst zu überlegen was genau du überhaupt machen willst. Ich empfehl dir ebenfalls eine DMZ, mit Router dazwischen (kein Crosskabel), einem eigenen IP Bereich innerhalb der DMZ und du kannst dir dabei überlegen welche Server du da reinstellen willst, z.B. Exchance FrontEnd oder WebServer Gruß Coolace Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 5. August 2008 Melden Teilen Geschrieben 5. August 2008 @CoolAce: Exchange Front-End gehört nicht in die DMZ, sondern ins LAN, sonst ist die Firewall zwischen DMZ und LAN löchrig wie ein Schweizer Käse ;). Das ist auch Best Practice lt. Microsoft. Ansonsten geb ich Dir in allen Punkten recht! Christoph Zitieren Link zu diesem Kommentar
fads 10 Geschrieben 5. August 2008 Autor Melden Teilen Geschrieben 5. August 2008 Also um noch mal auf das Thema einzugehen. Im prinzip soll das Szenario 3 aus der serverhowto realisiert werden, jedoch so das alle Server und Clients hinter der zweiter Firewall stehen. Die Frontfirewall soll nur als weitere Schutz für die zweite Firewall dienen. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 5. August 2008 Melden Teilen Geschrieben 5. August 2008 hy, genau das was ich und mein vorschreiber beschrieben haben, eine DMZ . Wenn du aber keine Geräte für die DMZ hast macht das kein Sinn, Lizenz und Geldverschwendung mal abgesehen. Wenn du nur die erste Firewall absichern willst ,weil du davon ausgehst das sie nicht funktioniert, dann klappt das mit der zweiten auch nicht. Du kannst dir höchstens eine identische aufsetzen und als Ersatz für die erste nehmen falls sie komplett ausfällt Gruß Coolace Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 5. August 2008 Melden Teilen Geschrieben 5. August 2008 Die Frontfirewall soll nur als weitere Schutz für die zweite Firewall dienen. :suspect: Ich glaube, da besteht dringender beratungsbedarf ... :nene: Eine DMZ ohne Inhalt ist wirklich Geldverschwendung. Ausserdem ist der ISA Server auch ohne eine HardwareFW davor sicher genug. Als Lektüre empfehle ich da mal diese Artikel vom ISA-Server-Papst Tom Shinder: Teaching the Boss and the Network Guys About the ISA Firewall (Part 1) Teaching the Boss and the Network Guys About the ISA Firewall (Part 2) Christoph Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 5. August 2008 Melden Teilen Geschrieben 5. August 2008 Hi, da stimme ich meinen Vorrednern voll und ganz zu. Der Nutzen von zwei direkt hintereinander geschalteten Firewalls ist eher klein und baut gleichzeitig eine enorme Komplexität auf die die Fehlerwars***einlichkeit deutlich nach oben setzt. Wenn du eine Edge Firewall absichern oder entlasten möchtest, dann analysiere genau welche Ports du brauchst (mußt du ja eh machen um die FW zu konfigurieren) und blocke die nicht verwendeten Ports schon auf dem vor der FW stehenden Router. Wenn du das gemacht hast kannst du die FW (z. B. ISA) der dahinter steht auch in Bezug auf das Monitoring hart konfigurieren. Wenn dort dann ein Paket auf einem Port an kommt, dass schon auf dem Router geblockt wird, dann läuft gerade ein Angriff gegen euch und der router ist schon "gefallen" ;-) Viele Grüße Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.