Reicht logische Trennung (DMZ) aus

[ThomasAnderson 0]

Hallo,

 

ich kenne aus den Vorlesungen die strikte Trennung:

 

Internet<--->Firewall<--->DMZ<--->Firewall<--->internes Netz

rot - orange - grün

 

Beim NW Redesign geht es jetzt darum, die Netze nicht nur redundant auszulegen sondern auch eventuelle Sicherheitsfehler zu beheben.

Dass eine physikalische Trennung zw. den Zonen die sauberere ist ist klar.

Aber reicht eine logische Trennung (über VLANs) auch aus? (Es gibt ja auch Möglichkeiten wie VLAN Hopping etc.).

Also die Firewalls können theoretisch nicht umgangen werden, da die Verbindungen immer über die VLANs zur FW geroutet werden, aber rein physikalisch wäre das möglich.

Wir haben Drucker Netzte etc. auch "nur" über VLANs getrennt, wie es ja eigentlich üblich ist. Aber ich denke nicht, dass diese Trennung einem FW Konzept von der Schwere her gleich gilt.

 

Vielen Dank für Eure Tipps.

Gruß

[daabm 1.197]

Wenn die Switche/Router keine Sicherheitslücken habe, reicht das sicher :D  Haben sie keine? :cool:

[NilsK 2.795]

Moin,

 

VLANs sind keine Sicherheitsfunktion, sondern sollen nur eine Trennung von logischen Segmenten, Broadcast-Domains usw. erlauben, ohne dass man gleich mehrere separate physische Netzwerke aufbauen muss. Eine Firewall arbeitet auf einer anderen Ebene.

 

Gruß, Nils

[lefg 276]

Hallo,

 

mein Gedanke eben: Ein am Switch auftretender Fehler setzt alle Anschlüsse auf VLAN 1. Erscheint so etwas möglich?

[NeMiX 76]

Klar, da reicht ja schon wenn jemand unbedarft den Switch zurücksetzt.

Ich würde die verschiedenen Elemente immer mit physikalischen Geräten abtrennen. Wenn möglich sogar unmanaged.

[ThomasAnderson 0]

Hat noch jemand so ein Beispiel wie @lefg: das ist echt top!

[lefg 276]

Dass eine physikalische Trennung zw. den Zonen die sauberere ist ist klar.

Aber reicht eine logische Trennung (über VLANs) auch aus? (Es gibt ja auch Möglichkeiten wie VLAN Hopping etc.).

Also die Firewalls können theoretisch nicht umgangen werden, da die Verbindungen immer über die VLANs zur FW geroutet werden, aber rein physikalisch wäre das möglich.

 

 

Hallo,

 

 

 

Du schreibst von physikalischer und logischer Trennung, meinst mit logische die per VLAN, die physikalische wohl per Router. Ist der Router aber physisch? Ich sehe einen Router nur als einen Rechner mit dem Dienst Routing drauf, bei einem Internetrouter dazu die Firewall, beides ist Programm. Demnach sehe ich Routing auch nur als eine logische Trennung, sie geschieht aber auf Layer 3, dem Netzwerkprotokolll während das VLAN auf dem Ethernet, Layer 2 geschieht.

 

Ob es wirklich üblich ist, Drucker in VLAN zu haben? Drucker per VLAN getrennt von anderen aktiven Geräten des Netzwerkes? Wie kommen diese aber die Drucker? Wozu, was ist das Ziel? Ich stelle die Frage mal provokativ.

bearbeitet 2. Juni 2014 von lefg

[ThomasAnderson 0]

Hi, ich meine mit physikalische Trennung die richtige physikalische Trennung und mit Layer 2 die logische wie Du geschrieben hat.

Wenn für mich eine physikalische Verbindung nur von FW -> DMZ -> FW geht dann müssen diese schonmal immer passiert werden.

Wenn jedoch -> Router -> FW -> DMZ -> FW -> Router

                                      ------------------------------> Router

die beiden Verbindungen existieren und das NW so konfiguriert ist, dass die Verbindung rein logisch (also auf Layer 2 über VLANs) nur über die FWs möglich ist, jedoch von der Anbindung trotz Layer 2 Trennung auch anders möglich wäre.

 

Ich dachte immer, mir wurde das so beigebracht, dass die sicherste Lösung auch die sauberste Lösung ist. Oder ist das Paranoid? Wie gestaltet ihr denn die DMZ? Heißt es am Ende doch mein Prof war wahnwitzig und eine VLAN Sicherung reicht locker auf. Bitte kein "es kommt drauf an", sondern einfach wie man hast heutzutage am sinnvollsten löst.

 

[lefg 276]

Wie auch Nils in #3 schon schrieb, so sehe auch ich es, VLAN ist keine Sicherheitsfunktion, jedenfalls nicht alleine.

 

Man kann natürlich zwei VLAN verbinden mittels Routing, darauf eine Firewall und eine Zugangskontrolle für Computer und Benutzer, VLAN sehe ich daran aber nicht als Element der Sicherheit. Anstelle der verbundenen VLAN kann man in einem kleinen Netz auch zwei kleine Switche einsetzen und diese mittels Router verbinden. VLAN in der Grundform teilt einen Switch z.B. in zwei logische VLAN auf, VLAN1 ist die Voreinstellung, VLAN 2 kommt dazu, In der Erweiterung mit zwei Switches aknn man die beiden VLAN über eine Leitung führen, eines untagged, eines tagged. Sinn ist also bei nötiger, gewünschter Netztrennung auf extra Switche und Leitungen verzichjten zu können. Beispiele dafür sind in Schulen die Trennung zwischen Verwaltungs- und Seminarbereich, in Firmen das Abtrennen des WLAN für Gäste(mehrere APs auf dem Gelände, auf mehreren Etagen).Punkt ist dabei das Nutzen einer Infrastruktur an Leitung und Switches.

 

Natürlich bietet VLAN auch die Möglichkeit, Ports mehreren VLAN zuzuordnen.

 

Darf man VLAN als eine Art sichere Box betrachten, in der sich Geräte befinden und die einen Anschluss nach draussen hat? Ob solch eine Betrachtung nicht manchmal in die Irre führt? Durch das Loch in der Box, dem Anschluss, ist die Sicherheit nicht mehr gewährleistet.

 

Nun, es kommt drauf an, was für Switche stehen zur Verfügung oder sind beschaffbar? Layer 2? Layer 3? Was gibts noch?

bearbeitet 2. Juni 2014 von lefg

[ThomasAnderson 0]

Also habe ich ja eigentlich mit meiner Aussage recht, denn Du bestätigst das ja noch einmal.

 

Alles ist beschaffbar.

Am sinnvollsten wäre eine strikte Trennung durch 2 redundante Firewalls und eine (nicht virtualisierte) DMZ.

Alle VLANs sollten spätestens an der internen FW zusammentreffen und es sollte keine Möglichkeiten geben diese zu umgehen.

Bei den Firewallpreisen kann ich mir jedoch nicht vorstellen, dass jedes Unternehmen eine redundante Firewall besitzt?

[Daniel -MSFT- 129]

Vielleicht stellst Du die Frage einmal andersherum: Warum verwendet man VLANs? Mir fällt da spontan die Einrichtung von Broadcast Domains in großen Netzwerken ein. Dann natürlich Quality of Service - das lässt sich leichter sicherstellen, wenn man z.B. VoIP, Video Conferencing und Daten in separate VLANs trennt. Das IP-Adressmanagement läßt sich dadurch vereinfachen (separate Netze für Clients, Server, Stockwerke, Gebäude, etc.). Netzwerkresourcen lassen sich konsolidieren, wenn man auf einem Switch mehrere Netze über VLANs getrennt verwalten kann. Schließlich auch der Sicherheitsaspekt:

 

Ob es wirklich üblich ist, Drucker in VLAN zu haben? Drucker per VLAN getrennt von anderen aktiven Geräten des Netzwerkes? Wie kommen diese aber die Drucker? Wozu, was ist das Ziel? Ich stelle die Frage mal provokativ.

 

Wenn es multifunktionale Drucker sind, steckt da meist ein eigener kleiner Computer drin. Die würde ich auf jeden Fall in ein eigenes VLAN packen und nur die Printserver darauf eingehend zugreifen lassen. Das gleiche gilt für Telefone.

 

Bei einer DMZ geht es mehr um die sichere Netzwerktrennung. Die würde ich immer physikalisch auslegen, nicht (nur) durch VLANs. Ich würde eine DMZ auch nicht auf einem Virtualisierungshost mischem mit internen Netzwerkresourcen. Es gab schon genug Beispiele für Ausbrüche aus dem Gast in das Hostsystem und Kompromittierung der anderen Gäste. Oder Kompromittierung beim Wiederverwenden von virtuellen Festplatten. Oder falschen Netzwerkkonfigurationen.

 

Have fun!

Daniel

bearbeitet 2. Juni 2014 von Daniel -MSFT-

[lefg 276]

...... jedes Unternehmen eine redundante Firewall besitzt?

 

Nein, natürlich nicht. Jedenfalls habe ich so etwas noch nicht erlebt. Viele besitzen auch keine redundante Netzwerkinfrastrukur, haben keine Vermaschung. Die Mehrzahl sind doch kleine Firmen mit kleinen Netzen und eher kleinen Budget. Viele benötigen keine Redundanz, so jedenfalls die Meinung der GF und Controller, ein wirklicher Ausfall komme ja nur sehr selten vor. Nun, der Bedarfsträger muss die Anforderungen definieren und im Ernstfall damit leben. Ein Admin im Hause wird sich ein oder ein paar Ersatzgeräte ins Regal legen, so es ihm möglich.

 

 

Wenn es multifunktionale Drucker sind, steckt da meist ein eigener kleiner Computer drin. Die würde ich auf jeden Fall in ein eigenes VLAN packen und nur die Printserver darauf eingehend zugreifen lassen. Das gleiche gilt für Telefone.

 

Als ich es schrieb, provokativ, hab mich natürlich an deinen Beitrag neulich erinnert, konnte den aber nicht finden und hatte die Einzelheiten nicht mehr parat. Ich wusste aber, Du bist nicht weit. :)

bearbeitet 2. Juni 2014 von lefg

[ThomasAnderson 0]

Vielleicht stellst Du die Frage einmal andersherum: Warum verwendet man VLANs? Mir fällt da spontan die Einrichtung von Broadcast Domains in großen Netzwerken ein. Dann natürlich Quality of Service - das lässt sich leichter sicherstellen, wenn man z.B. VoIP, Video Conferencing und Daten in separate VLANs trennt. Das IP-Adressmanagement läßt sich dadurch vereinfachen (separate Netze für Clients, Server, Stockwerke, Gebäude, etc.). Netzwerkresourcen lassen sich konsolidieren, wenn man auf einem Switch mehrere Netze über VLANs getrennt verwalten kann. Schließlich auch der Sicherheitsaspekt:

 

 

Wenn es multifunktionale Drucker sind, steckt da meist ein eigener kleiner Computer drin. Die würde ich auf jeden Fall in ein eigenes VLAN packen und nur die Printserver darauf eingehend zugreifen lassen. Das gleiche gilt für Telefone.

 

Bei einer DMZ geht es mehr um die sichere Netzwerktrennung. Die würde ich immer physikalisch auslegen, nicht (nur) durch VLANs. Ich würde eine DMZ auch nicht auf einem Virtualisierungshost mischem mit internen Netzwerkresourcen. Es gab schon genug Beispiele für Ausbrüche aus dem Gast in das Hostsystem und Kompromittierung der anderen Gäste. Oder Kompromittierung beim Wiederverwenden von virtuellen Festplatten. Oder falschen Netzwerkkonfigurationen.

 

Have fun!

Daniel

Genau so hab ich das auch in Erinnerung, vielen Dank.

 

Was VLANs sind und in welchen Fällen sie durchaus sinnvoll sind ist mir bekannt.

 

Vielen Dank für Eure Erfahrungswerte.

[ThomasAnderson 0]

Hallo Leute,

 

Update von meinem Wissenstand.

 

Nach etwas längerer Recherche kam dabei raus:
Kaum ein Unternehmen bei dem ich mich informiert habe, hat noch ein mehrstufiges Firewall Konzept.

Gründe:
- Fehlkonfigurationen

- Wartung umständlich

- Kostenfaktor (4 Firewalls)

etc.

Dafür setzen die meisten viel mehr auf ein redundantes Konzept mit aktuell gehaltenen Systemen von Herstellern, die

auch zeitnah ihre Lücken schließen.

 

Was jedoch keiner gerne macht, ist das nutzen einer virtualisierten Firewall. Dafür werden DMZs immer öfter virtualisiert.

[NeMiX 76]

Aha? Was für unternehmen sind das den? ;)

 

Ich kann dir spontan 10 Firmen nennen die ein mehrstufiges FW Konzept fahren. Wie du siehst hat jeder andere Anforderungen und die sollte man definieren.

Wir virtualisieren in unserer DMZ seit VMWare Infrastructure 3.5, da wir statt 10 Blechen einen eigenen ESXi vorne hinstellen konnten und weniger Aufwand hatten. Das galt aber für die Dienste die in der DMZ angeboten wurden. Eine Firewall auf dem selben Host die evtl. noch als FrontEnd FW arbeitet würden bei uns nicht durchgewunken werden.