DSL & Astaro Firewall

[joemc26 10]

Hallo

 

Ich habe mal eine frage über den Aufbau meinens Netzes.

 

Ich habe einen grossen Switch, an den sind alle meine Clients angeschlossen.

 

Mein Dsl Anschluss liegt auch auf diesen Switch, sprich das Cat5 Kabel was ausdem Dsl Modem kommt geht direkt auf diesen Switch. Desweiteren habe ich eine Firewall (Astaro) die auch auf diesem Switch hängt.

 

Meine Frage ist ob die konfiguration so in Ordnung ist?? Oder muss ich bedenken haben da meine DSL Leitung direkt in unseren Netz liegt!!

 

gruss joemc26

[DeLiRiUm 10]

Der Aufbau ist meines Erachtens grob fahrlässig. :shock: Du bist völlig ungeschützt.

Wenn du dein DSL-Modem mit dem Switch verbunden hast, dann laufen alle Pakete vom Internet durch dein LAN. Egal ob Firewall oder nicht. Dein Netz ist quasi ungeschützt (je nach lokalen Rechnereinstellungen, also XP+SP2+Firewall). :shock:

Mein Vorschlag:

Bau' alles so um, dass das CAT-5 Kabel vom DSL-Modem zum Firewall geht und von den Firewall ein Netzwerkkabel zum Switch.

Dann haste den Schutz, den du brauchst.

Du mußt natürlich den Firewall noch vernünftig für deine User konfigurieren.

 

Oder du kaufst dir einen Router. Die haben meistens schon ein Firewall integriert. :D

[Sexsi 10]

Original geschrieben von DeLiRiUm

Der Aufbau macht meines Erachtens nicht wirklich Sinn. Ein Switch ist quasi ein Verteiler.

Wenn du dein DSL-Modem mit dem Switch verbunden hast, dann laufen alle Pakete vom Internet durch dein LAN. Egal ob Firewall oder nicht. Dein Netz ist quasi ungeschützt ...

 

Mit Verlaub: Das ist nicht richtig. Die Verbindung zwischen dem "Einwahl"-Rechner und ISP (Internet Service Provider) erfolgt über PPP (bei DSL PPPoE). Innerhalb von PPP wird dann sozusagen TCP/IP getunnelt. Die Pakete (PPP) laufen zwar durch das LAN, aber die darin getunnelten IP-Pakete können im LAN nichts anstellen. Das Netz ist also nicht ungeschützt, sondern die "unsicheren" IP-Pakete sind in einem PPP-"Tunnel" zwischen Einwahlrechner (was im Beispiel sicher die "Firewall" ist) und ISP ausbruchsicher verpackt.

 

Das "IP over PPP" (also jede DSL-Verbindung) sozusagen nichts mit dem LAN zu tun hat kann man ganz einfach selber rausfinden. Den Dienst DHCP-Client kann man getrost beenden und trotzdem bekommt man vom Internet-Provider eine dynamische IP-Adresse zugewiesen. Das liegt daran, dass sich das PPP-Protokoll darum kümmert, welches die ("getunnelte") IP-Verbindung zum ISP aufbaut.

 

Mein Vorschlag:

Bau' alles so um, dass das CAT-5 Kabel vom DSL-Modem zum Firewall geht und von den Firewall ein Netzwerkkabel zum Switch.

Dann haste den Schutz, den du brauchst.

Du mußt natürlich den Firewall noch vernünftig für deine User konfigurieren.

 

Das lasse ich mal so stehen.

 

Andy

[DeLiRiUm 10]

Aber die Daten, die dann auf die Workstation gehen, also die Pakete, werden ja dann wieder "enttunnelt". Und dann kann der Schaden schon groß werden.

Oder bin ich jetzt auf dem Holzweg... :rolleyes:

Zusätztlich hatte ich auch an Ports gedacht, die in diesem Aufbau alle geöffnet sind und mit ein Firewall kann man ja den einen oder anderen schließen, was man nicht ausser Acht lassen sollte.

[Sexsi 10]

Original geschrieben von DeLiRiUm

Aber die Daten, die dann auf die Workstation gehen, also die Pakete, werden ja dann wieder "enttunnelt". Und dann kann der Schaden schon groß werden.

 

Es ist Sinn und Zweck des PPP-Gateways (der Rechner der dir Verbindung zum ISP aufbaut) die IP-Pakete zu enttunneln. Er leitet sie dann an die Hosts weiter, die die Pakete angefordert haben. Hierbei ist es vollkommen wurscht, ob die PPP-Pakete über den Switch kommen oder mit einer separaten Strippe vom DSL-Modem zum PPP-Gateway.

 

Zusätztlich hatte ich auch an Ports gedacht, die in diesem Aufbau alle geöffnet sind ...

 

Rein oder raus? Rein hat er sicher eine NAT, also sind keine Ports offen. Und was raus gehen darf wird auch irgendwo festgelegt sein.

 

Und wie ich oben schon schrieb: Der PPP-Datenverkehr hat mit dem IP-LAN-Verkehr nichts zu tun, außer dass sie sich das Kabel teilen. So lang auf den angeschlossenen Rechnern kein PPP-Treiber installiert ist interessiert es die TCP/IP-konfigurierten Rechner überhaupt nicht, dass an ihrem Anschluss auch ab und zu ein paar PPP-Pakete vorbeifliegen: Sie können damit nichts anfangen!

 

... und mit ein Firewall kann man ja den einen oder anderen schließen, was man nicht ausser Acht lassen sollte.

 

PPP hat keine TCP/IP-Ports! Die Firewall kümmert sich für gewöhnlich um IP-Pakete, nicht um PPP-Pakete.

 

joemc26 hat leider nicht genau beschrieben, wie genau die Verbindung zum Internet aufgebaut wird. Ich gehe davon aus, dass das der Rechner als Default-Gateway tut, den er als Firewall bezeichnet hat. Ich gehe weiterhin davon aus, dass seine Firewall eine NAT hat. Der PPP-Treiber des Firewall-Rechners wird dann eine PPP-Verbindung (ohne TCP/IP-Ports) zum ISP aufbauen. Die vom PPP-Treiber "enttunnelten" IP-Pakete werden von der Software auf dem Firewall-Rechner (Paketfilter, Stateful Inspection Firewall, was weiß ich was noch) ausgewertet und erst dann ins LAN verteilt (bzw. vom LAN zurück zum ISP über PPP "getunnelt").

 

Lange Rede, kurzer Sinn: Bevor ein PPP-Paket mit "getunnelten" IP-Paketen nicht vom PPP-Treiber (der logischerweise nur auf dem Firewall-Rechner aktiv sein sollte) ausgepackt wurde, kann kein TCP/IP-konfigurierter Rechner etwas mit diesen PPP-Paketen anfangen. Und da die Clients im Netz wohl kaum einen PPP-Treiber haben, können sie an die "bösen" IP-Pakete in den PPP-Paketen gar nicht rankommen oder damit einen Schaden erleiden. Es sei denn, die Firewall leitet die "enttunnelten" IP-Pakete gnadenlos an die Hosts weiter. Aber dabei ist es auch wieder wurscht, ob die Verbindung Einwahlrechner - DSL-Modem eine eigene Strippe hat oder ob das über einen gmeinsamen Switch geht!

 

Merken: Ethernet != TCP/IP != PPPoE

 

Andy

[DeLiRiUm 10]

Ahhh, jetzt hab ich es verstanden.

Eine kleine Lehrstunde für mich.

Bin noch in der Ausbildung... :D

Danke!

[joemc26 10]

Der Rechner ist only eine Firewall!!! Alle Clients gehen über diesen Rechner ins Internet via Proxy http pop3 smtp !!!

Only mein Rechner geht nicht über denn Proxy ins Internet.

 

Ich hoffe das reicht so oder ??

 

 

gruß joemc26

 

:p

[Sexsi 10]

Original geschrieben von joemc26

Der Rechner ist only eine Firewall!!! Alle Clients gehen über diesen Rechner ins Internet via Proxy http pop3 smtp !!!

Only mein Rechner geht nicht über denn Proxy ins Internet.

 

Na also eindeutig ist das immer noch nicht. Wer genau baut die Verbindung ins Internet auf? Der Firewall-Rechner oder ein separater Rechner oder ein (DSL-)Router? Ist der Proxy-Dienst zusammen mit der Firewall auf einem Host implementiert?

 

Wie kommt dein Rechner ins Internet? Nur durch Umgehung des Proxy (Nutzung der Firewall/ des Einwahlrechners/ DSL-Routers als Default-Gateway) oder baut er selber eine PPP-Verbindung über das DSL-Modem (das können an einem T-DSL-Anschluss mit einem DSL-Modem bis zu 10 Hosts gleichzeitg machen) zum ISP auf?

 

Ich hoffe das reicht so oder ??

 

Ist die Frage ernst gemeint? Besser nicht!

 

Sicherheit in einem Netzwerk zu implementieren ist weit mehr als etwas Soft- und Hardware zu kaufen. Man muss sich erst mal überlegen was man mit dem Netz machen will, wovor man sich schützen will bzw. was man schützen will, wie man das umsetzen will und wie mn es überwachen will. Die Einstellung "Wir kaufen eine Firewall, dann sind wir sicher" ist total falsch. Wenn man Rechner zu 100 % absichern will schaltet man die Rechner ab, trennt sie vom Netzwerk, schließt sie in einen Tressor und betoniert den in Stahlbeton. Bis auf den Tressor und den Beton ist das auch die richtige Antwort in einer MCSE-Prüfungsfrage. Sicherheit kann man nicht kaufen, Sicherheit muss gelebt und gepflegt werden!

 

Denksportaufgabe: Inwieweit hilft eine Firewall, wenn ein Nutzer eine EXE-Datei per E-Mail geschickt bekommt, die dank individueller Programmierung vom Virenscanner nicht erkannt wird und nach dem Starten fleißig sensible Daten über den Port 80 nach draußen sendet?

 

Im Beispiel würde ich, unter der Voraussetzung dass nach draußen keine Dienste angeboten werden, einen 08/15-DSL-Router hinstellen und ausschließlich die zweite Netzwerkkarte der Firewall mit diesem verbinden, so dass der DSL-Router nicht als Default-Gateway über das interne LAN erreichbar ist. Die Firewall lässt ausschließlich Pakete nach draußen, die vom Proxy kommen und alle Rechner im LAN müssen für den Kontakt nach draußen den Proxy nutzen. Jetzt fehlen noch die richtige Software, weitere Richtlinien (Rechte, Regeln, Inhaltsfilter, ...), Mitarbeiterschulung, Überwachung, etc. pp.

 

Es ist nicht so einfach wie sich das viele denken und vor allem wird es genau deshalb immer teurer als geplant (weil eben falsch geplant wurde)!

 

Andy

[Sexsi 10]

Original geschrieben von DeLiRiUm

... Mein Vorschlag:

Bau' alles so um, dass ...

Dann haste den Schutz, den du brauchst.

 

Hm, da frage ich mich jetzt aber ob du hellseherisch veranlagt, dass du weißt, welchen Schutz er in seinem Netz braucht?

 

Andy

[joemc26 10]

Aslo ich versuche mich mal jetzt klar auszudrücken!!!

 

Die Firewall baut eine Verbindung zum ISP auf. Auf der Firewall läuft ein Proxy für http pop3 smtp und ein VPN Server.

 

Die Clients gehen nur über den Proxy ins Internet, ein Gateway ist bei den Clients nicht eingetragen.

 

Ich finde das dass ein angemessner Schutz ist. Meine Frage richtet sich ja mehr dahin ob ich meine Firewall umgehe indem ich das DSL-Modem mit auf dem Switch lege wo auch die Clients mit drauf liegen.

 

Die Clients koennen nur TCP/IP

 

Mein Computer hat als Gateway die Firewall natürlich habe ich die entsprechenden Ports nur für meine IP erlaubt!!

 

joemc26

[Sexsi 10]

Original geschrieben von joemc26

Aslo ich versuche mich mal jetzt klar auszudrücken!!!

 

Die Firewall baut eine Verbindung zum ISP auf. Auf der Firewall läuft ein Proxy für http pop3 smtp und ein VPN Server.

 

Die Clients gehen nur über den Proxy ins Internet, ein Gateway ist bei den Clients nicht eingetragen.

 

Also kann ich, mit lokalen Adminrechten, von denen ich denke dass sie deine LAN-Nutzer haben werden, einfach den Default-Gateway (Firewall-IP-Adresse) in den Einstellungen meiner LAN-Verbindung am Client eintragen und schon komme ich ohne Proxy raus?

 

Kann man ROUTE ADD eigentlich auch ohne Adminrechte ausführen? Ich denke hoffentlich nicht, ich bin zum Ausprobieren aber gerade zu faul.

 

Ich finde das dass ein angemessner Schutz ist. ...

 

Wenn in deinem Netz deiner Meinung nach nicht mehr geschützt werden muss ist das in Ordnung.

 

... Meine Frage richtet sich ja mehr dahin ob ich meine Firewall umgehe indem ich das DSL-Modem mit auf dem Switch lege wo auch die Clients mit drauf liegen.

 

Die Clients koennen nur TCP/IP

 

.. was man durch Installation eines PPP-Treibers in einer Minute ändern kann. Dann brauche ich Proxy/ Firewall nicht und ich gehe direkt über das DSL-Modem raus ins Internet. PPPoE-Treiber hier zum Runterladen: <http://www.raspppoe.com/>

 

Spendiere dem Firewall-Rechner eine 2. Netzwerkkarte und an diese hängst du dann das DSL-Modem ran.

 

Wofür genau wird eigentlich der VPN-Server gebraucht?

 

Andy

[joemc26 10]

In meinen Netz läuft ein AD und kein User hat die rechte irgendwas zuändern.

Wenn er wiedererwarten doch ein gateway setzten kann, muß er auch gleichzeitig auf der Firewall seine ip hinterlegen mit den entsprechenden Rechten.

 

VPN= Für Einwahl in das Netz zwecks Fernwartung!

 

Meine Firewall hat 3 Nics einmal Internes externes Netz und Wlan

 

Das´mit Modell DSL-Firewall-Netzwerk ist so ein Problem da sich unsere Telefonanschlüsse nicht in der Nähe unseres Serverraumes befindet.

 

 

Fazit: Solange die Clients das Gateway nicht kennen bzw. ändern können, den pppoe treiber nicht installiert haben bzw. nicht können sollte ich auf der sicheren Seite sein! ODER??

 

joemc26 :wink2:

[Sexsi 10]

Original geschrieben von joemc26

In meinen Netz läuft ein AD und kein User hat die rechte irgendwas zuändern.

 

Respekt, falls dem wirklich so ist. Gerade in kleinen und mittleren Unternehmen ist das selten der Fall, da darf oft lokal jeder alles bzw. soll es können.

 

Wenn er wiedererwarten doch ein gateway setzten kann, muß er auch gleichzeitig auf der Firewall seine ip hinterlegen mit den entsprechenden Rechten.

 

Oder er wartet bis du im Urlaub bist und wenn dein Rechner dann 14 Tage lang ausgeschaltet ist nutzt er deine IP-Adresse. Oder er nutzt deine IP-Adresse und kommt früh 5 Minuten vor dir in die Firma. Benutzer- statt hostbezogene Filterung wäre hier möglicherweise besser. Wenn Du AD hast würde sich der ISA-Server möglicherweise gut machen.

 

Das´mit Modell DSL-Firewall-Netzwerk ist so ein Problem da sich unsere Telefonanschlüsse nicht in der Nähe unseres Serverraumes befindet.

 

Wo ein Cat5-Kabel ist ist auch ein Telefonkabel und mindestens vom DSL-Modem besteht irgendwie eine Ethernet-Verbindung bis zur Firewall. Wenn Du nicht auf Gigabit-Verbindungen angewisen bist kannst du mit Y-Splittern aus einer 8polig belegten Cat5-Leitung zwei 4polig belegte Leitungen machen. Für 100-MBit-Ethernet reicht das aus. Die Y-Splitter kosten nur wenige Euro, werden mit dem Stecker in die Cat5-Dose/Standortfeld gesteckt und haben am anderen Ende zwei RJ45-Anschlüsse. Logischerweise benötigt man pro 8er Kabel zwei Splitter, pro Ende einen. Das externe Netz (zum DSL-Modem) schickst du über das eine Kabelquartett, das interne Netz über das andere. Somit sind internes und externes LAN physikalisch getrennt.

 

Kompliziert wird es, wenn man dabei mehrere Switche/ Etagenverteiler/ etc. überspingen muss, aber das geht auch damit.

 

Fazit: Solange die Clients das Gateway nicht kennen bzw. ändern können, den pppoe treiber nicht installiert haben bzw. nicht können sollte ich auf der sicheren Seite sein! ODER??

 

Was die direkte Nutzung des DSL-Anschlusses geht oder den PPP-Datenstrom betrifft, so beim kurzen Nachdenken denke ich ja.

 

Andy