photi 10 Geschrieben 22. Juni 2007 Melden Teilen Geschrieben 22. Juni 2007 Hallo zusammen, ich habe die Anforderung im Intranet eine Firewall einzurichten. Also eine Firewall zwischen zwei internen Netzwerken. Allerdings haben alle Geräte DHCP Adressen. Alle Kommunikationen basieren auf Namensauflösung (DNS / WINS). Nach meinem Kenntnis Stand kann man in einer Firewall (z.B. Cisco Pix) nur IP Adressen und keine Rechnernamen eintragen, oder? Stimmt diese Aussage nocht, oder sollte ich wieder einmal einen Kurs belegen ;) Wie ist das wenn man eine Firewall basierend auf einem Windows Server realisiert. Damit habe ich leider noch garkeine Erfahrungen... Danke für eure Hilfe. Gruss Photi Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. Juni 2007 Melden Teilen Geschrieben 22. Juni 2007 Es gibt Firewalls die DNS auflösen aber gefiltert wird generell nach IPs. Das Konzept würde sich auch völlig ändern mit SIcherheitsrelevanten Dingen wie Address Spoofing, denn der DNS Name bleibt meist gleich während die IP z.B. bei einem wie von dir erwähnten DHCP-Client von einem komplett anderen Subnetz kommen könnte... Allerdings bleibt es dir offen nach Subnetzen oder IP Ranges (z.B.: IP 1 - 20) zu filtern. Zitieren Link zu diesem Kommentar
Pinf 10 Geschrieben 23. Juni 2007 Melden Teilen Geschrieben 23. Juni 2007 Hallo! Da du ja schon DHCP verwendest könntest du ja Reservations, also fixe Adressen, gebunden an die MAC-Adresse einrichten. Soweit es den Aufwand wert ist. Bei der Windows-Firewall musst du konkreter werden. Was genau willst du wissen? Meinst du ISA oder ein anderes Firewall-Produkt? VG Pinf Zitieren Link zu diesem Kommentar
photi 10 Geschrieben 23. Juni 2007 Autor Melden Teilen Geschrieben 23. Juni 2007 Was für Firewalls setzen auf DNS auf? Kann das ISA? Ich habe ISA leider noch nicht eingesetzt. Gibt es eine Anleitung irgendwo... cu Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 23. Juni 2007 Melden Teilen Geschrieben 23. Juni 2007 Was für Firewalls setzen auf DNS auf? Als Filtermethode/Rulebase?:suspect: Keine mir bekannte.:wink2: Zitieren Link zu diesem Kommentar
fischer-denkt 10 Geschrieben 25. Juni 2007 Melden Teilen Geschrieben 25. Juni 2007 Es ist die Frage was geschehen soll?! Wenn Du sagst, dass alle Clients eine IP via DHCP bekommen, nehm ich auch an, dass diese alle im selbigen Subnet stehen. D.h.: die Clients würden nicht einmal über die Firewall gehen, wenn diese miteinander reden. Wenn Du darin auf Ports filtern möchtest, müsstest Du brigden. Übrigens, die phion netfence 3.6 + Patch-3 wird mit DNS im Ruleset umgehen können (Patchrelease ist am 07.07.07, also nicht mehr all zu lang hin.). Das wird Dein Problem aber wahrscheinlich nicht lösen. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 25. Juni 2007 Melden Teilen Geschrieben 25. Juni 2007 Ich sag ja auch nicht, es gäbe keine FWs die IPs nicht nach Namen auflösen können (z.B. für Logfiles usw.), nur ist es eine total andere Geschichte, ob die Firewall ihre Rulebase nach Namen oder nach der IP anwendet, sprich ob sie in der Rulebase zuerst versucht den Namen der IP aufzulösen. Ausserdem wäre sowas schwer fehleranfällig. Man stelle sich vor, die FW hat einen falschen DNS-Server abgesetzt oder der DNS wurde von DNS-Poisoning befallen.... Abgesehen werden damit ganze Routing/Spoofing Geschichten ausgehebelt. Ein solches Ruleset wäre praktisch nicht brauchbar. Die IP ist da schon sicherer, es theoretisch nur eine aktive geben kann, und diese auch nicht erst aufgelöst werden muss - sie ist direkt an die MAC gebunden. Zitieren Link zu diesem Kommentar
fischer-denkt 10 Geschrieben 25. Juni 2007 Melden Teilen Geschrieben 25. Juni 2007 Was vielleicht noch eine Möglichkeit ist, auf einen ganzen Adressbereich und zusätzlich auf die MAC filtern. Das Problem ist nur, dass die Firewall die Ziel-MAC nicht kennt und daher es schwer fallen sollte, ein Produkt zu finden, welches soetwas unterstützt ... Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 25. Juni 2007 Melden Teilen Geschrieben 25. Juni 2007 @fischer-denkt Es gibt Switche, die eine dynamische VLAN-Zuordnung machen, je nachdem in welcher Liste die MAC geplegt wurde. Aber auch da müsste man verschiedene Subnetze verwenden um was sinnvolles damit anstellen zu können. Bleibt die Frage nach dem Ziel des Vorhabens... Zitieren Link zu diesem Kommentar
fischer-denkt 10 Geschrieben 25. Juni 2007 Melden Teilen Geschrieben 25. Juni 2007 @Velius: Da stimme ich Dir voll und ganz zu! Ich hatte schonmal hier im Forum so einen Vorschlag gebracht (VLAN und einzelne Subnetze pro Abteilung), dass wurde ziemlich auseinander genommen ... :-) Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 25. Juni 2007 Melden Teilen Geschrieben 25. Juni 2007 Off-Topic:@fischer-denktIch weiss, wechen Thread du meinst, und 'auseinander genommen' find ich aber doch etwas übetrieben - das war doch ne normal Diskussion:wink2: Ich persöhnlich würde nur Gäste und Interne trennen wollen über MAC Listen - schicker wäre natürlich 801.x was aber vom Aufwand her auch nicht ohne ist. Der Grund: Auf diesem Layer geht es mehr darum, dass möglicherweise kompromitierte Rechner keinerlei TCP/IP Zugang zum prod. Netz haben sollen. Für alles andere, also Zugriffe auf Resourcen für Mitarbeiter gibt's IMHO geeignetere Wege (z.B.: ACLs, Policies, usw.) Zitieren Link zu diesem Kommentar
fischer-denkt 10 Geschrieben 25. Juni 2007 Melden Teilen Geschrieben 25. Juni 2007 @Velius Hast Recht, ist etwas übertrieben ausgedrückt :-) War so garnicht gemeint. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.