v-rtc 88 Geschrieben 29. März 2017 Melden Teilen Geschrieben 29. März 2017 (bearbeitet) Guten Morgen zusammen, muss mal wieder Euch belästigen. Habe mal eine grundsätzliche Frage zum Thema zweistufiges Firewall Konzept. Werden die Clients bzw. Server im LAN direkt an der internen Firewall angeschlossen oder bleiben die in der Regel am Core Router? Bin gespannt... Falls es der falsche Bereich sein sollte, bitte verschieben. Sorry und danke. Vielen Dank. Grüße bearbeitet 29. März 2017 von RolfW Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 29. März 2017 Melden Teilen Geschrieben 29. März 2017 Hi, die zweistufige Firewall ist doch hier eher irrelevant. Oder sprichst du von der DMZ "zwischen" den beiden Firewalls? Generell würde ich Server immer mit einem Switch verbinden. Gruß Jan Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 29. März 2017 Melden Teilen Geschrieben 29. März 2017 immer am Switch HINTER der entsprechenden firewall. Welche Firewallappluance hätte denn überhaupt genügend Ports? Ein router ist aber definitv der falsche ort, normalerweise. Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 29. März 2017 Autor Melden Teilen Geschrieben 29. März 2017 Hallo, es geht um eine LAN Firewall, die bestimmte Bereiche trennt, bzw. absichert und eine Firewall in der "DMZ" bzw. vor dem Internet. Da nicht viele physikalische Server vorhanden sind, gäbe es durch aus Firewalls, die genügend Ports hätten. Ich persönlich, kenne bisher keine Konzepte dieser Art, hätte aber die Server trotzdem erst mal über den Core Switch (Router) angeschlossen und dann zur Firewall geroutet. Warum? Weil ich sonst an der Firewall alles wieder einstellen und routen muss und dort auch nicht endlos Ports habe. Ob das nun Sicherheitstechnisch korrekt ist, wäre daher die Frage, oder ist das "ghupft wie dupft"? Danach würde ich noch die zweite Frage in die Runde werfen: Falls Ihr interne Firewalls nutzt, wie sichert Ihr virtuelle Server ab? (Physikalische oder virtuelle FWs? Andere Produkte oder techniken?usw.) Grüße Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 29. März 2017 Melden Teilen Geschrieben 29. März 2017 Was macht eine Firewall IN der DMZ? Gehen wir mal davon aus wir reden hier von einem Filterndem gateway. Dann Trennt dieses Netze. Es müssen also mind. zwei verschiedene Netze an dem Gerät hängen. Klar kann man auch jeden PC an einen Firewallport hängen. Normalerweise ist das schlicht zu teuer. Was ist eine "interne Firewall"? Interessant wäre mal euer Netzwerkaufbau. Mir ist derzeit unklar wo der Core-Switch und die Firewalls zusammenhängen. Klassisch wäre: FW1<->DMZ<->FW2<->interne Netz Oft verkürzt zu. FW<->DMZ | internes Netz Also beides an einer Firewallappliance, Alles eine Frage der Anforderungen an die Sicherheit. Jeweils am DMZ und an internen Port hängt dann ein Switch. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 29. März 2017 Melden Teilen Geschrieben 29. März 2017 Wir bauen eignetlich bei jedem Firewall Interface einen Router dahinter, dann lässt sich die Zone bequem erweitern. Erschwerend hinzu kommt bei einer ASA das eher bescheidene Handling von DHCP forwarding. Hat man mehrere DHCP Server ist das nicht besonders gut gemacht auf der ASA. Hat man einen Router davor, macht der schon den forward als unicast. Ergo, Firewall - Router (logisch,L3) und in den acls mit möglichst sinnvollen Objekten als Source arbeiten, kommt was dazu, muss man nur die entsprechenden Objekte ändern und fertig Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 29. März 2017 Melden Teilen Geschrieben 29. März 2017 Was soll den der Router routen was die ASA nicht gleich selber routen kann? Oder habt ihr da einen Haufen VLANs hinter jedem firewallport? Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 30. März 2017 Autor Melden Teilen Geschrieben 30. März 2017 (bearbeitet) Hallo zusammen, bei diesem Konzept geht es erst mal nicht um einen Hersteller oder Details, sondern nur um das grobe Konzept, oder wie Ihr das in der Praxis umsetzt. Grüße bearbeitet 30. März 2017 von RolfW Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 30. März 2017 Melden Teilen Geschrieben 30. März 2017 Was bezweckt ihr mit dem Netzdesign? Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 30. März 2017 Autor Melden Teilen Geschrieben 30. März 2017 (bearbeitet) ... bearbeitet 30. März 2017 von RolfW Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 30. März 2017 Melden Teilen Geschrieben 30. März 2017 Mikrosegmentierung? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 30. März 2017 Melden Teilen Geschrieben 30. März 2017 Absicherung vor was? Absicherung der Server vor den Clients? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 30. März 2017 Melden Teilen Geschrieben 30. März 2017 Was soll den der Router routen was die ASA nicht gleich selber routen kann? Oder habt ihr da einen Haufen VLANs hinter jedem firewallport? Ja, haben wir. Haufen ist Ansichtssache, aber mehr als eines :) Wenn man dann eien Router hat ist man froh weil man sich besser bewegen kann. Zum Thema an sich, ja, das mehrstufige Design hat schon Sinn, aber nur wenn man auf den Boxen auch untershiedliche Features benötigt, man flexibel sein muss was changes angeht und es gibt natürlich auch das alte (aber nicht von der Hand zu weisende) Rezept: Wenn mir jemand Firewall A hackt, dann ist es unwahrscheinlich das auch Firewall B (da anderer Hersteller) direkt danach fällt. Klar, kaum jemand hackt "die Firewall",aber es könnten ja unterschiedliche Inspections, IPS Features etc darauf laufen. Zb ganz vorne einen einfachen (aber flotten) Paketfilter, vor den haarigen Geschichten stellt man sich etwas hin das Application Inspection macht, dahinter dann vielleicht noch spezielle reverse proxys usw usf...der alte defense in depth Hut eben Zitieren Link zu diesem Kommentar
NilsK 2.932 Geschrieben 30. März 2017 Melden Teilen Geschrieben 30. März 2017 Moin, das ist ein klassisches Thema, das nicht in ein Forum gehört. Sowas ist Designaufgabe, die von den Anforderungen abhängt. Ob es beispielsweise Sinn ergibt, Teile des "internen" Netzwerks voneinander zu trennen und mit welcher Technik man das macht, ist praktisch ausschließlich eine Frage des IT-Sicherheitskonzepts, das individuell für ein Unternehmen ist - und das aus guten Gründen nicht öffentlich diskutiert gehört. Gruß, Nils Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 30. März 2017 Autor Melden Teilen Geschrieben 30. März 2017 Möchte ich auch gar nicht näher besprechen. Mir ging es nur, ob man eine interne Firewall generell zwischen Server und Core setzt oder eher nach dem Core. Oder ist beides in der Praxis zu finden? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.