Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall Konzept, von LAN ins WAN erstmal alles verbieten?

Mitglied: Bitdreher

Bitdreher (Level 1) - Jetzt verbinden

25.10.2013 um 09:14 Uhr, 5143 Aufrufe, 7 Kommentare

Hallo zusammen,

mich würde einmal interessieren wie Eure Firewalls arbeiten.

Wenn was vom WAN ins LAN will wird es geblockt, soweit klar.

Nur wie sieht es aus, wenn etwas vom LAN ins WAN will. Sollte man hier auch erst mal alles blocken und dann nach und nach Dinge wie HTTP und HTTPS für das LAN freischalten?

Oder ist dies zu übertrieben?
Und man sollte sich hier auf bestimme Dienste wie SMTP konzentrieren, dass diese nur vom Exchange Server ins WAN kommen aber nicht von einem Client?

Wie macht Ihr das?

Mitglied: 108012
25.10.2013 um 10:14 Uhr
Hallo,

mich würde einmal interessieren wie Eure Firewalls arbeiten.
Und die meisten Leute hier werden genau das nicht in einem Forum schreiben wollen, denn bei sehr vielen
Mitgliedern hier im Forum verhält es sich so, dass sie ein Produktivnetz in einer Firma betreuen.

Wenn was vom WAN ins LAN will wird es geblockt, soweit klar.
Wenn es denn nicht berechtigt ist (VPN Verbindung) und wenn es nicht von einem dahinter
liegenden Klienten angefordert wurde, ist dem so und sicherlich auch vernünftig.

Nur wie sieht es aus, wenn etwas vom LAN ins WAN will. Sollte man hier auch erst mal alles blocken und dann nach
und nach Dinge wie HTTP und HTTPS für das LAN freischalten?
Kann man so machen und sicherlich auch eine vernünftige Sache aber dazu muss bzw. sollte man erst
einmal herausfinden welche Firewall Du einsetzt und dann erst sollte man sich ganz einfach hinsetzen und eine
logische Reihenfolge herausfinden, denn bei sehr vielen Firewalls geht es wie folgt zur Sache, "first rule matches all"
das heißt zu deutsch die erste Regel greift und das kann auch mit Problemen behaftet sein.

Oder ist dies zu übertrieben?
Es muss logisch sein, darf sich nicht aufheben und sollte sich nicht stören (Regeln untereinander).

Und man sollte sich hier auf bestimme Dienste wie SMTP konzentrieren, dass diese nur vom
Exchange Server ins WAN kommen aber nicht von einem Client?
Das kommt auf so viele Faktoren an und ist sicherlich nicht überall gleich!
Denn zum Einen steht der Exchange in einer DMZ und zum Anderen im LAN auf einem SBS integriert!
und die Einstellungen am Klienten sagen ja eigentlich dem Klienten was er von wo und über was genau
abruft, das unterbinden von FreeMailern ist aber wieder eine andere Sache.

Gruß
Dobby
Bitte warten ..
Mitglied: Pjordorf
25.10.2013 um 11:20 Uhr
Hallo,

Zitat von Bitdreher:
mich würde einmal interessieren wie Eure Firewalls arbeiten.
Na, wie Firewalls eben

Wenn was vom WAN ins LAN will wird es geblockt, soweit klar.
Jaein.

Nur wie sieht es aus, wenn etwas vom LAN ins WAN will. Sollte man hier auch erst mal alles blocken und dann nach und nach Dinge
wie HTTP und HTTPS für das LAN freischalten?
So siehts aus.

Oder ist dies zu übertrieben?
Warum?

Und man sollte sich hier auf bestimme Dienste wie SMTP konzentrieren, dass diese nur vom Exchange Server ins WAN kommen aber nicht von einem Client?
Nur auf einen Port alleine sich zu Konzentrieren bringt deinen Mitarbeitern nicht wirklich was

Wie macht Ihr das?
Vernünftige Firewall (Nein, keine FritzBox) einsetzen und dann das was benötigt wird mit vernünftigen Regeln erlauben. Dokumentieren, fertisch.

Eine Juniper oder Sophos UTM oder PFsense oder Monowall oder ein FLI4L oder eine ... machen ohne Konfiguration erstmal alles dicht. In allen Richtungen. Was macht deine uns unbekannte Firewall?

Gruß,
Peter
Bitte warten ..
Mitglied: Bitdreher
25.10.2013 um 12:33 Uhr
Hallo,

ich habe keine ZyWALL USG 50.

Vom WAN ins LAN ist alles dich, bestimmte Ports müssen per Regel geöffnet werden.

Allerdings ist vom LAN ins WAN alles offen, daher meine Frage.
Bitte warten ..
Mitglied: 108012
25.10.2013 um 13:30 Uhr
Allerdings ist vom LAN ins WAN alles offen, daher meine Frage
Kommt eben auch darauf an was Du alles unterbinden möchtest und was die Mitarbeiter nicht können sollen
bzw. dürfen, und das weißt in der Regel immer nur Du.

Gruß
Dobby
Bitte warten ..
Mitglied: Bitdreher
25.10.2013 um 13:43 Uhr
Es geht eher weniger um die Mitarbeiter sondern mehr um die Sicherheit.

Nehme ich z.B. einen E-Mail Bot, Trojaner was auch immer, welcher SPAM über ein infiziertes System verschicken will.
Oder sonst was für Viren welche nach Hause telefonieren wollen.
Bitte warten ..
Mitglied: 108012
25.10.2013 um 14:24 Uhr
Sicherheit ist immer ein Zusammenspiel von vielen Punkten und Sachen die man in einem
Unternehmen umsetzen, aufsetzen und durchsetzen muss bzw. kann oder will.

Eine UTM Lösung ist da wohl besser geeignet als eine reine Firewall, da sie gleich mehrere Funktionen mitbringt:
- AV Scann
- Malware Scann
- Kontentfilter
- IDS/IPS
- AntiSpam

Klar die kosten dann eben auch Lizenzgebühren, aber es geht auch ohne dies.

Ein HTTP Proxy Server das die Server in der DMZ nicht direkt mit dem Internet in Verbindung stehen.
- Squid
- Squidguard
- DansGuardian - Kontentfilter
- Snort - IDS/IPS
- HAVP + ClamAV - OpenSource Antivirenlösung

Extra eine DMZ mit einem Layer2 Switch aufsetzten in der die Server stehen die den Internetkontakt haben
- Webserver
- FTP/SFTP Server
- SQL Server
- MailServer
- PBX Server

Und diese dann auch sichern und verteidigen mit Snort oder Suricata.
- DMZ Radius Server
- DMZ externer DNS Server
- DMZ Snort Sensor
- Switch ACLs und Port Security Einstellungen

- Server gestützte AV Lösung auf den Servern und Klienten installieren
- WSUS für Windows Updates nehmen
- PSI Secunia für Programm Updates nehmen
- Mitarbeiterschulungen
- Surfen eventuell nur in einer Sandbox
- Am Freitag vor der Vollsicherung (Backup) einen Komplettscann der Klient PCs
- USB Ports via GPOs und mechanischen USB Schlössern sperren
- CD/DVD/BlueRay Laufwerke sperren
- Snort Server mit vielen Sensoren aufstellen
- LDAP für Kabel gebundene Klienten
- Radius Server mit Zertifikaten und Verschlüsselung für Kabel lose & WLAN Klienten
- Auch die Server regelmäßig einem Vollscann unterziehen
- Syslogserver aufsetzen der alle Protokolle von den Routern und Switchen einsammelt
- Bei einem Antispamanbieter eine Lizenz kaufen und den Spam dann gleich aussortieren lassen
- Firewall und Switchregeln recht regiede und eng handhaben.
- Ports sperren die eh nicht in Benutzung sind und gebraucht werden
- Einen DNS Server in der DMZ und einen im LAN
Der vom LAN kennt die Adressen der einzelnen Klienten und der in der DMZ nur die IP des internen Servers
- Mitarbeiterschulungen. Aushänge, Bekanntmachungen und eventuell Arbeitsanweisungen von der GL
- Gar keine Nutzung des Internets, wie Facebook, Twitter, Email und Surfen.
- Schwarz & Weiß Listen für URLs
- Ganze Länder oder Regionen unterbinden wie z.B. China, Aserbaidschan, Rumänien,.......
- VLANs anlegen und via ACLs absichern

Ich habe das nur einmal geschrieben damit Du nicht denkst dass man nur ein paar Firewallregeln
setzten muss und dann hat man Ruhe vor Viren, Trojanern und Würmern, das ist eben nur Wunschdenken
und gehört eigentlich nicht hier in das Forum, denn damit fängt es meist erst richtig an und so etwas kostet
dann eben auch ein paar Taler aber es bildet dann auch eine gute Basis um weitere Maßnahmen folgen zu
lassen und das gilt auch für kleine und mittlere Unternehmen, denn das macht man an dem zu entstehenden
Schaden ab und nicht an der Größe des Betriebes.

Gruß
Dobby
Bitte warten ..
Mitglied: spacyfreak
07.01.2014, aktualisiert um 16:25 Uhr
Wir habe nicht mal ne default route ins Internet, Die Anwender kommen nur via Proxyservice ins Internet.
Es werden halt grade via Webseitenbesuchen gerne Schädlinge verbreitet, da kommt man in Firmen nicht drumrum heutzutage Proxy/Contentfilter zu verwenden die das abfangen. Lokaler Antivirusclient kann da auch nicht alles abfangen wenn man sich nur darauf verlässt.

Bestimmte explizite Server im Internet die direkt erreicht werden müssen (weil die Anwendung nicht proxyfähig ist zum Beispiel) werden dagegen so restriktiv wie möglich erreichbar gemacht, in der Regel auch nur durch Server die in unseren DMZs stehen, wenn man davon ausgehen kann dass diese unseren Sicherheitsstandards entsprechen.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

PFsense Multi WAN Multi Lan. Zwei Lan Schnittstellen verschiedene Wan Schnittstellen zuordnen

gelöst Frage von DasBrotLAN, WAN, Wireless20 Kommentare

Hallo. Ich habe eine PFSense mit zwei einwahl Wan Schnittstellen und 2 Lan Schnittstellen verschiedener IP Kreise. Wie kann ...

LAN, WAN, Wireless

LAN (WAN) mit ständigen Unterbrechungen

Frage von BrudschgoLAN, WAN, Wireless10 Kommentare

Hallo zusammen. Eine merkwürdige Erscheinung fand ich bei einem Freund. Versuche ich auf das NAS zuzugreifen oder zu surfen ...

LAN, WAN, Wireless

Pfsense WAN und LAN welche IP?

Frage von Motte990LAN, WAN, Wireless24 Kommentare

Hallo ich beschäftige mich gerade mit Pfsense. Mein netz ist das der Fritzbox 192.168.178.0. 192.168.178.1 ist die Fritzbox 192.168.178.249 ...

LAN, WAN, Wireless

Suche Firewall WLAN routing WAN Load Balancing

Frage von razer1993LAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich suche eine gute Firewall für unser Unternehmen. Bislang erledigt das unser Lancom Router, deshalb soll ein ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 1 TagHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 2 TagenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 2 TagenHumor (lol)17 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 2 TagenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Windows 10
Windows 10 druckt nicht mehrere Kopien?
Frage von StefanKittelWindows 1014 Kommentare

Hallo, ich hatte gerade einen Anruf eines Kunden. Sein neuer PC (Win 10 1903) druckt nicht mehr mehrere Seiten ...

Windows Server
Nachfolger von Windows Home Server?
gelöst Frage von SnowbirdWindows Server13 Kommentare

Hallo, gibt es eigentlich ein Nachfolger von Windows Home Server oder etwas vergleichbares? Snowbird