149680
Goto Top

2 Firewall devices sinnvoll?

Hallo Community,

ich stelle mir aktuell die Frage, ob ich mir die Mühe mache und zwei OPNsense Instanzen in meinem Netzwerk unterbrignen möchte. Der Weg wäre wie folgt:

Vodafone HomeStation im Bridgemode -> OPNsense auf physik -> OPNsense auf Proxmox

Die Idee ist auf der OPNsense physik lediglich traffic von außen zu Blocken sowie Wireguard VPN zu terminieren. Traffic geht dann über ein LAN direkt zu der vortuellen OPNsense. Auf dieser würde ich dann alle VLANs erstellen, Switch kann ich ebenfalls über den Proxmox host verbinden (2x LAN) und damit auch die AccessPoints. Ebenfalls könnte ich dort dann DNS mit Unbound sowie DNS Blocking mittels AdGuard realisieren. Bringt ein solches Setup überhaupt in irgendeiner Art und weise Vorteile außer dass ich es gerade cool finde OPNsense zusätzlich zu virtualisieren? Ich bilde mir ein, dass es sinniger wäre auf der 1. Firewall eben wirklich nur traffic von außen zu blocken sowie ein VPN zu termieren. Alles weitere dann eben wo anders.

Nachteile wären aus meiner Sicht sämtlicher traffic aus meinem Netzt läuft über den Proxmox host, bisher lediglich über die physik OPNsense. Fällt der Proxmox Host aus, geht gar nichts mehr. Fällt auf der anderen Seite mein OPNsense physik aus, geht auch gar nichts mehr. Also identisches Risiko.

Wie haltet ihr das?

Content-ID: 4956568909

Url: https://administrator.de/contentid/4956568909

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

aqui
aqui 14.12.2022 aktualisiert um 10:27:57 Uhr
Goto Top
Ich bilde mir ein
Es ist auch nichts als Einbildung und überflüssige Spielerei was außer dem Setup auch noch das Mangement verkompliziert und keinerlei Vorteile bringt. Wo sollten denn diese auch sein? Lokales Routing sollte performant in eigenem Silizium passieren und nicht in Software über virtuelle Netzwerkkarten zu virtuellen Switches und dann zu virtuellen Firewalls.
Es wäre lediglich eine technische "Spielwiese" für dich, hat aber netzwerktechnisch keinerlei Sinn und Vorteil. Dein Hypervisor sollte einer bleiben und nicht zum Router/L3 Switch oder Firewall mutieren. Die zusätzlichen Nachteile hast du dir ja alle schon selber aufgezählt.

P.S.: 3 Fragethreads an einem Tag wird langsam gebührenpflichtig für dich! 🤣
it-fraggle
it-fraggle 14.12.2022 um 10:22:44 Uhr
Goto Top
Zwei Dinge, die mir sofort auffallen:
1. Eine unnötige Verkomplizierung, da du 2 FWs kaskadierst. Das führt gerne dazu, dass die Suche nach Störungen noch umfangreicher werden. Außerdem erhöht es den administrativen Aufwand. Du musst ab jetzt 2 FWs pflegen. Die Wahrscheinlichkeit, dass du eine Störung hast verdoppelt sich. Das macht nur Sinn, wenn du spezielle Fälle der Segmentierung hast, die dieses Vorgehen erfordern.
2. Auf virtualisierte FWs sollte man verzichten, denn es wäre nicht das erste mal, dass man wegen eines Bugs im Hypervisor aus einem Gast ausbricht und die Kontrolle über alle VMs erhält.
MysticFoxDE
MysticFoxDE 14.12.2022 um 10:31:03 Uhr
Goto Top
Moin Netzer2021,

Wie haltet ihr das?

wir nehmen immer zwei physikalische Büchsen, aber die von Sophos und lassen diese als als HA-Cluster laufen.
Hat den Vorteil, dass ich auch dann remote auf das System komme, wenn eines der Security-Gateway's oder auch die HV-Plattform selbst, ausgefallen ist. 😉

Ansonsten kann ich mich der Aussage von aqui weitestgehend nur anschliessen.
Eine FW oder SGW hat auf deinem Hypervisor vo auch die anderen VM's laufen, eigentlich nichts verloren.
Mal abgesehen davon, dass das Performancetechnisch nicht die beste Idee ist, ist es auch sicherheitstechnisch gesehen, nicht wirklich sehr ratsam.

Beste Grüsse aus BaWü

Alex
Crusher79
Crusher79 14.12.2022 um 10:56:34 Uhr
Goto Top
Hallo,

da fehlt aber noch was. Normalerweise geht die Sache doch einen Schritt weiter: 2x UNTERSCHIEDLICHE Fw Systeme nehmen.

pfsense - OPNsense
IPcop - OPNsense

Oder so ähnlich face-wink Was es aber wie @aqui schon sagte nicht besser macht! 2x Systeme bringen nur bei einen HA Cluster einen Vorteil. Oder soltle man es besser 1 System mit 2 Sub-Systemen nennnen? Hier ist ja von vorn herein Administrierbarkeit gegeben. Man muss nicht alles doppel anlegen. Steht der Heartbeat, sind wir fast schon fertig.

Würde eher auf das Gesamtkonzept gehen und die Zeiten für AntiVirus u.ä. nehmen. Dann hast du am Ende ein Konzept, was alle Bereiche umspannt.

https://www.gns3.com/

Rein zum Testen und Erfahrungen sammeln wäre das eher mti das Mittel der Wahl. Auch wenn m an sich zuvor mal mit HA auseinadnersetzen möchte.

Produktiv oder im SoHo Umfeld machen 2x Firewall nur mehr arbeit.

Aber dieser Mythos hält sich irgendwie schon seit Jahren! 2x Firewalls, 2x verschiedene Hersteller.... Kenne ich auch so.

mfg Crusher
149680
Lösung 149680 14.12.2022 um 11:33:50 Uhr
Goto Top
Okay, überzeugt. 😉 Dann lasse ich das mal. Danke euch für euer Feedback.
em-pie
em-pie 14.12.2022 aktualisiert um 11:45:54 Uhr
Goto Top
Moin,

auch wenn ich @aqui per se recht gebe, in einem Punkt hat er aber unrecht:
Es ist auch nichts als Einbildung und überflüssige Spielerei was außer dem Setup auch noch das Management verkompliziert und keinerlei Vorteile bringt.
Habe ich große DMZ-Architekturen, werden sehr wohl >= 2 Firewalls in Kaskade betrieben.
Denn eine separate FW ist definitiv sicherer, als wenn die DMZ und LAN nur via NICs getrennt werden (vernünftige Konfiguration in beiden Fällen vorausgesetzt).

Für angedeutetes Setup aber sicherlich etwas overkill.
Lochkartenstanzer
Lochkartenstanzer 14.12.2022 um 11:49:45 Uhr
Goto Top
Moin,

Manchmal, nur manchmal, ist es sinnvoll zwei Firewalls zu kaskadieren. Aber dann nimmt man nicht identische Produkte, sondern welche, die auf unterschiedlichen Konzepten beruhen, um einem eventuellen Angreifer mehrere Hürden in den Weg zu stellen. Beim gleichen Produkt geht man davon aus, daß die zweite genauso überwinden kann wie die erste.

Mehrere gleiche Firewall nimmt man dann, wenn man verschiedene Bereiche nochmal extra abtrennen will, ohne an der Hauptfirewall Regeln ändern zu müssen.

lks
rzlbrnft
rzlbrnft 14.12.2022 um 12:21:11 Uhr
Goto Top
Zitat von @it-fraggle:
2. Auf virtualisierte FWs sollte man verzichten, denn es wäre nicht das erste mal, dass man wegen eines Bugs im Hypervisor aus einem Gast ausbricht und die Kontrolle über alle VMs erhält.

Hast du dazu auch ein Fallbeispiel aus den letzten 10 Jahren?
MysticFoxDE
MysticFoxDE 14.12.2022 um 12:36:03 Uhr
Goto Top
Moin em-pie,

Denn eine separate FW ist definitiv sicherer, als wenn die DMZ und LAN nur via NICs getrennt werden (vernünftige Konfiguration in beiden Fällen vorausgesetzt).

das sehe ich anders, den zwei eigenständige FW's oder bessergesagt SGW's, bedeuten auch, dass man zwei Stellen hat die man einrichten, monitoren und auch warten muss und auch zwei Stellen wo man einen Fehler machen kann oder einen suchen muss.

Ich habe erst vor Kurzem beim BSI ein SGW-Konzept zur Prüfung eingereicht, was lediglich auf einem einzigen SGW-HA-Cluster fusst. Dieses hat vom Stand sämtliche Voraussetzungen des erhöhten Schutzbedarf erfühlt und wurde zum Teil vom BSI sogar mit "über Stand der Technik" bewertet.
Wie das mit "über Stand der Technik" vom BSI jedoch genau gemeint ist, habe ich bis heute selber nicht so ganz gerafft, den bei diesem kommunalen Projekt, haben wir definitiv nicht die "Alien-SGW's" verwendet. 🤪


Beste Grüsse aus BaWü

Alex
greaman
greaman 14.12.2022 um 17:44:06 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin em-pie,

Denn eine separate FW ist definitiv sicherer, als wenn die DMZ und LAN nur via NICs getrennt werden (vernünftige Konfiguration in beiden Fällen vorausgesetzt).

das sehe ich anders, den zwei eigenständige FW's oder bessergesagt SGW's, bedeuten auch, dass man zwei Stellen hat die man einrichten, monitoren und auch warten muss und auch zwei Stellen wo man einen Fehler machen kann oder einen suchen muss.

Ich habe erst vor Kurzem beim BSI ein SGW-Konzept zur Prüfung eingereicht, was lediglich auf einem einzigen SGW-HA-Cluster fusst. Dieses hat vom Stand sämtliche Voraussetzungen des erhöhten Schutzbedarf erfühlt und wurde zum Teil vom BSI sogar mit "über Stand der Technik" bewertet.
Wie das mit "über Stand der Technik" vom BSI jedoch genau gemeint ist, habe ich bis heute selber nicht so ganz gerafft, den bei diesem kommunalen Projekt, haben wir definitiv nicht die "Alien-SGW's" verwendet. 🤪


Das BSI sieht eigenlich einen P-A-P Ansatz vor... (P für Paketfilter, meint hier aber Firewall), mit einem Gateway dazwischen (wie ein Proxy). Und das man hier zwei unterschiedliche Hersteller nimmt, hat schlicht die Ursache, dass die gängigen Hersteller regelmäßig mit Sicherheitslücken glänzen, die Wahrscheinlichkeit, das beide Hersteller gerade eine schwerwiegende Lücke haben, aber gegen 0 geht.

Das mit dem 'erhöhten' Schutzbedarf ist keine vergleichbare Aussage - die hängt an der jeweiligen Risikobewertung des zu schützenden Systems - Vergleichbarkeit relativ gering.

Und dann ist da noch die Hypervisoraussage - seien wir mal ehrlich - die großen Firewalls der namhaften Hersteller sind Softwareinstanzen auf einem Unterbau - im Prinzip ist das nichts anderes... teilweise (wie für die Mikrosegmentierung) sind das ein Haufen virtueller Instanzen auf einem Hypervisor.
MysticFoxDE
MysticFoxDE 14.12.2022 aktualisiert um 18:34:55 Uhr
Goto Top
Moin greaman,

Das BSI sieht eigenlich einen P-A-P Ansatz vor... (P für Paketfilter, meint hier aber Firewall), mit einem Gateway dazwischen (wie ein Proxy).

Und genau das, kann so gut wie jedes moderne Security-Gateway, quasi, in one Box. 😉

Und das man hier zwei unterschiedliche Hersteller nimmt, hat schlicht die Ursache, dass die gängigen Hersteller regelmäßig mit Sicherheitslücken glänzen, die Wahrscheinlichkeit, das beide Hersteller gerade eine schwerwiegende Lücke haben, aber gegen 0 geht.

Und dagegen steht, das sowohl die Anschaffung als auch die Implementierung, als auch der Betrieb und auch die Wartung von zwei hintereinander geschalteten SGW's, schlichtweg viel komplizierter und teurerer und fehleranfälliger ist. Vor allem die Gefahr durch des Letztere, übersteigt vom Risiko und der Wahrscheinlichkeit, bei weitem das von dir angesprochene Szenario.

Ausserdem gibt es in Deutschland nur sehr wenige ITler, respektive IT-Security-Experten, die zwei hintereinander geschaltete SGW's und dann auch noch von unterschiedlichen Anbietern, nur ansatzweise kompetent konfigurieren können. 😔

Das mit dem 'erhöhten' Schutzbedarf ist keine vergleichbare Aussage - die hängt an der jeweiligen Risikobewertung des zu schützenden Systems - Vergleichbarkeit relativ gering.

Das ist so nicht korrekt.
Am Ende fussen alle BSI Empfehlungen auf deren IT-Grundschutz-Bausteinen, von denen man je nach Konzept nur vereinzelte Anforderungen umsetzen müsste. Unser Konzept erfüllt jedoch sämtliche in den IT-Grundschutz-Bausteinen genannten Anforderungen und ist somit auch 100% KRITIS tauglich.


https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...

+

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...


Und dann ist da noch die Hypervisoraussage - seien wir mal ehrlich - die großen Firewalls der namhaften Hersteller sind Softwareinstanzen auf einem Unterbau - im Prinzip ist das nichts anderes... teilweise (wie für die Mikrosegmentierung) sind das ein Haufen virtueller Instanzen auf einem Hypervisor.

👍👍👍 sehr gut erkannt und übrigens, die ganzen Unterkomponenten der SGW's kommen bei keinem deren Hersteller, wirklich von diesem selbst. 😉
Die Paketbasierte-FW-Engine kommt vom Hersteller A, die Webproxy-Engine ist vom Hersteller B, die WAF-Engine ist vom Hersteller C, die VPN-Engine kommt vom Hersteller D, die IPS-Engine ist vom Hersteller E, u.s.w.
Daher ist mit einem anständigen SGW auch der Anspruch an die Verwendung von Sicherheitskomponnenten von unterschiedlichen Herstellern, quasi auch von Haus aus schon erfüllt. 😁

Beste Grüsse aus BaWü

Alex
em-pie
em-pie 14.12.2022 um 21:11:07 Uhr
Goto Top
@alex
Ich schrieb ja bewusst, sofern beide/ alle vernünftig konfiguriert sind.

Ich bleibe dennoch dabei, dass es Szenarien gibt, in denen mehrstufige Firewalls auf verschiedener Hardware mehr als nur sinnvoll sind:
Wenn dein dem BSI vorgelegtes Konzept auch mit Realtime-Anwendungen im Maschinen-/ Anlagensteuerungsbereich und Protokollen wie ProfiNet etc. umgehen kann, wird es sicherlich etwas spannender face-wink

Aber D'Accord bin ich dennoch: mehrstufige Konzepte sind Komplexer. Komplexität erhöht die Fehleranfälligkeit. Ggf. aber eben auch nicht, da man sich bewusster mit der Aufgabe befasst und nicht „leichtfertig“ mal eben was zusammenklickt…
MysticFoxDE
MysticFoxDE 14.12.2022 aktualisiert um 22:04:46 Uhr
Goto Top
Moin em-pie,

@alex
Ich schrieb ja bewusst, sofern beide/ alle vernünftig konfiguriert sind.

für solchen Fälle galt mein Meckern ja auch nicht, sondern eher für die vielen vielen anderen, wo das eben nicht der Fall ist.

Ich bleibe dennoch dabei, dass es Szenarien gibt, in denen mehrstufige Firewalls auf verschiedener Hardware mehr als nur sinnvoll sind:

Bei einem Konzern, einer Militärischen Einrichtungen, den Kernkraftwerken u.s.w. ist das bestimmt auch sinnvoll, jedoch sicherlich nicht bei dem durchschnittlichen Mittelstand. Den abgesehen von den SGW's, gibt es noch eine Menge anderer Stellen, um die man sich beim Thema IT-Security, ja (leider) auch noch kümmern muss.

Wenn dein dem BSI vorgelegtes Konzept auch mit Realtime-Anwendungen im Maschinen-/ Anlagensteuerungsbereich und Protokollen wie ProfiNet etc. umgehen kann, wird es sicherlich etwas spannender face-wink

Ich wüsste nicht, warum das nicht funktionieren sollte.
Einer unserer Kunden hat eine grössere Pulverbeschichtungsanlage, deren ProfiNet Steuerung über unterschiedliche Subnetze verstreut ist und dazwischen hängt schon seit einigen Jahren ein ähnliches SGW wie das, was ich auch beim dem BSI vorgelegtem Konzept verwendet habe.
Profinet Komponenten sind am Ende des Tages auch nur IP-Clients.
Und wenn man nicht zu viel unnötige Security zwischen den ProfiNet Subnetzen am entsprechenden SGW konfiguriert, dann gibt es meistens auch kein Problem mit der Übertragungslatenz. 😁

Aber D'Accord bin ich dennoch: mehrstufige Konzepte sind Komplexer. Komplexität erhöht die Fehleranfälligkeit. Ggf. aber eben auch nicht, da man sich bewusster mit der Aufgabe befasst und nicht „leichtfertig“ mal eben was zusammenklickt…

Ich bin da eher ein Freund von Synchronized-Security so wie es z.B. Sophos lebt.
Wenn man deren SGW's und auch die AV-Lösung korrekt einrichtet, dann muss der lokale/interne Admin,
bei > 99,9% der sicherheitsrelevanten Vorfälle, lediglich nur noch Infomeldungen im Dachboard als gelesen markieren und gut ist. 😁
Und für die anderen < 0,1% der Sicherheitsvorfälle, die die SGW's und die AV nicht automatisch im Vorfeld blocken und oder bei Erkennung nicht vollständig beseitigen kann und oder mit denen die interne IT überfordert ist, sind wir ja auch noch da. 🤪

Beste Grüsse aus BaWü

Alex