darkzonesd
Goto Top

2 Firewalls in Serie heißt mehr Sicherheit?

Moin zusammen,

ich bin im Thema Firewalls und Sicherheit noch recht grün hinter den Ohren, also verzeiht die evtl. offentsichtliche Frage.In der Berufsschule hatten wir das Konzept besprochen das man 2 Firewalls in Serie schalten kann für eine höhere Sicherheit. Um Hersteller-abhängige Exploits und Bugs zu vermeiden klingt das ja auch ganz logisch, ich frage mich nur ob das auch bei der Virus detection hilft?

Soweit ich weiß ruft die Firewall ja von einem Zentralen Server ihre Viren Signatur ab, über die sie sich (so gut wie möglich) auf dem aktuellsten Stand hält. Haben die Hersteller Ihre eigenen Server von denen sie das abrufen oder kann es sein das mehrere Hersteller das von der selben "knowledge Base" ziehen? Heißt der selbe Virus würde durch beide Firewalls durchkommen, oder verstehe ich das Falsch?

Würde mich mal interessieren.

Grüße

Content-ID: 6037264998

Url: https://administrator.de/forum/2-firewalls-in-serie-heisst-mehr-sicherheit-6037264998.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

Vision2015
Vision2015 18.02.2023 um 21:25:38 Uhr
Goto Top
Moin...
> Zitat von @DarkZoneSD:

Moin zusammen,

ich bin im Thema Firewalls und Sicherheit noch recht grün hinter den Ohren, also verzeiht die evtl. offentsichtliche Frage.In der Berufsschule hatten wir das Konzept besprochen das man 2 Firewalls in Serie schalten kann für eine höhere Sicherheit. Um Hersteller-abhängige Exploits und Bugs zu vermeiden klingt das ja auch ganz logisch, ich frage mich nur ob das auch bei der Virus detection hilft?
nö...

Soweit ich weiß ruft die Firewall ja von einem Zentralen Server ihre Viren Signatur ab, über die sie sich (so gut wie möglich) auf dem aktuellsten Stand hält. Haben die Hersteller Ihre eigenen Server von denen sie das abrufen oder kann es sein das mehrere Hersteller das von der selben "knowledge Base" ziehen? Heißt der selbe Virus würde durch beide Firewalls durchkommen, oder verstehe ich das Falsch?
ja...

Würde mich mal interessieren.
eine Firewall hat nichts mit Virus erkennung zu tun, einige modelle können sowas, aber netzwerk und virus protection sind zwei paar schuhe.

Grüße
frank
DarkZoneSD
DarkZoneSD 18.02.2023 um 21:29:05 Uhr
Goto Top
Erstmal dankeschön und direkt eine folge Frage,

Wird die Erkennung also in der Sandbox betrieben? face-smile

Flo
Crusher79
Lösung Crusher79 18.02.2023 um 21:31:40 Uhr
Goto Top
Hallo, du meinst mehr so eine Art Appliance. Bieten einige an. Ist kein Kernmerkmal einer Firewall.

Wie auch bei Router-Kaskaden erhöht sowas den Aufwand. Je nach Anbieter fallen auch Gebühren an - Subscription.

Doppel-Firewall von 2 verschiedenen Herstellern als Konuzept hält sich hartnäckig seit Jahren. Gab auch hier erst vor ein paar Wochen Thread zum Thema. Überlegungen sind dennoch durchaus legitim.

mfg Crusher
Vision2015
Lösung Vision2015 18.02.2023 um 21:32:23 Uhr
Goto Top
moin..
Zitat von @DarkZoneSD:

Erstmal dankeschön und direkt eine folge Frage,

Wird die Erkennung also in der Sandbox betrieben? face-smile
sowas ist auch möglich bei verdacht!

Flo

Frank
Crusher79
Crusher79 18.02.2023 um 21:34:52 Uhr
Goto Top
IMSS performs virus detection using Trend Micro scan engine and a technology called pattern matching. The scan engine compares code in files traveling through your gateway with binary patterns of known viruses that reside in the pattern file. If the scan engine detects a match, it performs the actions as configured in the policy rules. 

https://docs.trendmicro.com/all/ent/imsx/imss_win/v7.5/en-us/webhelp/ims ...

Zwar so gesehen sparates System, aber da mal eine Erklärung wie sowas ablaufen kann.
maretz
Lösung maretz 18.02.2023 um 21:38:05 Uhr
Goto Top
Erstmal zur ersten Frage - warum sollten X Firewalls in Folge prinzipiell die Sicherheit erhöhen? Stell dir vor du stellst beide von "innen nach aussen" auf "any allowed" - und von "aussen nach innen" einfach auf "forward all". Hat sich jetzt die Sicherheit merklich erhöht? Wohl eher nicht...

Du hast natürlich eine gewisse Erhöhung drin wenn es um herstellerabhängige Lücken geht - du hast aber auch gleichzeitig eine höhere Angriffsfläche. Denn was passiert wenn zB. die zweite Firewall durch irgendeine präperierte Mail / exploit o.ä. eine Verbindung zu nem C&C-Server aufbaut (und das ist dann die "innere" Firewall)? Die erste sagt dann ggf. "is normaler Web-/SSH-/Whatever traffic, is ok - und dein Netz is trotzdem im Eimer. Hierzu gibt es einen interessanten Vergleich - warum die ersten Atlantikflüge nur mit einem Antrieb waren. Resultat ist das man festgestellt hatte das wenn eines ausfällt das der Flieger auch nicht ankommen wird - aber das zweite Triebwerk eben auch die Ausfallchance UND den Luftwiderstand erhöht.

Von daher kannst du eben nicht pauschal sagen "2 Firewalls sind sicherer". Genausowenig wie zB. eine Vorraumtür ein Haus sicherer macht wenn die ggf. nich mal abgeschlossen ist u. ne Klinke hat. Es bremst den Wind ggf. etwas, aber SICHERER wird damit erstmal gar nix.
Crusher79
Crusher79 18.02.2023 um 21:44:23 Uhr
Goto Top
https://docs.opnsense.org/manual/how-tos/proxyicapantivirusinternal.html

Vlt. mal was fürs Labor. OPNsense als Firewall + Plugin.

Ggf. sowas mal durchspielen oder in Laboraufbau testen. Dann beantworten sich manche Fragen von allein. Je nach Anbieter laufen diese Vorgäng in ähnlicher Natur ab.

Wie auch bei Intrusion Detection sind solche Vorgänge teils rechenlastig. Kleine Plaine mit kostenloser Firewall kommt da an die Grenzen, wenn zu wenig RAM oder eine schwache CPU verbaut wurde.

Je nach Richtung - kommerziell/ OpenSoruce - ergeben sich dadurch schon "natürliche" Grenzen was möglich ist. Kommerziell mit ordentlich Geld lässt sich vieles einkaufen.
it-fraggle
it-fraggle 18.02.2023 um 21:46:18 Uhr
Goto Top
Ob 2 Firewalls Sinn machen hängt von deinem Zonenkonzept ab. Und WENN, dann zwei grundverschiedene Geräte und dann auch niemals einen Durchmarsch für Clients ins Internet, sondern bspw. über einen Proxy ggf. mit Zusatzfunktionen wie Contentscanning, etc.
Firewalls ansich prüfen erst mal gar nichts.
C.R.S.
C.R.S. 19.02.2023 aktualisiert um 00:03:47 Uhr
Goto Top
Zitat von @DarkZoneSD:

Um Hersteller-abhängige Exploits und Bugs zu vermeiden klingt das ja auch ganz logisch

Es klingt logisch und wird daher gern überliefert, spielt in der Praxis aus meiner Sicht aber eine geringe Rolle, weil in kaum einem kommerziellen Umfeld unterschiedliche Hersteller ausreichend unterstützt werden können. Wenn hingegen besondere Anforderungen herrschen, gibt es häufig nur sehr wenige mögliche Hersteller, und man muss ohnehin mit allen davon in unterschiedlichen Kontexten arbeiten - dann findet man ggf. eine Kombination von z.B. genua und secunet vor. Was dabei Politik und was Security-Engineering ist, sei mal dahingestellt.

Haben die Hersteller Ihre eigenen Server von denen sie das abrufen oder kann es sein das mehrere Hersteller das von der selben "knowledge Base" ziehen?

Im Zweifel machen unterschiedliche Modelle unterschiedlicher Hersteller schon unterschiedliche Dinge. Allein "Virenerkennung" kann auf diverse Arten erfolgen (Flow/Proxy, Signatur/Heurisitk/Sandbox, lokal/Cloud-unterstützt).

Für die Kombination von Firewalls ist das nicht entscheidend, aus zwei Gründen: Erstens ist es ja ein Anwendungsfall mit erhöhten Sicherheitsanforderungen. Damit ist schon fraglich, ob man "Virenerkennung" auf auch nur einer der "Firewalls" haben möchte, oder sie lieber Firewalls sein lässt und den relevanten Traffic über ein dediziertes weiteres Gerät für AV schickt. Es ist typischerweise kein Umfeld, das man aus "UTMs", also hochintegrierten Appliances, zusammensteckt.
Zweitens erfordert der Entscheidungsweg nach dieser "Überlappungstheorie", zwei Produkte zu finden, deren Kombination die größtmögliche Sicherheit ergibt. Dafür braucht man ein Verfahren, um im Auswahlfeld den Sweetspot zu ermitteln, in dem zwei Produkte individuell hinreichend sicher und doch maximal unterschiedlich sind. Würde ich gern mal sehen, würde mich aber auch nicht überzeugen: Denn am Ende steht der Zirkelschluss aus der Überlappungstheorie, dass dieser Sweetspot zwangsläufig höher liege, als zweimal das "sicherste" Produkt.

Der Aufwand wird vielmehr durch die Modellierung der Angriffsfläche gerechtfertigt, weil die einen messbaren Einfluss auf die Sicherheit hat. Die Angriffsfläche der Firewall besteht grob aus internen Schnittstellen, externen Schnittstellen, und Durchgang. Eine Firewall vs. zwei Firewalls ergeben in dieser Hinsicht zwei vollkommen unterschiedliche Szenarien. Zwei Geräte können an unterschiedlichen Orten stehen, mit unterschiedlichen Zutrittsregeln. Sie können von unterschiedlichen Teams administriert werden. Ein Gerät am Perimeter muss ggf. ein VPN terminieren, das interne nicht. Das eine muss den Datenverkehr verarbeiten (ggf. eben auch noch auf Viren scannen), den ein interner Client aus dem Internet anfragt. Das andere sieht nur internen Datenverkehr zwischen bedingt vertrauenswürdigen Geräten. Solche Überlegungen können zwei oder mehr Schichten rechtfertigen. Für die daraus entwickelte Architektur werden dann Produkte gesucht, was zu unterschiedlichen Herstellern führen kann oder auch nicht.

Grüße
Richard
2423392070
2423392070 19.02.2023 aktualisiert um 07:04:11 Uhr
Goto Top
Unabhängig davon das Virensignaturen alles andere als perfekt sind und auch nicht mehr zeitgemäß, impliziert die Vorstellung ein paar Konstante, die es im echten Leben außerhalb von Tests nicht gibt.
Außerdem sehen wir täglich, wir gut das Ganze funktioniert.

Das klassische Virus ist tot.

Die Angriffe zielen auf verwundbare Software. Firewalls sind nicht Primärziele. Auch nicht Sekundärziele.

Problematisch sind verschlüsselte Verbindungen. HTTPS und DOT/DOH z. B. als Control.
Da da kein Virus drin ist, ist das Konzept erledigt.

Der nächste große Knall wird wohl mit KI zum Auswerten von verschlüsselten Traffic kommen.

Bis dahin gilt. Kein Port von einer Applikation geöffnet, kein Risiko. Kein Seitenkanalangriff möglich, keine Kompromittierung. Keine Speicherveränderung möglich, kein Zugriff... usw... usw...

Ab dem Moment wo man kommunizieren muss, entsteht das Problem. Prinzipbedingt.
Es spielt dann auch keine Rolle über wie teuer physische oder virtuelle Switches und Firewalls kommuniziert wird und wer die wie konfiguriert hat mit blumigen VLANs oder in Reihe befindlichen Firewalls.

Wenn Du ab dir die letzen 100, 1000 oder wie viele CVEs anguckst, die mit 9 oder 10 bewertet sind und zur Überlisting oder Komprimierung einer sündhaft teuren Firewall, auch in Reihe, geführt haben, dann wirst du da ganz wenig bis gar nichts finden.

Wenn Firewalls den Schutz bieten würden, den manch einer glaubt... 😂
Die Welt sehe deutlich anders aus.


_---------__------_-_–

Unter den richtigen Pros, da münden an der "Firewall" ganz vielen VLANs.
Die Sicherheit wächst mit der Anzahl der VLANs und durch die richtige Bezeichnung wird die Sicherheit zusätzlich quadratisch wachsen.
Durch das Hinzufügen von Optionen, z. B. ein Proxy auf der Firewall wird es dann richtig tricky und safe. Mil-Standard² und so...
lcer00
lcer00 19.02.2023 um 09:42:19 Uhr
Goto Top
Hallo,

Nehmen wir mal an, zwei Firewallls haben 90% Erkennungsrate. Sieht man das als 2 Filter hintereinander, würde man erwarten, dass 99% herausgefiltert werden. Dumm ist nur, das in Wirklichkeit beide vermutlich zu 95% das selbe erkennen. Nur die letzten 5% unterscheiden sich. Wenn man also in Kombination auf 92-96% kommt ist das schon gut.

Man verdoppelt die Kosten um auf ein paar Prozent zusätzliche Sicherheit zu kommen.

Grüße

lcer
2423392070
2423392070 19.02.2023 um 10:40:30 Uhr
Goto Top
Definiere Erkennungsrate.

Vermutlich sind sie zu eher 99% überlappend.
Vision2015
Vision2015 19.02.2023 um 12:50:23 Uhr
Goto Top
Moin...
Zitat von @lcer00:

Hallo,

Nehmen wir mal an, zwei Firewallls haben 90% Erkennungsrate.
Erkennungsrate von was? Farben, Popel in der Nase, oder doch schon IDS, GeoIP Filter, AV, Proxxy AV, TCP and TLS Encryption.... und was es so alles feines gibt?!?!
Sieht man das als 2 Filter hintereinander, würde man erwarten, dass 99% herausgefiltert werden.
nee... du hast 2 Unterschiedliche Produkte, die auch unterschiedlich zu Administrieren sind, und unterschiedlich agieren!
Dumm ist nur, das in Wirklichkeit beide vermutlich zu 95% das selbe erkennen. Nur die letzten 5% unterscheiden sich. Wenn man also in Kombination auf 92-96% kommt ist das schon gut.
auch neee... wenn beide das gleiche erkennen würden, hat die erste FW / Filter schon versagt!

Man verdoppelt die Kosten um auf ein paar Prozent zusätzliche Sicherheit zu kommen.
auch nee.... das ist eher der Faktor 3! du darfst die Wartung und Pflege nicht vergessen.
auch wollen Auswertungen gelesen werden.
sinn macht das sicherlich nur, wenn du einen besonderes sicherheitsbedürfnis hast, und zwischen die beiden FW noch eine DMZ baust, und abteilungen noch mal mit FW abschottetest!
ob nun jeder sowas braucht, steht auf einem anderen blatt!
auf eine AV Lösung in den Abteilungen, darf auch nicht verzichtet werden.

Grüße

lcer
Frank
lcer00
lcer00 19.02.2023 um 13:31:22 Uhr
Goto Top
Zitat von @Vision2015:

Moin...
Zitat von @lcer00:

Hallo,

Nehmen wir mal an, zwei Firewallls haben 90% Erkennungsrate.
Erkennungsrate von was? Farben, Popel in der Nase, oder doch schon IDS, GeoIP Filter, AV, Proxxy AV, TCP and TLS Encryption.... und was es so alles feines gibt?!?!
Sieht man das als 2 Filter hintereinander, würde man erwarten, dass 99% herausgefiltert werden.
nee... du hast 2 Unterschiedliche Produkte, die auch unterschiedlich zu Administrieren sind, und unterschiedlich agieren!
Dumm ist nur, das in Wirklichkeit beide vermutlich zu 95% das selbe erkennen. Nur die letzten 5% unterscheiden sich. Wenn man also in Kombination auf 92-96% kommt ist das schon gut.
auch neee... wenn beide das gleiche erkennen würden, hat die erste FW / Filter schon versagt!

Man verdoppelt die Kosten um auf ein paar Prozent zusätzliche Sicherheit zu kommen.
auch nee.... das ist eher der Faktor 3! du darfst die Wartung und Pflege nicht vergessen.
auch wollen Auswertungen gelesen werden.
sinn macht das sicherlich nur, wenn du einen besonderes sicherheitsbedürfnis hast, und zwischen die beiden FW noch eine DMZ baust, und abteilungen noch mal mit FW abschottetest!
ob nun jeder sowas braucht, steht auf einem anderen blatt!
auf eine AV Lösung in den Abteilungen, darf auch nicht verzichtet werden.

Grüße

lcer
Frank
und ich glaube, Du hast meinen Post falsch verstanden.

Grüße

lcer
Vision2015
Vision2015 19.02.2023 um 13:42:41 Uhr
Goto Top
Moin...

hm... kann gut sein!
Frage, bist du mit meiner Frau verwand, die sagt das auch immer zu mir face-smile

Frank
Crusher79
Crusher79 19.02.2023 um 13:45:11 Uhr
Goto Top
Finde den Thread grad nicht mehr. Hatten wir nicht das gleiche Thema vor ein paar Wochen? Doppel-Firewall? Doppel-Router?

Kamen doch zu den geleichen Schlüssen. Ich finds nicht mehr ....
Vision2015
Vision2015 19.02.2023 um 13:49:05 Uhr
Goto Top
moin...
Zitat von @Crusher79:

Finde den Thread grad nicht mehr. Hatten wir nicht das gleiche Thema vor ein paar Wochen? Doppel-Firewall? Doppel-Router?

Kamen doch zu den geleichen Schlüssen. Ich finds nicht mehr ....

ich dachte das auch, habe ihn aber auch nicht gefunden.

Frank
Crusher79
Crusher79 19.02.2023 um 13:51:52 Uhr
Goto Top
Zitat von @Vision2015:

ich dachte das auch, habe ihn aber auch nicht gefunden.

Frank

Dito. Definitiv. Nach klaren Nein kamen dann ein, zwei Befürworter der "Doppel-Firewall" Lösung. Kann micht verdammt gut dran erinnern. Hab suche auf 3 Monate eingegrenzt. Aber nichts. Denke es war Ende 2022...

Wir sagen ja immer allen: nutzt die Forensuche. Aber tja irgendwie .....
Crusher79
Crusher79 19.02.2023 aktualisiert um 13:56:33 Uhr
Goto Top