2 Firewalls in Serie heißt mehr Sicherheit?
Moin zusammen,
ich bin im Thema Firewalls und Sicherheit noch recht grün hinter den Ohren, also verzeiht die evtl. offentsichtliche Frage.In der Berufsschule hatten wir das Konzept besprochen das man 2 Firewalls in Serie schalten kann für eine höhere Sicherheit. Um Hersteller-abhängige Exploits und Bugs zu vermeiden klingt das ja auch ganz logisch, ich frage mich nur ob das auch bei der Virus detection hilft?
Soweit ich weiß ruft die Firewall ja von einem Zentralen Server ihre Viren Signatur ab, über die sie sich (so gut wie möglich) auf dem aktuellsten Stand hält. Haben die Hersteller Ihre eigenen Server von denen sie das abrufen oder kann es sein das mehrere Hersteller das von der selben "knowledge Base" ziehen? Heißt der selbe Virus würde durch beide Firewalls durchkommen, oder verstehe ich das Falsch?
Würde mich mal interessieren.
Grüße
ich bin im Thema Firewalls und Sicherheit noch recht grün hinter den Ohren, also verzeiht die evtl. offentsichtliche Frage.In der Berufsschule hatten wir das Konzept besprochen das man 2 Firewalls in Serie schalten kann für eine höhere Sicherheit. Um Hersteller-abhängige Exploits und Bugs zu vermeiden klingt das ja auch ganz logisch, ich frage mich nur ob das auch bei der Virus detection hilft?
Soweit ich weiß ruft die Firewall ja von einem Zentralen Server ihre Viren Signatur ab, über die sie sich (so gut wie möglich) auf dem aktuellsten Stand hält. Haben die Hersteller Ihre eigenen Server von denen sie das abrufen oder kann es sein das mehrere Hersteller das von der selben "knowledge Base" ziehen? Heißt der selbe Virus würde durch beide Firewalls durchkommen, oder verstehe ich das Falsch?
Würde mich mal interessieren.
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6037264998
Url: https://administrator.de/forum/2-firewalls-in-serie-heisst-mehr-sicherheit-6037264998.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
19 Kommentare
Neuester Kommentar
Moin...
> Zitat von @DarkZoneSD:
Moin zusammen,
ich bin im Thema Firewalls und Sicherheit noch recht grün hinter den Ohren, also verzeiht die evtl. offentsichtliche Frage.In der Berufsschule hatten wir das Konzept besprochen das man 2 Firewalls in Serie schalten kann für eine höhere Sicherheit. Um Hersteller-abhängige Exploits und Bugs zu vermeiden klingt das ja auch ganz logisch, ich frage mich nur ob das auch bei der Virus detection hilft?
nö...
Soweit ich weiß ruft die Firewall ja von einem Zentralen Server ihre Viren Signatur ab, über die sie sich (so gut wie möglich) auf dem aktuellsten Stand hält. Haben die Hersteller Ihre eigenen Server von denen sie das abrufen oder kann es sein das mehrere Hersteller das von der selben "knowledge Base" ziehen? Heißt der selbe Virus würde durch beide Firewalls durchkommen, oder verstehe ich das Falsch?
ja...
Würde mich mal interessieren.
eine Firewall hat nichts mit Virus erkennung zu tun, einige modelle können sowas, aber netzwerk und virus protection sind zwei paar schuhe.
Grüße
frank
> Zitat von @DarkZoneSD:
Moin zusammen,
ich bin im Thema Firewalls und Sicherheit noch recht grün hinter den Ohren, also verzeiht die evtl. offentsichtliche Frage.In der Berufsschule hatten wir das Konzept besprochen das man 2 Firewalls in Serie schalten kann für eine höhere Sicherheit. Um Hersteller-abhängige Exploits und Bugs zu vermeiden klingt das ja auch ganz logisch, ich frage mich nur ob das auch bei der Virus detection hilft?
Soweit ich weiß ruft die Firewall ja von einem Zentralen Server ihre Viren Signatur ab, über die sie sich (so gut wie möglich) auf dem aktuellsten Stand hält. Haben die Hersteller Ihre eigenen Server von denen sie das abrufen oder kann es sein das mehrere Hersteller das von der selben "knowledge Base" ziehen? Heißt der selbe Virus würde durch beide Firewalls durchkommen, oder verstehe ich das Falsch?
Würde mich mal interessieren.
Grüße
Hallo, du meinst mehr so eine Art Appliance. Bieten einige an. Ist kein Kernmerkmal einer Firewall.
Wie auch bei Router-Kaskaden erhöht sowas den Aufwand. Je nach Anbieter fallen auch Gebühren an - Subscription.
Doppel-Firewall von 2 verschiedenen Herstellern als Konuzept hält sich hartnäckig seit Jahren. Gab auch hier erst vor ein paar Wochen Thread zum Thema. Überlegungen sind dennoch durchaus legitim.
mfg Crusher
Wie auch bei Router-Kaskaden erhöht sowas den Aufwand. Je nach Anbieter fallen auch Gebühren an - Subscription.
Doppel-Firewall von 2 verschiedenen Herstellern als Konuzept hält sich hartnäckig seit Jahren. Gab auch hier erst vor ein paar Wochen Thread zum Thema. Überlegungen sind dennoch durchaus legitim.
mfg Crusher
moin..
Flo
Frank
Zitat von @DarkZoneSD:
Erstmal dankeschön und direkt eine folge Frage,
Wird die Erkennung also in der Sandbox betrieben?
sowas ist auch möglich bei verdacht!Erstmal dankeschön und direkt eine folge Frage,
Wird die Erkennung also in der Sandbox betrieben?
Flo
Frank
IMSS performs virus detection using Trend Micro scan engine and a technology called pattern matching. The scan engine compares code in files traveling through your gateway with binary patterns of known viruses that reside in the pattern file. If the scan engine detects a match, it performs the actions as configured in the policy rules.
https://docs.trendmicro.com/all/ent/imsx/imss_win/v7.5/en-us/webhelp/ims ...
Zwar so gesehen sparates System, aber da mal eine Erklärung wie sowas ablaufen kann.
Erstmal zur ersten Frage - warum sollten X Firewalls in Folge prinzipiell die Sicherheit erhöhen? Stell dir vor du stellst beide von "innen nach aussen" auf "any allowed" - und von "aussen nach innen" einfach auf "forward all". Hat sich jetzt die Sicherheit merklich erhöht? Wohl eher nicht...
Du hast natürlich eine gewisse Erhöhung drin wenn es um herstellerabhängige Lücken geht - du hast aber auch gleichzeitig eine höhere Angriffsfläche. Denn was passiert wenn zB. die zweite Firewall durch irgendeine präperierte Mail / exploit o.ä. eine Verbindung zu nem C&C-Server aufbaut (und das ist dann die "innere" Firewall)? Die erste sagt dann ggf. "is normaler Web-/SSH-/Whatever traffic, is ok - und dein Netz is trotzdem im Eimer. Hierzu gibt es einen interessanten Vergleich - warum die ersten Atlantikflüge nur mit einem Antrieb waren. Resultat ist das man festgestellt hatte das wenn eines ausfällt das der Flieger auch nicht ankommen wird - aber das zweite Triebwerk eben auch die Ausfallchance UND den Luftwiderstand erhöht.
Von daher kannst du eben nicht pauschal sagen "2 Firewalls sind sicherer". Genausowenig wie zB. eine Vorraumtür ein Haus sicherer macht wenn die ggf. nich mal abgeschlossen ist u. ne Klinke hat. Es bremst den Wind ggf. etwas, aber SICHERER wird damit erstmal gar nix.
Du hast natürlich eine gewisse Erhöhung drin wenn es um herstellerabhängige Lücken geht - du hast aber auch gleichzeitig eine höhere Angriffsfläche. Denn was passiert wenn zB. die zweite Firewall durch irgendeine präperierte Mail / exploit o.ä. eine Verbindung zu nem C&C-Server aufbaut (und das ist dann die "innere" Firewall)? Die erste sagt dann ggf. "is normaler Web-/SSH-/Whatever traffic, is ok - und dein Netz is trotzdem im Eimer. Hierzu gibt es einen interessanten Vergleich - warum die ersten Atlantikflüge nur mit einem Antrieb waren. Resultat ist das man festgestellt hatte das wenn eines ausfällt das der Flieger auch nicht ankommen wird - aber das zweite Triebwerk eben auch die Ausfallchance UND den Luftwiderstand erhöht.
Von daher kannst du eben nicht pauschal sagen "2 Firewalls sind sicherer". Genausowenig wie zB. eine Vorraumtür ein Haus sicherer macht wenn die ggf. nich mal abgeschlossen ist u. ne Klinke hat. Es bremst den Wind ggf. etwas, aber SICHERER wird damit erstmal gar nix.
https://docs.opnsense.org/manual/how-tos/proxyicapantivirusinternal.html
Vlt. mal was fürs Labor. OPNsense als Firewall + Plugin.
Ggf. sowas mal durchspielen oder in Laboraufbau testen. Dann beantworten sich manche Fragen von allein. Je nach Anbieter laufen diese Vorgäng in ähnlicher Natur ab.
Wie auch bei Intrusion Detection sind solche Vorgänge teils rechenlastig. Kleine Plaine mit kostenloser Firewall kommt da an die Grenzen, wenn zu wenig RAM oder eine schwache CPU verbaut wurde.
Je nach Richtung - kommerziell/ OpenSoruce - ergeben sich dadurch schon "natürliche" Grenzen was möglich ist. Kommerziell mit ordentlich Geld lässt sich vieles einkaufen.
Vlt. mal was fürs Labor. OPNsense als Firewall + Plugin.
Ggf. sowas mal durchspielen oder in Laboraufbau testen. Dann beantworten sich manche Fragen von allein. Je nach Anbieter laufen diese Vorgäng in ähnlicher Natur ab.
Wie auch bei Intrusion Detection sind solche Vorgänge teils rechenlastig. Kleine Plaine mit kostenloser Firewall kommt da an die Grenzen, wenn zu wenig RAM oder eine schwache CPU verbaut wurde.
Je nach Richtung - kommerziell/ OpenSoruce - ergeben sich dadurch schon "natürliche" Grenzen was möglich ist. Kommerziell mit ordentlich Geld lässt sich vieles einkaufen.
Zitat von @DarkZoneSD:
Um Hersteller-abhängige Exploits und Bugs zu vermeiden klingt das ja auch ganz logisch
Um Hersteller-abhängige Exploits und Bugs zu vermeiden klingt das ja auch ganz logisch
Es klingt logisch und wird daher gern überliefert, spielt in der Praxis aus meiner Sicht aber eine geringe Rolle, weil in kaum einem kommerziellen Umfeld unterschiedliche Hersteller ausreichend unterstützt werden können. Wenn hingegen besondere Anforderungen herrschen, gibt es häufig nur sehr wenige mögliche Hersteller, und man muss ohnehin mit allen davon in unterschiedlichen Kontexten arbeiten - dann findet man ggf. eine Kombination von z.B. genua und secunet vor. Was dabei Politik und was Security-Engineering ist, sei mal dahingestellt.
Haben die Hersteller Ihre eigenen Server von denen sie das abrufen oder kann es sein das mehrere Hersteller das von der selben "knowledge Base" ziehen?
Im Zweifel machen unterschiedliche Modelle unterschiedlicher Hersteller schon unterschiedliche Dinge. Allein "Virenerkennung" kann auf diverse Arten erfolgen (Flow/Proxy, Signatur/Heurisitk/Sandbox, lokal/Cloud-unterstützt).
Für die Kombination von Firewalls ist das nicht entscheidend, aus zwei Gründen: Erstens ist es ja ein Anwendungsfall mit erhöhten Sicherheitsanforderungen. Damit ist schon fraglich, ob man "Virenerkennung" auf auch nur einer der "Firewalls" haben möchte, oder sie lieber Firewalls sein lässt und den relevanten Traffic über ein dediziertes weiteres Gerät für AV schickt. Es ist typischerweise kein Umfeld, das man aus "UTMs", also hochintegrierten Appliances, zusammensteckt.
Zweitens erfordert der Entscheidungsweg nach dieser "Überlappungstheorie", zwei Produkte zu finden, deren Kombination die größtmögliche Sicherheit ergibt. Dafür braucht man ein Verfahren, um im Auswahlfeld den Sweetspot zu ermitteln, in dem zwei Produkte individuell hinreichend sicher und doch maximal unterschiedlich sind. Würde ich gern mal sehen, würde mich aber auch nicht überzeugen: Denn am Ende steht der Zirkelschluss aus der Überlappungstheorie, dass dieser Sweetspot zwangsläufig höher liege, als zweimal das "sicherste" Produkt.
Der Aufwand wird vielmehr durch die Modellierung der Angriffsfläche gerechtfertigt, weil die einen messbaren Einfluss auf die Sicherheit hat. Die Angriffsfläche der Firewall besteht grob aus internen Schnittstellen, externen Schnittstellen, und Durchgang. Eine Firewall vs. zwei Firewalls ergeben in dieser Hinsicht zwei vollkommen unterschiedliche Szenarien. Zwei Geräte können an unterschiedlichen Orten stehen, mit unterschiedlichen Zutrittsregeln. Sie können von unterschiedlichen Teams administriert werden. Ein Gerät am Perimeter muss ggf. ein VPN terminieren, das interne nicht. Das eine muss den Datenverkehr verarbeiten (ggf. eben auch noch auf Viren scannen), den ein interner Client aus dem Internet anfragt. Das andere sieht nur internen Datenverkehr zwischen bedingt vertrauenswürdigen Geräten. Solche Überlegungen können zwei oder mehr Schichten rechtfertigen. Für die daraus entwickelte Architektur werden dann Produkte gesucht, was zu unterschiedlichen Herstellern führen kann oder auch nicht.
Grüße
Richard
Unabhängig davon das Virensignaturen alles andere als perfekt sind und auch nicht mehr zeitgemäß, impliziert die Vorstellung ein paar Konstante, die es im echten Leben außerhalb von Tests nicht gibt.
Außerdem sehen wir täglich, wir gut das Ganze funktioniert.
Das klassische Virus ist tot.
Die Angriffe zielen auf verwundbare Software. Firewalls sind nicht Primärziele. Auch nicht Sekundärziele.
Problematisch sind verschlüsselte Verbindungen. HTTPS und DOT/DOH z. B. als Control.
Da da kein Virus drin ist, ist das Konzept erledigt.
Der nächste große Knall wird wohl mit KI zum Auswerten von verschlüsselten Traffic kommen.
Bis dahin gilt. Kein Port von einer Applikation geöffnet, kein Risiko. Kein Seitenkanalangriff möglich, keine Kompromittierung. Keine Speicherveränderung möglich, kein Zugriff... usw... usw...
Ab dem Moment wo man kommunizieren muss, entsteht das Problem. Prinzipbedingt.
Es spielt dann auch keine Rolle über wie teuer physische oder virtuelle Switches und Firewalls kommuniziert wird und wer die wie konfiguriert hat mit blumigen VLANs oder in Reihe befindlichen Firewalls.
Wenn Du ab dir die letzen 100, 1000 oder wie viele CVEs anguckst, die mit 9 oder 10 bewertet sind und zur Überlisting oder Komprimierung einer sündhaft teuren Firewall, auch in Reihe, geführt haben, dann wirst du da ganz wenig bis gar nichts finden.
Wenn Firewalls den Schutz bieten würden, den manch einer glaubt... 😂
Die Welt sehe deutlich anders aus.
_---------__------_-_–
Unter den richtigen Pros, da münden an der "Firewall" ganz vielen VLANs.
Die Sicherheit wächst mit der Anzahl der VLANs und durch die richtige Bezeichnung wird die Sicherheit zusätzlich quadratisch wachsen.
Durch das Hinzufügen von Optionen, z. B. ein Proxy auf der Firewall wird es dann richtig tricky und safe. Mil-Standard² und so...
Außerdem sehen wir täglich, wir gut das Ganze funktioniert.
Das klassische Virus ist tot.
Die Angriffe zielen auf verwundbare Software. Firewalls sind nicht Primärziele. Auch nicht Sekundärziele.
Problematisch sind verschlüsselte Verbindungen. HTTPS und DOT/DOH z. B. als Control.
Da da kein Virus drin ist, ist das Konzept erledigt.
Der nächste große Knall wird wohl mit KI zum Auswerten von verschlüsselten Traffic kommen.
Bis dahin gilt. Kein Port von einer Applikation geöffnet, kein Risiko. Kein Seitenkanalangriff möglich, keine Kompromittierung. Keine Speicherveränderung möglich, kein Zugriff... usw... usw...
Ab dem Moment wo man kommunizieren muss, entsteht das Problem. Prinzipbedingt.
Es spielt dann auch keine Rolle über wie teuer physische oder virtuelle Switches und Firewalls kommuniziert wird und wer die wie konfiguriert hat mit blumigen VLANs oder in Reihe befindlichen Firewalls.
Wenn Du ab dir die letzen 100, 1000 oder wie viele CVEs anguckst, die mit 9 oder 10 bewertet sind und zur Überlisting oder Komprimierung einer sündhaft teuren Firewall, auch in Reihe, geführt haben, dann wirst du da ganz wenig bis gar nichts finden.
Wenn Firewalls den Schutz bieten würden, den manch einer glaubt... 😂
Die Welt sehe deutlich anders aus.
_---------__------_-_–
Unter den richtigen Pros, da münden an der "Firewall" ganz vielen VLANs.
Die Sicherheit wächst mit der Anzahl der VLANs und durch die richtige Bezeichnung wird die Sicherheit zusätzlich quadratisch wachsen.
Durch das Hinzufügen von Optionen, z. B. ein Proxy auf der Firewall wird es dann richtig tricky und safe. Mil-Standard² und so...
Hallo,
Nehmen wir mal an, zwei Firewallls haben 90% Erkennungsrate. Sieht man das als 2 Filter hintereinander, würde man erwarten, dass 99% herausgefiltert werden. Dumm ist nur, das in Wirklichkeit beide vermutlich zu 95% das selbe erkennen. Nur die letzten 5% unterscheiden sich. Wenn man also in Kombination auf 92-96% kommt ist das schon gut.
Man verdoppelt die Kosten um auf ein paar Prozent zusätzliche Sicherheit zu kommen.
Grüße
lcer
Nehmen wir mal an, zwei Firewallls haben 90% Erkennungsrate. Sieht man das als 2 Filter hintereinander, würde man erwarten, dass 99% herausgefiltert werden. Dumm ist nur, das in Wirklichkeit beide vermutlich zu 95% das selbe erkennen. Nur die letzten 5% unterscheiden sich. Wenn man also in Kombination auf 92-96% kommt ist das schon gut.
Man verdoppelt die Kosten um auf ein paar Prozent zusätzliche Sicherheit zu kommen.
Grüße
lcer
Definiere Erkennungsrate.
Vermutlich sind sie zu eher 99% überlappend.
Vermutlich sind sie zu eher 99% überlappend.
Moin...
Erkennungsrate von was? Farben, Popel in der Nase, oder doch schon IDS, GeoIP Filter, AV, Proxxy AV, TCP and TLS Encryption.... und was es so alles feines gibt?!?!
Man verdoppelt die Kosten um auf ein paar Prozent zusätzliche Sicherheit zu kommen.
auch nee.... das ist eher der Faktor 3! du darfst die Wartung und Pflege nicht vergessen.
auch wollen Auswertungen gelesen werden.
sinn macht das sicherlich nur, wenn du einen besonderes sicherheitsbedürfnis hast, und zwischen die beiden FW noch eine DMZ baust, und abteilungen noch mal mit FW abschottetest!
ob nun jeder sowas braucht, steht auf einem anderen blatt!
auf eine AV Lösung in den Abteilungen, darf auch nicht verzichtet werden.
Grüße
lcer
Frank
Erkennungsrate von was? Farben, Popel in der Nase, oder doch schon IDS, GeoIP Filter, AV, Proxxy AV, TCP and TLS Encryption.... und was es so alles feines gibt?!?!
Sieht man das als 2 Filter hintereinander, würde man erwarten, dass 99% herausgefiltert werden.
nee... du hast 2 Unterschiedliche Produkte, die auch unterschiedlich zu Administrieren sind, und unterschiedlich agieren!Dumm ist nur, das in Wirklichkeit beide vermutlich zu 95% das selbe erkennen. Nur die letzten 5% unterscheiden sich. Wenn man also in Kombination auf 92-96% kommt ist das schon gut.
auch neee... wenn beide das gleiche erkennen würden, hat die erste FW / Filter schon versagt!Man verdoppelt die Kosten um auf ein paar Prozent zusätzliche Sicherheit zu kommen.
auch wollen Auswertungen gelesen werden.
sinn macht das sicherlich nur, wenn du einen besonderes sicherheitsbedürfnis hast, und zwischen die beiden FW noch eine DMZ baust, und abteilungen noch mal mit FW abschottetest!
ob nun jeder sowas braucht, steht auf einem anderen blatt!
auf eine AV Lösung in den Abteilungen, darf auch nicht verzichtet werden.
Grüße
lcer
Zitat von @Vision2015:
Moin...
Erkennungsrate von was? Farben, Popel in der Nase, oder doch schon IDS, GeoIP Filter, AV, Proxxy AV, TCP and TLS Encryption.... und was es so alles feines gibt?!?!
Man verdoppelt die Kosten um auf ein paar Prozent zusätzliche Sicherheit zu kommen.
auch nee.... das ist eher der Faktor 3! du darfst die Wartung und Pflege nicht vergessen.
auch wollen Auswertungen gelesen werden.
sinn macht das sicherlich nur, wenn du einen besonderes sicherheitsbedürfnis hast, und zwischen die beiden FW noch eine DMZ baust, und abteilungen noch mal mit FW abschottetest!
ob nun jeder sowas braucht, steht auf einem anderen blatt!
auf eine AV Lösung in den Abteilungen, darf auch nicht verzichtet werden.
Grüße
lcer
Frank
und ich glaube, Du hast meinen Post falsch verstanden.Moin...
Erkennungsrate von was? Farben, Popel in der Nase, oder doch schon IDS, GeoIP Filter, AV, Proxxy AV, TCP and TLS Encryption.... und was es so alles feines gibt?!?!
Sieht man das als 2 Filter hintereinander, würde man erwarten, dass 99% herausgefiltert werden.
nee... du hast 2 Unterschiedliche Produkte, die auch unterschiedlich zu Administrieren sind, und unterschiedlich agieren!Dumm ist nur, das in Wirklichkeit beide vermutlich zu 95% das selbe erkennen. Nur die letzten 5% unterscheiden sich. Wenn man also in Kombination auf 92-96% kommt ist das schon gut.
auch neee... wenn beide das gleiche erkennen würden, hat die erste FW / Filter schon versagt!Man verdoppelt die Kosten um auf ein paar Prozent zusätzliche Sicherheit zu kommen.
auch wollen Auswertungen gelesen werden.
sinn macht das sicherlich nur, wenn du einen besonderes sicherheitsbedürfnis hast, und zwischen die beiden FW noch eine DMZ baust, und abteilungen noch mal mit FW abschottetest!
ob nun jeder sowas braucht, steht auf einem anderen blatt!
auf eine AV Lösung in den Abteilungen, darf auch nicht verzichtet werden.
Grüße
lcer
Grüße
lcer
moin...
ich dachte das auch, habe ihn aber auch nicht gefunden.
Frank
Zitat von @Crusher79:
Finde den Thread grad nicht mehr. Hatten wir nicht das gleiche Thema vor ein paar Wochen? Doppel-Firewall? Doppel-Router?
Kamen doch zu den geleichen Schlüssen. Ich finds nicht mehr ....
Finde den Thread grad nicht mehr. Hatten wir nicht das gleiche Thema vor ein paar Wochen? Doppel-Firewall? Doppel-Router?
Kamen doch zu den geleichen Schlüssen. Ich finds nicht mehr ....
ich dachte das auch, habe ihn aber auch nicht gefunden.
Frank
Dito. Definitiv. Nach klaren Nein kamen dann ein, zwei Befürworter der "Doppel-Firewall" Lösung. Kann micht verdammt gut dran erinnern. Hab suche auf 3 Monate eingegrenzt. Aber nichts. Denke es war Ende 2022...
Wir sagen ja immer allen: nutzt die Forensuche. Aber tja irgendwie .....
@Vision2015
Mehrstufige Firewalls - wann und wo sinnvoll?
Das hier? "Mehrstufigkeit"
PS:
2 Firewall devices sinnvoll?
So denke das waren die !
Mehrstufige Firewalls - wann und wo sinnvoll?
Das hier? "Mehrstufigkeit"
PS:
2 Firewall devices sinnvoll?
So denke das waren die !