123456a
08.02.2021, aktualisiert um 17:26:43 Uhr
view6186
view12
0
Goto Top

Abschlussprojekt Firewall

gelöstFrageSicherheitFirewall
Hallo zusammen,
undzwar suche ich gerade ein Thema für mein Abschlussprojekt (Fachinformatiker für Systemintegration).
Da unser Unternehmen momentan noch keine vernünftige Firewall besitzt, würde diese gerne in meinem Abschlussprojekt installieren.
Leider habe ich auf diesem Gebiet so gut wie keine Erfahrung. Daher würde mich interessieren, was erfahrene Kollegen davon halten.
Mein Plan momentan sieht wie folgt aus:
Ich installiere eine Firewall mit SD-WAN, da wir eine DSL-Leitung für unser EDV-System nutzen und eine Glasfaserleitung für alle restlichen Programme.
(Da wir für unser EDV-System eine IPv4-Adresse benötigen und die Glasfaser nur noch IPv6-Adressen verteilt)

Ist das als Abschlussprojekt ausreichend, oder sollte ich zusätzlich z. B. einen Stub DNS Server aufsetzen?
Welche Hersteller/ Produkte würdet ihr Empfehlen? (Bisher wurde mir immer nur Sophos empfohlen)
Gibt es bezüglich der beiden Leitungen eine bessere Möglichkeit? Oder ist SD-WAN die cleverste Lösung?

Danke für eure konstruktive Antwort :D

Beste Grüße,
Lenard
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 649611

Url: https://administrator.de/contentid/649611

Ausgedruckt am: 13.11.2024 um 11:11 Uhr

12 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 08.02.2021 aktualisiert um 16:31:45 Uhr
Goto Top
Da wir für unser EDV-System eine IPv4-Adresse benötigen und die Glasfaser nur noch IPv6-Adressen verteilt
Nöö, ist Unsinn, denn die Telekom und viele andere auch vergeben IPv4's auf ihren Glasfaser Anschlüssen !
Das was du meinst ist vermutlich ein DS-Lite Provider: https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Mal abgesehen davon das es der Glasfaser per se völlig Wumpe ist ob da v4 oder v6 oder Sprache oder Fernsehen drüber gemacht wird.
Ob SD-WAN in deinem speziellen Falle "clever" ist sei mal dahingestellt. Bei einem einzigen Standort wohl eher weniger. Da ist eine potente Firewall dann wohl sicher noch cleverer. Idealerweise im Cluster wegen der Redundanz. Dazu liesse sich sicher was draus stricken mit Security Konzept, Load Balanicing und Failover bei 2 Leitungen, DMZ, VPN, Reverse Proxy usw. usw. für einen angehenden FiSi.
Ob du da Sophos oder doch besser Watchguard, pfSense, Sonicwall, Cisco Firepower, Cisco ASA, Juniper, Palo Alto oder Fortinet nimmst ist so wie die Frage ob man VW, Daimler, Audi, Volvo, Porsche, Fiat oder Opel nimmt.
em-pie
em-pie 08.02.2021 aktualisiert um 16:10:13 Uhr
Goto Top
Moin,

in Summe halte ich das für etwas dünn: Einfach ne Firewall aufsetzen, 3 bis 4 Regeln etablieren und los gehts....

Wenn, muss ein Konzept erarbeitet werden und sich auch mit Themen wie WebProxy/ Reverse-Proxy sowie ggf. PolicyBased-Routing beschäftigt werden.. oder zumindest mal ein automatisches Umschalten für die WAN-Anschlüsse bei Ausfall einer der beiden etablieren.

Welche Hersteller/ Produkte würdet ihr Empfehlen? (Bisher wurde mir immer nur Sophos empfohlen)
Das würde ich im Rahmen einer kleinen Evaluation selbst herausfinden.
  • Anforderungskatalog (Lastenheft) erstellen
  • Schauen, welche gängigen Produkte (Cisco, Sophos, pfSense, WatchGuard, Fortinet, Zywall, ....) die Anforderungen erfüllen und mal etwas testen.
  • Am Ende dann nach Preis-/ Leistung ein geeignetes Produkt auswhlen.

Hinweis: ohne ein Systemhaus wirst du mit der Sophos vermutlich nicht weit kommen... Und dann nehmen die dir die Arbeit dort in Teilen ab - zumindest bei der Umsetzung.

Gruß
em-pie
123456A
123456A 08.02.2021 um 16:18:13 Uhr
Goto Top
Hey aqui,
danke für deine Antwort.
Gibt es irgendwelche wichtige Server, die ich unbedingt in die DMZ packen soll (z. B.: Stub DNS oder so)?
Mit dem DS-Lite hast du auf jedenfall recht. Momentan handhaben wir das so, dass wir bei jeden PC eine Statische Route hinzufügen, dass alle Daten vom EDV System über die DSL Verbindung gleitet werden, da gibt es doch bestimmt eine bessere Lösung oder? Ist da SD-WAN die beste möglichkeit oder gibt es evtl. was einfacheres/ besseres?
aqui
aqui 08.02.2021 aktualisiert um 16:43:49 Uhr
Goto Top
Gibt es irgendwelche wichtige Server, die ich unbedingt in die DMZ packen soll
Ooops... keine wirklich gute Frage zu dem Thema für einen fast fertigen FiSi !!! Vielleicht solltest du dann doch besser die Finger vom Firewall Thema lassen und das klassische Allerwelts FiSi Thema: "Ich richte ein Windows Server AD ein..." wählen ?!
Ist jetzt nicht bös' gemeint aber kann ein Risiko sein für dich wenn es fachlich auf sehr tönernen Füßen steht.
haben wir das so, dass wir bei jeden PC eine Statische Route hinzufügen, dass alle Daten vom EDV System über die DSL Verbindung gleitet werden
Wie gruselig !!! Das ist ja Dilettantismus pur. Und das in einem Firmen Netzwerk ?? Nicht dein Ernst oder ?
Frag mal in der IT ob sie schon mal was von Dual WAN Load Balancing Routern und Firewalls mit PBR gehört haben. Kollege @lcer00 hat ja auch schon Bauchschmerzen davon bekommen bei soviel netztechnischer Steinzeit. 😉
Aus dem Blickwinkel gesehen könnte das natürlich ein Triumpfzug für dich werden dieses Gruseldesign mal auf ein aktuelles und vor allem sauberes Netzwerk Niveau zu heben. Erfordert aber natürlich schon etwas mehr als nur die Buzzwords SD-WAN oder Firewall.
da gibt es doch bestimmt eine bessere Lösung oder?
He he he...keine Frage ! Das kann sogar Meister Röhricht, Werner und Eckehard in ihrer Klempnerei besser !
Die machen das nämlich mit einem Dual WAN System.
Ist da SD-WAN die beste möglichkeit
Die Wiederholung dieser Frage zeigt schon das du nicht wirklich gut aufgestellt bist zu dem Thema. Nein, bei einem einzigen Standort wie bei dir ist SD-WAN sicher keine wirklich zielführende Idee.
lcer00
lcer00 08.02.2021 um 16:30:52 Uhr
Goto Top
Hallo,
Zitat von @123456A:

Hey aqui,
danke für deine Antwort.
Gibt es irgendwelche wichtige Server, die ich unbedingt in die DMZ packen soll (z. B.: Stub DNS oder so)?
In die DMZ gehören alle Server, auf die sowohl von intern, als auch von extern zugegriffen werden muss. Welche das sind wissen wir natürlich nicht.

Was soll der Stub-DNS denn machen?
Mit dem DS-Lite hast du auf jedenfall recht. Momentan handhaben wir das so, dass wir bei jeden PC eine Statische Route hinzufügen, dass alle Daten vom EDV System über die DSL Verbindung gleitet werden
Oh je. Statische Routen haben auf dem Client nichts verloren. Dafür sind Router da.
Ist da SD-WAN die beste möglichkeit oder gibt es evtl. was einfacheres/ besseres?
Stift und Papier. Daraus einen Netzwerkplan. Dann Anforderungen definieren und dann Technische Lösungen auswählen.

Grüße

lcer
Andre82ms
Lösung Andre82ms 08.02.2021 um 16:59:09 Uhr
Goto Top
Das klingt um ehrlich zu sein nicht besonders gut....

Gibt es keinen Ausbilder, der Dich dabei unterstützt?

Man sollte schon ein Thema wählen, in dem man möglichst auch fit ist oder sich tiefergehend mit beschäftigt hat, sonst scheitert man allerspätestens bei der Mündlichen...

Wenn das Thema "Firewall" gewählt werden sollte, wäre es gut, nicht nur die Standardfunktionen sondern auch Features einzurichten (ich gebe zu, dass ich hier auch sehr Sophos-lastig unterwegs bin (SD-Serie)). Hier kann man mit einem Sicherheitskonzept sicherlich ein Projekt als Abschluss hin bekommen. Lösungen wie das Einbringen von Sandstorm, Web-Protection, Webserver-Protection (hier scheitert es scheinbar aber an deinem KnowHow bzgl. DMZ Server) usw. dürften das Projekt dann schnell umfangreich machen.

Um das zu realisieren benötigst Du natürlich auch eine solch eine Firewall und jemanden, der Dir dazu genaueres sagen kann. Die Sophos könnte man herunter laden und als Testversion in einer VM betrieben. Richte Dich aber auf jeden Fall nach dem Knowhow Deines Ausbilders und lass es Dir so gut erklären, das Du bei der Mündlichen auch so fit bist, um es auch erklären zu können.

Ich drücke Dir die Daumen (mich ärgert es immer, wenn ein Ausbildungsbetrieb seine Auszubildenden nicht selbstständig unterstützt...)

Naja... Bleib da hartnäckig face-wink
123456A
123456A 08.02.2021 um 17:15:25 Uhr
Goto Top
Ob es einen Ausbilder gibt, der mich unterstützen kann?!
Nein garantiert nicht. Meine Ausbildung bestand daraus FritzBoxen einzurichten und Notebooks zu reparieren. Die Idee mit den Statischen Routen kam von meinen Ausbilder und da lässt er auxh nicht mit sich reden. Eine Netzwerkinfrastruktur ist bei uns im Endeffekt nicht vorhanden. Zumindest weiß niemand, wo was angesschlossen ist....
Bei dem Thema Firewall fehlt dann wohl doch zu viel Fachwissen.
Hätte irgendjemand eine andere idee, was ich alternatives machen kann?
Wenn es darum geht ein Thema zu wählen, auf dem ich auch fit bin, wirds praktisch gesehen sehr schwierig. Ich kann ja als Abschlussprojekt keine FritzBox einrichten...
it-frosch
it-frosch 08.02.2021 um 18:41:27 Uhr
Goto Top
Zitat von @123456A:

Ob es einen Ausbilder gibt, der mich unterstützen kann?!
Nein garantiert nicht. Meine Ausbildung bestand daraus FritzBoxen einzurichten und Notebooks zu reparieren. Die Idee mit den Statischen Routen kam von meinen Ausbilder und da lässt er auxh nicht mit sich reden. Eine Netzwerkinfrastruktur ist bei uns im Endeffekt nicht vorhanden. Zumindest weiß niemand, wo was angesschlossen ist....
Bei dem Thema Firewall fehlt dann wohl doch zu viel Fachwissen.
Hätte irgendjemand eine andere idee, was ich alternatives machen kann?
Wenn es darum geht ein Thema zu wählen, auf dem ich auch fit bin, wirds praktisch gesehen sehr schwierig. Ich kann ja als
Abschlussprojekt keine FritzBox einrichten...

Vielleicht solltest du mal mit jemanden von der IHK reden, wie man in einem solchen Fall noch das beste für dich draus macht.

Eigentlich schade um die Ausbildung. face-sad

grüße vom it-frosch
123456A
123456A 08.02.2021 um 18:49:17 Uhr
Goto Top
Das ist eine sehr gute Idee. Werde ich morgen als erstes erledigen. Die werden bestimmt ein paar gute Tipps für mich haben. Irgendwie werde ich das schon reißen. Trotzdem erstmal danke für eure Hilfe😁👍
Archeon
Archeon 08.02.2021 um 18:59:05 Uhr
Goto Top
Wenn du das Thema Firewall wirklich aufgreifen willst, dann solltest du da auf jeden Fall schon wissen worüber du sprichst.
Man könnte, gerade in der aktuellen Situation, noch VPN und Homeoffice mit ins Thema nehmen, dann wird das schon etwas umfangreicher.
Enrixk
Enrixk 09.02.2021 um 12:31:18 Uhr
Goto Top
Hier gibt es eine Anleitung für die Inbetriebnahme einer Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
NetzwerkDude
NetzwerkDude 09.02.2021 um 13:41:00 Uhr
Goto Top
Also so dünn ist das sicher nicht, ich meine wenn du nicht einfach ein "kästchen" kaufst und etwas im Wizard klickst, sondern z.B. eine PC nimmst mit mehreren Ethernetports und darauf dann mit einem Linux und iptables das routing, load-balancing der beiden WANs und firewalling für IPv4 + IPv6 machst, sollte das schon für eine Woche Arbeit reichen (das ist der typische Rahmen für ein Fisi Projekt, oder?).

Für die IHK "Prüfer" ist IPv6 sicher totales Neuland :D - und am Ende schauen die eh auf den Aufbau der Doku und auf die Präsentation.
gelöstFrageSicherheitFirewall
Mehr von 123456A123456AACL konfigurieren DNS123456A - 8 Kommentare123456AIPv6 bei Dual-WAN123456A - 11 Kommentare123456AMeinung Abschlussprojekt FiSi123456A - 9 Kommentare
Heiß diskutiert
MysticFoxDESERVER 2025 - NIC-Performance - Per Default sehr "durchwachsen"MysticFoxDE - 32 KommentareRoland567VMware - Broadcom und neue PreiseRoland567 - 31 KommentareDarkened1645Welchen Hypervisor für Zuhause?Darkened1645 - 23 KommentarekartoffelesserCable Diagnostics - Distance to fault 11,5 Meterkartoffelesser - 19 KommentareKarlHoGeklonte Windows Systeme in MDM aufnehmenKarlHo - 17 KommentareChurchOfTuxUmstieg von LANCOM Routern?ChurchOfTux - 16 KommentareBlackmannZwang zur TelefonnummernbereitstellungBlackmann - 16 Kommentaremorpheus2010De Domain für Mailadressen wie sicher ist der WHOISmorpheus2010 - 15 Kommentarebulldozer90Win11 Master Image mit OEM Lizenzen möglich?bulldozer90 - 15 KommentarejsysdeWindows 11 - 24H2 - Rechte-Erweiterung via Taskmanagerjsysde - 14 KommentarePaulina.RabeNetzwerk aufbauen für BürogemeinschaftPaulina.Rabe - 14 KommentareAlex-AlexLangsamer erster Start der ERP-Software auf 2 WIN11 PCsAlex-Alex - 13 Kommentare