kopie0123
Goto Top

Die richtige Firewall

Halo zusammen!

Ich suche für unser Unternehmen eine Firewalllösung - Momentan gibt es nur eine Firewall in einem Netgearrouter.

Kurz zu unserem Netzwerk:


ca. 25 Workstations in einer Domäne
1 Win2k3 als DC/Exchange/File/DHCP/DNS
1 WinXP / 1 Debian Server - beide nicht Mitglied der Domäne

Da es sich bei unserem Unternehmen auch um einen Bildungsstätte für Jugendliche und Arbeitslose handelt, gibt es auch einen Computerraum mit 12 WinXP Rechnern, welche allerdings nicht Mitgleid der Domäne sind.
Sämtliche Geräte liegen im IP Bereich 192.168.0.X

Ich würde gerne die beiden Netzwerkbreiche 'Firma' und 'Computerraum' trennen.
Optimal wäre eine Firewall die folgende Funktionen bietet:

Neben den üblichen Sicherheitsfunktionen, Contentfilter und vielleicht auch ein Spamfilter, wäre es schön wenn ich 2 verschiedene IP-Bereiche definieren kann, um den Computerraum von den anderen Rechnern abtrennen zu können.

Leider habe ich von Hardwarefirewalls gar keine Ahnung, daher bin ich um jeden Ratschlag und Tipp eurerseits dankbar!

mfg Stinger

EDIT: Eine VPN Funktion sollte vorhanden sein

Content-ID: 79095

Url: https://administrator.de/contentid/79095

Ausgedruckt am: 22.11.2024 um 07:11 Uhr

Suppi250
Suppi250 25.01.2008 um 08:43:22 Uhr
Goto Top
Ich an deiner Stelle würde mit IPCop (http://ipcop.org/) und IP-Cop-Addons (advanced-proxy, addon-server) bzw. Endian (http://endian.it/) die Firewall realisieren.

Marerial:
1 ausgedienter Rechner (1GHZ, 512 MB Ram)
3 Netzwerkkarten (um die Netzwerke zu trennen)

Arbeitsaufwand:
Installation: 15-20 min
Konfiguration: 30 min
weiterer Aufwand: 0 face-smile

Ist wirklich einfach zu realisieren und die Konfiguration wird bei beiden Linux-Distries übers Web erledigt!

Gruß
Suppi250
erikro
erikro 28.01.2008 um 11:52:09 Uhr
Goto Top
Hallo zusammen,

wenn ich solche Ratschläge lese, dann wird mir echt schwindelig. Gehe folgendermaßen vor:

1. Firwall FAQ von Lutz Donnerhacke dreimal gründlich lesen. (Google mit dem Namen und Firewall FAQ füttern).

2. Bedrohungszenario erstellen
Hier wird schriftlich festgehalten, welche Teile des Netzes wovor zu schützen sind.

3. Sicherheitsstrategie entwickeln.
Hier wird schriftlich festgehalten, wie die einzelnen unter 2. festgestellten Bedrohungen abgesichert werden sollen.

4. Marktanalyse
Hier wird festgestellt, welche Produkte das leisten, was unter 3. festgelegt wurde.

5. Installation und Konfiguration

6. Permanente Überwachung des Systems und der Bedrohungslage.
Das ist wichtig, da die unter 2. festgestellten möglichen Bedrohungen sich ändern, da z. B. neue Sicherheitslücken entstehen.

Aufwand: Je nach Aufgabe Tage, Wochen, Monate.

Liebe Grüße

Erik
Torben
Torben 28.01.2008 um 15:22:08 Uhr
Goto Top
Also zu erikro meine ich du greifst da etwas hoch Analyse und etc. Ich gehe bei einer Bildungstätte davon aus das die Ausstattung durch Bildungsträger oder wem auch immer erfolgt und da oft kaum Geld vorhanden ist. Im Prinzip könnte man bei deiner Aufgabenstellung extrem in jede Richtung ausschweifen ja und wenn´s erikro mag auch so extrem aufziehen.
Um hier detaillierte Antworten geben zu können benötigt man genauere Details. Der W2k3 Server ist das eine SBS ?
Der Exchange je nach W2k3 also SBS oder Standard/EP nutzt dieser einen Smarthost um seine Post abzuholen oder besitzt ihren einen MX-Record ?
Die Trennung des Computerraumes und Firma bei einem gemeinsamen Subnetz (IP Adressbereich) könnte man mit einem günstigen Layer2 Switch der Portbasiertes VLAN kann machen. Tja was soll ich sagen ohne jetzt in jede Richtung auszuschweifen, was habt ihr für einen Router. Es gibt wirklich tolle Router im 400€ Segment mit DMZ Funktion und einer ordentlichen SIF. Aber wie gesagt erwähne doch einfach mal wie das Budget aussieht und ob ihr eventuell dedizierte Aufgaben Mail etc. in eine DMZ legen wollt u.s.w.
Bei Nutzung des Exchange ist ja zwingend eine AD nötig, ich gehe davon aus das die 25 Clients in dieser Domäne hängen ?!
Dann wäre meine Frage was für eine Rolle spielt der Debian Server wenn dieser nicht mal über winbind an die 2003 Domäne angebunden ist ?
Und noch etwas ordentliche SPAM und Content filter sind nicht üblich. Wir reden von ordentlich da sind es meistens Appliance Lösungen die richtig € kosten.
Da ihr nun mal eine 2003-er Server Lösung habt wäre es quatsch euch vom 2003 Server wegzuholen und alles über Linux zu machen. Also eure Mail´s Bsp. über Postfix mit allen möglichen Filtern, sowie Samba als DC zu nutzen. Tja aber ich gehe davon aus das ihr Windows CALS habt und es wäre blödsinn diese einfach nicht zu nutzen wenn sie schon mal da sind.

cu,
erikro
erikro 28.01.2008 um 16:29:44 Uhr
Goto Top
Hallo zusammen,

Also zu erikro meine ich du greifst da etwas
hoch Analyse und etc.

So, tue ich das? Es wurde nach einer Firewall für ein Unternehmen gefragt. Darauf lässt sich keine Antwort geben, ohne dass vorher gründlich analysiert wird, vor welchen Bedrohungen diese FW denn schützen soll.

Ich gehe bei einer
Bildungstätte davon aus das die
Ausstattung durch Bildungsträger oder
wem auch immer erfolgt und da oft kaum Geld

Teil einer solchen Analyse: Wieviele Mittel stehen zur Verfügung, um welche Werte zu schützen.

vorhanden ist. Im Prinzip könnte man bei
deiner Aufgabenstellung extrem in jede
Richtung ausschweifen ja und wenn´s
erikro mag auch so extrem aufziehen.
Um hier detaillierte Antworten geben zu
können benötigt man genauere
Details. Der W2k3 Server ist das eine SBS ?
Der Exchange je nach W2k3 also SBS oder
Standard/EP nutzt dieser einen Smarthost um
seine Post abzuholen oder besitzt ihren einen
MX-Record ?

Teil der Bedrohungsanalyse: Wie werden verschiedene Dienste im Netz genutzt, in welchem Ausmaß und zu welchem Zweck.

Die Trennung des Computerraumes und Firma
bei einem gemeinsamen Subnetz (IP
Adressbereich) könnte man mit einem
günstigen Layer2 Switch der
Portbasiertes VLAN kann machen.

So? Das habe ich mal einer IT-Abteilung vorgeführt, wie "sicher" das ist. Daher muss auch hier eine Bedrohungsanalyse her dergestalt: Reicht das aus, um den Aufwand über den Nutzen zu heben?

Tja was soll
ich sagen ohne jetzt in jede Richtung
auszuschweifen, was habt ihr für einen
Router. Es gibt wirklich tolle Router im
400€ Segment mit DMZ Funktion und einer
ordentlichen SIF. Aber wie gesagt
erwähne doch einfach mal wie das Budget
aussieht und ob ihr eventuell dedizierte
Aufgaben Mail etc. in eine DMZ legen wollt
u.s.w.

Ob man eine DMZ braucht oder nicht, lässt sich auch nur sagen, wenn vorher eine Bedrohungsanalyse stattgefunden hat. Vielleicht kommt bei der Analyse ja sogar raus, dass der alte Netgear ausreicht und die Trennung in zwei Teilnetze schlicht mit einem weiteren Billigrouter erfolgen kann.

Bei Nutzung des Exchange ist ja zwingend
eine AD nötig, ich gehe davon aus das
die 25 Clients in dieser Domäne
hängen ?!
Dann wäre meine Frage was für eine
Rolle spielt der Debian Server wenn dieser
nicht mal über winbind an die 2003
Domäne angebunden ist ?

Auch wieder eine Frage, die zum Thema: "Welche Bedrohungen liegen vor und was wird bedroht?" gehören.

Und noch etwas ordentliche SPAM und Content
filter sind nicht üblich. Wir reden von
ordentlich da sind es meistens Appliance
Lösungen die richtig € kosten.

Wieder eine Frage der Bedrohung bzw. dessen, was man erreichen möchte. Geht es um Spam und Content Filter, dann rufe ich mal ganz laut "Proxy". ;) Das muss nicht unbedingt teuer sein.

Da ihr nun mal eine 2003-er Server
Lösung habt wäre es quatsch euch
vom 2003 Server wegzuholen und alles
über Linux zu machen. Also eure
Mail´s Bsp. über Postfix mit allen
möglichen Filtern, sowie Samba als DC zu
nutzen. Tja aber ich gehe davon aus das ihr
Windows CALS habt und es wäre
blödsinn diese einfach nicht zu nutzen
wenn sie schon mal da sind.

Aber was hat das mit der Anbindung ans Netz zu tun? Willst du etwa die eine Firewall auf dem Server2k3 installieren? ;) Besser nicht. Aber auch das ist Teil einer Bedrohungsanalyse bzw. der Analyse, wie man solcher Bedrohungen Herr wird: "Wie ist der Ist-Zustand und welche Teile des Netzes müssen unbedingt erhalten bleiben?"

Firewalling ist kein einfaches Thema, das sich mit einfachen Empfehlungen abhandeln lässt. Das, womit solche Lösungen stehen und fallen, ist schlicht brain 1.0. Alles andere ergibt sich dann meist von selbst.

Liebe Grüße

Erik
kopie0123
kopie0123 04.03.2009 um 19:17:29 Uhr
Goto Top
Hallo!

Hier mal der Stand der Dinge:

Ich habe jetzt schon seit einigen Monaten einen IPCop laufen und bin hoch zufrieden mit der Firewall. Alles was wir benötigen kann ich mit dem Cop lösen - sehr zuempfehlen.

Gruß Stinger