bitdreher
Goto Top

Firewall Konzept, von LAN ins WAN erstmal alles verbieten?

Hallo zusammen,

mich würde einmal interessieren wie Eure Firewalls arbeiten.

Wenn was vom WAN ins LAN will wird es geblockt, soweit klar.

Nur wie sieht es aus, wenn etwas vom LAN ins WAN will. Sollte man hier auch erst mal alles blocken und dann nach und nach Dinge wie HTTP und HTTPS für das LAN freischalten?

Oder ist dies zu übertrieben?
Und man sollte sich hier auf bestimme Dienste wie SMTP konzentrieren, dass diese nur vom Exchange Server ins WAN kommen aber nicht von einem Client?

Wie macht Ihr das?

Content-ID: 220416

Url: https://administrator.de/forum/firewall-konzept-von-lan-ins-wan-erstmal-alles-verbieten-220416.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

108012
108012 25.10.2013 um 10:14:43 Uhr
Goto Top
Hallo,

mich würde einmal interessieren wie Eure Firewalls arbeiten.
Und die meisten Leute hier werden genau das nicht in einem Forum schreiben wollen, denn bei sehr vielen
Mitgliedern hier im Forum verhält es sich so, dass sie ein Produktivnetz in einer Firma betreuen.

Wenn was vom WAN ins LAN will wird es geblockt, soweit klar.
Wenn es denn nicht berechtigt ist (VPN Verbindung) und wenn es nicht von einem dahinter
liegenden Klienten angefordert wurde, ist dem so und sicherlich auch vernünftig.

Nur wie sieht es aus, wenn etwas vom LAN ins WAN will. Sollte man hier auch erst mal alles blocken und dann nach
und nach Dinge wie HTTP und HTTPS für das LAN freischalten?
Kann man so machen und sicherlich auch eine vernünftige Sache aber dazu muss bzw. sollte man erst
einmal herausfinden welche Firewall Du einsetzt und dann erst sollte man sich ganz einfach hinsetzen und eine
logische Reihenfolge herausfinden, denn bei sehr vielen Firewalls geht es wie folgt zur Sache, "first rule matches all"
das heißt zu deutsch die erste Regel greift und das kann auch mit Problemen behaftet sein.

Oder ist dies zu übertrieben?
Es muss logisch sein, darf sich nicht aufheben und sollte sich nicht stören (Regeln untereinander).

Und man sollte sich hier auf bestimme Dienste wie SMTP konzentrieren, dass diese nur vom
Exchange Server ins WAN kommen aber nicht von einem Client?
Das kommt auf so viele Faktoren an und ist sicherlich nicht überall gleich!
Denn zum Einen steht der Exchange in einer DMZ und zum Anderen im LAN auf einem SBS integriert!
und die Einstellungen am Klienten sagen ja eigentlich dem Klienten was er von wo und über was genau
abruft, das unterbinden von FreeMailern ist aber wieder eine andere Sache.

Gruß
Dobby
Pjordorf
Pjordorf 25.10.2013 um 11:20:22 Uhr
Goto Top
Hallo,

Zitat von @Bitdreher:
mich würde einmal interessieren wie Eure Firewalls arbeiten.
Na, wie Firewalls ebenface-smile

Wenn was vom WAN ins LAN will wird es geblockt, soweit klar.
Jaein.

Nur wie sieht es aus, wenn etwas vom LAN ins WAN will. Sollte man hier auch erst mal alles blocken und dann nach und nach Dinge
wie HTTP und HTTPS für das LAN freischalten?
So siehts aus.

Oder ist dies zu übertrieben?
Warum?

Und man sollte sich hier auf bestimme Dienste wie SMTP konzentrieren, dass diese nur vom Exchange Server ins WAN kommen aber nicht von einem Client?
Nur auf einen Port alleine sich zu Konzentrieren bringt deinen Mitarbeitern nicht wirklich wasface-smile

Wie macht Ihr das?
Vernünftige Firewall (Nein, keine FritzBox) einsetzen und dann das was benötigt wird mit vernünftigen Regeln erlauben. Dokumentieren, fertisch.

Eine Juniper oder Sophos UTM oder PFsense oder Monowall oder ein FLI4L oder eine ... machen ohne Konfiguration erstmal alles dicht. In allen Richtungen. Was macht deine uns unbekannte Firewall?

Gruß,
Peter
Bitdreher
Bitdreher 25.10.2013 um 12:33:25 Uhr
Goto Top
Hallo,

ich habe keine ZyWALL USG 50.

Vom WAN ins LAN ist alles dich, bestimmte Ports müssen per Regel geöffnet werden.

Allerdings ist vom LAN ins WAN alles offen, daher meine Frage. face-smile
108012
108012 25.10.2013 um 13:30:19 Uhr
Goto Top
Allerdings ist vom LAN ins WAN alles offen, daher meine Frage
Kommt eben auch darauf an was Du alles unterbinden möchtest und was die Mitarbeiter nicht können sollen
bzw. dürfen, und das weißt in der Regel immer nur Du.

Gruß
Dobby
Bitdreher
Bitdreher 25.10.2013 um 13:43:39 Uhr
Goto Top
Es geht eher weniger um die Mitarbeiter sondern mehr um die Sicherheit.

Nehme ich z.B. einen E-Mail Bot, Trojaner was auch immer, welcher SPAM über ein infiziertes System verschicken will.
Oder sonst was für Viren welche nach Hause telefonieren wollen.
108012
108012 25.10.2013 um 14:24:47 Uhr
Goto Top
Sicherheit ist immer ein Zusammenspiel von vielen Punkten und Sachen die man in einem
Unternehmen umsetzen, aufsetzen und durchsetzen muss bzw. kann oder will.

Eine UTM Lösung ist da wohl besser geeignet als eine reine Firewall, da sie gleich mehrere Funktionen mitbringt:
- AV Scann
- Malware Scann
- Kontentfilter
- IDS/IPS
- AntiSpam

Klar die kosten dann eben auch Lizenzgebühren, aber es geht auch ohne dies.

Ein HTTP Proxy Server das die Server in der DMZ nicht direkt mit dem Internet in Verbindung stehen.
- Squid
- Squidguard
- DansGuardian - Kontentfilter
- Snort - IDS/IPS
- HAVP + ClamAV - OpenSource Antivirenlösung

Extra eine DMZ mit einem Layer2 Switch aufsetzten in der die Server stehen die den Internetkontakt haben
- Webserver
- FTP/SFTP Server
- SQL Server
- MailServer
- PBX Server

Und diese dann auch sichern und verteidigen mit Snort oder Suricata.
- DMZ Radius Server
- DMZ externer DNS Server
- DMZ Snort Sensor
- Switch ACLs und Port Security Einstellungen

- Server gestützte AV Lösung auf den Servern und Klienten installieren
- WSUS für Windows Updates nehmen
- PSI Secunia für Programm Updates nehmen
- Mitarbeiterschulungen
- Surfen eventuell nur in einer Sandbox
- Am Freitag vor der Vollsicherung (Backup) einen Komplettscann der Klient PCs
- USB Ports via GPOs und mechanischen USB Schlössern sperren
- CD/DVD/BlueRay Laufwerke sperren
- Snort Server mit vielen Sensoren aufstellen
- LDAP für Kabel gebundene Klienten
- Radius Server mit Zertifikaten und Verschlüsselung für Kabel lose & WLAN Klienten
- Auch die Server regelmäßig einem Vollscann unterziehen
- Syslogserver aufsetzen der alle Protokolle von den Routern und Switchen einsammelt
- Bei einem Antispamanbieter eine Lizenz kaufen und den Spam dann gleich aussortieren lassen
- Firewall und Switchregeln recht regiede und eng handhaben.
- Ports sperren die eh nicht in Benutzung sind und gebraucht werden
- Einen DNS Server in der DMZ und einen im LAN
Der vom LAN kennt die Adressen der einzelnen Klienten und der in der DMZ nur die IP des internen Servers
- Mitarbeiterschulungen. Aushänge, Bekanntmachungen und eventuell Arbeitsanweisungen von der GL
- Gar keine Nutzung des Internets, wie Facebook, Twitter, Email und Surfen.
- Schwarz & Weiß Listen für URLs
- Ganze Länder oder Regionen unterbinden wie z.B. China, Aserbaidschan, Rumänien,.......
- VLANs anlegen und via ACLs absichern

Ich habe das nur einmal geschrieben damit Du nicht denkst dass man nur ein paar Firewallregeln
setzten muss und dann hat man Ruhe vor Viren, Trojanern und Würmern, das ist eben nur Wunschdenken
und gehört eigentlich nicht hier in das Forum, denn damit fängt es meist erst richtig an und so etwas kostet
dann eben auch ein paar Taler aber es bildet dann auch eine gute Basis um weitere Maßnahmen folgen zu
lassen und das gilt auch für kleine und mittlere Unternehmen, denn das macht man an dem zu entstehenden
Schaden ab und nicht an der Größe des Betriebes.

Gruß
Dobby
spacyfreak
spacyfreak 07.01.2014 aktualisiert um 16:25:05 Uhr
Goto Top
Wir habe nicht mal ne default route ins Internet, Die Anwender kommen nur via Proxyservice ins Internet.
Es werden halt grade via Webseitenbesuchen gerne Schädlinge verbreitet, da kommt man in Firmen nicht drumrum heutzutage Proxy/Contentfilter zu verwenden die das abfangen. Lokaler Antivirusclient kann da auch nicht alles abfangen wenn man sich nur darauf verlässt.

Bestimmte explizite Server im Internet die direkt erreicht werden müssen (weil die Anwendung nicht proxyfähig ist zum Beispiel) werden dagegen so restriktiv wie möglich erreichbar gemacht, in der Regel auch nur durch Server die in unseren DMZs stehen, wenn man davon ausgehen kann dass diese unseren Sicherheitsstandards entsprechen.