Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall richtig konfigurieren - Firebox X20e

Mitglied: OhnePower

OhnePower (Level 1) - Jetzt verbinden

11.11.2007, aktualisiert 21.11.2007, 10355 Aufrufe, 5 Kommentare

Firebox X20e

Hallo...

das Thema Firewall ist hier sicher schon sehr umfangreich beschrieben worden...
Trotzdem habe ich ein paar Fragen mit der Bitte um Antwort


Wir haben für unsere Firma eine Hardwarefirewall (WG Firebox X20e) angeschafft um endlich von diesen uneffektiven Einzelplatzlösungen wegzukommen, VPN zu ermöglichen und einen "vernünftigen" SPAM Filter für POP und später SMTP zu implementieren.

Auf die Gefahr hin das ich hier ausgelacht werde....
Wer kann mir bitte Mal ganz genau erklären was der Unterschied zwischen Proxy Policies und Packet Filter Policies ist?? Dürfen solche "Regeln" beide aktiviert sein, oder nicht? Ich schnall's einfach nicht... ich finde dazu auch nicht viel Passendes im Netz!



07e5d2a093e09201c838a113f07dce65-wgx20e - Klicke auf das Bild, um es zu vergrößern



Für mobile VPN-User gibt es bei WG verschiedene Authentifizierungs-Algorithmen und Verschlüsselungs-Algorithmen die eigentlich auch erklärt werden... aber es wird nichts empfohlen.... was sollte es sein??



07e7b7f091b62f805cdd00c26f8be109-wgx20e_vpn - Klicke auf das Bild, um es zu vergrößern



Wer kennt sich mit der Firebox X20e aus und ist bereit etwas von seinem Wissen abzugeben In welcher Form auch immer... vielleicht ne kurz Aufstellung mit den wirklich wichtigen Einstellungen... wäre toll!!

***
Hier als Nachtrag die Intrusion Prevention - DoS Defense Seite...
Welche Optionen sind wichtig... und welche verschlingen nur unnötig Resourcen??


04bb0233e2c5afd930548dd74c530b06-wgx20e_dos - Klicke auf das Bild, um es zu vergrößern




Vielen im Voraus!!!

Gruß Maik...
Mitglied: Rafiki
12.11.2007 um 20:40 Uhr
Hi,

1.Eine Paket-Regel erlaubt Pakete von x nach y wenn ein bestimmter Port verwenden wird.
Eine Proxy-Regel baut die Verbindung selber auf und stellt sicher das auch das drin ist was sein soll.

Beispiel: Alle aus dem Internet dürfen smtp an meinen Email Server
Die Regel sieht gleich aus. Allow outside any to emailserver port 25.

Vergleiche das Ergebnis beider Regeln mittels Telnet aus dem Internet (z.B. von zuhause)

c:> telnet meinemailser.meinefirma.de 25 (25 ist der smtp port)
Wenn du nur einen Paket Filter einrichtest wird die Verbindung direkt zum Emailserver aufgebaut der dann in der Begrüßung bereits seine Software Version nennt.
Wenn du hingegen die Proxy Regel verwendest wird die Verbindung zunächst nur mit der Firewall aufgebaut. Eine potenziellen Angreifer wird eine sehr unverfängliche Meldung angezeigt.

Beispiel:
Connecting to [194.1.2.3] port [25]...
220 name ESMTP email ready at <Datum, Uhrzeit usw.>

Es ist dann viel schwieriger z.B. einen Bufferoverflow auszunutzen. Eine Proxy Regel ist also deutlich sicherer als eine Port Regel die halt auf Port 25 alles durchlässt. Allerdings benötigt eine Proxyregel viel mehr CPU und RAM und es kann passieren das einzelne Features evtl. nicht unterstützt werden. Für den Emailserver und deinen eigen DNS Server, so fern ihr einen habt, würde ich immer die Proxy Regel empfehlen.


2. Es ist möglich DES mit einigem Rechenaufwand zu knacken und wird daher nicht mehr verwendet. Bei 3DES wurde auch schon einmal mit enormem Aufwand eine Brute Force Attacke durchgeführt. AES gilt gegenwärtig als sicher. AES128 benötigt weniger Rechenaufwand als 3DES. Deshalb rate ich zu AES128. Ob nun MD5 oder SHA ist in der Praxis egal. Wichtig ist ein wirklich langer Shared Key aus zufälligen Zeichen. Beispiel: 40 Zeichen Key erstellen lassen.
http://www.commumedia.de/keygenerator_wpa_hex_undefined.htm
Diese Shared Keys musst du verteidigen wie Passworte. Ich verwende http://keepass.info/ (Version 1.x) um alle Keys mit zig Partner Firmen und Standorte zu verwalten.
Gibt niemandem diese Keys! Wann immer möglich trage den Key selber auf dem Client ein. Für eine VPN Verbindung zu einer anderen Firma tausche den Key per FAX aus, nicht per Email. Verwende für jede VPN Verbindung einen einmaligen Shared Key.


3. Kostenloser Tipp:
Gewöhn dir von Anfang an diese Reihenfolge an:
Bevor du beginnst zu arbeiten immer die aktuelle Konfiguration mit fortlaufender Nummer abspeichern.
Trage in eine einfache Textdatei ein:
Heute (Datum) Laufende Nr. 32
Geplante Änderung: smtp paket regel auf Proxy Technik ändern. NAT berücksichtigen.
neuen Benutzer MaxMuster für VPN angelegt
Dann Änderungen durchführen und unter der *nächsten* Nummer speichern.
Dann neue Regel prüfen und Textdatei ergänzen.
Laufende Nr. 33: neue Proxy Regel geprüft.

Damit bist du, oder dein Vertreter, in der Lage nach zu vollziehen warum eine Regel so eingetragen wurde und ob diese Regel noch Sinn macht. Was nützt dir deine Firewall wenn du in 6 Monaten nicht mehr weißt welche Regeln wichtig und gut sind.

Gruß Rafiki
Bitte warten ..
Mitglied: OhnePower
14.11.2007 um 17:43 Uhr
Hallo Rafiki...

erstmal herzlichen Dank für die "fette" Antwort! Ich bin begeistert!!

Diese Proxy-Geschichte, ist so erklärt, ja doch recht einfach... Sorry!
Der Keygenerator steht jetzt ganz oben auf meiner Favoritenliste und der Key-Safe... super!!

Die Idee die Konfigurationsdatei nach Änderungsstand zu sichern find ich gut, nur wie komm ich an die Datei ran? Die Box lässt keinen ftp zu, oder?

Noch mal zum http-proxy:
Hab den jetzt ziemlich für unsere Ansprüche konfiguriert, funktioniert auch fast alles...
Sorgen bereitet mir aber noch das Windows-Update! Die Workstations sollen sich die Updates eigentlich automatisch holen. Obwohl ich für die "MS-Update" Seiten eine Ausnahme definiert habe, werden die Updates nicht heruntergladen. Erst wenn ich den Content-Filer und den Dateifilter deaktiviere, geht's! Hast du nen Tipp?

Intrusion Prevention:
Ich bin mir nicht ganz sicher ob ich alle DoS Defense Optionen aktivieren soll. Hab mir die Sachen im Netz angeschaut... die meisten Raten davon ab weil der Datendurchsatz extrem ausgebremst wird... wie wichtig ist das? Hat da jemand nen Tipp?


Gruß Mike
Bitte warten ..
Mitglied: Rafiki
14.11.2007 um 21:36 Uhr
Wie kann ich die Konfigurationsdatei sichern?

Ich habe hier nur eine alte Firebox III zum herumspielen, aber keine X Edge. Die Firebox III hatte eine Windows Software. Da ist es ganz einfach die Konfiguration zu speichern. Die X Edge hat anscheinend nur das WebInterface.
Jetzt habe ich gerade einen Blick in das Handbuch geworfen:
http://www.watchguard.com/help/documentation/edge.asp

Im Kappitel 4 wird erklärt das man unter Administration die Config Datei sehen kann, aber sichern oder gar wiederherstellen kann ich nicht finden. Frag doch mal Watchguard wie man ein Backup der Einstellungen macht.



Habe ich irgend wo http-proxy gesagt? <noch mal lesend.... nö habe ich nicht.>
Eine Email - 1 Verbindung. 2000 (ca. 40MB) Emails am Tag, mit der Proxyregel schützen ist OK.
Eine http Verbindung bedeutet das von einer komplexen Webseite 10 bis 50 Bilder, css file und java script nachgeladen werden. Wenn 10 Benutzer im Internet surfen macht das ca. 50 http Verbindungen parallel. Da jeder Benutzer 30 bis 100 mal mehr Webseiten aufruft als Emails schreibt ist die arme kleine x-box ist damit schnell an ihren RAM und CPU Grenzen, auch wenn Watchguard gerne etwas andres behauptet.
Probier es doch selber mal aus: öffne in Firefox 10 Tabs jeweils bei flicker, deviantart.com, www.netzeitung.de und ftd.de. Das sind alles schöne komplexe Webseiten. Dann im Firefox "Alle Tabs neu laden" auswählen. Mit der Proxyregel dauert das deutlich länger als mit der Paketfilterregel.
Ein dedizierter Proxyserver (für teures Geld) kann hier mehr leisten.

DoS Defense Optionen? So etwas kann die kleine rote Kiste? Kann ich im Handbuch nicht finden.
Gateway Anti-Virus/ Intrusion Prevention Service (GAV/IPS) finde ich im Handbuch. Probier einfach aus welchen Einfluss das auf die Performance hat.

Gruß Rafiki
Bitte warten ..
Mitglied: OhnePower
21.11.2007 um 14:19 Uhr
Hey Rafiki...

von http-proxy hast du nichts gesagt, richtig! Ich habs trotzdem ausprobiert und für vollkommen ungeeignet für unsere Firma abgestempelt...

Den Beitrag habe ich um ein Bild der Intrusion Prevention erweitert, hier speziell die DoS Defense Seite... Auch hier gibt es eine umfangreiche Beschreibung vom Herrsteller, die mir aber auch nicht wirklich hilft...

Welche Optionen sind wirklich wichtig und welche verbrauchen nur unnötig Systemresourcen?

Danke schonmal...


Gruß Mike
Bitte warten ..
Mitglied: Rafiki
21.11.2007 um 20:45 Uhr
von http-proxy hast du nichts gesagt, richtig! Ich habs trotzdem ausprobiert und für vollkommen ungeeignet für unsere Firma abgestempelt...

Hey Mike, du lernst schnell, das gefällt mir.

Es gibt viele Arten von DoS und unterschiedliche Techniken um diese in ihrer Wirkung zu schwächen. Siehe auch: http://de.wikipedia.org/wiki/Denial_of_Service

DoS erkennen und abwehren geschieht auf einer Firewall meistens über sogenannte TCP Syn Cookies. Was genau Watchguard hier verwendet weiß ich nicht.

Es ist durchaus möglich das der DoS Filter auch mal gute Pakte ausfiltert und ihr euch wundert warum z.B. der Emailserver nicht alle Emails empfängt. Das Windows 2003 mit SP2 hat wieder einige Filter gegen einige bestimmte DoS Varianten eingebaut, z.B. TCP Syn flood. Ich würde einen solchen DoS Filter erst einschalten wenn ihr bzw. euer Server tatsächlich unter einem Angriff leidet.
Das entdecken von DoS Angriffen und das entwickeln von Gegenmaßnahmen geht ständig weiter. Nur wenn eure Firewall genau den Angriff filtern kann den ein Angreifer gegen euere Server verwendet nützt euch diese Funktion. Deshalb sollte man die Updates für die Firewall regelmäßig laden.


Gruß Rafiki
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Netzwerkkonzept mit neuer Firewall Watchguard Firebox M200

gelöst Frage von mario87Windows Netzwerk11 Kommentare

Hallo zusammen, unser Netzwerk ist langsam aber sicher voll. Es handelt sich um ein Class C-Netz. Nun soll eine ...

Firewall

Firewall für DMZ und Intranet richtig konfigurieren

Frage von vGavenFirewall3 Kommentare

Hi, ich habe ein Business DSL Anschluss mit fester IP und eine Firewall erhalten, die FVS318N, und würde gerne ...

Router & Routing

WatchGuard Firebox X700

Frage von amgm2006Router & Routing8 Kommentare

Hallo, uns ist ein Rechner agbeschmiert, wo die Firebox X700 Konfiguriert wurde. Jetzt finden wir die Passende Software nicht ...

Netzwerkgrundlagen

Firebox T15 NAT

gelöst Frage von thomasjayNetzwerkgrundlagen9 Kommentare

Hallo zusammen, benötige mal wieder eure Hilfe! Wir müssen eine 1 to 1 NAT in der Firebox einrichten! externe ...

Neue Wissensbeiträge
Sicherheit
Have i been pwned Datensammlung lokal durchsuchen
Information von sabines vor 42 MinutenSicherheit

Heise beschreibt in diesem Artikel wie man seine eigenen Passwörter prüfen kann. Da viele den Weg der Onlineprüfung scheuen, ...

Windows 10

Windows 10 kann XPS erzeugen aber nicht anzeigen ????

Erfahrungsbericht von Deepsys vor 1 TagWindows 101 Kommentar

Heute schickt mir ein Kollegen eine E-Mail mit einer XPS-Datei vom Kunden im Anhang und fragt wie er diese ...

Exchange Server

1und1 IONOS: Probleme beim Mailversand mit Exchange

Information von reksierp vor 1 TagExchange Server3 Kommentare

Hallo, seit Do, 17.1.19 etwa Mittags nimmt 1und1 IONOS keine Mails mehr über den Standard-Port SMTP 25 an. Nachdem ...

LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aqui vor 2 TagenLAN, WAN, Wireless

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials und beschreibt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Wo lässt sich das Gateway in der FRITZ!Box 7360 einstellen?
gelöst Frage von OssabowLAN, WAN, Wireless18 Kommentare

Hallo all, nach gründlicher Suche scheine ich der einzige zu sein der das Problem hat (macht micht schon mal ...

Windows Server
Sicherung Domain Controller
gelöst Frage von Monto1Windows Server16 Kommentare

Hallo zusammen, wie sichert Ihr den Domain Controller? Selbst, wenn zwei parallel laufen, ist eine Sicherung doch mal nützlich. ...

Windows Server
MSSQL Backup in Form von .sql einspielen
Frage von janosch12Windows Server15 Kommentare

Guten Morgen, wir verwenden das Tool SQLandFTPBackup ( ) zum sichern einiger MSSQL Datenbanken. Nun sichert das Toll die ...

Microsoft Office
Office 2016 oder Office 2019
Frage von PeterzMicrosoft Office13 Kommentare

Hallo zusammen, wir müssen unser Office von 2010 auf eine neuere Version Umstellen. Jetzt stellt sich die Frage, ob ...