12
Firewall - Wer soll Routen?
Guten Tag zusammen,
leider bin ich bei meinem Netzwerk Projekt doch noch einmal ins Grübeln gekommen, was der bessere Weg wäre:
Plan war, meinen CISCO SG350X das Routing machen zu lassen.
Allerdings soll schon eine recht perfomante pfsense+ Firewall von Netgate 7100 davor, davor hängt dann ein VIGOR Nur-Modem.
Hinter dem Cisco Switch wird es noch einen kleinen Switch auf einem anderen Stockwerk geben, weil da nur eine LAN Buchse ist, sodass es da keine verschiedenen VLANs geben könnte ohne extra-Switch.
Was ich hier jetzt schon öfters gelesen habe, ist, dass der Level 3 Switch das Routing natürlich machen kann, es aber (so wie ich verstehe) doch besser beim Firewall Router aufgehoben wäre aus sicherheitstechnischer Sicht, weil die Firewall eben statful ist, und der Switch mit seinen Zugangsbeschränkungen aber nicht.
Dann wiederum die Einschränkung, dass für Heimnetz aber auch der Switch Routen "dürfe".
Was genau bedeutet das dann in der Praxis? Einige features kommen ja erst noch über entsprechende Software / Module im Netzwerk für die Firewall hinzu...
Sollte z.B. aus Performance Gründen der CISCO erst bei über 20 PCs und Druckern und vielen Verkehr Routen?
Oder gerade umgekehrt in meinem Fall? Besser die Firewall, weil sicherer und genauso schnell im Heimnetzwerk mit 2 PC, 3 Laptops und einem NAS?
Vielen lieben Dank schon einmal !
leider bin ich bei meinem Netzwerk Projekt doch noch einmal ins Grübeln gekommen, was der bessere Weg wäre:
Plan war, meinen CISCO SG350X das Routing machen zu lassen.
Allerdings soll schon eine recht perfomante pfsense+ Firewall von Netgate 7100 davor, davor hängt dann ein VIGOR Nur-Modem.
Hinter dem Cisco Switch wird es noch einen kleinen Switch auf einem anderen Stockwerk geben, weil da nur eine LAN Buchse ist, sodass es da keine verschiedenen VLANs geben könnte ohne extra-Switch.
Was ich hier jetzt schon öfters gelesen habe, ist, dass der Level 3 Switch das Routing natürlich machen kann, es aber (so wie ich verstehe) doch besser beim Firewall Router aufgehoben wäre aus sicherheitstechnischer Sicht, weil die Firewall eben statful ist, und der Switch mit seinen Zugangsbeschränkungen aber nicht.
Dann wiederum die Einschränkung, dass für Heimnetz aber auch der Switch Routen "dürfe".
Was genau bedeutet das dann in der Praxis? Einige features kommen ja erst noch über entsprechende Software / Module im Netzwerk für die Firewall hinzu...
Sollte z.B. aus Performance Gründen der CISCO erst bei über 20 PCs und Druckern und vielen Verkehr Routen?
Oder gerade umgekehrt in meinem Fall? Besser die Firewall, weil sicherer und genauso schnell im Heimnetzwerk mit 2 PC, 3 Laptops und einem NAS?
Vielen lieben Dank schon einmal !
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1910745649
Url: https://administrator.de/contentid/1910745649
Printed on: April 24, 2024 at 23:04 o'clock
12 Comments
Latest comment
Moin,
Du kannst den Switch genau dann routen lassen, wenn du auf der Firewall eh zwischen diesen Netzen alles erlauben würdest. Dann wird die FW nicht mit diesem Traffic "belästigt". Ansonsten sollte die Firewall den Verkehr regeln, weil man dann das Regelwerk einfacher konsistent halten kann.
lks
Du kannst den Switch genau dann routen lassen, wenn du auf der Firewall eh zwischen diesen Netzen alles erlauben würdest. Dann wird die FW nicht mit diesem Traffic "belästigt". Ansonsten sollte die Firewall den Verkehr regeln, weil man dann das Regelwerk einfacher konsistent halten kann.
lks
Das hängt ja auch ein wenig von der Umgebung ab - es kann durchaus auch sinn machen das man es aufteilt. Traffic der gar nicht über die Firewall gehen muss (z.B. Multicast von nem Streaming-Gerät) braucht ggf. nicht erst über ne Firewall laufen, da reicht das Routing aufm Switch aus. Damit würde man die FW dann nur unnötig belasten.
Generell würde ich sowas eher auf der Firewall machen - weil dort dann auch die Regeln natürlich zugewiesen werden können. ABER es kann eben auch ausnahmen geben..
Generell würde ich sowas eher auf der Firewall machen - weil dort dann auch die Regeln natürlich zugewiesen werden können. ABER es kann eben auch ausnahmen geben..
Es hängt letzlich immer dafon ab welche Sicherheits Policy der TO sich selber für sein Netzwerk gibt. Hilfreich zur Beantwortung wäre wenn man auch noch wüsste welche Traffic Volumina er VLAN übergreifend plant zu routen. Dazu macht er leider keinerlei hilfreiche Aussagen. 
Somit ist es dann auch unmöglich eine zielführende und auch sinnvolle Antwort auf die Frage zu geben welches Designkonzept "besser" ist und welches nicht. Weiss er vermutlich auch selber...?!
Klar arbeiten ACLs schneller und performanter in Silizium als eine Firewall. Wobei es auch wieder auf die Firewall Hardware ankommt die diese pauschel Annahme wieder relativiert. Desweiteren hängt es vom Netzdesign ab.
Eine sog. "one armed" Firewall belastet den Trunk immer mit doppeltem Traffic (deshalb auch die Frage nach den Volumina) usw.
Allesamt Punkte die der TO nicht beantwortet. Frage also was seine Erwartungshaltung ist für eine belastbare Antwort ?
Somit ist es dann auch unmöglich eine zielführende und auch sinnvolle Antwort auf die Frage zu geben welches Designkonzept "besser" ist und welches nicht. Weiss er vermutlich auch selber...?!
Klar arbeiten ACLs schneller und performanter in Silizium als eine Firewall. Wobei es auch wieder auf die Firewall Hardware ankommt die diese pauschel Annahme wieder relativiert. Desweiteren hängt es vom Netzdesign ab.
Eine sog. "one armed" Firewall belastet den Trunk immer mit doppeltem Traffic (deshalb auch die Frage nach den Volumina) usw.
Allesamt Punkte die der TO nicht beantwortet. Frage also was seine Erwartungshaltung ist für eine belastbare Antwort ?
Zitat von @jedineo2002:
... öfters gelesen habe, ist, dass der Level 3 Switch das Routing natürlich machen kann, es aber (so wie ich verstehe) doch besser beim Firewall Router aufgehoben wäre aus sicherheitstechnischer Sicht, weil die Firewall eben statful ist, und der Switch mit seinen Zugangsbeschränkungen aber nicht.
Dann wiederum die Einschränkung, dass für Heimnetz aber auch der Switch Routen "dürfe".
... öfters gelesen habe, ist, dass der Level 3 Switch das Routing natürlich machen kann, es aber (so wie ich verstehe) doch besser beim Firewall Router aufgehoben wäre aus sicherheitstechnischer Sicht, weil die Firewall eben statful ist, und der Switch mit seinen Zugangsbeschränkungen aber nicht.
Dann wiederum die Einschränkung, dass für Heimnetz aber auch der Switch Routen "dürfe".
a) Layer3
b) Ist das so?! Das würde ja heißen, dass ich den Traffic in größeren Setups über mehrere Ebenen "nach oben reiche" bis zur Firewall. Das gibt zum einem Flaschenhälse und ist doch deutlich weniger performant als den Traffic möglichst "vor Ort" d.h. innerhalb des L3-Switches abzufackeln?! Ich stelle mir gerade mehrere 100 Clients vor, deren Netzwerkverkehr (fast) jedesmal über die Firewall zentralisiert wird?!
c) Nehmen wir an, Du trennst u.a. Wifi vom Rest und die Server von den Clients ab ... so wie das hier gerne empfohlen wird. Dann ist - im Prinzip - jeder interne Client-Zugriff am Ende Firewall-gesteuert ... das frisst richtig Leistung und Bandbreite in den internen Uplinks! Und die Latenz nimmt auch zu.
Zitat von @Visucius:
a) Layer3
b) Ist das so?! Das würde ja heißen, dass ich den Traffic in größeren Setups über mehrere Ebenen "nach oben reiche" bis zur Firewall. Das gibt zum einem Flaschenhälse und ist doch deutlich weniger performant als den Traffic möglichst "vor Ort" d.h. innerhalb des L3-Switches abzufackeln?!
Zitat von @jedineo2002:
... öfters gelesen habe, ist, dass der Level 3 Switch das Routing natürlich machen kann, es aber (so wie ich verstehe) doch besser beim Firewall Router aufgehoben wäre aus sicherheitstechnischer Sicht, weil die Firewall eben statful ist, und der Switch mit seinen Zugangsbeschränkungen aber nicht.
Dann wiederum die Einschränkung, dass für Heimnetz aber auch der Switch Routen "dürfe".
... öfters gelesen habe, ist, dass der Level 3 Switch das Routing natürlich machen kann, es aber (so wie ich verstehe) doch besser beim Firewall Router aufgehoben wäre aus sicherheitstechnischer Sicht, weil die Firewall eben statful ist, und der Switch mit seinen Zugangsbeschränkungen aber nicht.
Dann wiederum die Einschränkung, dass für Heimnetz aber auch der Switch Routen "dürfe".
a) Layer3
b) Ist das so?! Das würde ja heißen, dass ich den Traffic in größeren Setups über mehrere Ebenen "nach oben reiche" bis zur Firewall. Das gibt zum einem Flaschenhälse und ist doch deutlich weniger performant als den Traffic möglichst "vor Ort" d.h. innerhalb des L3-Switches abzufackeln?!
Deswegen muss man vorher schauen, wie viel Traffic von wo nach wo geht und dementsprechend die Infrastruktur optimieren. Es ist nirgendwo festgeschrieben, daß es nur eine Firewall geben darf. Es ist durchaus üblich, zusätzliche dedizierte Firewalls z.B. zwischen organisatorischen Einheiten einzusetzen und diese unabhängig von den Firewalls an den İnternetgateways zu halten.
lks
Es ist nirgendwo festgeschrieben, daß es nur eine Firewall geben darf.
Ok, stimmt auch wieder! Du meinst also, er sollte mehrere Firewalls für sein Heimnetzwerk mit 5 PCs und einem NAS einplanen?! 😉
PS: Ist ja nicht so, als ob man nicht auf jedem Client auch noch eine Firewall zur Verfügung hätte ...
Zitat von @Visucius:
Ok, stimmt auch wieder! Du meinst also, er sollte mehrere Firewalls für sein Heimnetzwerk mit 5 PCs und einem NAS einplanen?! 😉
Es ist nirgendwo festgeschrieben, daß es nur eine Firewall geben darf.
Ok, stimmt auch wieder! Du meinst also, er sollte mehrere Firewalls für sein Heimnetzwerk mit 5 PCs und einem NAS einplanen?! 😉
Je nachdem. ob die 5 PCs miteinender reden dürfen udn wieviel Traffic die zum NAS und zjm Internet generieren, kann das durchaus sinnvoll sein. Stell Dir eine Studentenwg vor, bei der zwei sich ein NAS teilen, aber ansonsten alle nicht auf das jeweilige Netz des anderen zugreifen können sollen und der traffic von um zum NAS nicht die "Internetfirewall" belasten soll, bzw. von dem unabhängig laufen soll.
Daß das in diesem speziellen fall notwendig wäre, habe ich nciht gesagt. Und meine Antwort bezog sich darauf, ob man allen Traffic komplett über die switchkaskade immer zur Firewall leiten muß.
lks
Und meine Antwort bezog sich darauf, ob man allen Traffic komplett über die switchkaskade immer zur Firewall leiten muß.
Da hast Du natürlich völlig Recht! Ich sehe schon, so ein Heimnetzwerk lässt sich - mit hinreichend Eventualitäten -zu einem epischen Projekt aufblasen. Ich drücke dann mal die Daumen und bin froh, doch zum Mikrotik gegriffen zu haben.
Mahlzeit,
ich würde den Cisco-Switch routen lassen und zwischen Switch und Firewall ein Transfernetz setzen. Ansonsten schiebst du allen Traffic zwischen deinen Netzen vom Switch zur FW und wieder zurück. Wenn du nur den Verkehr nach "draußen" über das Transfernetz und die FW abfackelst, dann hast du auch die FW-Regeln übersichtlich.
Gruß NV
ich würde den Cisco-Switch routen lassen und zwischen Switch und Firewall ein Transfernetz setzen. Ansonsten schiebst du allen Traffic zwischen deinen Netzen vom Switch zur FW und wieder zurück. Wenn du nur den Verkehr nach "draußen" über das Transfernetz und die FW abfackelst, dann hast du auch die FW-Regeln übersichtlich.
Gruß NV
Zitat von @NixVerstehen:
Mahlzeit,
ich würde den Cisco-Switch routen lassen und zwischen Switch und Firewall ein Transfernetz setzen. Ansonsten schiebst du allen Traffic zwischen deinen Netzen vom Switch zur FW und wieder zurück. Wenn du nur den Verkehr nach "draußen" über das Transfernetz und die FW abfackelst, dann hast du auch die FW-Regeln übersichtlich.
Mahlzeit,
ich würde den Cisco-Switch routen lassen und zwischen Switch und Firewall ein Transfernetz setzen. Ansonsten schiebst du allen Traffic zwischen deinen Netzen vom Switch zur FW und wieder zurück. Wenn du nur den Verkehr nach "draußen" über das Transfernetz und die FW abfackelst, dann hast du auch die FW-Regeln übersichtlich.
Aber nur dann wenn man den internen Verkehr nicht reglementieren muß.
lks
Puh..., seid Ihr alle schnell, das Forum hier ist wirklich einmalig!
Ihr habt natürlich (leider)alle Recht, was wiederum daran liegt, dass ich zu sehr Laie bin, um die operativen Geschäftsvorfälle oder besser Gedankenvorfälle so präzise zu schildern, z.B. mit den Traffic Volumina, dass Ihr +/- weniger klar sagen könntet, was in diesem genauen Szenario eindeutig die beste Lösung wäre.
Das tut mir auch furchtbar leid, weil ich Eure Zeit damit ja nicht unnötig stehlen möchte.
Ich kann nur sagen, dass es 2 Firmenlaptops im Homeoffice gibt, per WLAN, die ich unbedingt vom privaten Netzwerk trennen möchte, ausserdem ein NAS, auf das nur ein privater Rechner, 1 privates Laptop und eben eine Streamingbox zugreifen können soll, und andere Leute von Extern per VPN.
Leicht höheres Volumen - denke ich - gibt es nur dann, wenn ca. 30 bis 200 Gbit an Bildern von der EBV auf dem PC ins NAS verschoben werden müssen (wobei natürlich die Festplatten das Bottle Neck darstellen), und wenn 4k Filme vom NAS geladen werden sollen. Wobei es demnächst auch noch Videokameras geben soll, die aufzeichnen.
oder meint aus meiner Sicht genau dasselbe:
Das war genau die Idee mit Routing auf dem Switch, weil PC an NAS und zurück (für Bilder, Scans, Filme) nicht durch die Firewall müssen, da kein Internet dazu nötig ist und das so am schnellsten ginge.
Nun muss ja aber jeder Client irgendwann mal ins Internet oder auf dem PC öffne ich dummerweise eine Email mit Schadsoftware. .... wäre das Routing im Switch dann eben ein schlechtes Setup, weil ja dann der PC direkt aufs NAS zugreifen kann ohne durch die Firewall zu müssen, diese sozusagen aushebelt, weil der Switch das zulässt?
Oder mache ich in dieser leider wieder mega-theoretischen Frage einen Gedankenfehler?
Könnte die Firewall bei einem infizierten PC überhaupt helfen, wenn sie selber Routen würde, denn den Zugriff vom PC auf das NAS müsste sie ja erstmal auch zulassen - oder?
Könnte eine Anti-Viren-Software auf der Firewall oder im Netzwerk helfen, dass wenn der PC wegen Enduser-Dämlichkeit infiziert wird, der PC das Problem aber dann wenigstens nicht mehr aufs NAS weitervertreiben kann, dort Dateien zerschossen oder gesperrt werden könnten?
Ginge das, und falls ja, dann nur mit Routing auf der Firewall??
So, jetzt habe ich mich vollends entlarvt und Ihr wisst Bescheid....hätte dazu noch ein mega-cooles Zitat von einem Profi hier, das da genau ins Schwarze trifft... wurde aber bestimmt in einem kl. Wutanfall etwas krass geschrieben und deswegen zitiere ich es lieber nicht.
Ihr habt natürlich (leider)alle Recht, was wiederum daran liegt, dass ich zu sehr Laie bin, um die operativen Geschäftsvorfälle oder besser Gedankenvorfälle so präzise zu schildern, z.B. mit den Traffic Volumina, dass Ihr +/- weniger klar sagen könntet, was in diesem genauen Szenario eindeutig die beste Lösung wäre.
Das tut mir auch furchtbar leid, weil ich Eure Zeit damit ja nicht unnötig stehlen möchte.
Ich kann nur sagen, dass es 2 Firmenlaptops im Homeoffice gibt, per WLAN, die ich unbedingt vom privaten Netzwerk trennen möchte, ausserdem ein NAS, auf das nur ein privater Rechner, 1 privates Laptop und eben eine Streamingbox zugreifen können soll, und andere Leute von Extern per VPN.
Leicht höheres Volumen - denke ich - gibt es nur dann, wenn ca. 30 bis 200 Gbit an Bildern von der EBV auf dem PC ins NAS verschoben werden müssen (wobei natürlich die Festplatten das Bottle Neck darstellen), und wenn 4k Filme vom NAS geladen werden sollen. Wobei es demnächst auch noch Videokameras geben soll, die aufzeichnen.
Zitat von @maretz:
Das hängt ja auch ein wenig von der Umgebung ab - es kann durchaus auch sinn machen das man es aufteilt. Traffic der gar nicht über die Firewall gehen muss (z.B. Multicast von nem Streaming-Gerät) braucht ggf. nicht erst über ne Firewall laufen, da reicht das Routing aufm Switch aus. Damit würde man die FW dann nur unnötig belasten.
Das hängt ja auch ein wenig von der Umgebung ab - es kann durchaus auch sinn machen das man es aufteilt. Traffic der gar nicht über die Firewall gehen muss (z.B. Multicast von nem Streaming-Gerät) braucht ggf. nicht erst über ne Firewall laufen, da reicht das Routing aufm Switch aus. Damit würde man die FW dann nur unnötig belasten.
oder meint aus meiner Sicht genau dasselbe:
Zitat von @Visucius:
b) Ist das so?! Das würde ja heißen, dass ich den Traffic in größeren Setups über mehrere Ebenen "nach oben reiche" bis zur Firewall. Das gibt zum einem Flaschenhälse und ist doch deutlich weniger performant als den Traffic möglichst "vor Ort" d.h. innerhalb des L3-Switches abzufackeln?! Ich stelle mir gerade mehrere 100 Clients vor, deren Netzwerkverkehr (fast) jedesmal über die Firewall zentralisiert wird?!
b) Ist das so?! Das würde ja heißen, dass ich den Traffic in größeren Setups über mehrere Ebenen "nach oben reiche" bis zur Firewall. Das gibt zum einem Flaschenhälse und ist doch deutlich weniger performant als den Traffic möglichst "vor Ort" d.h. innerhalb des L3-Switches abzufackeln?! Ich stelle mir gerade mehrere 100 Clients vor, deren Netzwerkverkehr (fast) jedesmal über die Firewall zentralisiert wird?!
Das war genau die Idee mit Routing auf dem Switch, weil PC an NAS und zurück (für Bilder, Scans, Filme) nicht durch die Firewall müssen, da kein Internet dazu nötig ist und das so am schnellsten ginge.
Nun muss ja aber jeder Client irgendwann mal ins Internet oder auf dem PC öffne ich dummerweise eine Email mit Schadsoftware. .... wäre das Routing im Switch dann eben ein schlechtes Setup, weil ja dann der PC direkt aufs NAS zugreifen kann ohne durch die Firewall zu müssen, diese sozusagen aushebelt, weil der Switch das zulässt?
Oder mache ich in dieser leider wieder mega-theoretischen Frage einen Gedankenfehler?
Könnte die Firewall bei einem infizierten PC überhaupt helfen, wenn sie selber Routen würde, denn den Zugriff vom PC auf das NAS müsste sie ja erstmal auch zulassen - oder?
Könnte eine Anti-Viren-Software auf der Firewall oder im Netzwerk helfen, dass wenn der PC wegen Enduser-Dämlichkeit infiziert wird, der PC das Problem aber dann wenigstens nicht mehr aufs NAS weitervertreiben kann, dort Dateien zerschossen oder gesperrt werden könnten?
Ginge das, und falls ja, dann nur mit Routing auf der Firewall??
So, jetzt habe ich mich vollends entlarvt und Ihr wisst Bescheid....hätte dazu noch ein mega-cooles Zitat von einem Profi hier, das da genau ins Schwarze trifft... wurde aber bestimmt in einem kl. Wutanfall etwas krass geschrieben und deswegen zitiere ich es lieber nicht.
Oder mache ich in dieser leider wieder mega-theoretischen Frage einen Gedankenfehler?
Wenn Dein Rechner mit Root, Admin oder Schreibrechten auf dem gesamten NAS arbeitet, dürfte das der FW egal sein. So ein "Risiko" würde ich wenn, dann aber auch eher mit der lokalen Firewall des NAS begegnen.
Wie erfolgreich da ist, hängt wohl von den Zugriffsrechten und auch der Art des Angriffs ab. Ich achte z.B. ebenso darauf, dass das BS des NAS nicht dem der Clients entspricht. Sprich NAS ist Linux/Unix und nicht ausgerechnet auch noch Windows.
... und dann halt: Backup!
