ipzipzap
Goto Top

Mehrstufige Firewalls - wann und wo sinnvoll?

Hallo,

habt ihr Erfahrung, wo und wann mehrstufige Firewallkonzepte sinnvoll sind?

Bei uns (mittelständisches Unternehmen) ist fast alles in der Cloud und/oder per SAAS eingekauft. Intern gibt es zwar ein paar Server, da sind aber keine direkten geschäftskritischen Dinge drauf.

Nun hatten meine Vorgänger ein dreistufiges Firewallkonstrukt gebaut

Internet <> Firewall <> Firewall <> Firewall <> Internes LAN

mit zig nicht genutzen VLANs, was ich bis heute aber nicht verstanden habe, wieso. Nach dem Umzug in ein neues Gebäude ist es noch zweistufig und sieht temporär jetzt so aus:

Internet <> Firewall <> Internes LAN <> Firewall <> Server LAN

Meine Vorgesetzten sind hier Pro-BSI und sagen, das steht so im BSI-Handbuch, das man eine mehrstufige Firewall haben MUSS. Ja, das steht da drin, aber ich verstehe nicht, wieso man so ein Konstrukt in einem "normalen" Bürogebäude haben muß. Wir sind kein Chemiekonzern oder ein Atomkraftwerk und stellen auch keine Waffen her. Ich finde, eine einzige Firewall (bzw. HA-Cluster) und die Netze sauber per VLAN getrennt reichen doch vollkommen aus, oder sehe ich das falsch? Die Wahrscheinlichkeit, das sich jemand auf die Firewall hackt und dann vor dort aus in alle VLANs kommen könnte, sehe ich doch als sehr gering an.

Ich würde das so umbauen, das es nur noch ein einziger Cluster für alles ist, was auch die Wartung einfacher macht. Zur Not halt noch ein Cluster für den reinen Internetzugang, also als externe Firewall und einen Cluster für alles interne und die VLANs.

Wie gesagt, im BSI-Handbuch steht es zwar so drin, in der Praxis bzw. in der freien Wildbahn habe ich das bei Kunden in den letzten 10+ Jahren noch nie gesehen und es wurde auch nie gefordert.

Wie seht ihr das? Sehe ich das zu lasch oder meine Kollegen zu paranoisch?

ipzipzap

Content-Key: 5408800504

Url: https://administrator.de/contentid/5408800504

Printed on: May 27, 2024 at 06:05 o'clock

Member: StefanKittel
StefanKittel Jan 16, 2023 at 16:11:55 (UTC)
Goto Top
Hallo,
man kann durchaus versuchen mit 2-3 Luschen-Firewall und fummeliger Konfiguration den Angreifer zu verwirren.
Sicherheit schafft man damit nicht zwangsläufig...

Eine gute und zentrale Firewall sollte in den meistne Fällen ausreichen.
Und eine DMZ kann die auch erstellen.

Hängt natürlich von den konkreten Anforderungen ab.

Stefan
Member: em-pie
em-pie Jan 16, 2023 at 16:30:41 (UTC)
Goto Top
Mon,

eine ähnliche Diskussion im Verlaufe des Threads gab es hier schon mal:
2 Firewall devices sinnvoll?
Member: Vision2015
Vision2015 Jan 16, 2023 at 16:32:41 (UTC)
Goto Top
Moin,

die frage ist ja, was bezeichnet ihr als Firewall genau?

ein mehrstufiger aufbau, bestehend aus der hintereinanderschaltung eines paketfilters, eines Application Level Gateway und eines weiteren paketfilters kann gut funktionieren, kann aber auch probleme bringen.

Frank
Member: MysticFoxDE
MysticFoxDE Jan 16, 2023 at 16:59:37 (UTC)
Goto Top
Moin @ipzipzap,

Meine Vorgesetzten sind hier Pro-BSI und sagen, das steht so im BSI-Handbuch, das man eine mehrstufige Firewall haben MUSS. Ja, das steht da drin, aber ich verstehe nicht, wieso man so ein Konstrukt in einem "normalen" Bürogebäude haben muß.

nö, das steht so nicht wirklich drin.
Im BSI-Handbuch steht lediglich etwas über mehrstufige Paketfilter, aber diese Anforderung kannst du auch mit einem einzigen SGW abfackeln. 😁

Ich würde das so umbauen, das es nur noch ein einziger Cluster für alles ist, was auch die Wartung einfacher macht.

👍👍👍, sehr gute Idee.

Wie gesagt, im BSI-Handbuch steht es zwar so drin, in der Praxis bzw. in der freien Wildbahn habe ich das bei Kunden in den letzten 10+ Jahren noch nie gesehen und es wurde auch nie gefordert.

Nein, das brauchst du so wie gesagt nicht wirklich, auch nicht laut dem BSI.
Habe erst letztes Jahr ein größeres Konzept für ehöhten Schutzbedarf mit nur einem SGW-Cluster von der BSI-Bande absegnen lassen. 🤪

Wie seht ihr das? Sehe ich das zu lasch oder meine Kollegen zu paranoisch?

Tippe auf das letztere.

Beste Grüsse aus BaWü
Alex
Member: Dani
Dani Jan 16, 2023 updated at 18:27:41 (UTC)
Goto Top
Moin,
bei einem zweistufigen Firewall Konzept geht es u.a. auch darum, zwei unterschiedlichen Engines von zwei unterschiedlichen Herstellern zu nutzen. Taucht eine Sicherheitslücke in Produkt A auf ist diese nicht automatisch auch in Produkt B vorhanden. Viele Unternehmen nutzen das Design auch um ein 4 bzw. 8 Augenprinzip durch zwei unabhängige Teams einzuführen. Damit soll zum einen Kontrolle geschaffen werden, zum anderen um mögliche Konfigurationsfehlern nicht Tür und Angel zu öffnen.

Wir sind kein Chemiekonzern oder ein Atomkraftwerk und stellen auch keine Waffen her.
Wichtig ist, ob ihr a) zur KRITIS gehört B) Zertifizierungen habt C) Kunden habt, die zertifiziert sind. Je nachdem sind davon indirekt auch IT-Dienstleister betroffen.

Wie seht ihr das? Sehe ich das zu lasch oder meine Kollegen zu paranoisch?
dazu kennen wir eure Umgebung zu wenig.


Gruß,
Dani
Member: MysticFoxDE
MysticFoxDE Jan 16, 2023 at 18:47:00 (UTC)
Goto Top
Moin Dani,

Taucht eine Sicherheitslücke in Produkt A auf ist diese nicht automatisch auch in Produkt B vorhanden.

ähm, aber genau das ist bei vielen SGW's der Fall, auch wenn diese von unterschiedlichen Herstellern kommen , da sich diese, abgesehen von der GUI, quasi unter dem Kleidchen, nicht wirklich gravierend voneinander unterscheiden. 😉

Gruss Alex
Member: Lochkartenstanzer
Lochkartenstanzer Jan 16, 2023 at 19:55:03 (UTC)
Goto Top
Moin,

Man kann Firewalls kaskadieren, und das wird in großen LANs sogar manchmal gemacht. Aber man muß es nciht und es ist nicht immer sinnvoll, daß auch zu machen. Wie immer sollte am Anfange so einer Planung erstmal die Bedrohungsnalyse und die Risikoabschätzung stehen und dann erst aufgrund dieser Ergebnisse geplant werden. Da kann es durchaus sinnvoll sein, einfach eine zentrale Firewall zu installieren und alles dort zu regeln als mehrere unerschiedliche Firewalls hinzustellen und dann den Überblick zu verlieren.

lks
Member: Trommel
Trommel Jan 16, 2023 at 20:59:47 (UTC)
Goto Top
Moin,

ich schlaf zweistufig oft besser ...

Trommel
Member: awesomenik
awesomenik Jan 16, 2023 at 21:13:07 (UTC)
Goto Top
ähm, aber genau das ist bei vielen SGW's der Fall
Bei vielen aber nicht bei allen, kann man also entsprechend planen.

Ich würde es auch von den Anforderungen abhängig machen.

Bei den meisten KMUs würde ich aber eher davon ausgehen, dass Komplexität der Tod der Sicherheit ist und dementsprechend eine ordentlich konfigurierte Firewall einem zweistufigen zusammengebasteltem Aufbau vorziehen.
Mitglied: 2423392070
2423392070 Jan 17, 2023 at 02:47:58 (UTC)
Goto Top
So wie früher ist das nicht mehr Up2Date. Obwohl das Konzept schon immer eher merkwürdig war.

Es gibt bei uns Möglichkeiten, dass man deutlich mehr als drei Firewalls passiert, bis man am Ziel ist. Das hat aber nicht den Hintergrund von Stufen.
Wenn ich in den USA im VPN bin und auf eine Steuerung in CZ zugreifen will, dann sind es 5 Sonicwalls die ich passiere.
Member: MysticFoxDE
MysticFoxDE Jan 17, 2023 at 04:55:28 (UTC)
Goto Top
Moin @awesomenik,

Bei vielen aber nicht bei allen, kann man also entsprechend planen.

um das einzuplanen musst du es aber auch wissen.
Die wenigsten ITler können jedoch einem SGW richtig unters Kleidchen schauen.

Ich würde es auch von den Anforderungen abhängig machen.

Bei den meisten KMUs würde ich aber eher davon ausgehen, dass Komplexität der Tod der Sicherheit ist und dementsprechend eine ordentlich konfigurierte Firewall einem zweistufigen zusammengebasteltem Aufbau vorziehen.

👍👍👍... kann mich nur anschliessen.

Beste Grüsse aus BaWü

Alex
Member: MysticFoxDE
MysticFoxDE Jan 17, 2023 at 05:11:55 (UTC)
Goto Top
Moin Zusammen,

so jetzt nochmal zu dem Thema BSI Empfehlung.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/i ...

bsi-sgw

Ich sehe hier nur ein SGW (Sicherheits-Gateway).
PF2 und PF6 können übrigens zusammengelegt werden.

Beste Grüsse aus BaWü
Alex
Member: MysticFoxDE
MysticFoxDE Jan 17, 2023 at 05:22:02 (UTC)
Goto Top
Moin @2423392070,

dann sind es 5 Sonicwalls die ich passiere.

das hört sich leicht nach P-A-P-P-A-P-P-A-P-P-A-P-P-A-P an.
Da stellen sich bei mir jetzt schon sämtliche Nackenhaare, alleine wenn ich nur an debugging denke. 😱

Gruss Alex
Member: Vision2015
Vision2015 Jan 17, 2023 at 05:36:21 (UTC)
Goto Top
moin...
Zitat von @MysticFoxDE:

Moin @2423392070,

dann sind es 5 Sonicwalls die ich passiere.
aber an verschiedenen Standorten!

das hört sich leicht nach P-A-P-P-A-P-P-A-P-P-A-P-P-A-P an.
Da stellen sich bei mir jetzt schon sämtliche Nackenhaare, alleine wenn ich nur an debugging denke. 😱
wiso... ist doch Latte, wirst du nicht nach Stunden Bezahlt?

Gruss Alex
Frank
Mitglied: 2423392070
2423392070 Jan 17, 2023 at 06:08:46 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @2423392070,

dann sind es 5 Sonicwalls die ich passiere.

das hört sich leicht nach P-A-P-P-A-P-P-A-P-P-A-P-P-A-P an.
Da stellen sich bei mir jetzt schon sämtliche Nackenhaare, alleine wenn ich nur an debugging denke. 😱

Gruss Alex

Lass mich raten. Du kennst die Hardware und Software nicht?
Mitglied: 2423392070
2423392070 Jan 17, 2023 at 06:09:38 (UTC)
Goto Top
Zitat von @Vision2015:

moin...
Zitat von @MysticFoxDE:

Moin @2423392070,

dann sind es 5 Sonicwalls die ich passiere.
aber an verschiedenen Standorten!


In dem konkreten Beispiel sind es drei Standorte.
Member: MysticFoxDE
MysticFoxDE Jan 17, 2023 at 06:54:30 (UTC)
Goto Top
Moin Frank,

wiso... ist doch Latte, wirst du nicht nach Stunden Bezahlt?

ich schon. 😁

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jan 17, 2023 at 07:02:07 (UTC)
Goto Top
Moin @2423392070,

Lass mich raten. Du kennst die Hardware und Software nicht?

sorry, ZONK! 🤪
Die SonicWall's sind NGFW's, also so was ähnliches wie SGW's und funktionieren somit ebenfalls nach dem P-A-P Prinzip. 😉

Gruss Alex
Mitglied: 2423392070
2423392070 Jan 17, 2023 at 07:26:17 (UTC)
Goto Top
Es gibt echt brauchbare Managementsoftware. Sonst wäre die Sache sehr arbeits- und fehleranfällig. Es sind ja nicht nur die Firewalls, sondern auch APs die verwaltet werden müssen.
Mitglied: 110135
110135 Jan 17, 2023 at 07:28:19 (UTC)
Goto Top
Hi,

ich habe in den letzten Jahren einige Kritis Umgebungen gebaut.
Da waren mehrstufige Firewalls Gang und gebe.
Eine Firewall als WAN-Breakout, eine andere für internen Traffic zwischen den Segmengen und dann wiederum andere, sobald es aus dem Office-LAN in Richtung kritischer Infrastruktur geht (OT).
Es gibt durchaus Anwendungen wo es Sinn ergibt. Allerdings stumpf 4 Firewalls des selben Typs zu kaskadieren - puh…
Mitglied: 2423392070
2423392070 Jan 17, 2023 at 08:18:26 (UTC)
Goto Top
Im Kritis-Bereichen wird man sowas ein Mal mehr finden.

Dennoch findet man dort auch SPSen die nur offline zu schützen sind.
Was Wago z.b. treibt finde ich unverantwortlich.