ipzipzap
Goto Top

Mehrstufige Firewalls - wann und wo sinnvoll?

Hallo,

habt ihr Erfahrung, wo und wann mehrstufige Firewallkonzepte sinnvoll sind?

Bei uns (mittelständisches Unternehmen) ist fast alles in der Cloud und/oder per SAAS eingekauft. Intern gibt es zwar ein paar Server, da sind aber keine direkten geschäftskritischen Dinge drauf.

Nun hatten meine Vorgänger ein dreistufiges Firewallkonstrukt gebaut

Internet <> Firewall <> Firewall <> Firewall <> Internes LAN

mit zig nicht genutzen VLANs, was ich bis heute aber nicht verstanden habe, wieso. Nach dem Umzug in ein neues Gebäude ist es noch zweistufig und sieht temporär jetzt so aus:

Internet <> Firewall <> Internes LAN <> Firewall <> Server LAN

Meine Vorgesetzten sind hier Pro-BSI und sagen, das steht so im BSI-Handbuch, das man eine mehrstufige Firewall haben MUSS. Ja, das steht da drin, aber ich verstehe nicht, wieso man so ein Konstrukt in einem "normalen" Bürogebäude haben muß. Wir sind kein Chemiekonzern oder ein Atomkraftwerk und stellen auch keine Waffen her. Ich finde, eine einzige Firewall (bzw. HA-Cluster) und die Netze sauber per VLAN getrennt reichen doch vollkommen aus, oder sehe ich das falsch? Die Wahrscheinlichkeit, das sich jemand auf die Firewall hackt und dann vor dort aus in alle VLANs kommen könnte, sehe ich doch als sehr gering an.

Ich würde das so umbauen, das es nur noch ein einziger Cluster für alles ist, was auch die Wartung einfacher macht. Zur Not halt noch ein Cluster für den reinen Internetzugang, also als externe Firewall und einen Cluster für alles interne und die VLANs.

Wie gesagt, im BSI-Handbuch steht es zwar so drin, in der Praxis bzw. in der freien Wildbahn habe ich das bei Kunden in den letzten 10+ Jahren noch nie gesehen und es wurde auch nie gefordert.

Wie seht ihr das? Sehe ich das zu lasch oder meine Kollegen zu paranoisch?

ipzipzap

Content-ID: 5408800504

Url: https://administrator.de/forum/mehrstufige-firewalls-wann-und-wo-sinnvoll-5408800504.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

StefanKittel
StefanKittel 16.01.2023 um 17:11:55 Uhr
Goto Top
Hallo,
man kann durchaus versuchen mit 2-3 Luschen-Firewall und fummeliger Konfiguration den Angreifer zu verwirren.
Sicherheit schafft man damit nicht zwangsläufig...

Eine gute und zentrale Firewall sollte in den meistne Fällen ausreichen.
Und eine DMZ kann die auch erstellen.

Hängt natürlich von den konkreten Anforderungen ab.

Stefan
em-pie
em-pie 16.01.2023 um 17:30:41 Uhr
Goto Top
Mon,

eine ähnliche Diskussion im Verlaufe des Threads gab es hier schon mal:
2 Firewall devices sinnvoll?
Vision2015
Vision2015 16.01.2023 um 17:32:41 Uhr
Goto Top
Moin,

die frage ist ja, was bezeichnet ihr als Firewall genau?

ein mehrstufiger aufbau, bestehend aus der hintereinanderschaltung eines paketfilters, eines Application Level Gateway und eines weiteren paketfilters kann gut funktionieren, kann aber auch probleme bringen.

Frank
MysticFoxDE
MysticFoxDE 16.01.2023 um 17:59:37 Uhr
Goto Top
Moin @ipzipzap,

Meine Vorgesetzten sind hier Pro-BSI und sagen, das steht so im BSI-Handbuch, das man eine mehrstufige Firewall haben MUSS. Ja, das steht da drin, aber ich verstehe nicht, wieso man so ein Konstrukt in einem "normalen" Bürogebäude haben muß.

nö, das steht so nicht wirklich drin.
Im BSI-Handbuch steht lediglich etwas über mehrstufige Paketfilter, aber diese Anforderung kannst du auch mit einem einzigen SGW abfackeln. 😁

Ich würde das so umbauen, das es nur noch ein einziger Cluster für alles ist, was auch die Wartung einfacher macht.

👍👍👍, sehr gute Idee.

Wie gesagt, im BSI-Handbuch steht es zwar so drin, in der Praxis bzw. in der freien Wildbahn habe ich das bei Kunden in den letzten 10+ Jahren noch nie gesehen und es wurde auch nie gefordert.

Nein, das brauchst du so wie gesagt nicht wirklich, auch nicht laut dem BSI.
Habe erst letztes Jahr ein größeres Konzept für ehöhten Schutzbedarf mit nur einem SGW-Cluster von der BSI-Bande absegnen lassen. 🤪

Wie seht ihr das? Sehe ich das zu lasch oder meine Kollegen zu paranoisch?

Tippe auf das letztere.

Beste Grüsse aus BaWü
Alex
Dani
Dani 16.01.2023 aktualisiert um 19:27:41 Uhr
Goto Top
Moin,
bei einem zweistufigen Firewall Konzept geht es u.a. auch darum, zwei unterschiedlichen Engines von zwei unterschiedlichen Herstellern zu nutzen. Taucht eine Sicherheitslücke in Produkt A auf ist diese nicht automatisch auch in Produkt B vorhanden. Viele Unternehmen nutzen das Design auch um ein 4 bzw. 8 Augenprinzip durch zwei unabhängige Teams einzuführen. Damit soll zum einen Kontrolle geschaffen werden, zum anderen um mögliche Konfigurationsfehlern nicht Tür und Angel zu öffnen.

Wir sind kein Chemiekonzern oder ein Atomkraftwerk und stellen auch keine Waffen her.
Wichtig ist, ob ihr a) zur KRITIS gehört B) Zertifizierungen habt C) Kunden habt, die zertifiziert sind. Je nachdem sind davon indirekt auch IT-Dienstleister betroffen.

Wie seht ihr das? Sehe ich das zu lasch oder meine Kollegen zu paranoisch?
dazu kennen wir eure Umgebung zu wenig.


Gruß,
Dani
MysticFoxDE
MysticFoxDE 16.01.2023 um 19:47:00 Uhr
Goto Top
Moin Dani,

Taucht eine Sicherheitslücke in Produkt A auf ist diese nicht automatisch auch in Produkt B vorhanden.

ähm, aber genau das ist bei vielen SGW's der Fall, auch wenn diese von unterschiedlichen Herstellern kommen , da sich diese, abgesehen von der GUI, quasi unter dem Kleidchen, nicht wirklich gravierend voneinander unterscheiden. 😉

Gruss Alex
Lochkartenstanzer
Lochkartenstanzer 16.01.2023 um 20:55:03 Uhr
Goto Top
Moin,

Man kann Firewalls kaskadieren, und das wird in großen LANs sogar manchmal gemacht. Aber man muß es nciht und es ist nicht immer sinnvoll, daß auch zu machen. Wie immer sollte am Anfange so einer Planung erstmal die Bedrohungsnalyse und die Risikoabschätzung stehen und dann erst aufgrund dieser Ergebnisse geplant werden. Da kann es durchaus sinnvoll sein, einfach eine zentrale Firewall zu installieren und alles dort zu regeln als mehrere unerschiedliche Firewalls hinzustellen und dann den Überblick zu verlieren.

lks
Trommel
Trommel 16.01.2023 um 21:59:47 Uhr
Goto Top
Moin,

ich schlaf zweistufig oft besser ...

Trommel
awesomenik
awesomenik 16.01.2023 um 22:13:07 Uhr
Goto Top
ähm, aber genau das ist bei vielen SGW's der Fall
Bei vielen aber nicht bei allen, kann man also entsprechend planen.

Ich würde es auch von den Anforderungen abhängig machen.

Bei den meisten KMUs würde ich aber eher davon ausgehen, dass Komplexität der Tod der Sicherheit ist und dementsprechend eine ordentlich konfigurierte Firewall einem zweistufigen zusammengebasteltem Aufbau vorziehen.
2423392070
2423392070 17.01.2023 um 03:47:58 Uhr
Goto Top
So wie früher ist das nicht mehr Up2Date. Obwohl das Konzept schon immer eher merkwürdig war.

Es gibt bei uns Möglichkeiten, dass man deutlich mehr als drei Firewalls passiert, bis man am Ziel ist. Das hat aber nicht den Hintergrund von Stufen.
Wenn ich in den USA im VPN bin und auf eine Steuerung in CZ zugreifen will, dann sind es 5 Sonicwalls die ich passiere.
MysticFoxDE
MysticFoxDE 17.01.2023 um 05:55:28 Uhr
Goto Top
Moin @awesomenik,

Bei vielen aber nicht bei allen, kann man also entsprechend planen.

um das einzuplanen musst du es aber auch wissen.
Die wenigsten ITler können jedoch einem SGW richtig unters Kleidchen schauen.

Ich würde es auch von den Anforderungen abhängig machen.

Bei den meisten KMUs würde ich aber eher davon ausgehen, dass Komplexität der Tod der Sicherheit ist und dementsprechend eine ordentlich konfigurierte Firewall einem zweistufigen zusammengebasteltem Aufbau vorziehen.

👍👍👍... kann mich nur anschliessen.

Beste Grüsse aus BaWü

Alex
MysticFoxDE
MysticFoxDE 17.01.2023 um 06:11:55 Uhr
Goto Top
Moin Zusammen,

so jetzt nochmal zu dem Thema BSI Empfehlung.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/i ...

bsi-sgw

Ich sehe hier nur ein SGW (Sicherheits-Gateway).
PF2 und PF6 können übrigens zusammengelegt werden.

Beste Grüsse aus BaWü
Alex
MysticFoxDE
MysticFoxDE 17.01.2023 um 06:22:02 Uhr
Goto Top
Moin @2423392070,

dann sind es 5 Sonicwalls die ich passiere.

das hört sich leicht nach P-A-P-P-A-P-P-A-P-P-A-P-P-A-P an.
Da stellen sich bei mir jetzt schon sämtliche Nackenhaare, alleine wenn ich nur an debugging denke. 😱

Gruss Alex
Vision2015
Vision2015 17.01.2023 um 06:36:21 Uhr
Goto Top
moin...
Zitat von @MysticFoxDE:

Moin @2423392070,

dann sind es 5 Sonicwalls die ich passiere.
aber an verschiedenen Standorten!

das hört sich leicht nach P-A-P-P-A-P-P-A-P-P-A-P-P-A-P an.
Da stellen sich bei mir jetzt schon sämtliche Nackenhaare, alleine wenn ich nur an debugging denke. 😱
wiso... ist doch Latte, wirst du nicht nach Stunden Bezahlt?

Gruss Alex
Frank
2423392070
2423392070 17.01.2023 um 07:08:46 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @2423392070,

dann sind es 5 Sonicwalls die ich passiere.

das hört sich leicht nach P-A-P-P-A-P-P-A-P-P-A-P-P-A-P an.
Da stellen sich bei mir jetzt schon sämtliche Nackenhaare, alleine wenn ich nur an debugging denke. 😱

Gruss Alex

Lass mich raten. Du kennst die Hardware und Software nicht?
2423392070
2423392070 17.01.2023 um 07:09:38 Uhr
Goto Top
Zitat von @Vision2015:

moin...
Zitat von @MysticFoxDE:

Moin @2423392070,

dann sind es 5 Sonicwalls die ich passiere.
aber an verschiedenen Standorten!


In dem konkreten Beispiel sind es drei Standorte.
MysticFoxDE
MysticFoxDE 17.01.2023 um 07:54:30 Uhr
Goto Top
Moin Frank,

wiso... ist doch Latte, wirst du nicht nach Stunden Bezahlt?

ich schon. 😁

Gruss Alex
MysticFoxDE
MysticFoxDE 17.01.2023 um 08:02:07 Uhr
Goto Top
Moin @2423392070,

Lass mich raten. Du kennst die Hardware und Software nicht?

sorry, ZONK! 🤪
Die SonicWall's sind NGFW's, also so was ähnliches wie SGW's und funktionieren somit ebenfalls nach dem P-A-P Prinzip. 😉

Gruss Alex
2423392070
2423392070 17.01.2023 um 08:26:17 Uhr
Goto Top
Es gibt echt brauchbare Managementsoftware. Sonst wäre die Sache sehr arbeits- und fehleranfällig. Es sind ja nicht nur die Firewalls, sondern auch APs die verwaltet werden müssen.
110135
110135 17.01.2023 um 08:28:19 Uhr
Goto Top
Hi,

ich habe in den letzten Jahren einige Kritis Umgebungen gebaut.
Da waren mehrstufige Firewalls Gang und gebe.
Eine Firewall als WAN-Breakout, eine andere für internen Traffic zwischen den Segmengen und dann wiederum andere, sobald es aus dem Office-LAN in Richtung kritischer Infrastruktur geht (OT).
Es gibt durchaus Anwendungen wo es Sinn ergibt. Allerdings stumpf 4 Firewalls des selben Typs zu kaskadieren - puh…
2423392070
2423392070 17.01.2023 um 09:18:26 Uhr
Goto Top
Im Kritis-Bereichen wird man sowas ein Mal mehr finden.

Dennoch findet man dort auch SPSen die nur offline zu schützen sind.
Was Wago z.b. treibt finde ich unverantwortlich.