OPNSense statt Endian Firewall

Mitglied: hannes.hutmacher

hannes.hutmacher (Level 1) - Jetzt verbinden

27.11.2020 um 09:34 Uhr, 1081 Aufrufe, 14 Kommentare, 1 Danke

Hallo zusammen,

wir setzen hinter der pfSense, die die direkt am Internet hängt, noch eine Endian Firewall ein. Dazwischen ist unsere DMZ für verschiedene Server. Nun benötigen wir an der Endian eine weitere Schnittstelle für ein neues Netzwerk, was den gleichen Schutzbedarf hat wie das Mitarbeiternetzwerk, aber parallel betrieben werden soll.

Das Dumme ist, dass alle Schnittstllen der Endian belegt sind. "Rot, blau, Orange, Grün" sind alle belegt. Ich bräuchte eine 5. und ggf. 6. Schnittstelle. Würde ich der Endian eine weitere Netzwerkkarte verpassen, dann wäre sie zwar da, aber schlichtweg nicht konfigurierbar/nutzbar. Korrigiert mich, wenn es dazu etwas gibt.

Ich dachte daran OPNSense statt der Endian einzusetzen. Das WebUI ist gut verstanden. Ich frage mich aber, ob sich pfSense und OPNSense nicht zu ähnlich sind, da sie ja eben von der pfSense abstammt. Denke dabei an Sicherheitsprobleme.

Wie seht ihr das?
Was kann ich als Alternative nehmen?
Vielleicht irgendwas, was leicht zu verstehen ist.

Gruß aus dem Raum Düsseldorf
Mitglied: certifiedit.net
27.11.2020 um 10:12 Uhr
Guten Morgen,

Austausch gegen größere Endian?

Ansonsten kommt es immer drauf an, was Ihr braucht. Aber das Netzkonzept ist fragwürdig.

Grüße!

Christian
Bitte warten ..
Mitglied: hannes.hutmacher
27.11.2020, aktualisiert um 10:17 Uhr
Danke für deine Antwort.

Austausch gegen größere Endian?
Inwiefern größer? Du meinst mehr Schnittstellen? Das ist ja das Problem. Die Endian bietet nur die vier zur Verwaltung an. Die anderen sind schlichtweg nicht konfiguriertbar.

Ansonsten kommt es immer drauf an, was Ihr braucht.
Mehr Schnittstellen.

Aber das Netzkonzept ist fragwürdig.
Inwiefern?
Bitte warten ..
Mitglied: certifiedit.net
27.11.2020 um 10:19 Uhr
Auf der Endian Website seh ich auch welche mit 6, es gibt sicher auch größere. Kommt auf die Basis an.

Doppelte FW, ich würde mal aufgrund der Frage darauf tippen, dass dies nur doppelter Aufwand ist, aber keinen Zugewinn verspricht.
Bitte warten ..
Mitglied: ChriBo
27.11.2020 um 10:34 Uhr
Hi,
Die Endian bietet nur die vier zur Verwaltung an
Welche Endian Version verwendet ihr ? Endisn gibt es als Appliances mit mehr Schnittstellen.

Aber das Netzkonzept ist fragwürdig.
Inwiefern?
Das Netzwerkkonzept zwei unterschiedliche Firewalls hintereinanderzuschalten mit der DMZ dazwischen ist aus dem letzten Jahrtausend, wird aber teilweise noch vom BSI empfohlen.
Ich sehe da keinen Vorteil gegenüber nur einer vernünftig geplanten und implementierten Fierwall mit einer DMZ auf einem eigenem Interface.
Meiner Meinung nach hat dieses "2 Firewall Konzept" nur Nachteile, die z.B. sind: es müssen zwei unterschiedliche Systeme gewartet und verstanden werden; 2x Lizenzen plus Failover / Ersatzkonzepte werden benötigt; (teilweise) fürchterliches Routing und ggf. doppelt NAT; Wo setze ich die VPN Zugänge richtig ? Setze ich den VPN Endpunkt auf der äußeren Firewall, habe ich teilweise unverschlüsselten Traffic durch die DMZ in die inneren Netze. etc.

CH
Bitte warten ..
Mitglied: certifiedit.net
27.11.2020 um 10:38 Uhr
Korrekt, es gibt Setups, in denen das Sinn macht (zwei unterschiedliche Personenkreise), ggf. entsprechende Unterfirmen (high Risk). Aber ich denke, diese würden diese Frage nicht extern lösen müssen/wollen.

Wenn Ihr wollt können wir uns das gesamte Konzept einmal anschauen und verschlanken und dabei wohl auch noch sicherer gestalten.

Grüße!

Christian
Bitte warten ..
Mitglied: hannes.hutmacher
27.11.2020 um 11:50 Uhr
Das Netzwerkkonzept zwei unterschiedliche Firewalls hintereinanderzuschalten mit der DMZ dazwischen ist aus dem letzten Jahrtausend, wird aber teilweise noch vom BSI empfohlen. Ich sehe da keinen Vorteil gegenüber nur einer vernünftig geplanten und implementierten Fierwall mit einer DMZ auf einem eigenem Interface.
Und wie regelst du das, wenn die FW eine Schwachstelle hat?

Das zweistufige Firewallkonzept hat seine Nachteile. Da gebe ich dir Recht. Aber ich bekomme graue Haare bei dem Gedanken, dass nur eine FW zu überwinden ist, um gleich ans Herz des Organismus zu kommen.
Bitte warten ..
Mitglied: sabines
27.11.2020 um 13:16 Uhr
Zitat von hannes.hutmacher:

Das zweistufige Firewallkonzept hat seine Nachteile. Da gebe ich dir Recht. Aber ich bekomme graue Haare bei dem Gedanken, dass nur eine FW zu überwinden ist, um gleich ans Herz des Organismus zu kommen.

Moin, wenn Dir das wichtig ist, dann kommst Du um zwei FW von verschiedenen(!) Herstellern nicht rum.
Gruss
Bitte warten ..
Mitglied: it-fraggle
27.11.2020 um 13:21 Uhr
Moin, wenn Dir das wichtig ist, dann kommst Du um zwei FW von verschiedenen(!) Herstellern nicht rum.
Steht doch da.
wir setzen hinter der pfSense, die die direkt am Internet hängt, noch eine Endian Firewall ein.
Bitte warten ..
Mitglied: sabines
27.11.2020 um 13:38 Uhr
Und die Frage ob er von Endrian zu opensense (zusammen mit Pfsense) wechseln sollen hast du gelesen?
Bitte warten ..
Mitglied: ChriBo
27.11.2020 um 13:39 Uhr
nenn mir eine (Marken)Firewall oder Router bei dem in den letzten Jahren eine Schwachstelle überwunden wurde (eingehender Traffic) wenn:
Die Regeln ordnungsgemäß eingerichtet waren
und
Die Firewall selber keinen Service (Mangement per HTTPs oder SSH etc.) auf dem öffentlich zugängigen Interface bereitstellt.
-
Zweistufig macht imho ein Konzept aus Firewall und ALG mehr Sinn und kann mehr Sicherheit bieten.
damit kann dann ggf. auch ausgehender Traffic besser gefiltert werden (Aufbrechen von Tunneln etc.).


CH
Bitte warten ..
Mitglied: certifiedit.net
27.11.2020 um 13:50 Uhr
Zitat von ChriBo:

nenn mir eine (Marken)Firewall oder Router bei dem in den letzten Jahren eine Schwachstelle überwunden wurde (eingehender Traffic) wenn:
Die Regeln ordnungsgemäß eingerichtet waren
und
Die Firewall selber keinen Service (Mangement per HTTPs oder SSH etc.) auf dem öffentlich zugängigen Interface bereitstellt.
-
Zweistufig macht imho ein Konzept aus Firewall und ALG mehr Sinn und kann mehr Sicherheit bieten.
damit kann dann ggf. auch ausgehender Traffic besser gefiltert werden (Aufbrechen von Tunneln etc.).


CH

Nunja, kommt das an die Öffentlichkeit?

Es macht Sinn, aber ich denke nicht in der größe. Hier spielt die ordentliche Implementierung eine wesentlich wichtigere Rolle, dann kannst du (Ersteller) auch ruhig und mit deiner normalen Haarfarbe schlafen.
Bitte warten ..
Mitglied: it-fraggle
27.11.2020 um 15:39 Uhr
Und die Frage ob er von Endrian zu opensense (zusammen mit Pfsense) wechseln sollen hast du gelesen?
Darum fragt er ja.
Bitte warten ..
Mitglied: it-fraggle
27.11.2020 um 15:40 Uhr
nenn mir eine (Marken)Firewall oder Router bei dem in den letzten Jahren eine Schwachstelle überwunden wurde
DAS ist kein Argument.
Bitte warten ..
Mitglied: aqui
27.11.2020 um 15:49 Uhr
Das Dumme ist, dass alle Schnittstllen der Endian belegt sind.
Ist ja kein Hinderungsgrund, denn die Endian kann sicher wie die pfSense auch VLANs ! Also ganz einfach ein physisches Interface zum VLAN Interface machen und auf 2 Segmente aufsplitten. Eigentlich kinderleicht und ist in 10 Minuten erledigt ohne was Neues zu kaufen ! ;-) face-wink
Guckst du auch hier:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Bitte warten ..
Heiß diskutierte Inhalte
Internet
Kein Internet nach Windows 2019 Server Installation
gelöst ZygmundVor 1 TagFrageInternet25 Kommentare

Computer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

Windows Server
GPO verschieben von Benutzern
gelöst AnGi1964Vor 1 TagFrageWindows Server10 Kommentare

Hallo in die Runde! Ich habe als Neuling hier gleich 2 Fragen und hoffe, das mir geholfen werden kann. 1. Ich habe bei einem ...

Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 15 StundenFrageNetzwerke13 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

Firewall
Kennt jemand Forcepoint Firewalls oder setzt diese sogar ein?
ZeroTrustVor 1 TagFrageFirewall2 Kommentare

Ich wäre interessiert an User Meinungen über diese Firewall Lösungen. Kenne ich absolut nicht und habe auch noch nie davon gehört, geschweige jemals damit ...

Outlook & Mail
Outlook 2019 stürzt bei Erhalt von Besprechungsanfrage ab
gelöst PhiltaerVor 1 TagFrageOutlook & Mail17 Kommentare

Hallo, ich habe ein ganz merkwürdiges Problem. Outlook 2019 stürzt beim Erhalt von Emails die Besprechungsanfragen enthält ab. Das Programm friert ein mit "Reagiert ...

Windows Server
Server 2019 - VM (DC) hängt sporadisch
zer0g2224Vor 1 TagFrageWindows Server13 Kommentare

Hallo liebe Kolleginnen und Kollegen, ich habe mal wieder eine Frage zu einem Problem: Eine VM (DC) bleibt im Betrieb sporadisch "hängen". Das äußert ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 18 StundenFrageFestplatten, SSD, Raid5 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

Groupware
Anfängerfrage zu Teams, wie kann ich mit einer externen Person chatten?
StefanKittelVor 20 StundenFrageGroupware6 Kommentare

Hallo, ich habe mal eine Anfängerfrage zur MS Teams. Ich habe einen M365 Business Basic Account mit meiner Domäne. Ich habe einen User mit ...