hannes.hutmacher
Goto Top

OPNSense statt Endian Firewall

Hallo zusammen,

wir setzen hinter der pfSense, die die direkt am Internet hängt, noch eine Endian Firewall ein. Dazwischen ist unsere DMZ für verschiedene Server. Nun benötigen wir an der Endian eine weitere Schnittstelle für ein neues Netzwerk, was den gleichen Schutzbedarf hat wie das Mitarbeiternetzwerk, aber parallel betrieben werden soll.

Das Dumme ist, dass alle Schnittstllen der Endian belegt sind. "Rot, blau, Orange, Grün" sind alle belegt. Ich bräuchte eine 5. und ggf. 6. Schnittstelle. Würde ich der Endian eine weitere Netzwerkkarte verpassen, dann wäre sie zwar da, aber schlichtweg nicht konfigurierbar/nutzbar. Korrigiert mich, wenn es dazu etwas gibt.

Ich dachte daran OPNSense statt der Endian einzusetzen. Das WebUI ist gut verstanden. Ich frage mich aber, ob sich pfSense und OPNSense nicht zu ähnlich sind, da sie ja eben von der pfSense abstammt. Denke dabei an Sicherheitsprobleme.

Wie seht ihr das?
Was kann ich als Alternative nehmen?
Vielleicht irgendwas, was leicht zu verstehen ist.

Gruß aus dem Raum Düsseldorf

Content-ID: 626321

Url: https://administrator.de/contentid/626321

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

certifiedit.net
certifiedit.net 27.11.2020 um 10:12:40 Uhr
Goto Top
Guten Morgen,

Austausch gegen größere Endian?

Ansonsten kommt es immer drauf an, was Ihr braucht. Aber das Netzkonzept ist fragwürdig.

Grüße!

Christian
hannes.hutmacher
hannes.hutmacher 27.11.2020 aktualisiert um 10:17:34 Uhr
Goto Top
Danke für deine Antwort.

Austausch gegen größere Endian?
Inwiefern größer? Du meinst mehr Schnittstellen? Das ist ja das Problem. Die Endian bietet nur die vier zur Verwaltung an. Die anderen sind schlichtweg nicht konfiguriertbar.

Ansonsten kommt es immer drauf an, was Ihr braucht.
Mehr Schnittstellen.

Aber das Netzkonzept ist fragwürdig.
Inwiefern?
certifiedit.net
certifiedit.net 27.11.2020 um 10:19:59 Uhr
Goto Top
Auf der Endian Website seh ich auch welche mit 6, es gibt sicher auch größere. Kommt auf die Basis an.

Doppelte FW, ich würde mal aufgrund der Frage darauf tippen, dass dies nur doppelter Aufwand ist, aber keinen Zugewinn verspricht.
ChriBo
ChriBo 27.11.2020 um 10:34:01 Uhr
Goto Top
Hi,
Die Endian bietet nur die vier zur Verwaltung an
Welche Endian Version verwendet ihr ? Endisn gibt es als Appliances mit mehr Schnittstellen.

Aber das Netzkonzept ist fragwürdig.
Inwiefern?
Das Netzwerkkonzept zwei unterschiedliche Firewalls hintereinanderzuschalten mit der DMZ dazwischen ist aus dem letzten Jahrtausend, wird aber teilweise noch vom BSI empfohlen.
Ich sehe da keinen Vorteil gegenüber nur einer vernünftig geplanten und implementierten Fierwall mit einer DMZ auf einem eigenem Interface.
Meiner Meinung nach hat dieses "2 Firewall Konzept" nur Nachteile, die z.B. sind: es müssen zwei unterschiedliche Systeme gewartet und verstanden werden; 2x Lizenzen plus Failover / Ersatzkonzepte werden benötigt; (teilweise) fürchterliches Routing und ggf. doppelt NAT; Wo setze ich die VPN Zugänge richtig ? Setze ich den VPN Endpunkt auf der äußeren Firewall, habe ich teilweise unverschlüsselten Traffic durch die DMZ in die inneren Netze. etc.

CH
certifiedit.net
certifiedit.net 27.11.2020 um 10:38:38 Uhr
Goto Top
Korrekt, es gibt Setups, in denen das Sinn macht (zwei unterschiedliche Personenkreise), ggf. entsprechende Unterfirmen (high Risk). Aber ich denke, diese würden diese Frage nicht extern lösen müssen/wollen.

Wenn Ihr wollt können wir uns das gesamte Konzept einmal anschauen und verschlanken und dabei wohl auch noch sicherer gestalten.

Grüße!

Christian
hannes.hutmacher
hannes.hutmacher 27.11.2020 um 11:50:51 Uhr
Goto Top
Das Netzwerkkonzept zwei unterschiedliche Firewalls hintereinanderzuschalten mit der DMZ dazwischen ist aus dem letzten Jahrtausend, wird aber teilweise noch vom BSI empfohlen. Ich sehe da keinen Vorteil gegenüber nur einer vernünftig geplanten und implementierten Fierwall mit einer DMZ auf einem eigenem Interface.
Und wie regelst du das, wenn die FW eine Schwachstelle hat?

Das zweistufige Firewallkonzept hat seine Nachteile. Da gebe ich dir Recht. Aber ich bekomme graue Haare bei dem Gedanken, dass nur eine FW zu überwinden ist, um gleich ans Herz des Organismus zu kommen.
sabines
sabines 27.11.2020 um 13:16:22 Uhr
Goto Top
Zitat von @hannes.hutmacher:

Das zweistufige Firewallkonzept hat seine Nachteile. Da gebe ich dir Recht. Aber ich bekomme graue Haare bei dem Gedanken, dass nur eine FW zu überwinden ist, um gleich ans Herz des Organismus zu kommen.

Moin, wenn Dir das wichtig ist, dann kommst Du um zwei FW von verschiedenen(!) Herstellern nicht rum.
Gruss
it-fraggle
it-fraggle 27.11.2020 um 13:21:14 Uhr
Goto Top
Moin, wenn Dir das wichtig ist, dann kommst Du um zwei FW von verschiedenen(!) Herstellern nicht rum.
Steht doch da.
wir setzen hinter der pfSense, die die direkt am Internet hängt, noch eine Endian Firewall ein.
sabines
sabines 27.11.2020 um 13:38:41 Uhr
Goto Top
Und die Frage ob er von Endrian zu opensense (zusammen mit Pfsense) wechseln sollen hast du gelesen?
ChriBo
ChriBo 27.11.2020 um 13:39:18 Uhr
Goto Top
nenn mir eine (Marken)Firewall oder Router bei dem in den letzten Jahren eine Schwachstelle überwunden wurde (eingehender Traffic) wenn:
Die Regeln ordnungsgemäß eingerichtet waren
und
Die Firewall selber keinen Service (Mangement per HTTPs oder SSH etc.) auf dem öffentlich zugängigen Interface bereitstellt.
-
Zweistufig macht imho ein Konzept aus Firewall und ALG mehr Sinn und kann mehr Sicherheit bieten.
damit kann dann ggf. auch ausgehender Traffic besser gefiltert werden (Aufbrechen von Tunneln etc.).


CH
certifiedit.net
certifiedit.net 27.11.2020 um 13:50:44 Uhr
Goto Top
Zitat von @ChriBo:

nenn mir eine (Marken)Firewall oder Router bei dem in den letzten Jahren eine Schwachstelle überwunden wurde (eingehender Traffic) wenn:
Die Regeln ordnungsgemäß eingerichtet waren
und
Die Firewall selber keinen Service (Mangement per HTTPs oder SSH etc.) auf dem öffentlich zugängigen Interface bereitstellt.
-
Zweistufig macht imho ein Konzept aus Firewall und ALG mehr Sinn und kann mehr Sicherheit bieten.
damit kann dann ggf. auch ausgehender Traffic besser gefiltert werden (Aufbrechen von Tunneln etc.).


CH

Nunja, kommt das an die Öffentlichkeit?

Es macht Sinn, aber ich denke nicht in der größe. Hier spielt die ordentliche Implementierung eine wesentlich wichtigere Rolle, dann kannst du (Ersteller) auch ruhig und mit deiner normalen Haarfarbe schlafen.
it-fraggle
it-fraggle 27.11.2020 um 15:39:17 Uhr
Goto Top
Und die Frage ob er von Endrian zu opensense (zusammen mit Pfsense) wechseln sollen hast du gelesen?
Darum fragt er ja.
it-fraggle
it-fraggle 27.11.2020 um 15:40:45 Uhr
Goto Top
nenn mir eine (Marken)Firewall oder Router bei dem in den letzten Jahren eine Schwachstelle überwunden wurde
DAS ist kein Argument.
aqui
aqui 27.11.2020 um 15:49:27 Uhr
Goto Top
Das Dumme ist, dass alle Schnittstllen der Endian belegt sind.
Ist ja kein Hinderungsgrund, denn die Endian kann sicher wie die pfSense auch VLANs ! Also ganz einfach ein physisches Interface zum VLAN Interface machen und auf 2 Segmente aufsplitten. Eigentlich kinderleicht und ist in 10 Minuten erledigt ohne was Neues zu kaufen ! face-wink
Guckst du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern