OPNSense statt Endian Firewall
Hallo zusammen,
wir setzen hinter der pfSense, die die direkt am Internet hängt, noch eine Endian Firewall ein. Dazwischen ist unsere DMZ für verschiedene Server. Nun benötigen wir an der Endian eine weitere Schnittstelle für ein neues Netzwerk, was den gleichen Schutzbedarf hat wie das Mitarbeiternetzwerk, aber parallel betrieben werden soll.
Das Dumme ist, dass alle Schnittstllen der Endian belegt sind. "Rot, blau, Orange, Grün" sind alle belegt. Ich bräuchte eine 5. und ggf. 6. Schnittstelle. Würde ich der Endian eine weitere Netzwerkkarte verpassen, dann wäre sie zwar da, aber schlichtweg nicht konfigurierbar/nutzbar. Korrigiert mich, wenn es dazu etwas gibt.
Ich dachte daran OPNSense statt der Endian einzusetzen. Das WebUI ist gut verstanden. Ich frage mich aber, ob sich pfSense und OPNSense nicht zu ähnlich sind, da sie ja eben von der pfSense abstammt. Denke dabei an Sicherheitsprobleme.
Wie seht ihr das?
Was kann ich als Alternative nehmen?
Vielleicht irgendwas, was leicht zu verstehen ist.
Gruß aus dem Raum Düsseldorf
wir setzen hinter der pfSense, die die direkt am Internet hängt, noch eine Endian Firewall ein. Dazwischen ist unsere DMZ für verschiedene Server. Nun benötigen wir an der Endian eine weitere Schnittstelle für ein neues Netzwerk, was den gleichen Schutzbedarf hat wie das Mitarbeiternetzwerk, aber parallel betrieben werden soll.
Das Dumme ist, dass alle Schnittstllen der Endian belegt sind. "Rot, blau, Orange, Grün" sind alle belegt. Ich bräuchte eine 5. und ggf. 6. Schnittstelle. Würde ich der Endian eine weitere Netzwerkkarte verpassen, dann wäre sie zwar da, aber schlichtweg nicht konfigurierbar/nutzbar. Korrigiert mich, wenn es dazu etwas gibt.
Ich dachte daran OPNSense statt der Endian einzusetzen. Das WebUI ist gut verstanden. Ich frage mich aber, ob sich pfSense und OPNSense nicht zu ähnlich sind, da sie ja eben von der pfSense abstammt. Denke dabei an Sicherheitsprobleme.
Wie seht ihr das?
Was kann ich als Alternative nehmen?
Vielleicht irgendwas, was leicht zu verstehen ist.
Gruß aus dem Raum Düsseldorf
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 626321
Url: https://administrator.de/contentid/626321
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
14 Kommentare
Neuester Kommentar
Hi,
Ich sehe da keinen Vorteil gegenüber nur einer vernünftig geplanten und implementierten Fierwall mit einer DMZ auf einem eigenem Interface.
Meiner Meinung nach hat dieses "2 Firewall Konzept" nur Nachteile, die z.B. sind: es müssen zwei unterschiedliche Systeme gewartet und verstanden werden; 2x Lizenzen plus Failover / Ersatzkonzepte werden benötigt; (teilweise) fürchterliches Routing und ggf. doppelt NAT; Wo setze ich die VPN Zugänge richtig ? Setze ich den VPN Endpunkt auf der äußeren Firewall, habe ich teilweise unverschlüsselten Traffic durch die DMZ in die inneren Netze. etc.
CH
Die Endian bietet nur die vier zur Verwaltung an
Welche Endian Version verwendet ihr ? Endisn gibt es als Appliances mit mehr Schnittstellen. Aber das Netzkonzept ist fragwürdig.
Inwiefern?
Das Netzwerkkonzept zwei unterschiedliche Firewalls hintereinanderzuschalten mit der DMZ dazwischen ist aus dem letzten Jahrtausend, wird aber teilweise noch vom BSI empfohlen.Inwiefern?
Ich sehe da keinen Vorteil gegenüber nur einer vernünftig geplanten und implementierten Fierwall mit einer DMZ auf einem eigenem Interface.
Meiner Meinung nach hat dieses "2 Firewall Konzept" nur Nachteile, die z.B. sind: es müssen zwei unterschiedliche Systeme gewartet und verstanden werden; 2x Lizenzen plus Failover / Ersatzkonzepte werden benötigt; (teilweise) fürchterliches Routing und ggf. doppelt NAT; Wo setze ich die VPN Zugänge richtig ? Setze ich den VPN Endpunkt auf der äußeren Firewall, habe ich teilweise unverschlüsselten Traffic durch die DMZ in die inneren Netze. etc.
CH
Korrekt, es gibt Setups, in denen das Sinn macht (zwei unterschiedliche Personenkreise), ggf. entsprechende Unterfirmen (high Risk). Aber ich denke, diese würden diese Frage nicht extern lösen müssen/wollen.
Wenn Ihr wollt können wir uns das gesamte Konzept einmal anschauen und verschlanken und dabei wohl auch noch sicherer gestalten.
Grüße!
Christian
Wenn Ihr wollt können wir uns das gesamte Konzept einmal anschauen und verschlanken und dabei wohl auch noch sicherer gestalten.
Grüße!
Christian
Zitat von @hannes.hutmacher:
Das zweistufige Firewallkonzept hat seine Nachteile. Da gebe ich dir Recht. Aber ich bekomme graue Haare bei dem Gedanken, dass nur eine FW zu überwinden ist, um gleich ans Herz des Organismus zu kommen.
Das zweistufige Firewallkonzept hat seine Nachteile. Da gebe ich dir Recht. Aber ich bekomme graue Haare bei dem Gedanken, dass nur eine FW zu überwinden ist, um gleich ans Herz des Organismus zu kommen.
Moin, wenn Dir das wichtig ist, dann kommst Du um zwei FW von verschiedenen(!) Herstellern nicht rum.
Gruss
nenn mir eine (Marken)Firewall oder Router bei dem in den letzten Jahren eine Schwachstelle überwunden wurde (eingehender Traffic) wenn:
Die Regeln ordnungsgemäß eingerichtet waren
und
Die Firewall selber keinen Service (Mangement per HTTPs oder SSH etc.) auf dem öffentlich zugängigen Interface bereitstellt.
-
Zweistufig macht imho ein Konzept aus Firewall und ALG mehr Sinn und kann mehr Sicherheit bieten.
damit kann dann ggf. auch ausgehender Traffic besser gefiltert werden (Aufbrechen von Tunneln etc.).
CH
Die Regeln ordnungsgemäß eingerichtet waren
und
Die Firewall selber keinen Service (Mangement per HTTPs oder SSH etc.) auf dem öffentlich zugängigen Interface bereitstellt.
-
Zweistufig macht imho ein Konzept aus Firewall und ALG mehr Sinn und kann mehr Sicherheit bieten.
damit kann dann ggf. auch ausgehender Traffic besser gefiltert werden (Aufbrechen von Tunneln etc.).
CH
Zitat von @ChriBo:
nenn mir eine (Marken)Firewall oder Router bei dem in den letzten Jahren eine Schwachstelle überwunden wurde (eingehender Traffic) wenn:
Die Regeln ordnungsgemäß eingerichtet waren
und
Die Firewall selber keinen Service (Mangement per HTTPs oder SSH etc.) auf dem öffentlich zugängigen Interface bereitstellt.
-
Zweistufig macht imho ein Konzept aus Firewall und ALG mehr Sinn und kann mehr Sicherheit bieten.
damit kann dann ggf. auch ausgehender Traffic besser gefiltert werden (Aufbrechen von Tunneln etc.).
CH
nenn mir eine (Marken)Firewall oder Router bei dem in den letzten Jahren eine Schwachstelle überwunden wurde (eingehender Traffic) wenn:
Die Regeln ordnungsgemäß eingerichtet waren
und
Die Firewall selber keinen Service (Mangement per HTTPs oder SSH etc.) auf dem öffentlich zugängigen Interface bereitstellt.
-
Zweistufig macht imho ein Konzept aus Firewall und ALG mehr Sinn und kann mehr Sicherheit bieten.
damit kann dann ggf. auch ausgehender Traffic besser gefiltert werden (Aufbrechen von Tunneln etc.).
CH
Nunja, kommt das an die Öffentlichkeit?
Es macht Sinn, aber ich denke nicht in der größe. Hier spielt die ordentliche Implementierung eine wesentlich wichtigere Rolle, dann kannst du (Ersteller) auch ruhig und mit deiner normalen Haarfarbe schlafen.
Das Dumme ist, dass alle Schnittstllen der Endian belegt sind.
Ist ja kein Hinderungsgrund, denn die Endian kann sicher wie die pfSense auch VLANs ! Also ganz einfach ein physisches Interface zum VLAN Interface machen und auf 2 Segmente aufsplitten. Eigentlich kinderleicht und ist in 10 Minuten erledigt ohne was Neues zu kaufen ! Guckst du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern