Theorie: Maximal sicheres Gateway

Mitglied: mrserious73

mrserious73 (Level 1) - Jetzt verbinden

24.12.2016 um 08:42 Uhr, 1792 Aufrufe, 10 Kommentare

Hallo zusammen,

mal eine theoretische Überlegung: Wie muss ein möglichst sicheres Gateway aussehen? Es soll einem LAN ermöglichen, eine Verbindung zum Internet aufzubauen. Genutzt werden sollen alle typischen Dienste und alle typischen Client-Geräte.

Mein Ansatz bisher:

- gehärtetes Linux/BSD/Unix
- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
- IPS, z.B. Snort
- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)

Was meint ihr dazu?
Mitglied: StefanKittel
24.12.2016 um 09:01 Uhr
Moin,

entweder Du arbeitest Dich in pfSense ein oder Du kaufst eine fertige Firewall.

Stefan
Bitte warten ..
Mitglied: mrserious73
24.12.2016 um 09:07 Uhr
Hi!

Ersteres habe ich schon getan ;-) face-wink
Geht mir eher um die Idee, was man noch bräuchte oder tun könnte.
Bitte warten ..
Mitglied: Vision2015
24.12.2016 um 10:31 Uhr
moin...
deine frage ist eher was für Freitags... :-) face-smile

was sind für dich alle typischen Dienste und alle typischen client-geräte ?
nur so zum Verständnis, wenn ich das meine frau frage, sagt sie ganz klar- der Thermomix...
und das IPad...
also sag uns doch bitte was du möchtest, und um welche geräte es geht- und vor allen welche dienste.
dann sagen wir dir was man noch bräuchte oder tun könnte....

Frank
Bitte warten ..
Mitglied: Looser27
24.12.2016 um 10:38 Uhr
Oh mein Gott...... Das nächste Bot-Netz besteht aus Thermomix Geraten....

In diesem Sinne

Frohes Fest
Bitte warten ..
Mitglied: Der-Phil
24.12.2016 um 11:33 Uhr
Hallo!

In meinen Augen hängt die Sicherheit einer Firewall zu 99% am Regelwerk. Dann kommt lange nix.

Wenn Du dann noch eine Schippe drauf legen willst, wäre noch eine Layer 7 Firewall ein weiterer Schritt und da landest Du dann bei deutlich teureren Modellen wie Palo Alto, eventuell Sonicwall, vielleicht Fortinet, etc.

Geo-IP, etc. halte ich ja für nette Werbedinge

Grüße und frohe Weihnachten
Phil
Bitte warten ..
Mitglied: Dobby
24.12.2016, aktualisiert um 12:04 Uhr
Hallo zusammen,

Mein Ansatz bisher:
Meiner ist das es nichts schlimmeres gibt als eine schlecht oder falsch konfigurierte(n) Firewall oder Router,
da passiert dann das meiste was einem selber oder andere gefährdet.

- gehärtetes Linux/BSD/Unix
Es gehen auch eigene Systeme von Herstellern, also von Grund auf selbst geschriebener Code
ansonsten mag das aber schon richtig definiert sein.

- Paketfilter, passend konfiguriert (nur das Nötige raus, nichts rein)
Wenn das passt dann ist das auch ok so.

- IPS, z.B. Snort
Das ist nichts was man aufsetzt und dann läuft es für immer schön durch, das will gepflegt und
gewartet werden und sollte immer mehr verfeinert oder angepasst werden.

- ggfs. Geo-IP-Filter
- Squid + SquidGuard (filtert Werbung etc. heraus)
Ein AddBolcker also addon im Browser ist auch nett. Allerdings nicht so flexibel und gut anzupassen.

Was meint ihr dazu?
Übung macht den Meister und es gibt sicherlich auch Bücher zu pfSense und auch zu Squid und den
anderen "Paketen" wie Snort und Suricata, dann kann man damit noch mehr heraus holen und versteht
auch was dort passiert.

Theorie: Maximal sicheres Gateway
Dann sollte alles aus einer vertrauenswürdigen Quelle stammen! Kennst Du die Programmierer von pfSense
oder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?

Gruß und frohe Weihnachten
Dobby
Bitte warten ..
Mitglied: aqui
24.12.2016 um 12:39 Uhr
Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: Vision2015
24.12.2016 um 12:45 Uhr
Zitat von aqui:

Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
ich dachte eher an sowas Save Gateway

Frank
Bitte warten ..
Mitglied: certifiedit.net
24.12.2016 um 14:46 Uhr
Zitat von aqui:

Wie muss ein möglichst sicheres Gateway aussehen?
So zum Bleistift:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...

Passt hier wegen

Theorie: Maximal sicheres Gateway
Dann sollte alles aus einer vertrauenswürdigen Quelle stammen! Kennst Du die Programmierer von pfSense
oder gar die aller Pakete persönlich? Warum sollte da nicht jemand böses im Schilde führen?

nicht ganz.
Bitte warten ..
Mitglied: mrserious73
28.12.2016 um 11:19 Uhr
Hallo,

ihr habt natürlich recht: Theoretisch müsste ich sowohl Soft- als auch Hardware für diesen Zweck komplett selbst entwickeln ;-) face-wink

Typische Netzwerk-Dienste sind für mich z.B. DHCP, DNS, NTP und ein Proxy.
Typische Client-Geräte sind Windows-PCs, alle Arten von Android- und iOS-Geräten und Apple-Rechner jeder Form und Farbe.

Klar, so ein System ist kein Zustand sondern ein Prozess, gerade im Bezug auf ein IPS.
Bei Firewallregelsätzen gilt ja eh: Nach der Konfiguration intensiv lesen, prüfen und testen. Da kann man sich in der Tat sehr schnell nen Bock schießen und schon kann das Handy des Gastes kurz ma in die DMZ funken und auf eine Datenbank zugreifen, die eigentlich nur für den Dienstgebrauch gedacht ist ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Firewall
PfSense direkt an Glasfasermodem der Telekom über PPPoE
snah0815Vor 1 TagFrageFirewall24 Kommentare

Hallo Zusammen, nachdem ich die pfSense nun eine Zeit lang in einer Kaskade mit einer Fritzbox 7590 betrieben habe, möchte ich nun gerne die ...

Netzwerkmanagement
TIA568A oder B - Leistungsunterschiede oder egal?
gelöst alboshiroVor 1 TagFrageNetzwerkmanagement15 Kommentare

Hallo Zusammen, ich bin aktuell im Hausbau und habe in jedem Zimmer ein RJ45 CAT7 Ethernetkabel für jeden Raum verlegt. Jetzt müsste ich die ...

Internet
Kein Internet nach Windows 2019 Server Installation
gelöst ZygmundVor 20 StundenFrageInternet24 Kommentare

Computer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

LAN, WAN, Wireless
WLAN-ACCESSPOINT welche soll ich mir kaufen?
samet22Vor 1 TagFrageLAN, WAN, Wireless11 Kommentare

Hallo :) Ich halte mich kurz: Ich möchte mir neue WLAN-Accesspoints für die Firma kaufen da die jetzigen fast 7 Jahre alt sind und ...

Webentwicklung
Wo legt Joomla den Content im Verzeichnis ab ?
MachelloVor 1 TagFrageWebentwicklung17 Kommentare

Hallo Zusammen, ich habe folgendes Problem: Ich benötige Daten aus einer alten Joomla Webseite. Von dieser Webseite habe ich nur das komplette Verzeichnis vom ...

Monitoring
PC Monitoring Software?
TRON06Vor 1 TagFrageMonitoring9 Kommentare

Gibt es eine Monitoring Software (ähnlich wie HWiNFO) mit der man mehrere Computer überwachen kann (CPU auslastung, Festplatte, Temperatur Sensoren) und wo die Daten ...

Netzwerke
DHCP-Probleme nach Switch-Wechsel
gelöst sausi77Vor 1 TagFrageNetzwerke7 Kommentare

Folgendes Problem: - hab meinen Switch gewechselt: vom Zyxel GS1900-24E auf einen Zyxel XGS1930 Seitdem haben mobile Clients (insbesondere auf iOS und Windows-Basis Probleme) ...

Windows 10
Vom Homeoffice auf lokale Dateien zugreifen
SayllesVor 22 StundenFrageWindows 106 Kommentare

Guten Morgen, meine Frau ist im Homeoffice, ihr Arbeitgeber stellt ihr einen Access der unter Server 2016 lauft zur Verfügung. Dieser Remote zugriff funktioniert ...