trdsrlz
Goto Top

Umbau Firewall-Routerinfrastruktur LancomVPN in VLAN oder neues Subnet verschieben?

Guten Tag zusammen.

Ich habe in meinem Netzwerk derzeit folgende Konstellation.

8 Niederlassungen mit je einem eigenen /24 Subnet aufsteigend von .0.yyy bis .7.xxx

An allen Standorten sind Lancom Router installiert. Die Lancomrouter der 7 Nebenstandorte bauen ein Site-To-Site VPN zum Hauptstandort .0.yyy auf. Der Lancom ist auch der Router für den Hauptstandort und hat eine IP-Adresse im Netzwerksegment. Soweit so klar. Eine separate Firewall gibt es NOCH nicht.

Bis hier ist die Konfiguration auch nicht von mir.

Jetzt habe ich mich für Sophos Firewalls entschieden und plane natürlich, die Sophos künftig die VPN als auch die Firewallrolle übernehmen zu lassen. Die Standorte bekommen Sophos REDs und hier kommt eine XG125 ans Netzwerk.

Da meine Standorte aber über ganz Deutschland verteilt sind, kommt ein Austausch auf einmal nicht in Frage. Sondern nach und nach, wenn ich die Standorte anfahre.

Nichts desto Trotz möchte ich natürlich hier anfangen die Sicherheit für die Zentrale sofort zu erhöhen. Wie man sich denken kann, ein Ausfall der VPN-Verbindung zum Hauptstandort ist nicht hinnehmbar.

Und nun kommen wir zu meiner Überlegung. Ich habe leider nicht viel Erfahrung mit Lancom und möchte daher zumindest ein professionelles Feedback zu meinem Gedankengang (welches ich mir hier erhoffe).

Was habe ich geplant?

Ich konfiguriere die Sophos als Gateway für mein .0er Netz. Vergebe aber eine andere IP, als der Lancom gerade hat.
Am Lancom definiere ich auf einem der LAN-Ports ein separates Netz. Sozusagen eine DMZ in der nur Lancom und die Sophos stehen und richte hier den WAN-Zugang für die Sophos ein.

Wenn das funktioniert würde ich gerne versuchen, die VPN-Verbindungen die am Lancom aufschlagen über diese DMZ duch die Sophos ins Netzwerk zu routen (Es handelt sich nur um die Site-To-Site Client to Site soll die Sophos ab da selbst regeln) und den Lancom dann aus dem Netzwerk des Standorts zu nehmen. Natürlich unter Anpassung des lokalen DHCP-Servers und der Gateways auf den vorhandenen Servern.

Ziel soll es sein, trotz noch vorhandener Site-To-Site VPN allen ein- und ausgehenden Netzwerkverkehr über die Sophos zu schicken und zu prüfen.

Was meinen die Cracks in Sachen Lancom/Sophos dazu? Kann man so machen? Würdet ihr es ganz anders machen?

Content-ID: 556466

Url: https://administrator.de/contentid/556466

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

aqui
aqui 11.03.2020 aktualisiert um 10:42:31 Uhr
Goto Top
Generell gesehen kein gutes Konzept ! Was du dann machst ist sowohl am Hauptstandort als auch an allen Niederlassungen ein eigentlich vollkommen überflüssiges 2tes Device zu installieren was quasi nur als Durchlauferhitzer dient. Verbrennen von Geld und Resourcen wenn man es genau nimmt.
Was soll denn der tiefere Sinn eines solchen eigentlich überflüssigen Overlay Designs über ein bestehdens performantes VPN / Firewall Design sein ?
Doppelts NAT und doppelte Firewall an jedem Standort was einen VPN Betreib in einem kaskadierten Betrieb unnötig erschwert und in der Performance behindert. Kein Netzwerker würde ohne Grund sowas machen !
Entweder verzichtest du auf die Lancoms ganz und schliesst die Firewall direkt mit einem nur Modem (PPPoE Passthrough) an oder du nutzt einzig nur die Lancoms.
Beides zu kombinieren wäre netztechnischer Unsinn, denn was sollte der tiefere Sinn sein ?!
Funktionieren würde es zwar dennoch aber welche Hürden und Tücken so ein unsinniges Design hat erklärt dir dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Fazit:
Kann man so machen?
Muss man aber nicht und ist dann halt....!
Würdet ihr es ganz anders machen?
In jedem Fall !
certifiedit.net
certifiedit.net 11.03.2020 um 10:44:50 Uhr
Goto Top
Moin,

Wir aqui schon sagt, dass Konzept ist von a bis fast z zum Scheitern verurteilt.
TRDSRLZ
TRDSRLZ 11.03.2020 aktualisiert um 11:02:33 Uhr
Goto Top
Moment.

Wir haben technisch gesehen, keine Firewall. Ja den Lancom-Router, auf dem ein paar Regeln definiert sind. Die sind aber auch eher Semi umgesetzt. Ich habe weder einen Contentfilter im Netzwerk im Moment, noch werden empfangene Emails in irgendeiner Form geprüft bevor der Eset auf dem Exchange das macht, kein vernünftiges Logging etc...

Wie gesagt die Umgebung habe ich so übernommen.

Ich will im ersten Schritt mit meinem oben beschriebenen Vorgehen das Sicherheitsniveau erstmal drastisch erhöhen, ohne dass die Site-To-Site Verbindungen beeinträchtigt sind.

Im nächsten Schritt, wenn ich die Reds in die Standorte ausbringe, werden die Lancoms dann endgültig zu reinen Routern degradiert.

Wie sonst sollte ich schnellst möglich die Sicherheit signifikant erhöhen?

Ich betrachte das als reine Übergangslösung von maximal 8 bis 10 Wochen. Aber 8 bis 10 Wochen in denen ich ruhiger schlafen würde.
aqui
aqui 11.03.2020 um 11:10:38 Uhr
Goto Top
Wir haben technisch gesehen, keine Firewall.
Das ist falsch !
Der Lancom hat z.B. wie ein Cisco Branch Router eine dedizierte SPI Firewall mit an Bord. Das ist eine zusätzliche SPI Firewall und nicht nur eine NAT Firewall wie beim baumarkt Router.
In der Beziehung irrst du hier also gewaltig.
Was also sollte dann eine zweite sinnfreie FW dahinter noch bewirken ?!
Wie gesagt die Umgebung habe ich so übernommen.
Dann belasse sie und optimiere sie. Das was du da planst sinnloserweise obendrauf zu legen ist überflüssiger Aktivismus der rein gar nichts in puncto Sicherheit bringt außer das er das Design unnötig verkompliziert und unmanagebar macht. Vom Performance Verlust mal gar nicht zu reden.
Wie oben schon mehrfach gesagt: Ein wenig professionelles Design !
Kaskaden Konzepte wie das deinige sind in der Regel immer schlecht und sollte man wenn es irgend möglich ist immer vermeiden.
Wie sonst sollte ich schnellst möglich die Sicherheit signifikant erhöhen?
Indem du den Faktor Mensch ausschliesst. Auch wenn du 3 Firewall hintereinander kaskadierst wird das rein gar nichts bringen wenn derjenige der sie einrichtet das Problem ist. Auch eine vierte FW fixt das dann nicht. Das leuchtet auch jedem Laien ein. Um rihiger zu schlafen solltest du das Geld dann sinnvoller in ein IDS/IPS Design stecken aber nicht in die sinnlose Kaskadierung von zig Firewalls.
Also am besten nochmal das Konzept überdenken denn das ist Murks.
Entweder nur Lancoms oder nur Firewalls aber nix dazwischen.
TRDSRLZ
TRDSRLZ 11.03.2020 um 11:15:38 Uhr
Goto Top
Und noch einmal. Diese Kaskade ist nur vorübergehend.

Vielleicht tue ich den Lancoms ja Unrecht. Ich habe hier einen 7100+. Vielleicht finde ich es nicht. Kann ich mit dem einen POP-Proxy konfigurieren um Mails die auf den Exchange zugestellt werden in Quarantäne zu setzen im Zweifel bevor sie am Server aufschlagen?

Kann ich mit dem Lancom einen Contentfilter setzen? Kann ich die Logs auch mehrere Wochen zurück noch auswerten?
aqui
aqui 11.03.2020 aktualisiert um 11:26:28 Uhr
Goto Top
Diese Kaskade ist nur vorübergehend.
Nach deiner Beschreibung ja nicht... Auch ohne NAT und FW bleibt es immer eine Kaskade.
Aber egal. Du kannst ja frei entscheiden was du machst oder nicht. Wenn du für dich meinst das ist für dich ein gutes Konzept dann setz das um !
Den Lancoms tust du sicher Unrecht, denn sie gehören schon mit zu den besseren Business Routern.
POP Proxys und andere Layer 5 und höher Funktionen haben generell auf Routern oder Firewalls nicht das Geringste zu suchen ! Das sind Security Devices die auch nur das tun sollten und keinesfalls mehr.
Das sind Konzept bedingt keine eierlegenden Wollmilchsäue die alles können sollten und dann alles schlecht statt ein oder 2 Sachen richtig.
Ist so wie mit der Ente. Die kann zwar gehen, fliegen und schwimmen aber alles im Vergleich zu einem Pinguin und einem Albatros eben sehr schlecht.
Das ist der fatale Design Irrtum den Laien immer gerne machen wenn es um wirkliche Sicherheit geht. Auf der anderen Seite gaukeln aber auch Hersteller diesen Laien immer vor das ein Router oder Firewall nebenbaue auch noch Proxy, NAS, Mailserver, Virenwächter und Fernsehtuner sein kann weil die heimische FritzBox das ja auch kann. Warum also nicht auch im Firmennetz.
Fazit: Mach es, wenn du meinst das ist OK. Ob du dir damit dann einen Gefallen tust ist eine ganz andere Frage. Aber wenn du damit besser schlafen kannst ist das ja auch schon mal was...
Auch mit 5 weiteren "Aber's" wirst du hier sicher nichts anderes hören. Dann besser zu http://gutefrage.net gehen da bekommst du ganz sicher eine Bestätigung dafür.
Soviel zum Thema Rat in Foren...
TRDSRLZ
TRDSRLZ 11.03.2020 um 11:31:23 Uhr
Goto Top
Ich fasse das jetzt "laienhaft" zusammen.

Du sagst mir, ich soll die LANCOMs lieber lassen, weil die Sophos keinen Mehrwert an Sicherheit bringt?

Ok. Das lass ich so mal stehen.
daMopsi
daMopsi 11.03.2020 aktualisiert um 23:33:52 Uhr
Goto Top
@TRDSRLZ

du hast es nicht verstanden. Dein von dir in raumgeworfenes Netzwerkdesign ist schlichtweg falsch, wie
@aqui es bereits paar mal versucht hat dir zu sagen.
Ob Lancom oder Sophos, das sei mal dahin gestellt, das ist vielleicht auch Geschmackssache bzw. eine Frage
der Kosten.

Am besten du ziehst dir hier einen IT-Dienstleister zu Rate.
TRDSRLZ
TRDSRLZ 11.03.2020 um 14:25:39 Uhr
Goto Top
Sag mal ich weiß dass das kein "gutes" Design ist.

Ich will die Lancoms auf allen Standorten ablösen! Es sollen überall Sophos-Geräte hin. Nur kann ich mich leider nicht 8 Teilen und an 8 Orten gleichzeitig die Sophos-Geräte in Betrieb nehmen.

Darum geht es. Ich muss die Sophos erst hier in Betrieb nehmen und dann Stück für Stück die Standorte umstellen. Ich kann aber die Standorte nicht für mehrere Tage vom Netz nehmen.

Es geht nur um eine Übergangslösung. Ist das so schwer?

Und meinetwegen zweifle meine Eignung an... Ich werde es nun anders lösen. Dennoch bedanke ich mich für das Feedback auch wenn die Art und Weise freundlicher hätte ausfallen können.