funker112
Goto Top

Welche Hardware Firewall für zweistufiges Firewall Konzept?

Hallo zusammen,

wir wollen bei uns in der Firma eine zweistufige Firewall (Hardware) installieren.
Vom Aufbau her ist geplant das der DSL Zugang erst auf Firewall 1 geht von da aus in die DMZ und danach auf Firewall 2, diese ist dann mit dem Firmennetz verbunden.
Soweit so gut. Firewall 2 ist eine Astaro 220.
Da man bei eine Zweistufigen Firewall System auch Unterschiedliche Hersteller nehmen soll,
ist meine Frage nun welche Hersteller könnt ihr für dieses Vorhaben empfehlen.
Des weiteren sollen noch 5 VPN Verbindungen aufgebaut werden. (Alle Gegenstellen haben feste IP Adressen). Was macht mehr Sinn die Verbindungen in Firewall 1 oder Firewall 2 zu verwalten.
Meine Idee wäre die IP Adressen der Gegenstellen in Firewall 1 zu hinterlegen und nur die eingetragenen Adressen weiter auf Firewall 2 zu Routen.

Danke für eure Tipps.

Gruß

Funker

Content-ID: 106969

Url: https://administrator.de/forum/welche-hardware-firewall-fuer-zweistufiges-firewall-konzept-106969.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

Arch-Stanton
Arch-Stanton 23.01.2009 um 18:56:53 Uhr
Goto Top
Das Konzept hat einen konzeptionellen Fehler. Der Sinn einer DMZ ist, daß der Verkehr in die DMZ vom Lan und vom Wan erlaubt ist, es darf aber keine Zugriffsmöglichkeit von der DMZ in das Lan geben.

Kauf Dir eine anständige Lancom Firewall, lege sechshundert Euro auf den Tisch und die Sache ist gelöst. das VPN von Lancom funktioniert prima.

Gruß,
Arch Stanton
diemilz
diemilz 23.01.2009 um 18:59:32 Uhr
Goto Top
Entweder LANCOM oder was wir bei uns im Einsatz haben und was auch sehr mächtig ist, eine Appliance von WatchGuard. Sind rundum zufrieden mit und die Art und Weise wie was eingestellt wird und vor allem die Möglichkeiten sind einfach phänomenal.
Funker112
Funker112 23.01.2009 um 19:08:53 Uhr
Goto Top
Hallo Arch Stanton,

da gebe ich dir vollkommen recht, es ist aber keine klassiche DMZ sondern wurde von mir nur so bezeichnet ich meine eigentlich den Bereich zwichen Firewall 1 und 2.
Es werden keine Web oder Mailserver betrieben also keine klassiche DMZ.
Bleibt die Frage welche Firewall macht am besten VPN Firewall 1 oder 2 ?

Danke schonmal allen die geantwortet haben!!!
Arch-Stanton
Arch-Stanton 23.01.2009 um 19:21:55 Uhr
Goto Top
Ich denke, daß Du Dir durch dieses Konzept mehr Probleme als Nutzen einhandelst, wenn Du es zum Laufen bringst.

Gruß,
Arch Stanton
brammer
brammer 23.01.2009 um 20:48:10 Uhr
Goto Top
Hallo,

leider habe ich den Sinn dieses Konstruktes noch nicht so richtig begriffen.
Wozu baust du eine DMZ auf und benutzt sie dann nicht?

Wenn du deine Firewall nur nicht direkt ins Internet hängen willst (wieso auch immer) würde ich mir den Aufwand einer Firewall sparen und einen Router davor hängen.

Was die VPN Anbindung angeht stellt sich mir die Frage ob du SSL oder IPsec verwenden willst.

brammer
Funker112
Funker112 23.01.2009 um 20:54:28 Uhr
Goto Top
Hallo brammer,

DMZ ist einfach unglücklich gewählt als Name, es geht darum das in näherer Zukunft noch ein zweiter DSL Zugang dazu kommen soll. Ich wollte das ganze dann so haben, das beide Zugänge erstmal eine Firewall durchlaufen und dann noch mal eine zweite Firewall Passieren müßen einfach aus Sicherheitsgründen.
Was VPN angeht so ist es IPsec.

Gruß

Funker
diemilz
diemilz 23.01.2009 um 21:02:41 Uhr
Goto Top
Ich würde ebenfalls von einer zweiten Firewall abraten, du handelst dir damit mehr Probleme ein als es dir nützt. Wie stellst du dir das mit dem zweiten DSL-Zugang genau vor? Soll der ausgehende Datenverkehr auf beide Zugänge verteilt werden (Stichwort: Multi-WAN)?
Funker112
Funker112 23.01.2009 um 21:08:38 Uhr
Goto Top
EIn Zugang ist nur für kommend (VPN) und einer ist nur für Internet. Also bin ich eurer Meinung nach genau so sicher mit einer Firewall bzw. noch sicherer als mit zweien ?
diemilz
diemilz 23.01.2009 um 21:15:42 Uhr
Goto Top
Schau dir z.B. mal die Geräte von WatchGuard an (ab der X Core 750e aufwärts). Es hängt davon ab, was du für eine Firewall nimmst. Wie oben schon erwähnt, wir setzen bei uns eine von WatchGuard ein. Mit einer UTM-Lizenz (Unified Threat Management) kannst du mit dem nötigen Know-How daraus eine richtige Festung bauen, die nur schwer zu überwinden ist. Außerdem kann sie dir beide DSL-Zugänge "bündeln", sodass du den VPN-Zugang ohne Probleme als zweiten ausgehenden Internetzugang nutzen kannst. Die Möglichkeiten der Geräte sind gewaltig, man kann damit ganze Bücher füllen. Wo es halt hapern könnte, ist der Preis. Für unser Modell fängst du inklusive UTM-Lizenz, 1-Jahr LiveSecurity und Fireware Pro nicht unter 3000 Euro an.
Funker112
Funker112 23.01.2009 um 21:19:39 Uhr
Goto Top
Danke für den Tipp die Astaro ist auch gut lief bis jetzt ohne Probleme. Das Geld ist auch nicht das Thema. Unserem Chef geht es nur um Sicherheit, da wir im Medizinichen Bereich demnächst auch Patientendaten haben.
diemilz
diemilz 23.01.2009 um 21:21:59 Uhr
Goto Top
Mit Astaro kenne ich mich nicht aus. Ich kenne die Geräte von WatchGuard nun schon seit vier Jahren. Die Dinger zu konfigurieren macht richtig Spaß und vor allem damit Leute zu ärgern, die meinen, sie müssten sich nicht an Regeln halten, z.B. dass Instant Messaging nicht erlaubt ist.
Rafiki
Rafiki 24.01.2009 um 15:33:45 Uhr
Goto Top
...genau so sicher mit einer Firewall bzw. noch sicherer als mit zweien ?

Jaein. Also Ja, ähm ich meine Nein. Bis auf ganz wenige Ausnahmen würde ich immer nur eine Firewall einsetzten. Es schafft mehr Probleme als Sicherheit zwei Firwalls hintereinander zu betreiben.

Hier am Beispiel der VPN Benutzer:

Wenn die zweite Firewall VPN Clients annehmen soll dann muss die erste Firewall den Traffic zu der zweiten durchlassen und schützt die zweite Firewall damit nicht mehr. Wenn mal ein VPN Benutzer sagt da hat "irgend etwas" nicht funktioniert kannst du spekulieren ob evtl. die erste Firewall schuld war oder eigentlich auch nicht. Du handelst dir also eine zusätzliche Fehlerquelle ein ohne mehr Schutz zu erreichen.

Wenn die erste Firewall den VPN Client annehmen soll dann muss die zweite Firewall den Datenverkehr aus der DMZ, die du nicht DMZ nennen möchtest, durchlassen ins LAN. So etwas tut man nicht, denn dann braucht du die zweite Firewall nicht mehr.

Entsprechendes gilt für andere Protokolle.

Eine der wenigen Ausnahmen mag die Firewall "ISA Server" von Microsoft sein. MS selber sagt man solle eine einfache, hochperformante Firewall davor schalten um unnötigen Traffic ab zu filtern.
Rafiki
Rafiki 24.01.2009 um 16:01:39 Uhr
Goto Top
Medizinbereich... Patientendaten ...

Ich nehme einfach mal an, dass ihr ein großes Netzwerk habt in dem viele Computer unterschiedliche Aufgaben haben. Halt ein normales Büro & Labor. Einige wenige Mitarbeiter und Computer sollen mit diesen sensiblen Daten (Patientendaten) umgehen. Ich rate euch dazu einen eigenen Bereich innerhalb von eurem Netzwerk nur für diese Daten und Mitarbeiter einzurichten.

Beachte bitte den Artikel bei Heise für ein Beispiel.
http://www.heise.de/netze/artikel/78397

Im Bezug auf den Artikel und das Bild in dem Artikel wäre also in deiner Konfiguration der größte Teil vom Netzwerk hinter der ersten Firewall. Nur Daten, die anonymisiert wurden, dürfen dort verarbeitet werden. In der Regel werden dafür die Proben und Papierberge mit einem Barcode Aufkleber versehen. Detaillierte Angaben (Name, geb Datum, Krankenkassen) zum Patienten sind aber tabu.

Nur in dem besonders geschützten Bereich darf es eine Verbindung zwischen Patientennamen und seiner Probennummer auf dem Barcode geben. Das ist dann der Bereich hinter der zweiten Firewall. Möglicherweise müsst ihr sogar noch weiter gehen, denn kein Mitarbeiter im Labor darf erfahren wessen Probe gerade analysiert wird. Kein Mitarbeiter in der Verwaltung(Buchhaltung) darf das Analyseergebnis erfahren. Also Trenne auch diese Bereiche durch Türen, Vorschriften und Firewalls.

Wenn ihr Auditiert werdet, also eine Behörde prüft ob ihr anständig arbeitet, wird es in der Regel schwierig denen zu erklären das ein EDV Admin in allen diesen Bereichen die Backups macht und die Berechtigungen verwaltet. Aber das ist ein anderes Thema jenseits der ursprünglichen Frage nach der Firewall.
spacyfreak
spacyfreak 28.01.2009 um 04:07:43 Uhr
Goto Top
Meine Meinung:
Die Astaro 220 wird völlig ausreichen für kleinere Firmen, eine sehr schicke und umfassende Lösung die zudem noch einfach zu bedienen ist, incl. VPN und kompletter Firewall. Bei einer relativ geringen Userzahl und einer Handvoll VPNs hast du damit alles abgedeckt und es funktioniert recht gut. #
Eine zweite Firewall im Intranet macht dagegen Sinn um z. B. besonders sensible Netze vor dem Rest des Intranets zu schützen, zum Schutz vor dem Internet selbst ist ein 2-Stufen Konzept dagegen übertrieben.

Wenns unbedingt zwei Hersteller sein sollen würd ich wohl ASG und ne Cisco ASA nehmen, die Grösse hängt von den Userzahlen ab.