otto1699
28.12.2015
view2871
view6
0
Goto Top

Zweistufige pfsense Firewall auf VMWare sinnvoll

FrageSicherheitFirewall
Hallo,

ich möchte einen Webserver ins Netz (DMZ) stellen. Ist eine zweistufige pfsense Firewall auf VMWare sinnvoll, sprich zweimal eine pfsense VM?

Ich habe eine DMZ mit WLAN, Mail Relay und HA Proxy für einen Exchange. Ports sind von der DMZ Richtung Intern offen: 443 und 23
Auch habe ich OpenVPN laufen.

Dazu kommen für den Webserver ein einseitiger Dateiaustausch, sprich vom internen Netz werden Dateien zum Webserver gesendet.


Was wäre der Vorteil für eine zweistufige Firewall?


Gruß Otto
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 291799

Url: https://administrator.de/contentid/291799

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
Lochkartenstanzer
Lochkartenstanzer 28.12.2015 aktualisiert um 13:17:05 Uhr
Goto Top
Zitat von @Otto1699:

Was wäre der Vorteil für eine zweistufige Firewall?

Du hast zwei Einfallstore statt nur einem, d.h ich habe zwei Ansatzpunkte, um Dein Sicherheitskonzept auszuhebeln. .-) Mal ganz abgesehen davon, daß eine Firewall auf bare-metal (hoi) installiert gehört.

Ob Du nun eine oder zwei Firrewalls hintereinanderschaltest, ist eine Frage des Sicherheitskonzeptes, daß Du Dir sicher vorher überlegt hast und nicht eine Frage von viel hilft viel.

lks

PS: Um heavy-metal zu verstehen, braucht man vielleicht KoWeDo vorneweg. face-smile
aqui
aqui 28.12.2015 aktualisiert um 13:20:50 Uhr
Goto Top
Generell ist eine virtuelle FW immer gefährlich. Ist die kompromitiert liegen Angreifern der gesamte Hypervisor offen zu Füßen.
Sicherheitstechnisch rät man deshalb immer davon ab. Zumal wenn man den Server in einer eigenen DMZ betreibt.

Eine kleine HW Firewall die den Namen verdient ist da auch schnell und preiswert sicher eingerichtet und schftt erhöhte Zuverlässigkeit beim Zugriffsschutz:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ChriBo
ChriBo 28.12.2015 um 13:24:56 Uhr
Goto Top
Welchen Vorteil versprichst du dir von einer "zweistufigen" pfSense ?
Ist nur viel aufwändiger und fehleranfälliger aufzusetzen.
Um eine "echte" zweistufige Firewall (LAN -> FW -> DMZ -> FW -> WAN) aufzusetzen benötigst du auch ausreichend public IPs um durch die DMZ nicht natten zu müssen.
Andere Bemerkung:
Ports sind von der DMZ Richtung Intern offen: 443 und 23
?? im klassischen Konstrukt einer DMZ geht nichts ins interne Netz.

Gruß
Christoph
Dani
Dani 28.12.2015 aktualisiert um 13:50:22 Uhr
Goto Top
@christoph-bochum
Ist nur viel aufwändiger und fehleranfälliger aufzusetzen.
Es soll Vorschriften und Normen geben, die so etwas verlangen. Dann wird auch davon ausgegangen, dass zwei verschiedene Hersteller genutzt werden. Wobei ich behaupten würde, das es hier keine Rolle spielt.

Um eine "echte" zweistufige Firewall (LAN -> FW -> DMZ -> FW -> WAN) aufzusetzen benötigst du auch ausreichend public IPs um durch die DMZ nicht natten zu müssen.
In wie fern? Ich würde behaupten, dass hängt davon ab was für Services veröffentlicht werden sollen. Geht es hauptsätzlich um Port 80/443 kann eine Public IP mit einem Reverse Proxy ausreichend sein.

?? im klassischen Konstrukt einer DMZ geht nichts ins interne Netz.
Wie soll z.B. Microsoft Exchange OWA veröffentlicht werden? Unter klassisch verstehe ich das keine direkte Verbindung aus dem Internet ins Intranet und andersherum möglich ist. Sprich die Verbindungen werden in der DMZ terminiert und von dort geht es weiter.


Gruß,
Dani
Otto1699
Otto1699 29.12.2015 um 15:33:01 Uhr
Goto Top
Hallo,

das ein virtuelle FW immer gefährlich ist, ist mir schon klar. Auf der Hardware läuft auch nur noch eine DMZ Maschine.


Wenn ich es richtig sehe, ist eine zweite FW (weil virtuell) sinnlos. Wird die virtuelle FW überwunden ist es sowieso zu spät.


Gibt es denn Fälle wo eine virtuelle FW überwunden wurde? Mir ist nix bekannt.
aqui
aqui 29.12.2015 aktualisiert um 15:43:21 Uhr
Goto Top
Wenn ich es richtig sehe, ist eine zweite FW (weil virtuell) sinnlos. Wird die virtuelle FW überwunden ist es sowieso zu spät.
Genau so ist es !
Gibt es denn Fälle wo eine virtuelle FW überwunden wurde?
Du bist Hobbybastler aber kein Betreiber eines Hosting RZ, oder ? Deshalb fehlt dir da wohl der entsprechende Horizont. Abertausende Fälle.... Meist ist das aber der Faktor Mensch bzw. eine Fehlkonfiguration oder SW Bug.
Die Auswirkung auf einem Hypervisor sind nur erheblich fataler...genau das ist der Punkt.
Wenn du aber damit leben kannst und Fehler weitestgehend vermeiden kannst ist das natürlich aber auch in einer VM machbar.
FrageSicherheitFirewall
Mehr von Otto1699Otto1699Import mysql aus txt Datei - bestimmte ZelleOtto1699 - 8 KommentareOtto1699Thin Clients ins VLAN nur Port 3389 - Ausnahmen von Fat ClientsOtto1699 - 9 KommentareOtto1699Migration Windows Fileserver zu Samba - alte Dateien schreibgeschütztOtto1699 - 2 KommentareOtto1699Windows Server 2003 abschotten - trotz RDP + DatenaustauschOtto1699 - 3 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare