otto1699
Goto Top

Zweistufige pfsense Firewall auf VMWare sinnvoll

Hallo,

ich möchte einen Webserver ins Netz (DMZ) stellen. Ist eine zweistufige pfsense Firewall auf VMWare sinnvoll, sprich zweimal eine pfsense VM?

Ich habe eine DMZ mit WLAN, Mail Relay und HA Proxy für einen Exchange. Ports sind von der DMZ Richtung Intern offen: 443 und 23
Auch habe ich OpenVPN laufen.

Dazu kommen für den Webserver ein einseitiger Dateiaustausch, sprich vom internen Netz werden Dateien zum Webserver gesendet.


Was wäre der Vorteil für eine zweistufige Firewall?


Gruß Otto

Content-Key: 291799

Url: https://administrator.de/contentid/291799

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.12.2015 aktualisiert um 13:17:05 Uhr
Goto Top
Zitat von @Otto1699:

Was wäre der Vorteil für eine zweistufige Firewall?

Du hast zwei Einfallstore statt nur einem, d.h ich habe zwei Ansatzpunkte, um Dein Sicherheitskonzept auszuhebeln. .-) Mal ganz abgesehen davon, daß eine Firewall auf bare-metal (hoi) installiert gehört.

Ob Du nun eine oder zwei Firrewalls hintereinanderschaltest, ist eine Frage des Sicherheitskonzeptes, daß Du Dir sicher vorher überlegt hast und nicht eine Frage von viel hilft viel.

lks

PS: Um heavy-metal zu verstehen, braucht man vielleicht KoWeDo vorneweg. face-smile
Mitglied: aqui
aqui 28.12.2015 aktualisiert um 13:20:50 Uhr
Goto Top
Generell ist eine virtuelle FW immer gefährlich. Ist die kompromitiert liegen Angreifern der gesamte Hypervisor offen zu Füßen.
Sicherheitstechnisch rät man deshalb immer davon ab. Zumal wenn man den Server in einer eigenen DMZ betreibt.

Eine kleine HW Firewall die den Namen verdient ist da auch schnell und preiswert sicher eingerichtet und schftt erhöhte Zuverlässigkeit beim Zugriffsschutz:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mitglied: ChriBo
ChriBo 28.12.2015 um 13:24:56 Uhr
Goto Top
Welchen Vorteil versprichst du dir von einer "zweistufigen" pfSense ?
Ist nur viel aufwändiger und fehleranfälliger aufzusetzen.
Um eine "echte" zweistufige Firewall (LAN -> FW -> DMZ -> FW -> WAN) aufzusetzen benötigst du auch ausreichend public IPs um durch die DMZ nicht natten zu müssen.
Andere Bemerkung:
Ports sind von der DMZ Richtung Intern offen: 443 und 23
?? im klassischen Konstrukt einer DMZ geht nichts ins interne Netz.

Gruß
Christoph
Mitglied: Dani
Dani 28.12.2015 aktualisiert um 13:50:22 Uhr
Goto Top
@christoph-bochum
Ist nur viel aufwändiger und fehleranfälliger aufzusetzen.
Es soll Vorschriften und Normen geben, die so etwas verlangen. Dann wird auch davon ausgegangen, dass zwei verschiedene Hersteller genutzt werden. Wobei ich behaupten würde, das es hier keine Rolle spielt.

Um eine "echte" zweistufige Firewall (LAN -> FW -> DMZ -> FW -> WAN) aufzusetzen benötigst du auch ausreichend public IPs um durch die DMZ nicht natten zu müssen.
In wie fern? Ich würde behaupten, dass hängt davon ab was für Services veröffentlicht werden sollen. Geht es hauptsätzlich um Port 80/443 kann eine Public IP mit einem Reverse Proxy ausreichend sein.

?? im klassischen Konstrukt einer DMZ geht nichts ins interne Netz.
Wie soll z.B. Microsoft Exchange OWA veröffentlicht werden? Unter klassisch verstehe ich das keine direkte Verbindung aus dem Internet ins Intranet und andersherum möglich ist. Sprich die Verbindungen werden in der DMZ terminiert und von dort geht es weiter.


Gruß,
Dani
Mitglied: Otto1699
Otto1699 29.12.2015 um 15:33:01 Uhr
Goto Top
Hallo,

das ein virtuelle FW immer gefährlich ist, ist mir schon klar. Auf der Hardware läuft auch nur noch eine DMZ Maschine.


Wenn ich es richtig sehe, ist eine zweite FW (weil virtuell) sinnlos. Wird die virtuelle FW überwunden ist es sowieso zu spät.


Gibt es denn Fälle wo eine virtuelle FW überwunden wurde? Mir ist nix bekannt.
Mitglied: aqui
aqui 29.12.2015 aktualisiert um 15:43:21 Uhr
Goto Top
Wenn ich es richtig sehe, ist eine zweite FW (weil virtuell) sinnlos. Wird die virtuelle FW überwunden ist es sowieso zu spät.
Genau so ist es !
Gibt es denn Fälle wo eine virtuelle FW überwunden wurde?
Du bist Hobbybastler aber kein Betreiber eines Hosting RZ, oder ? Deshalb fehlt dir da wohl der entsprechende Horizont. Abertausende Fälle.... Meist ist das aber der Faktor Mensch bzw. eine Fehlkonfiguration oder SW Bug.
Die Auswirkung auf einem Hypervisor sind nur erheblich fataler...genau das ist der Punkt.
Wenn du aber damit leben kannst und Fehler weitestgehend vermeiden kannst ist das natürlich aber auch in einer VM machbar.