Zweistufige pfsense Firewall auf VMWare sinnvoll

Mitglied: Otto1699

Otto1699 (Level 1) - Jetzt verbinden

28.12.2015 um 12:39 Uhr, 1888 Aufrufe, 6 Kommentare

Hallo,

ich möchte einen Webserver ins Netz (DMZ) stellen. Ist eine zweistufige pfsense Firewall auf VMWare sinnvoll, sprich zweimal eine pfsense VM?

Ich habe eine DMZ mit WLAN, Mail Relay und HA Proxy für einen Exchange. Ports sind von der DMZ Richtung Intern offen: 443 und 23
Auch habe ich OpenVPN laufen.

Dazu kommen für den Webserver ein einseitiger Dateiaustausch, sprich vom internen Netz werden Dateien zum Webserver gesendet.


Was wäre der Vorteil für eine zweistufige Firewall?


Gruß Otto
Mitglied: Lochkartenstanzer
28.12.2015, aktualisiert um 13:17 Uhr
Zitat von @Otto1699:

Was wäre der Vorteil für eine zweistufige Firewall?

Du hast zwei Einfallstore statt nur einem, d.h ich habe zwei Ansatzpunkte, um Dein Sicherheitskonzept auszuhebeln. .-) Mal ganz abgesehen davon, daß eine Firewall auf bare-metal (hoi) installiert gehört.

Ob Du nun eine oder zwei Firrewalls hintereinanderschaltest, ist eine Frage des Sicherheitskonzeptes, daß Du Dir sicher vorher überlegt hast und nicht eine Frage von viel hilft viel.

lks

PS: Um heavy-metal zu verstehen, braucht man vielleicht KoWeDo vorneweg. :-) face-smile
Bitte warten ..
Mitglied: aqui
28.12.2015, aktualisiert um 13:20 Uhr
Generell ist eine virtuelle FW immer gefährlich. Ist die kompromitiert liegen Angreifern der gesamte Hypervisor offen zu Füßen.
Sicherheitstechnisch rät man deshalb immer davon ab. Zumal wenn man den Server in einer eigenen DMZ betreibt.

Eine kleine HW Firewall die den Namen verdient ist da auch schnell und preiswert sicher eingerichtet und schftt erhöhte Zuverlässigkeit beim Zugriffsschutz:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: ChriBo
28.12.2015 um 13:24 Uhr
Welchen Vorteil versprichst du dir von einer "zweistufigen" pfSense ?
Ist nur viel aufwändiger und fehleranfälliger aufzusetzen.
Um eine "echte" zweistufige Firewall (LAN -> FW -> DMZ -> FW -> WAN) aufzusetzen benötigst du auch ausreichend public IPs um durch die DMZ nicht natten zu müssen.
Andere Bemerkung:
?? im klassischen Konstrukt einer DMZ geht nichts ins interne Netz.

Gruß
Christoph
Bitte warten ..
Mitglied: Dani
28.12.2015, aktualisiert um 13:50 Uhr
@Christoph-Bochum
Ist nur viel aufwändiger und fehleranfälliger aufzusetzen.
Es soll Vorschriften und Normen geben, die so etwas verlangen. Dann wird auch davon ausgegangen, dass zwei verschiedene Hersteller genutzt werden. Wobei ich behaupten würde, das es hier keine Rolle spielt.

Um eine "echte" zweistufige Firewall (LAN -> FW -> DMZ -> FW -> WAN) aufzusetzen benötigst du auch ausreichend public IPs um durch die DMZ nicht natten zu müssen.
In wie fern? Ich würde behaupten, dass hängt davon ab was für Services veröffentlicht werden sollen. Geht es hauptsätzlich um Port 80/443 kann eine Public IP mit einem Reverse Proxy ausreichend sein.

?? im klassischen Konstrukt einer DMZ geht nichts ins interne Netz.
Wie soll z.B. Microsoft Exchange OWA veröffentlicht werden? Unter klassisch verstehe ich das keine direkte Verbindung aus dem Internet ins Intranet und andersherum möglich ist. Sprich die Verbindungen werden in der DMZ terminiert und von dort geht es weiter.


Gruß,
Dani
Bitte warten ..
Mitglied: Otto1699
29.12.2015 um 15:33 Uhr
Hallo,

das ein virtuelle FW immer gefährlich ist, ist mir schon klar. Auf der Hardware läuft auch nur noch eine DMZ Maschine.


Wenn ich es richtig sehe, ist eine zweite FW (weil virtuell) sinnlos. Wird die virtuelle FW überwunden ist es sowieso zu spät.


Gibt es denn Fälle wo eine virtuelle FW überwunden wurde? Mir ist nix bekannt.
Bitte warten ..
Mitglied: aqui
29.12.2015, aktualisiert um 15:43 Uhr
Wenn ich es richtig sehe, ist eine zweite FW (weil virtuell) sinnlos. Wird die virtuelle FW überwunden ist es sowieso zu spät.
Genau so ist es !
Gibt es denn Fälle wo eine virtuelle FW überwunden wurde?
Du bist Hobbybastler aber kein Betreiber eines Hosting RZ, oder ? Deshalb fehlt dir da wohl der entsprechende Horizont. Abertausende Fälle.... Meist ist das aber der Faktor Mensch bzw. eine Fehlkonfiguration oder SW Bug.
Die Auswirkung auf einem Hypervisor sind nur erheblich fataler...genau das ist der Punkt.
Wenn du aber damit leben kannst und Fehler weitestgehend vermeiden kannst ist das natürlich aber auch in einer VM machbar.
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server9 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 22 StundenFrageFestplatten, SSD, Raid13 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 23 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...