6
Net-Application-Firewall
Habe derzeit ein Firewallsystem wie folgt aufgebaut:
1: T-com Router (welcher die eigentliche Verbindung zum Inet herstellt)
2: Fedora 9 Rechner mit installiertem und funktionsfähigem HLBR (IPS)
3: pfSense Firewall (lediglich Grundeinstellungen)
4: Endian Firewall (Community Version) welcher als Inhaltsfilter, http Antivirenfilter und transparenter Proxy fungiert
5: US robotics Router (mit aktivem IDS)
6: hinter dem US robotics Router befinden sich 3 verschiedene Netzwerke welche jeweils einen separaten IPCop als Gateway nutzen die IPCop´s sind jeweils so konfiguriert, das sie mit Hilfe diverser Add-ons Filesharing u.a. verbieten und lediglich dem Firefox Browser den Internetzugriff gewähren.
7.1: Im ersten Netzwerk befinden sich ein Windows 2003 EP Server (als AD, DNS und Backupserver) sowie ein OPSI Server welcher die Softwareverteilung übernimmt, als Clients fungieren Win 2000 Rechner.
7.2: Im zweiten Netzwerk befindet sich ein Windows 2003 Std Server (als AD, DNS und Backupserver) als Clients fungieren Win 2000 und XP Pro Rechner.
7.3: Im drittem Netzwerk befindet sich ein Windows 2008 EP Server (als AD, DNS und Backupserver) als Clients fungieren Win 2000 und XP Pro Rechner.
Nun meine Fragen:
1. Ist die Firewall Konfiguration bzw. Zusammensetzung soweit in Ordnung?
2. Mir wurde empfohlen zusätzlich einen Net-Application-Firewall einzubinden welcher die User vor manipulierten Webseiten schützen soll. Jedoch sind mir diese Art von Firewalls bisher nur zum Schutz von Webservern selbst bekannt, bzw. sollte es möglich sein gibt es Open Source Software die eben dieser Aufgabe gerecht werden kann.
1: T-com Router (welcher die eigentliche Verbindung zum Inet herstellt)
2: Fedora 9 Rechner mit installiertem und funktionsfähigem HLBR (IPS)
3: pfSense Firewall (lediglich Grundeinstellungen)
4: Endian Firewall (Community Version) welcher als Inhaltsfilter, http Antivirenfilter und transparenter Proxy fungiert
5: US robotics Router (mit aktivem IDS)
6: hinter dem US robotics Router befinden sich 3 verschiedene Netzwerke welche jeweils einen separaten IPCop als Gateway nutzen die IPCop´s sind jeweils so konfiguriert, das sie mit Hilfe diverser Add-ons Filesharing u.a. verbieten und lediglich dem Firefox Browser den Internetzugriff gewähren.
7.1: Im ersten Netzwerk befinden sich ein Windows 2003 EP Server (als AD, DNS und Backupserver) sowie ein OPSI Server welcher die Softwareverteilung übernimmt, als Clients fungieren Win 2000 Rechner.
7.2: Im zweiten Netzwerk befindet sich ein Windows 2003 Std Server (als AD, DNS und Backupserver) als Clients fungieren Win 2000 und XP Pro Rechner.
7.3: Im drittem Netzwerk befindet sich ein Windows 2008 EP Server (als AD, DNS und Backupserver) als Clients fungieren Win 2000 und XP Pro Rechner.
Nun meine Fragen:
1. Ist die Firewall Konfiguration bzw. Zusammensetzung soweit in Ordnung?
2. Mir wurde empfohlen zusätzlich einen Net-Application-Firewall einzubinden welcher die User vor manipulierten Webseiten schützen soll. Jedoch sind mir diese Art von Firewalls bisher nur zum Schutz von Webservern selbst bekannt, bzw. sollte es möglich sein gibt es Open Source Software die eben dieser Aufgabe gerecht werden kann.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 132724
Url: https://administrator.de/contentid/132724
Printed on: April 24, 2024 at 02:04 o'clock
6 Comments
Latest comment
Moin,
respekt, und mir wurde schon hier nen Overkill nachgesagt weil ich @home nen bisserl Hardware rumstehen habe...
Die frage is jedoch: Für was brauchst du solch eine Konfig? Für dich zuhause wäre es ggf. ein wenig oversized. Bist du im Banken- oder Arzt-Gewerbe so wäre das auf jeden Fall schon ein sehr guter Ansatz.... (Und wenn ich hier lese wie die Leute die Arzt-Praxen so anbinden würde ich mir wünschen das du dort als Vorbild dienen würdest!)
respekt, und mir wurde schon hier nen Overkill nachgesagt weil ich @home nen bisserl Hardware rumstehen habe...
Die frage is jedoch: Für was brauchst du solch eine Konfig? Für dich zuhause wäre es ggf. ein wenig oversized. Bist du im Banken- oder Arzt-Gewerbe so wäre das auf jeden Fall schon ein sehr guter Ansatz.... (Und wenn ich hier lese wie die Leute die Arzt-Praxen so anbinden würde ich mir wünschen das du dort als Vorbild dienen würdest!)
MoinMoin,
naja....ich kann 10 Firewalls hintereinander hängen - auf die ordentliche Konfiguration und Netzwerkkonfiguration kommt es drauf an. Es liest sich auf jeden Fall mal gut...
Ein 2-stufiges Firewallsystem sollte in Normalfall ausreichen. Wenn es geht noch von 2 verschiedenen Herstellern. Wenn das noch ordentlich konfiguriert ist, kann nichts passieren.
Hmm... ich kenne im Unternehmsumfeld eigentlich nur Application Layer Firewall...die sowas macht. Dort wird außer den Quelle, Ziel und Port noch den Inhalt der Netzwerkpakete angeschaut.
Was mich aber ein bisschen stuzig macht, ist die Reihenfolge von (5) IDS und (2) IPS. Normalerweiße lässt man IPS/IDS auf einem System laufen. Denn IDS versucht Angriffee zu erkennen und IPS versucht diese zu Blocken und Sperren. Denn was nützt es dir wenn das IDS am 5. Stelle einen Angriff erkennt...oder irre ich mich aqui?
Grüße,
Dani
naja....ich kann 10 Firewalls hintereinander hängen - auf die ordentliche Konfiguration und Netzwerkkonfiguration kommt es drauf an. Es liest sich auf jeden Fall mal gut...
Ein 2-stufiges Firewallsystem sollte in Normalfall ausreichen. Wenn es geht noch von 2 verschiedenen Herstellern. Wenn das noch ordentlich konfiguriert ist, kann nichts passieren.
Hmm... ich kenne im Unternehmsumfeld eigentlich nur Application Layer Firewall...die sowas macht. Dort wird außer den Quelle, Ziel und Port noch den Inhalt der Netzwerkpakete angeschaut.
Was mich aber ein bisschen stuzig macht, ist die Reihenfolge von (5) IDS und (2) IPS. Normalerweiße lässt man IPS/IDS auf einem System laufen. Denn IDS versucht Angriffee zu erkennen und IPS versucht diese zu Blocken und Sperren. Denn was nützt es dir wenn das IDS am 5. Stelle einen Angriff erkennt...oder irre ich mich aqui?
Grüße,
Dani
na ja, man kann es auch übertreiben. Am besten gar keinen Internetzugang, kommt billiger.
Gruß, Arch stanton
Gruß, Arch stanton
Hallo,
Net-Application schützen ja normalerweise einen WebServer vor unzulässigen Abfragen indem Sie diese normalisieren. Dazu muss die Firewall aber genau Informaitonen über den WebServer und den Aufbau der Seite haben.
Ich kann mir nicht vorstellen, dass dies in diese Richtiung funktioniert.
Die von Dir gesuchte Funktion sollte IPCop eigentlich auch so können. Filtern von Scripten und Co.
Stefan
Net-Application schützen ja normalerweise einen WebServer vor unzulässigen Abfragen indem Sie diese normalisieren. Dazu muss die Firewall aber genau Informaitonen über den WebServer und den Aufbau der Seite haben.
Ich kann mir nicht vorstellen, dass dies in diese Richtiung funktioniert.
Die von Dir gesuchte Funktion sollte IPCop eigentlich auch so können. Filtern von Scripten und Co.
Stefan
Der Empfehlende ist ein guter Verkäufer. Der hat messerscharf erkannt das jemand der 3 Firewalls hintereinander schaltet garantiert auch noch eine Web App Firewall braucht. Warum nicht auch noch ein 2stufiges IPS Konzept...macht bestimmt auch Sinn !
Und den Speedport sollte man schnellstens durch einen Router mit SPI Firewall ersetzen so löchrig wie der T-Com Schrott ist sollte man da Vorsicht walten lassen...
Und den Speedport sollte man schnellstens durch einen Router mit SPI Firewall ersetzen so löchrig wie der T-Com Schrott ist sollte man da Vorsicht walten lassen...
[OT]
Ich habe hier einen 19" Inder. Die sind total praktisch. Der könnte dann als fuzy-logic-HR-firewall dienen.
Da könnte man über einen Preis sprechen.
Auch im Angebot habe ich noch zwei Taschenanwälte. Sowas sollte man immer dabei haben.
[/OT]
Ich habe hier einen 19" Inder. Die sind total praktisch. Der könnte dann als fuzy-logic-HR-firewall dienen.
Da könnte man über einen Preis sprechen.
Auch im Angebot habe ich noch zwei Taschenanwälte. Sowas sollte man immer dabei haben.
[/OT]
