hot
Goto Top

Implementierung eines Linux-Firewallcluster

Hallo Community,

wir haben vor, unsere bestehende Firewall durch einen Firewallcluster zu ersetzen.
Die bestehende Firewall ist das Gateway eines großen Firmennetzwerks, das mehrere Kunden (auch wir) in Form von VLANs nutzen.

Meine bisherigen Erfahrungen mit Firewalls beruhen auf einfachen Gateways, die als Router dienen, mit einfachen iptables-Regeln.

Bei unserem neuen Baby stellt sich mir aber gleich schon folgende Frage:
- Wie schließe ich physikalisch den neuen Firewallcluster an?

Derzeitig sieht es so aus:
http://www.christian-baensch.de/vorhandene_verkabelung.gif

Die Firewall in der Zeichnung soll durch den neuen Firewallcluster ersetzt werden. Sie wird als Router, Firewall, VPN-Server eingesetzt und verwaltet die VLANs der Kunden in Form von virtuellen IP-Adressen (z.B. eth0.132) in etc/network/interfaces. Dasselbe soll, wie schon angesprochen, auch der Cluster übernehmen.
Zum Einsatz kommen folgende Pakete:
- shorewall als Firewall
- OpenVPN als VPN-Server
- heartbeat als Clustersoftware
Daneben soll noch IP-/Traffic-Accounting funktionieren...

Ich stelle mir das ungefähr so vor:
http://www.christian-baensch.de/neue_verkabelung.gif
Die Frage ist nur, ob sich das so, wie ich das gezeichnet habe, auch praktisch realisieren läßt.

Vielleicht habt Ihr den ein oder anderen Tipp für mich oder könnt mir sonst weiterhelfen.
Bin für jeden noch so kleinen Tipp sehr dankbar.

Vielen Dank im voraus und einen schönen Abend.

Gruß, hot aka Christian

Content-Key: 32644

Url: https://administrator.de/contentid/32644

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: Okies
Okies 20.06.2006 um 23:44:12 Uhr
Goto Top
Irgendwer muß ja mal anfangen hierauf zu antworten...

Also, so wie in der Zeichnung wird es nicht funktionieren, frage Dich einfach einmal wo's hakt wenn einer der FW-Rechner ausfällt. Dann kommt nämlich nichts mehr durch.

Generell kann so eine Lösung funktionieren wenn beide FW-Rechner "parallel" geschaltet sind, also gleichberechtigt an beiden Switches hängen. Das ist die Redundanz-Lösung.

Die Lösung welche die höchste Sicherheit bietet, wäre jedoch die Firewalls hintereinander zu schalten und mit unterschiedlichen Kennwörtern und Regeln aufzubauen: Die Äußere erstmal so das sie nur die Ports weiterleitet welche interessant sind, die Innere kümmert sich dann um die VLANs und VPN. Evtl. solltest Du bei so einer Lösung die Äußere sogar mit einem anderen Betriebssystem ausstatten um die Angreifer wirklich etwas zu beschäftigen (dann haben sie ein komplett neues Problem wenn die erste geknackt ist). Da könnte OpenBSD ganz lustig sein.

Also, erstmal schau'n was Du wirklich willst, viel Spaß dabei!