3
SIF in Bintec R3002
Hallo zusammen,
im Einsatz ist am Internetanschluss ein Bintec R3002 Router.
In diesem sind bisher unter Firewall noch keine Regeln eingerichtet und die Dienste scheinen auch die standardmäßigen ab Werk zu sein.
Reicht denn überhaupt NAT alleine ohne Firewall (am besten SIF) aus um den Internetanschluss (das LAN dahinter) vor Angriffen zu schützen?
Bitte beschreibt mir die Vorteile der Sicherheit bei Verwendung mit SIF und ohne SIF nur mit NAT.
Danke für Eure Tipps!
Gruß
im Einsatz ist am Internetanschluss ein Bintec R3002 Router.
In diesem sind bisher unter Firewall noch keine Regeln eingerichtet und die Dienste scheinen auch die standardmäßigen ab Werk zu sein.
Reicht denn überhaupt NAT alleine ohne Firewall (am besten SIF) aus um den Internetanschluss (das LAN dahinter) vor Angriffen zu schützen?
Bitte beschreibt mir die Vorteile der Sicherheit bei Verwendung mit SIF und ohne SIF nur mit NAT.
Danke für Eure Tipps!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 183140
Url: https://administrator.de/contentid/183140
Printed on: April 23, 2024 at 21:04 o'clock
3 Comments
Latest comment
Hallo
NAT in Kombination mit einer State-Table ist die einfachste Form von SIF (Stateful Inspection Firewall), nämlich alles darf raus, rein dürfen aber nur die Antworten auf bestehende "Verbindungen". Das reicht im groben um von aussen kommende Zugriffe zu verhindern. Was damit nicht verhindert wird sind ungewollte Zugriffe vom internen Netz nach draußen, typisches Beispiel sind Trojaner-Downloader oder Command-Channels bereits infizierter Maschinen.
Wenn also die internen Maschinen relativ gut gesichert sind und am Gateway keine Sicherheits-Policy durchgesetzt werden soll, reicht NAT+State aus. Ansonsten kannst du die SIF verwenden, aber bitte zuerst das Handbuch lesen, man hat sich auch schnell mal selbst ausgesperrt bei SIF-Versuchen
Gruß
Andi
NAT in Kombination mit einer State-Table ist die einfachste Form von SIF (Stateful Inspection Firewall), nämlich alles darf raus, rein dürfen aber nur die Antworten auf bestehende "Verbindungen". Das reicht im groben um von aussen kommende Zugriffe zu verhindern. Was damit nicht verhindert wird sind ungewollte Zugriffe vom internen Netz nach draußen, typisches Beispiel sind Trojaner-Downloader oder Command-Channels bereits infizierter Maschinen.
Wenn also die internen Maschinen relativ gut gesichert sind und am Gateway keine Sicherheits-Policy durchgesetzt werden soll, reicht NAT+State aus. Ansonsten kannst du die SIF verwenden, aber bitte zuerst das Handbuch lesen, man hat sich auch schnell mal selbst ausgesperrt bei SIF-Versuchen
Gruß
Andi
Hi,
danke für die Antwort.
Um die Zugriffe von innen nach aussen zu filtern, ist ein Proxy Wingate im Einsatz.
Physischer Aufbau:
Der Router stellt das Internet bereit. Dieser ist mit dem 24 Port Switch verbunden. Alle Server (auch auf dem der Proxy ausgeführt wird) sind an diesem GBit Switch angeschlossen. Auch alle Clients sind direkt an den Switch angeschlossen.
Die Clients erreichen das WWW nur über den Proxydienst. Zudem sind in dem Proxy nur bestimmte, erlaubte und für die Arbeit benötigte Webseiten freigegeben.
Also ist die bestehende Konfiguration und Aufbau so von seitens Sicherheit in Ordnung oder kann man noch Dinge optimieren?
Gruß
danke für die Antwort.
Um die Zugriffe von innen nach aussen zu filtern, ist ein Proxy Wingate im Einsatz.
Physischer Aufbau:
Der Router stellt das Internet bereit. Dieser ist mit dem 24 Port Switch verbunden. Alle Server (auch auf dem der Proxy ausgeführt wird) sind an diesem GBit Switch angeschlossen. Auch alle Clients sind direkt an den Switch angeschlossen.
Die Clients erreichen das WWW nur über den Proxydienst. Zudem sind in dem Proxy nur bestimmte, erlaubte und für die Arbeit benötigte Webseiten freigegeben.
Also ist die bestehende Konfiguration und Aufbau so von seitens Sicherheit in Ordnung oder kann man noch Dinge optimieren?
Gruß
Hallo
auf jeden Fall verhindern das die Clients direkt über den Router am Proxy vorbei ins Internet kommen, alles andere sollte ausreichen.
Gruß
Andi
auf jeden Fall verhindern das die Clients direkt über den Router am Proxy vorbei ins Internet kommen, alles andere sollte ausreichen.
Gruß
Andi
