Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall Konzept, von LAN ins WAN erstmal alles verbieten?

Frage Sicherheit Firewall

Mitglied: Bitdreher

Bitdreher (Level 1) - Jetzt verbinden

25.10.2013 um 09:14 Uhr, 4710 Aufrufe, 7 Kommentare

Hallo zusammen,

mich würde einmal interessieren wie Eure Firewalls arbeiten.

Wenn was vom WAN ins LAN will wird es geblockt, soweit klar.

Nur wie sieht es aus, wenn etwas vom LAN ins WAN will. Sollte man hier auch erst mal alles blocken und dann nach und nach Dinge wie HTTP und HTTPS für das LAN freischalten?

Oder ist dies zu übertrieben?
Und man sollte sich hier auf bestimme Dienste wie SMTP konzentrieren, dass diese nur vom Exchange Server ins WAN kommen aber nicht von einem Client?

Wie macht Ihr das?

Mitglied: 108012
25.10.2013 um 10:14 Uhr
Hallo,

mich würde einmal interessieren wie Eure Firewalls arbeiten.
Und die meisten Leute hier werden genau das nicht in einem Forum schreiben wollen, denn bei sehr vielen
Mitgliedern hier im Forum verhält es sich so, dass sie ein Produktivnetz in einer Firma betreuen.

Wenn was vom WAN ins LAN will wird es geblockt, soweit klar.
Wenn es denn nicht berechtigt ist (VPN Verbindung) und wenn es nicht von einem dahinter
liegenden Klienten angefordert wurde, ist dem so und sicherlich auch vernünftig.

Nur wie sieht es aus, wenn etwas vom LAN ins WAN will. Sollte man hier auch erst mal alles blocken und dann nach
und nach Dinge wie HTTP und HTTPS für das LAN freischalten?
Kann man so machen und sicherlich auch eine vernünftige Sache aber dazu muss bzw. sollte man erst
einmal herausfinden welche Firewall Du einsetzt und dann erst sollte man sich ganz einfach hinsetzen und eine
logische Reihenfolge herausfinden, denn bei sehr vielen Firewalls geht es wie folgt zur Sache, "first rule matches all"
das heißt zu deutsch die erste Regel greift und das kann auch mit Problemen behaftet sein.

Oder ist dies zu übertrieben?
Es muss logisch sein, darf sich nicht aufheben und sollte sich nicht stören (Regeln untereinander).

Und man sollte sich hier auf bestimme Dienste wie SMTP konzentrieren, dass diese nur vom
Exchange Server ins WAN kommen aber nicht von einem Client?
Das kommt auf so viele Faktoren an und ist sicherlich nicht überall gleich!
Denn zum Einen steht der Exchange in einer DMZ und zum Anderen im LAN auf einem SBS integriert!
und die Einstellungen am Klienten sagen ja eigentlich dem Klienten was er von wo und über was genau
abruft, das unterbinden von FreeMailern ist aber wieder eine andere Sache.

Gruß
Dobby
Bitte warten ..
Mitglied: Pjordorf
25.10.2013 um 11:20 Uhr
Hallo,

Zitat von Bitdreher:
mich würde einmal interessieren wie Eure Firewalls arbeiten.
Na, wie Firewalls eben

Wenn was vom WAN ins LAN will wird es geblockt, soweit klar.
Jaein.

Nur wie sieht es aus, wenn etwas vom LAN ins WAN will. Sollte man hier auch erst mal alles blocken und dann nach und nach Dinge
wie HTTP und HTTPS für das LAN freischalten?
So siehts aus.

Oder ist dies zu übertrieben?
Warum?

Und man sollte sich hier auf bestimme Dienste wie SMTP konzentrieren, dass diese nur vom Exchange Server ins WAN kommen aber nicht von einem Client?
Nur auf einen Port alleine sich zu Konzentrieren bringt deinen Mitarbeitern nicht wirklich was

Wie macht Ihr das?
Vernünftige Firewall (Nein, keine FritzBox) einsetzen und dann das was benötigt wird mit vernünftigen Regeln erlauben. Dokumentieren, fertisch.

Eine Juniper oder Sophos UTM oder PFsense oder Monowall oder ein FLI4L oder eine ... machen ohne Konfiguration erstmal alles dicht. In allen Richtungen. Was macht deine uns unbekannte Firewall?

Gruß,
Peter
Bitte warten ..
Mitglied: Bitdreher
25.10.2013 um 12:33 Uhr
Hallo,

ich habe keine ZyWALL USG 50.

Vom WAN ins LAN ist alles dich, bestimmte Ports müssen per Regel geöffnet werden.

Allerdings ist vom LAN ins WAN alles offen, daher meine Frage.
Bitte warten ..
Mitglied: 108012
25.10.2013 um 13:30 Uhr
Allerdings ist vom LAN ins WAN alles offen, daher meine Frage
Kommt eben auch darauf an was Du alles unterbinden möchtest und was die Mitarbeiter nicht können sollen
bzw. dürfen, und das weißt in der Regel immer nur Du.

Gruß
Dobby
Bitte warten ..
Mitglied: Bitdreher
25.10.2013 um 13:43 Uhr
Es geht eher weniger um die Mitarbeiter sondern mehr um die Sicherheit.

Nehme ich z.B. einen E-Mail Bot, Trojaner was auch immer, welcher SPAM über ein infiziertes System verschicken will.
Oder sonst was für Viren welche nach Hause telefonieren wollen.
Bitte warten ..
Mitglied: 108012
25.10.2013 um 14:24 Uhr
Sicherheit ist immer ein Zusammenspiel von vielen Punkten und Sachen die man in einem
Unternehmen umsetzen, aufsetzen und durchsetzen muss bzw. kann oder will.

Eine UTM Lösung ist da wohl besser geeignet als eine reine Firewall, da sie gleich mehrere Funktionen mitbringt:
- AV Scann
- Malware Scann
- Kontentfilter
- IDS/IPS
- AntiSpam

Klar die kosten dann eben auch Lizenzgebühren, aber es geht auch ohne dies.

Ein HTTP Proxy Server das die Server in der DMZ nicht direkt mit dem Internet in Verbindung stehen.
- Squid
- Squidguard
- DansGuardian - Kontentfilter
- Snort - IDS/IPS
- HAVP + ClamAV - OpenSource Antivirenlösung

Extra eine DMZ mit einem Layer2 Switch aufsetzten in der die Server stehen die den Internetkontakt haben
- Webserver
- FTP/SFTP Server
- SQL Server
- MailServer
- PBX Server

Und diese dann auch sichern und verteidigen mit Snort oder Suricata.
- DMZ Radius Server
- DMZ externer DNS Server
- DMZ Snort Sensor
- Switch ACLs und Port Security Einstellungen

- Server gestützte AV Lösung auf den Servern und Klienten installieren
- WSUS für Windows Updates nehmen
- PSI Secunia für Programm Updates nehmen
- Mitarbeiterschulungen
- Surfen eventuell nur in einer Sandbox
- Am Freitag vor der Vollsicherung (Backup) einen Komplettscann der Klient PCs
- USB Ports via GPOs und mechanischen USB Schlössern sperren
- CD/DVD/BlueRay Laufwerke sperren
- Snort Server mit vielen Sensoren aufstellen
- LDAP für Kabel gebundene Klienten
- Radius Server mit Zertifikaten und Verschlüsselung für Kabel lose & WLAN Klienten
- Auch die Server regelmäßig einem Vollscann unterziehen
- Syslogserver aufsetzen der alle Protokolle von den Routern und Switchen einsammelt
- Bei einem Antispamanbieter eine Lizenz kaufen und den Spam dann gleich aussortieren lassen
- Firewall und Switchregeln recht regiede und eng handhaben.
- Ports sperren die eh nicht in Benutzung sind und gebraucht werden
- Einen DNS Server in der DMZ und einen im LAN
Der vom LAN kennt die Adressen der einzelnen Klienten und der in der DMZ nur die IP des internen Servers
- Mitarbeiterschulungen. Aushänge, Bekanntmachungen und eventuell Arbeitsanweisungen von der GL
- Gar keine Nutzung des Internets, wie Facebook, Twitter, Email und Surfen.
- Schwarz & Weiß Listen für URLs
- Ganze Länder oder Regionen unterbinden wie z.B. China, Aserbaidschan, Rumänien,.......
- VLANs anlegen und via ACLs absichern

Ich habe das nur einmal geschrieben damit Du nicht denkst dass man nur ein paar Firewallregeln
setzten muss und dann hat man Ruhe vor Viren, Trojanern und Würmern, das ist eben nur Wunschdenken
und gehört eigentlich nicht hier in das Forum, denn damit fängt es meist erst richtig an und so etwas kostet
dann eben auch ein paar Taler aber es bildet dann auch eine gute Basis um weitere Maßnahmen folgen zu
lassen und das gilt auch für kleine und mittlere Unternehmen, denn das macht man an dem zu entstehenden
Schaden ab und nicht an der Größe des Betriebes.

Gruß
Dobby
Bitte warten ..
Mitglied: spacyfreak
07.01.2014, aktualisiert um 16:25 Uhr
Wir habe nicht mal ne default route ins Internet, Die Anwender kommen nur via Proxyservice ins Internet.
Es werden halt grade via Webseitenbesuchen gerne Schädlinge verbreitet, da kommt man in Firmen nicht drumrum heutzutage Proxy/Contentfilter zu verwenden die das abfangen. Lokaler Antivirusclient kann da auch nicht alles abfangen wenn man sich nur darauf verlässt.

Bestimmte explizite Server im Internet die direkt erreicht werden müssen (weil die Anwendung nicht proxyfähig ist zum Beispiel) werden dagegen so restriktiv wie möglich erreichbar gemacht, in der Regel auch nur durch Server die in unseren DMZs stehen, wenn man davon ausgehen kann dass diese unseren Sicherheitsstandards entsprechen.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Firewall Ports freigeben verbieten
Frage von Haraldger123Windows Netzwerk6 Kommentare

Guten Tag zusammen, OS : Windows 7 Ich habe da eine Frage bzgl Ports und der Firewall Ich habe ...

Netzwerkmanagement
Netgear Firewall WAN Problem
Frage von DauJoeNetzwerkmanagement4 Kommentare

Hallo zusammen, ich verwende in einem KMU eine NETGEAR Firewall FVS336Gv3, auf der DNS, Firewall und DHCP Server laufen. ...

LAN, WAN, Wireless
LAN (WAN) mit ständigen Unterbrechungen
Frage von BrudschgoLAN, WAN, Wireless10 Kommentare

Hallo zusammen. Eine merkwürdige Erscheinung fand ich bei einem Freund. Versuche ich auf das NAS zuzugreifen oder zu surfen ...

Router & Routing
Pfsense - Ping von WAN zum LAN
gelöst Frage von RalphTRouter & Routing10 Kommentare

Hallo, ich habe hier eine pfSense-Firewall zwischen zwei LAN-Netze eingesetzt. Der WAN-Port der pfSense liegt am Netz 192.168.100.0/24. Der ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 17 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 21 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...