Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Net-Application-Firewall

Frage Netzwerke Netzwerkmanagement

Mitglied: Robsen2

Robsen2 (Level 1) - Jetzt verbinden

04.01.2010 um 21:04 Uhr, 3372 Aufrufe, 6 Kommentare

Habe derzeit ein Firewallsystem wie folgt aufgebaut:

1: T-com Router (welcher die eigentliche Verbindung zum Inet herstellt)
2: Fedora 9 Rechner mit installiertem und funktionsfähigem HLBR (IPS)
3: pfSense Firewall (lediglich Grundeinstellungen)
4: Endian Firewall (Community Version) welcher als Inhaltsfilter, http Antivirenfilter und transparenter Proxy fungiert
5: US robotics Router (mit aktivem IDS)
6: hinter dem US robotics Router befinden sich 3 verschiedene Netzwerke welche jeweils einen separaten IPCop als Gateway nutzen die IPCop´s sind jeweils so konfiguriert, das sie mit Hilfe diverser Add-ons Filesharing u.a. verbieten und lediglich dem Firefox Browser den Internetzugriff gewähren.
7.1: Im ersten Netzwerk befinden sich ein Windows 2003 EP Server (als AD, DNS und Backupserver) sowie ein OPSI Server welcher die Softwareverteilung übernimmt, als Clients fungieren Win 2000 Rechner.
7.2: Im zweiten Netzwerk befindet sich ein Windows 2003 Std Server (als AD, DNS und Backupserver) als Clients fungieren Win 2000 und XP Pro Rechner.
7.3: Im drittem Netzwerk befindet sich ein Windows 2008 EP Server (als AD, DNS und Backupserver) als Clients fungieren Win 2000 und XP Pro Rechner.

Nun meine Fragen:
1. Ist die Firewall Konfiguration bzw. Zusammensetzung soweit in Ordnung?
2. Mir wurde empfohlen zusätzlich einen Net-Application-Firewall einzubinden welcher die User vor manipulierten Webseiten schützen soll. Jedoch sind mir diese Art von Firewalls bisher nur zum Schutz von Webservern selbst bekannt, bzw. sollte es möglich sein gibt es Open Source Software die eben dieser Aufgabe gerecht werden kann.
Mitglied: maretz
04.01.2010 um 21:18 Uhr
Moin,

respekt, und mir wurde schon hier nen Overkill nachgesagt weil ich @home nen bisserl Hardware rumstehen habe...

Die frage is jedoch: Für was brauchst du solch eine Konfig? Für dich zuhause wäre es ggf. ein wenig oversized. Bist du im Banken- oder Arzt-Gewerbe so wäre das auf jeden Fall schon ein sehr guter Ansatz.... (Und wenn ich hier lese wie die Leute die Arzt-Praxen so anbinden würde ich mir wünschen das du dort als Vorbild dienen würdest!)
Bitte warten ..
Mitglied: Dani
04.01.2010 um 21:55 Uhr
MoinMoin,
naja....ich kann 10 Firewalls hintereinander hängen - auf die ordentliche Konfiguration und Netzwerkkonfiguration kommt es drauf an. Es liest sich auf jeden Fall mal gut...
Ein 2-stufiges Firewallsystem sollte in Normalfall ausreichen. Wenn es geht noch von 2 verschiedenen Herstellern. Wenn das noch ordentlich konfiguriert ist, kann nichts passieren.

Hmm... ich kenne im Unternehmsumfeld eigentlich nur Application Layer Firewall...die sowas macht. Dort wird außer den Quelle, Ziel und Port noch den Inhalt der Netzwerkpakete angeschaut.

Was mich aber ein bisschen stuzig macht, ist die Reihenfolge von (5) IDS und (2) IPS. Normalerweiße lässt man IPS/IDS auf einem System laufen. Denn IDS versucht Angriffee zu erkennen und IPS versucht diese zu Blocken und Sperren. Denn was nützt es dir wenn das IDS am 5. Stelle einen Angriff erkennt...oder irre ich mich aqui?


Grüße,
Dani
Bitte warten ..
Mitglied: Arch-Stanton
04.01.2010 um 22:19 Uhr
na ja, man kann es auch übertreiben. Am besten gar keinen Internetzugang, kommt billiger.

Gruß, Arch stanton
Bitte warten ..
Mitglied: StefanKittel
04.01.2010 um 23:13 Uhr
Hallo,
Net-Application schützen ja normalerweise einen WebServer vor unzulässigen Abfragen indem Sie diese normalisieren. Dazu muss die Firewall aber genau Informaitonen über den WebServer und den Aufbau der Seite haben.
Ich kann mir nicht vorstellen, dass dies in diese Richtiung funktioniert.

Die von Dir gesuchte Funktion sollte IPCop eigentlich auch so können. Filtern von Scripten und Co.

Stefan
Bitte warten ..
Mitglied: aqui
05.01.2010 um 00:16 Uhr
Der Empfehlende ist ein guter Verkäufer. Der hat messerscharf erkannt das jemand der 3 Firewalls hintereinander schaltet garantiert auch noch eine Web App Firewall braucht. Warum nicht auch noch ein 2stufiges IPS Konzept...macht bestimmt auch Sinn !
Und den Speedport sollte man schnellstens durch einen Router mit SPI Firewall ersetzen so löchrig wie der T-Com Schrott ist sollte man da Vorsicht walten lassen...
Bitte warten ..
Mitglied: StefanKittel
05.01.2010 um 00:31 Uhr
[OT]
Ich habe hier einen 19" Inder. Die sind total praktisch. Der könnte dann als fuzy-logic-HR-firewall dienen.
Da könnte man über einen Preis sprechen.

Auch im Angebot habe ich noch zwei Taschenanwälte. Sowas sollte man immer dabei haben.
[/OT]
Bitte warten ..
Ähnliche Inhalte
Windows 7
C:ProgramData-Application Data-Application Data-Application Data-Application Data-Application Data
Frage von crashi09Windows 74 Kommentare

Hallo, habe folgendes Problem an einem Win 7 Pro 32Bit Rechner wie oben zusehen wird dieser Ordner immer wieder ...

Sicherheit
Application Whitelisting - Umgang mit Systemdateien
Tipp von DerWoWussteSicherheit2 Kommentare

Es begab sich Ende letzter Woche, dass einem Sicherheitsspezi auffiel, dass eine Windowssystemkomponente (c:\windows\system32\regsvr32.exe) ihm bislang unbekannte Fähigkeiten hat: ...

Windows Server
EventLog-Application ErrorCode 3221225864
gelöst Frage von rocco61Windows Server3 Kommentare

Hallo zusammen, mich macht eben der 2008 Server fuchtig. Komme heute , sehe im Eventlog EventLog-Application ErrorCode 3221225864 das ...

Windows Systemdateien
Application Error in CFGMGR32.dll
Frage von Bange123Windows Systemdateien11 Kommentare

Hallo zusammen, auf unserem 2008 R2 Terminalserver gibt es zwei Programme die regelmäßig abschmieren. Folgendes steht im Eventlog: Name ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 13 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 15 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.