Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Net-Application-Firewall

Frage Netzwerke Netzwerkmanagement

Mitglied: Robsen2

Robsen2 (Level 1) - Jetzt verbinden

04.01.2010 um 21:04 Uhr, 3341 Aufrufe, 6 Kommentare

Habe derzeit ein Firewallsystem wie folgt aufgebaut:

1: T-com Router (welcher die eigentliche Verbindung zum Inet herstellt)
2: Fedora 9 Rechner mit installiertem und funktionsfähigem HLBR (IPS)
3: pfSense Firewall (lediglich Grundeinstellungen)
4: Endian Firewall (Community Version) welcher als Inhaltsfilter, http Antivirenfilter und transparenter Proxy fungiert
5: US robotics Router (mit aktivem IDS)
6: hinter dem US robotics Router befinden sich 3 verschiedene Netzwerke welche jeweils einen separaten IPCop als Gateway nutzen die IPCop´s sind jeweils so konfiguriert, das sie mit Hilfe diverser Add-ons Filesharing u.a. verbieten und lediglich dem Firefox Browser den Internetzugriff gewähren.
7.1: Im ersten Netzwerk befinden sich ein Windows 2003 EP Server (als AD, DNS und Backupserver) sowie ein OPSI Server welcher die Softwareverteilung übernimmt, als Clients fungieren Win 2000 Rechner.
7.2: Im zweiten Netzwerk befindet sich ein Windows 2003 Std Server (als AD, DNS und Backupserver) als Clients fungieren Win 2000 und XP Pro Rechner.
7.3: Im drittem Netzwerk befindet sich ein Windows 2008 EP Server (als AD, DNS und Backupserver) als Clients fungieren Win 2000 und XP Pro Rechner.

Nun meine Fragen:
1. Ist die Firewall Konfiguration bzw. Zusammensetzung soweit in Ordnung?
2. Mir wurde empfohlen zusätzlich einen Net-Application-Firewall einzubinden welcher die User vor manipulierten Webseiten schützen soll. Jedoch sind mir diese Art von Firewalls bisher nur zum Schutz von Webservern selbst bekannt, bzw. sollte es möglich sein gibt es Open Source Software die eben dieser Aufgabe gerecht werden kann.
Mitglied: maretz
04.01.2010 um 21:18 Uhr
Moin,

respekt, und mir wurde schon hier nen Overkill nachgesagt weil ich @home nen bisserl Hardware rumstehen habe...

Die frage is jedoch: Für was brauchst du solch eine Konfig? Für dich zuhause wäre es ggf. ein wenig oversized. Bist du im Banken- oder Arzt-Gewerbe so wäre das auf jeden Fall schon ein sehr guter Ansatz.... (Und wenn ich hier lese wie die Leute die Arzt-Praxen so anbinden würde ich mir wünschen das du dort als Vorbild dienen würdest!)
Bitte warten ..
Mitglied: Dani
04.01.2010 um 21:55 Uhr
MoinMoin,
naja....ich kann 10 Firewalls hintereinander hängen - auf die ordentliche Konfiguration und Netzwerkkonfiguration kommt es drauf an. Es liest sich auf jeden Fall mal gut...
Ein 2-stufiges Firewallsystem sollte in Normalfall ausreichen. Wenn es geht noch von 2 verschiedenen Herstellern. Wenn das noch ordentlich konfiguriert ist, kann nichts passieren.

Hmm... ich kenne im Unternehmsumfeld eigentlich nur Application Layer Firewall...die sowas macht. Dort wird außer den Quelle, Ziel und Port noch den Inhalt der Netzwerkpakete angeschaut.

Was mich aber ein bisschen stuzig macht, ist die Reihenfolge von (5) IDS und (2) IPS. Normalerweiße lässt man IPS/IDS auf einem System laufen. Denn IDS versucht Angriffee zu erkennen und IPS versucht diese zu Blocken und Sperren. Denn was nützt es dir wenn das IDS am 5. Stelle einen Angriff erkennt...oder irre ich mich aqui?


Grüße,
Dani
Bitte warten ..
Mitglied: Arch-Stanton
04.01.2010 um 22:19 Uhr
na ja, man kann es auch übertreiben. Am besten gar keinen Internetzugang, kommt billiger.

Gruß, Arch stanton
Bitte warten ..
Mitglied: StefanKittel
04.01.2010 um 23:13 Uhr
Hallo,
Net-Application schützen ja normalerweise einen WebServer vor unzulässigen Abfragen indem Sie diese normalisieren. Dazu muss die Firewall aber genau Informaitonen über den WebServer und den Aufbau der Seite haben.
Ich kann mir nicht vorstellen, dass dies in diese Richtiung funktioniert.

Die von Dir gesuchte Funktion sollte IPCop eigentlich auch so können. Filtern von Scripten und Co.

Stefan
Bitte warten ..
Mitglied: aqui
05.01.2010 um 00:16 Uhr
Der Empfehlende ist ein guter Verkäufer. Der hat messerscharf erkannt das jemand der 3 Firewalls hintereinander schaltet garantiert auch noch eine Web App Firewall braucht. Warum nicht auch noch ein 2stufiges IPS Konzept...macht bestimmt auch Sinn !
Und den Speedport sollte man schnellstens durch einen Router mit SPI Firewall ersetzen so löchrig wie der T-Com Schrott ist sollte man da Vorsicht walten lassen...
Bitte warten ..
Mitglied: StefanKittel
05.01.2010 um 00:31 Uhr
[OT]
Ich habe hier einen 19" Inder. Die sind total praktisch. Der könnte dann als fuzy-logic-HR-firewall dienen.
Da könnte man über einen Preis sprechen.

Auch im Angebot habe ich noch zwei Taschenanwälte. Sowas sollte man immer dabei haben.
[/OT]
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
User-ID zu Application Crash

Frage von pablovic zum Thema Windows Server ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Firewall
Passende Firewall gesucht (7)

Frage von harald.schmidt zum Thema Firewall ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...