Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verschiedene Ports und Dienste policy-based über drei DSL-Leitungen routen

Frage Sicherheit Firewall

Mitglied: chosen1

chosen1 (Level 1) - Jetzt verbinden

27.03.2011 um 10:55 Uhr, 4104 Aufrufe, 7 Kommentare

Hallo zusammen, bin neu hier, habe natürlich schon gesucht und obwohl mein Thema nicht wirklich aussergewöhnlich ist, hätte ich gern Eure spezielle Einschätzung dazu.

Ich richte in der Firma gerade eine neue Firewall ein. Wir sind eine Werbeagentur und die Policy der Geschäftsführung ist "Ihr arbeitet alle lange und auch viel, deswegen wollen wir Euch nicht in Eurem Surfverhalten einschränken, solange die Selbstdisziplin greift und der Job nicht drunter leidet" - soll heissen, auf unserer vorigen Firewall waren alle ausgehenden Ports und Dienste zugelassen.

Da ich nun der Admin bin und mir schon so oft anhören musste "warum ist das Internet gerade wieder soooo langsam?" und ich genau weiss, dass es so ist weil einige wieder meinen Streamen oder sonst was zu müssen. Da ich aber die eindeutige Ansage der GF habe, dieses nicht zu kontrollieren und auch nicht zu unterbinden, bin ich natürlich in einer besch...nen Lage.

Nun bekommen wir aber eine neue Watchguard und ich habe die Möglichkeit, gleich von Anfang an das Teil nach meinen Vorstellungen einzurichten.

Zum Hintergrund: wir haben bis jetzt lediglich eine 4MBit SDSL für all unseren Traffic. Mit der neuen Watchguard haben wir ausserdem eine VDSL50 und eine 16MBit Leitung dazu bekommen, also insgesamt 3 Leitungen.

Meine Idee ist nun, um unserer Firmenvorgabe zu folgen, den Traffic einfach Policy-based über die verschiedenen DSL-Leitungen zu routen.
Wie soll das aussehen? So:
1. Die 4MBit SDSL soll weiterhin die Hauptleitung für "geschäftlichen" Traffic sein, darunter FTP, VPN, Mail.
2. Die VDSL50 Leitung soll die "dicke" Leitung für das ganz normale Surfen sein
3. Die 16MBit Leitung soll für allen Privatkram bereitstehen

So habe ich sichergestellt, dass alle immer noch alles machen können, aber eben der wichtige Traffic immer seine priorisierte Leitung hat und mit dem Privatkram nicht in Konflikt gerät.

Jetzt muss ich natürlich eingrenzen "was ist wichtig und was ist privat".
Wie gesagt, richtig sperren wollen wir erstmal keinen outgoing Traffic, aber ich habe jetzt ja die Möglichkeit, alle Dinge wie Streaming, Games, Filesharing etc. etc. einfach auf die 16MBit zu legen und wenn es da dann zu langsam wird, muss der Rest der Firma nicht drunter leiden.

Könnt Ihr mir sagen, welche Ports und Dienste Ihr zu den "privaten" zählen und auf die 16MBit legen würdet?

Klar, sowas wie Port 80 wird über die VDSL50 laufen müssen und wenn dort ein Streaming-Dienst Port 80 nutzt, dann ist das eben so, weiter eingrenzen möchte ich das -erstmal- nicht. Aber alles was nach eindeutigen Ports aufzuschlüsseln ist (und was nicht zu "geschäftlich" zu zählen ist), würde ich gern auf die 16MBit legen.

Oder gibt es sogar eine Liste mit "guten" und "bösen" Ports und den Diensten die diese Ports benutzen?

Vielen Dank schon einmal für Eure Antworten!
Mitglied: Sendmen
28.03.2011 um 00:50 Uhr
Ähm mom entweder kann ich grad nicht lesen Du willst das alles über Ports Regeln ähm kannste glaube Vergessen sage nur POP3 & Imap woher soll WG wissen wann er welchen Port wohin Routen möchte?

Also das wird so nix werden Sorry!

An deiner Stelle würde ich es so Probieren das Du erstmal eine Liste von WG tracken lässt wohin die Leute überhaupt surfen das könnte eher Funktionieren um dann WG so zu routen wenn Anfrage A nicht in die 4 MBit Leitung soll sondern in die dafür Vorgensehende.
Oder Versuchst es so das sie einen Proxy bekommen wo Sie dann hin und her schalten müssen gibs für FF als Addon. Dann müsste jeder eine Selbstverpflichtungserklärung unterschreiben wo alles geregelt ist wann auf welchen Proxy umzuschalten ist.
Oder wenn WG es kann mit Gruppen zu Ordnungen zu arbeiten wobei das auch ziemlich fricklig ist bei über Millionen von Websites.

Oder WG so machen das er weiß das wenn eine Gewisse Adresse gewählt wird diese Automatisch auf die Geschäftsleitung geht würde auch gehen und wäre weniger Arbeit.

So sollte ich jetzt nen Denkfehler haben bitte sagt es mir!


Mit den besten Grüßen

Sendmen
Bitte warten ..
Mitglied: chosen1
28.03.2011 um 09:18 Uhr
Nene, dass sollte schon klappen - mal am Beispiel FTP (Port 21):
Es ist doch kein Problem der WG zu sagen, alles was vom internen LAN auf Port 21 nach draussen möchte, wird automatisch nur über die Schnittstelle der 4MBit geroutet - genau das ist doch policy-based Routing, oder liege ich da jetzt falsch?

Genauso kann ich das ja auch mit allen anderen Ports machen. Und genau dafür bin ich auf der Suche nach den Diensten, die spezielle Ports nutzen und die ich dann auf von mir festgelegte DSL-Leitungen routen kann.

Wie geschrieben, bei allem was Port 80 nutzt wird das natürlich schwierig, aber wenn ich alle anderen "privaten" Ports so leiten kann wie ich das möchte, würde mir das erstmal reichen.
Bitte warten ..
Mitglied: sk
28.03.2011 um 11:55 Uhr
Zitat von chosen1:
Nene, dass sollte schon klappen - mal am Beispiel FTP (Port 21):
Es ist doch kein Problem der WG zu sagen, alles was vom internen LAN auf Port 21 nach draussen möchte, wird automatisch nur
über die Schnittstelle der 4MBit geroutet - genau das ist doch policy-based Routing, oder liege ich da jetzt falsch?

Grundsätzlich liegst Du schon richtig, was PBR angeht. FTP ist jedoch ein schlechtes Beispiel, da hier nicht nur Port 21 ausgehend benutzt wird, sondern noch eine zweite Verbindung aufgebaut wird.


Zitat von chosen1:
Klar, sowas wie Port 80 wird über die VDSL50 laufen müssen und wenn dort ein Streaming-Dienst Port 80 nutzt, dann ist
das eben so, weiter eingrenzen möchte ich das -erstmal- nicht. Aber alles was nach eindeutigen Ports aufzuschlüsseln ist
(und was nicht zu "geschäftlich" zu zählen ist), würde ich gern auf die 16MBit legen.

Die meisten modernen UTM-Firewalls können in gewissen Grenzen durchaus unabhängig von den verwendeten Ports die darüber transportierten Anwendungsdaten klassifizieren. Bei einer Zywall USG könntest Du z.B. mittels "Application Patrol" feststellen, ob über Port 80 ein Streaming oder z.B. ein Facebook-Aufruf erfolgt und abhängig vom Ergebnis diesem Traffic mit einem DSCP-Wert markieren. Auf diesen DSCP-Wert könnte man dann beim Policy-Routing abstellen und den Traffic über unterschiedliche Leitungen schieben. Inwiefern die WG vergleichbares bietet, entzieht sich jedoch meiner Kenntnis.


Gruß
sk
Bitte warten ..
Mitglied: chosen1
28.03.2011 um 12:06 Uhr
Ok FTP war ein schlechtes Beispiel, aber das Prinzip wie ich es meine wurde klar.

Wenn ich nachher auch auf Port 80 die Streaming-Täter ausfiltern könnte, wäre das natürlich super - zumindest bietet WG etwas was sich "Application Control" nennt: http://www.watchguard.com/products/xtm-5/options-upgrades.asp . Da wir aber nichts wirklich sperren wollen, wäre es interessant, ob WG die Möglichkeit bietet die Übeltäter über Port 80 im Falle einer Identifizierung auch umzuleiten auf eine andere Leitung, oder ob man dann dort nur sperren kann.
Bitte warten ..
Mitglied: sk
28.03.2011 um 12:51 Uhr
Zitat von chosen1:
Da wir aber nichts wirklich sperren wollen, wäre es interessant, ob WG die Möglichkeit bietet die Übeltäter
über Port 80 im Falle einer Identifizierung auch umzuleiten auf eine andere Leitung, oder ob man dann dort nur sperren kann.

Man kann den Traffic bestimmt wie von mir oben für die USG beschrieben "labeln".
"Versuuuch macht kluuuch": Es scheint eine 30 Tage Testlizenz zu geben. Siehe http://www.watchguard.com/docs/brochure/wg_application-control_ds_de.pd ... (ganz unten).

Gruß
sk
Bitte warten ..
Mitglied: chosen1
28.03.2011 um 14:05 Uhr
Jo, werde das die Tage alles durchtesten - hab auch einfach mal alle Add-Ons mitgekauft

Danke!


Trotzdem wäre es super, wenn Ihr zu der eigentlichen Frage meines Posts noch eine Antwort hättet: Welche Ports/Dienste kann man als Privat bezeichnen und niedriger priorisieren?
Bitte warten ..
Mitglied: sk
28.03.2011 um 14:48 Uhr
Zitat von chosen1:
Trotzdem wäre es super, wenn Ihr zu der eigentlichen Frage meines Posts noch eine Antwort hättet: Welche Ports/Dienste kann man als Privat bezeichnen und niedriger priorisieren?

Das könnt Ihr letztlich nur selbst beantworten, da es eine Frage nach den EIGENEN Prioritäten ist.
Meines Erachtens stellt sich die Frage ohnehin nicht auf diese Weise, denn alles Unbekannte wirst Du auf eine Default-Leitung schicken (vermutlich den 16MBit/s-Anschluß) und lediglich all das, was geschäftlich oder von Bedeutung ist, aktiv auf die anderen beiden Leitungen verlegen. Insofern ist die Frage nicht, was unwichtig bzw. privat, sondern was wichtig bzw. geschäftlich ist. Und diese Frage müsst Ihr schon selbst beantworten. Vermutlich beantwortet sie sich sogar im laufenden Betrieb von ganz alleine bzw. Deine User werden Dir die Frage schon mit Nachdruck beantworten...

Gruß
sk
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst Zwei DSL Leitungen, Zwei Fritzboxen, Zwei Dyndns Accounts - Portweiterleitung klappt nicht (4)

Frage von caravandriver zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Mehrere WAN-Adressen bei LANCOM und Policy-based Routing (13)

Frage von vBurak zum Thema LAN, WAN, Wireless ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...