SW Firewall zusätzlich installieren

sunghost

Blog Benutzer
Hallo,
mich würde mal interessieren, was ihr darüber denkt auf einem dedizierten Server oder aber ggf. auch wenn man mehrere dServer hat diese durch eine zusätzliche virtuelle Firewall abzusichern. Genutzt werden diese Server dann für virtuelle Maschinen. Die Firewall könnte neben der üblichen Portfreigabe auch mit IDS bestück sein und ggf. auch nem Länderblocker. Alternativ, ganz klar wäre da die HW Firewall des Anbieters zu wählen, die jedoch mit zztl. Kosten aufschlägt. Mir gehts nur um den Gedanken...
thx
 

IP-Projects.de

verifizierter Anbieter
verifizierter Anbieter
Das kommt ganz auf die Strategie an und was man letztlich betreibt. Wir haben z.B. ein Firmennetzwerk über mehrere Standorte und Rechenzentren. Das Ganze kommuniziert über Site to Site VPN Strecken und hat mehrere Eintrittspunkte vom Internet aus. Das Konzept hinter so einem Netzwerk ist immer recht unterschiedlich und abhängig von den Anwendungen die darin betrieben werden. Ein pauschales - Ja so geht es - gibt es hier eigentlich nicht.
Ich denke eine zusätzliche Firewall kann eigentlich nie schaden, aber es ist nicht in jeden Anwendungsfall notwendig.
 

sunghost

Blog Benutzer
Hallo

Da gebe ich dir vollkommen Recht. In diesem Fall geht es darum an z.B. einem dedizierten Server,der diverse KVM VMs hostet zusätzliche Sicherheit zu schaffen. In den VMs laufen dann Webseiten/-shops...

An sich ist nen Linux ja schon soweit sicher, dass es nicht alle Ports auf macht, aber eine zztl. Absicherung kann nicht schaden, denke ich. Nachteil wäre klar die höhere CPU Last und der zztl. Administrationsaufwand.
 

IP-Projects.de

verifizierter Anbieter
verifizierter Anbieter
Also wenn du viel Konfigurationsaufwand sparen möchtest, kannst du ein Bridged Setup bauen.

Das heißt, du stecks in LAN Karte 1 der Firewall das WAN/Internet und in LAN Karte 2 den Server. Alles was dann praktisch bei den Server an Traffic ankommt wird durch die Firewall geschleust. Der Vorteil ist, du musst dabei nicht mit internen IPs arbeiten sondern arbeitest ganz normal mit den externen IPs und die Firewall filtert dann als Art Man in the Middle den Traffic.

Alternativ dazu wäre ein Setup vergleichbar mit den heimischen DSL Anschluss. Alle externen IPs werden über die Firewall verwaltet und die Firewall entscheidet, welcher Traffic auf welche Interne IP routet.

Wir selbst setzen für die Realisierung Lösungen von Sophos UTMs ein als Hardware und Software Appliance. Die sind natürlich etwas teuer, es gibt aber auch kostenlose Lösungen wie ipfire.
 

sunghost

Blog Benutzer
re

Hallo,
und danke das du so umfangreich geantwortet hast. Ich werde mir das mal in einem Testszenario nachstellen... Aber ich entnehme, dass die Ursprungsidee so auch tatsächlich in der Praxis verwendet wird, auf welcher Art nun auch immer. Evtl. melden sich noch weitere mit Ideen. Danke fürs antworten... ;)
 

storvi

New Member
Ich setze generell SW-Firewalls (in meinem Fall pf, da ich FreeBSD präferiere) ein, um zu erreichen, dass sich die Server "selbst verteidigen" können.

Habe ich einen Firewalladministrator, der allzu großzügig Regeln einstellt (kann ich ggf. nicht beeinflussen), dann kann ich zusätzlich auf den Servern filtern.
Weiterhin kann ich mich gegen Server im gleichen Netzsegment schützen - also wo lediglich geswitched und nicht gerouted wird.

In der Regel kann ich die Dienste zwar auch entsprechend konfigurieren, das beispielsweise TCP-Wrapper Filterfunktionen übernehmen (SSHD, PostgreSQL...), durch die Implementierung der Firewall bin ich aber unabhängig von den Fähigkeiten der Anwendungen.

Paketnormalisierung - also das Verwerfen von fehlerhaften Paketen oder fehlgeroutete Pakete stören so auch den Betrieb nicht.

Gruß
Markus
 

sunghost

Blog Benutzer
Hi,
pfSense meinst du, oder? Wie sieht das Konstrukt dann generell aus? Also ist die FW virtuell oder als eigene Kiste vorhanden?
 

storvi

New Member
Nein. pf ist (einer) der SW Firewalls, die bei FreeBSD eingesetzt werden können. pfSense ist ein auf Firewall getrimmtes FreeBSD, welches in separaten Kisten / VMs eingesetzt werden kann und eine entsprechene Gui hat.

Gruß
Markus
 
Top