Fauk Geschrieben 9. Juli 2015 Geschrieben 9. Juli 2015 Hallo Community, Ich habe nächste Woche mein Fachgespräch im Bezug auf meine Abschlussprüfung zum Fisi. Mein Thema war Firewalls und die damit verbundene DMZ sowie VPN. Da ich mich gerade am vorbereiten bin, für das anstehende Fachgespräch, wollte ich fragen ob mir jemand dabei weiterhelfen kann welche Firewallregeln wirklich zu den allgemeinen Basics gehören? Ich habe nicht so viele Regeln damals erstellt und hauptsächlich bezogen diese sich auf Umleitungen auf die DMZ bzw. den sich dort befindlichen Webserver, und letztendlich Portfreigaben für VPN über L2TP und IPsec. Ich habe es aber sprichwörtlich im Urin das ich gefragt werde was man denn noch für Firewallregeln einstellen könnte, bzw. welche allgemein noch sinnvoll wären. Leider habe ich in meinem Betrieb keine Chance eine Antwort auf diese Frage zu finden, da ich die erste Firewall installiert habe und die bisher bestehenden Teil eines externen Universitätsnetzes sind, an das ich nicht heran komme. Kann mir da jemand weiterhelfen der sich schon mehr damit beschäftigt hat? Welche Firewallregeln würdet ihr zu den Basics zählen? Würde mich freuen wenn ihr mir dabei möglichst viele Informationen geben könntet, etwa den Port, das Protocol usw. Vielen Dank schon mal im voraus. Zitieren
Crash2001 Geschrieben 10. Juli 2015 Geschrieben 10. Juli 2015 Hallo, das kommt ganz drauf an, welche Dienste bei euch denn so laufen und ob ihr Windows einsetzt oder Unix/Linux. Hier eine Liste der Standardports mit entsprechender Anwendung. Zitieren
Fauk Geschrieben 10. Juli 2015 Autor Geschrieben 10. Juli 2015 Hallo Crash2001, Danke für die Antwort, die Port Liste hatte ich sogar mal, die wird mir denke ich gut weiterhelfen. Ansonsten läuft alles auf Windows Basis, bis auf den Intranet Server der ist Linux. Zitieren
Crash2001 Geschrieben 13. Juli 2015 Geschrieben 13. Juli 2015 Hallo, ich wollte damit ausdrücken, dass es zwar ein paar Standarddienste gibt (z.B. (S)FTP-Server, Filetransfer, Samba-Server, SSH-Server, NTP-Server, etc., die in den meisten Umgebungen irgendwo laufen - ob diese aber jeweils von außen erreichbar sein sollten, oder wenn dann nur intern und nach extern nur über ein VPN, ist halt eine Frage des Designs, bzw. wofür die entsprechenden Server eingesetzt werden. Einen internen (S)FTP-Server wird man im Normalfall nicht nach außen freischalten. Steht dieser hingegen in der DMZ und ist zum Transfer von Dateien von Kunden zur Firma gedacht, dann muss er natürlich von außen erreichbar sein (evtl. wieder per VPN). Dementsprechend kann dir niemand sagen, was für Anwendungen standardmäßig auf der Firewall freigeschaltet sind, da du nicht angibst, wo die Firewall denn überhaupt steht (intern zur DMZ, DMZ nach extern, zwischen irgendwelchen anderen Netzen, ...) und wie euer Netzwerk aufgebaut ist. Zitieren
tschulian Geschrieben 22. Juli 2015 Geschrieben 22. Juli 2015 Also unter Standardregeln bei Windows Firewall würde ich sowas verstehen. Und unter uns: der Prüfungsausschuss will doch nur nur etwas gebabbel hören. Geh ganz cool daran. Ich hatte damals als Projekt Umstieg von Acronis 10 auf 11.5 (Firmenweit) und wir waren ca. 1500 Clients. Ich weiß noch das ich Projektbezogene Fragen hatte wie: was ist Datenschutz und Datensicherheit, Datenintegrität und lauter so Fachwortgeschnörksel, aber ich wusste dass diese Fragen kommen, weil ich die Schlüsselwörter gezielt in meinen Texten platziert hatte. So kannst du die tolle IHK auch ausstricksen. #Edit sorry, grad nach erstellen der Antwort erst das Datum gesehen... Zitieren
Fauk Geschrieben 22. Juli 2015 Autor Geschrieben 22. Juli 2015 Trotzdem noch danke für die Antwort, alles worauf ich mich so aber vorbereitet hatte war vergebens da ich letzendes über Kabel gelöchert wurde.... Zitieren
tschulian Geschrieben 23. Juli 2015 Geschrieben 23. Juli 2015 o.O über Kabel? Kabeltypen UTP / SFTP und so nen ****? Zitieren
GoaSkin Geschrieben 18. August 2015 Geschrieben 18. August 2015 Neben dem Gewähren / Sperren von Ports wäre sinnvoll: - Anzahl gleichzeitiger Verbindungen und Pings pro Sekunde beschränken, um die Gefahr einer DOS-Attacke zu senken - Bestimmte Dienste mit einem String-Filter sperren, um zu verhindern, dass der HTTPS-Port für Alles Mögliche zweckentfremdet wird. - prüfen, ob IPv6 prinzipiell funktioniert und auch hier für Firewall-Regeln notwendig sind (Provider rüsten auf Dualstack um, Kunden verpennen es und haben ein offenes Netz, da hier kein NAT mehr genutzt wird und alle Clients unbemerkt "echte" IP-Adressen haben -> Falle) Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.