Sven Eichler Geschrieben 29. Januar 2004 Geschrieben 29. Januar 2004 HI! Hab hier einfach mal ne grundsätzliche Frage hinsichtlich Firewalling. Ich werde mich in drei Monaten selbstständig machen und muss mir natürlich unter anderem eine IT-Struktur überlegen. Vorhanden sind: 1 x 4-Port DSL-Router mit Firewall-Funktion 1 x Fileserver (Interne Daten, Treiber und was weiss ich nicht alles) 1 x Terminalserver (Office etc., WTS-Testserver) 1 x Webserver (Hier soll nichts wichtiges drauf, gibt ne DynDNS-Addresse, Treiber halt etc, damit ich weiss, dass ich immer Zugriff habe.) 1 x restliches LAN Ich hatte mir das so gedacht: - An den DSL-Router kommt der Webserver. Auf dem Webserver liegt nichts wichtiges, eben Treiber, Handbücher, ein paar Bilder irgendwo, und das war es auch schon. Wenn mir jemand die Liste angreift und abschiesst, wäre es ärgerlich, aber nicht schlimm. Immerhin wäre der ja durch den Router/Firewall geschützt. - An einen weiteren Port des Routers soll das restliche LAN per Switch angebunden werden. Hier liegen dann aber wichtige Daten, teilweise auch Kundendaten, Einwahldaten etc., willl sagen, hier darf NIEMAND rankommen. Jetzt habe ich mir überlegt, hier einen weiteren Rechner als Firewall zu konfigurieren, der quasi nochmal zwischen der Hardwarefirewall und dem LAN hängt. Würde das in Euren Augen Sinn machen? Wäre das in Ansätzen soetwas wie eine "Demilitarized Zone?" Wo würde der Vorteil liegen? Kann ich Ports abändern, so dass ich für die gleiche Anwendung verschiedene Ports auf den beiden Firewalls freigebe? Zitieren
sYnTaxx Geschrieben 29. Januar 2004 Geschrieben 29. Januar 2004 nun es kommt einfach darauf an wie schützenswert die daten sind und wieviel geld für diesen schutz zur verfügung steht. ich würde sagen das ich das ganze netz grundsätzlich mit einer dicken firewall wo alles rüber muss absichern würde und mir dann eben noch ne dmz schaffen wo ich den webserver reinstelle usw. falls das unternehmen größer ist bzw. mal wird dann wird es vielleicht auch nötig weitere firewalls vorzuschalten um primäre attacken vorweg rauszufiltern um die firewall zu entlasten. access listen auf router legen usw. => tacacs/radius server aber dies ist alles für größere unternehmen... Zitieren
McCaffrey Geschrieben 4. Februar 2004 Geschrieben 4. Februar 2004 Hi! Eine Frage zu deinem DSL Router: Du hast geschrieben er hat 4-Ports. Ist dies gleichbedeutend mit 4 IP-Adressen, also 4 Interface, wovon du jedes einzeln konfigurieren kannst - oder ist dies eine einfache HUB Funktionalität und du hast eine IP Adresse? Im letzteren Fall hängt dein Webserver in deinem schützenswerten LAN. Von einem gehackten Webserver sind prinzipiell damit auch problemlos Angriffe auf dein LAN möglich! Welche Firewall Funktionalität hat dein Router? Nur einfache ACLs für Ein- und Ausgehenden Datenverkehr, oder unterstützt er Stateful-Filtering? Nicht außer Acht lassen darfst du die Sicherheit deiner Clients, d.h. gepatchtes BS + Software, keine normalen User mit Adminrechten. Für deinen Einsatz könnte eine Linux Firewall mit 3 Ethernet Interfacen eventuell interessant sein. Ethernet1: DSL Router Ethernet2: WebServer Ethernet3: LAN Alternativ könntest du den WebServer an den DSL Router und diesen an die Firewall anschließen. mfg McCaffrey Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.