PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : "Firewall-Systems" zwei firewalls allgemeine frage



gizmo
31.10.02, 18:25
hallo erstmal,

ich habe jetzt schön öfter von zwei firewallsystemen(eine äußere und eine innere Firewall) gehört und gelesen, dmz
ist ja auch völlig nachvollziehbar.

meine frage, wenn meine erste firewall, also die zum unsicheren netz hin kompromittiert wurde, wieso
sollte die firewall zum sicheren netz, intranet nicht
kompromittiert sein oder warum sollte dies für einen
möglichen angreifer nicht durchführbar sein?

gibt es da vielleicht eine gute dokumentation?

vielen dank
alex

geronet
31.10.02, 19:36
Wo es wirklich auf Sicherheit ankommt gibt es nicht "eine Firewall", sondern immer zwei.
Denn Angreifer kommen meist von den Clients her im Intranet, weil dort ja dos_mit_bunt(tm) Workstations laufen und diese leicht "eingenommen" werden können.. (vgl. dumme User, die ihr Passwort am Telefon verraten, oder Trojaner die eine Verbindung nach aussen aufbauen etc..)
Von der Internetseite einzubrechen ist meist unmöglich oder sehr schwer.

Grüsse, Stefan

gizmo
31.10.02, 19:55
viellen dank schonmal an stefan,

hmm, ist das so zu verstehen das ein firewallsystem, wie oben angeführt,
erstens inbound regelt und die zweite(von der intranet seite her) speziell
outbound regelt?

alex

Jinto
31.10.02, 20:10
Jein.
Die äussere FW lässt nur bestimmte Pakete rein und raus. In der DMZ stehen schließlich nicht nur Webserver, sondern auch DB, etc.

Die innere FW dient nicht nur zum Schutz vor den eigenen Mitarbeitern, sondern auch als zweite Hürde für einen Angreifer. Diese zweite FW ist i.d.R. auch ein klein wenig anders konfiguriert (da die Gegebenheiten völlig anders sind, zugreifende IPs bekannt, etc). Daraus ergibt sich dann, dass es bestimmte Pakete eigentlich nie an der zweiten FW ankommen dürften wenn doch, dann ...

Anzumerken vielleicht noch folgendes:
Konfiguration der Inneren- und Äusseren FW sollten nicht von der gleichen Person vorgenommen werden.
Strittig: Einsatz unterschiedlicher FW innen und aussen.

HTH

Harry
31.10.02, 20:57
Original geschrieben von Jinto
Daraus ergibt sich dann, dass es bestimmte Pakete eigentlich nie an der zweiten FW ankommen dürften wenn doch, dann ...

Und daraus ergibt sich wiederum, dass innerhalb der DMZ idealerweise ein netzwerkbasiertes IDS installiert werden sollte, also quasi ein Loghost, der den gesamten Traffic innerhalb der DMZ protokolliert. Die Analyse der gesammelten Daten sollte derart verlaufen, dass auf nicht zugelassenen Traffic innerhalb der DMZ (denn der ist wohldefiniert) geprüft wird.

Generell gilt: 2 Firewalls = 2 unterschiedliche Systeme. Beispielsweise könnte man an der äußeren Firewall evtl. mit einem IP-Paketfilter bereits gut zurechtkommen aber man installiert als innere Firewall ein reines Application-Level-Gateway, welches ohne IP-Routing auskommt und daher auch keinen IP-Filter für das Routing benötigt. Dafür werden die eingesetzten Applikationen dementsprechend restriktiv konfiguriert.
Das wäre nur eine von vielen denkbaren Möglichkeiten.

Harry