Logischer Standort Firewall?

#1 Nach jahrelangem, problemlosen Einsatz der Tiny PF 2 will ich nun auf die Tiny PF 4 umsteigen.
Nach der Installation ist auch so einiges erst mal unklar gewesen (sieht ja alles ziemlich anders aus), hat sich aber relativiert.
Nach Erstellung der Rules taucht aber nun gedanklich folgendes, fatales Problem auf:
Wo steht die Firewall eigentlich logisch auf einem Router-Rechner? Der Rechner hat eine NIC zum Intranet, eine Fritz!-Card zum Internet und ein Betriebssystem. Darüber hinaus läuft auf dem Rechner ein Proxy-Server, ein Fax-Server und ein eMail-Server. Auch ein Zeitserver ist implementiert, der Connect nach außen zu einem Stratum-1-Server braucht.
Steht die Firewall nun zwischen NIC und Fritz! oder z.B. zwischen der Netzwerkinstanz (bestehend aus NIC !und! Fritz!) und dem Betribssystem mit seinen Anwendungen (wie oben aufgezählt?
Bei der Tiny PF 2konnte man über die Option "läuft auf Gateway" eindeutig die logische Position bestimmen, bei der Tiny PF 4 anscheinend nicht!?!

Hat irgendjemand von euch das Problem schon gelöst oder interessiert das einfach niemanden? Obwohl: die Frage nach der llogischen Positionierung ist wohl entscheidend für die Funktion und die Wirksamkeit der Firewall.

Ich hoffe, dass es doch den einen oder anderen Profi gibt, der auf diese Frage eine Antwort hat.

In froher Erwartung danke ich euch schon mal im Voraus.

rebooter

#2 Eins vorweg: ich kenne die TPF 4 und auch die 2 nicht.

Normalerweise kontrolliert eine PersonalFirewall alle Verbindungen, die etwas mit Netzwerk zu tun haben. Somit müsstest Du für jede Verbindung entsprechende Rules aufstellen. Sie steht also logisch zwischen dem TCP/IP-Stack und dem Rest des Betriebssystem.

Noch eine kleine Anmerkung: ich finde die Postion der Firewall etwas ungünstig - idealerweise sollten Mail- und Faxserver und mglw. auch der Proxy nicht auf dem gleichen Rechner sein.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 @Robert:
Erst mal vielen Dank. Es gibt also doch noch ein paar Leutz, die sich mit solchen Problemen beschäftigen, obwohl man doch mehr eher Haltloses liest und hört. *freu*
Du sagst, das die mit dem Internet in Kontakt stehenden Software-Server nicht auf dem gleichen Rechner installiert sein sollten. Warum eigentlich? Ich kann nicht so einfach eine DMZ machen, daher ging meine Überlegung in folgende Richtung:
Wenn Du (wie Du analog zu mir) annimmst, die Firewall besteht logisch zwischen TCP/IP-Stack und Betriebssystem, dann würden doch zumindest alle innerhalb des Betribssystems laufende Anwendungen wie Proxy, Mail, Fax usw. geschützt werden? D.h. ausser dem Tunneling (um das ich mich anderweitig kümmern muss) kann doch jeder nicht zugelassene IP-Verkehr ausgeschlossen werden, oder?
Nur wie sieht es dann mit dem Datenverkehr zwischen den einzelnen Servern auf der Maschine und den Clients im Intranet aus: der läuft ja über den anderen Adapter (Ethernet) und nicht über die ISDN-Karte. Jedoch müssen Rules erstellt werden, um diesen Datenverkehr zu regeln. Nun die eigentliche Frage: gelten die so entstandenen Rules nicht für BEIDE Adapter (ISDN-Karte und Ethernet-Adapter)? Wenn sich das so verhält, kann ich mit einer Firewall eigentlich gar nichts bewirken, da die Rules dann für den Protokollstack und nicht für die einzelnen Adapter zuständig sind, d.h. die Bindung liegt nicht auf den einzelnen, zu trennenden Karten. In diesem Fall habe ich aber auch nichts von einer DMZ, was mich zu der Überlegung führt, dass eine Firewall (egal, ob Desktop-, Personal- oder Netz-Version)so zu konfigurieren sein muss, dass jeder Adapter alleine seine Rules gebunden bekommt. Oder: die Packet-Firewall-Komponente wird von der Application-Firewall-Komponente dahingehend unterstützt, dass ich anstelle der Rules-Bindung an einzelne Adapter im Rechner die Applikation an die Rules binde und somit darauf achten muss, dass Server- und Client-Teil von z.B. eMail-Datenverkehr von verschiedenen Applikationen ausgeführt wird (etwa Exchange-Server auf Serverseite und Outlook auf Clientseite; vielleicht doofes Beispiel... ich weiss :-) ).
Wie siehst Du das?

Freue mich schon auf Antwort, scheinz echt interessant zu sein... dieses `Problem´.

Bis dann

rebooter

#4 Diese Firewall sollte das mit den Netzwerkkarten können
http://www.idrci.net/idrci_products.htm
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#5 eine pf ist meistens eine applikationfirewall die in mehreren schichten arbeitet wo genau diese arbeiten sollte man sich bei gelegenheit mal durchlesen.
tip: www.parsimony.net

#6 sorry, ich meinte paramind.org

#7 @compender: Du verwechselst da was - netzwerktechnisch arbeitet eine Firewall natürlich je nach Ausprägung auf verschiedenen OSI-Schichten. Bei einer SIF ( http://www.different-thinking.de/sif.php ) geht das sogar bis in den Layer 7.

Hier geht es aber darum wo sich eine Firewall in Bezug auf das Betriebssystem befindet. Dies ist im Fall, daß die Firewall auf dem gleichen System läuft wie verschiedene Serverdienste eine sehr interessante Frag. Leider hatt ich in den letzten Tag nicht die Muse um hierzu nochmal Stellung zu nehmen - werde ich aber nachholen - versprochen!

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#8 @all: Danke, das ihr euch doch so rege an dem Thema beteiligt.

Ich habe nun mal WinRoute installiert und getestet: siehe da, hier kann ich JEDE Netzwerkschnittstelle einzeln auswählen, um Paketfilter zu erstellen. Diese Firewall- bzw. Proxy-Variante steht also definitiv zwischen dem auf dem Rechner laufenden Betriebssystemkern und jeder Netzwerkschnittstelle einzeln. Es werden also alle Pakete gefiltert, die das !Betriebssystem! passieren. Damit müssten auch alle Pakete gefiltert werden können, die durch die Anwendungsserver laufen, da diese Server ja auf dem Betriebssystem aufsitzen, oder liege ich da falsch???

Im Prinzip wäre das nun schon die gewünschte Lösung. Einziger Wermutstropfen: WinRoute bietet keine Art der Application Firewall, d.h. ich kann nicht spezifizieren, welche Anwendung welche Ports benutzen darf und kann.

Gibt es da vielleicht Vorschläge?

Nichtsdestotrotz bin ich immer noch interessiert, wo sich die Tiny PF Version 4 logisch auf dem Routerrechner mit all seinen Serverteilen befindet, da Tiny auch Application Filtering und MD5 erlaubt.

Nach wie vor warte ich gespannt auf Beiträge.

rebooter

#9 WinRoute arbeitet hervorragend mit der guten alten KerioFW 2 zusammen.
Bleibt nur die Frage, ob auf dem WinRoute-Rechner überhaupt (zu kontrollierende) Anwendungen laufen sollten...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 @forge77:
Meinst Du damit, WinRoute (steht ja auch KERIO unten rechts im Fenster) arbeitet mit Tiny PF2 (mit der ich nun wirklich zum Glück bestens zurecht komme) vollkommen problemlos zusammen?
Hast Du da Erfahrungen mit? Wie sieht denn Deine Konfiguration aus?
In meinem Fall will ich ja gerade alle Anwendungsserver, die mit dem Internet in Verbindung stehen, auf einem Rechner laufen haben (Mailserver, Proxyserver http, evtl. FTP-Server, Faxserver, Timeserver), damit ich keinen zweiten haben und nur einen Rechner schützen muss (Firewall, Intrusion Detector und Virenscan-Engine).

Erhöhte Freude bei Antwort!

rebooter

#11 Bei mir läuft schon eine ganze Weile WinRoute4.2 zusammen mit KerioFW2 (ehemals Tiny 2) ohne Probleme.
An deiner Stelle würde ich ruhig Kerio statt Tiny nehmen, da es doch ein paar kleine (innere) Verbesserungen gab. In der Bedienung/Konfiguration/... hat sich aber praktisch nix geändert.

Wenn du aber sowieso "nur" ein paar Server-Apps auf dem WinRoute-Rechner laufen lassen möchtest, ist eine zusätzliche Desktop-Firewall eigentlich überflüssig. Von außen ist der Rechner durch das WinRoute'sche NAT ohnehin geschützt. Wichtig ist nur, die Server-Programme durch Patches/Updates immer auf dem neuesten Stand zu halten.
Wie könnte deiner Meinung nach überhaupt Malware (Trojaner, Viren,...) auf den Rechner gelangen, so dass er besonders geschützt werden müsste?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#12 @forge77:
Warum hast Du denn beides laufen, wenn es doch eigentlich unnötig ist?
Ich denke eben, dass ein Paketfilter alleine nicht ausreichend sein kann; ein Application Filter tut da doch sein übriges dazu (wenn's auch nicht und niemals 100%ig wird, so sichere ich damit doch noch etwas mehr ab). Das Problem ist ja nun mal, dass ich für verschiedene Anwendungen, die als Serverprozess laufen, die gleichen Ports offfenhalte auf Seiten der DFÜ-Netzwerkkarte wie für die Clientanwendungen, die auf Seiten der LAN-Netzwerkkarte angebunden sind. Durch eine Application-Firewall habe ich die Möglichkeit den Datenverkehr über die MD5-Signaturen der Anwendungen und nicht über die Portnummern zu identifizieren (IP-Adressen alleine nutzen ja nun mal nicht so viel... private Netze bieten nun mal nicht so viele Möglichkeiten; und die sind doch recht flott durchprobiert). Vielleicht sollte ich dazu sagen (was ich bis jetzt verschwiegen habe), dass auf dem Gateway-Rechner auch ein RAS-Server für Einwahlverbindungen läuft.

Zu der Frage "...überhaupt Malware ... auf den Rechner gelangen":
Wieviele Wege muss es denn geben, um fremden Datenverkehr auf dem Rechner zu haben, den es zu unterbinden gilt? Einer genügt; welcher auch immer das ist. Und ob ich das nun Malware, Trojaner oder sonst wie nenne ist doch eigentlich nicht so wichtig? Es kommt darauf an, KEINEM den Zugriff auf meine Rechner (weder den Router-Rechner noch die Clients im LAN) zu gewähren. Ich will möglichst kein unerwünschtes Datenpaket auf meinen Rechnern sehen. Und dafür muss ich - denke ich - einiges tun, oder?

Das Prinzip, das ich mir hier nun grob ausgedacht habe fundiert letztlich nur auf den bis dato vorhandenen Gegebenheiten, die auf meinem alten Gateway existieren. Dort laufen alle oben genannten Server-Anwendungen und auch die Anbindung ans LAN ist genauso wie beschrieben. Und der Unterschied: es läuft nur die Tiny PF in Version 2. Und da gibt es schon so einige Versuche, auf einen der Rechner zu gelangen (Trojaner, Viren über eMail, durchgetunneltes http und so einige andere verdächtige Datenpäckchen, die ich in meiner damaligen Unwissenheit noch nicht so ganz zuordnen konnte.

Sollte in meinen Überlegungen ein grober Schnitzer sein, den ich auf der Suche nach Detailfragen übersehe (das mache ich manchmal doch ganz gerne), dann bin ich für jeden Hinweis dankbar. Nur nachvollziehen muss ich es können, da sonst allein schon das Sicherheits-"Gefühl" nicht zustande kommt (und somit die Anzahl der schlaflosen Nächte wieder ansteigt).

Das Streben nach Perfektion manifestiert sich erst an Baustellen, die niemals perfekt abgeschlossen werden können.

:-)

rebooter

#13 Eine Desktop-Firewall ist auf einem (sicher konfigurierten) Rechner imho dann unnötig, wenn du ausschließen kannst, dass dort mglw. "vertrauensunwürdige" Programme/Dateien gestartet werden. Bei einem Rechner, der wirklich nur als Router/Server läuft, und auf dem sonst nix gemacht wird (weder surfen, mailen noch Programme ausprobieren,...), wäre dies imho der Fall und eine Application-FW daher unnötig.
Auf meinem Router/Server mache ich schon ein bißchen mehr (ja, ich schäme mich... ), dehalb die FW.
Außerdem ist die Portanzeige von Kerio/Tiny grundsätzlich sehr nützlich.

Wenn ich dich richtig verstanden habe, geht es dir ähnlich wie mir ("Trojaner, Viren über eMail..."), deshalb würde eine FW bei deiner Konstellation schon Sinn machen.

Aber immer dran denken: ein PFW sollte in bezug auf Trojaner/Backdoors nur als "letzter Rettungsanker" verstanden werden. Ein guter Viren-/ Trojanerscanner hat Priorität.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#14 @forge77:
Schön festzustellen, dass auch andere ähnliche Anwendungsfälle haben!

Wie hast Du Dein System denn konfiguriert oder besser gesagt: was läuft alles auf der Kiste, die Connect zum Internet hat?
Sind wir da in etwa vergleichbar?
Meine Frage zielt auf etwaig nötige, gegenseitige Hilfe in Bezug auf Konfiguration bzw. Einstellung in Sachen WinRoute und Tiny PF2 ab. Denn es ist immer gut, wenn sich jemand in "greifbarer" Nähe befindet, den man mal fragen oder mit dem man sich zumindest gedanklich austauschen kann.

Sollte Dir das hier aber nun doch zu öffentlich werden (Konfigurationen verrät man vielleicht doch nicht so gerne...) dann freue ich mich über eine PM.

@spunki:
Die Lösung sagt mir irgendiwe nicht so zu. Das mag vielleicht auch daher kommen, dass ich mich da als alter TPF2-Liebhaber nicht so recht zuhause fühlen kann. Zumal ich ja nun vielleicht doch eine ganz gute Lösung mit WinRoute und Tiny PF2 gefunden habe!?!

@Robert:
Auf Deine Meinung bin ich immer noch gespannt! Ich erhoffe mir davon irgendwie noch eine andere Lösung, die das Ganze vielleicht doch noch einen Tick besser gestaltet. Na, wie wär's? Hast Du da was auf der Pfanne?

Mit vorerst großem Dank an alle

rebooter

#15 Schöne Diskussion inzwischen - freut mich!!

Es ist natürlich ein himmelweiter Unterschied zwischen einer PFW und WinRoute. WinRoute ist ein reinrassiger Softwarerouter mit einem integrierten Portfilter. Die Natur eines Routers ( http://www.different-thinking.de/koppelelemente.php ) ist es ja, daß er zwischen verschiedenen Netzen der Verkehr weiterleitet. Somit muß er sich zwangsläufig um die verschiedenen Netzwerkkarten eines Rechners kümmern. Es wird also nicht nur registriert, daß der TCP/IP STack angesprochen wurde, sondern auch von welchem Interface.

Bei der PFW sieht das etwas anders aus. Für die gibt es in den meisten Fällen nur den Rechner und den TCP/IP Stack. Alles was auf den zugreift wird erstmal kontrolliert, ob da nicht eine Regel passt - wenn nicht wird gefragt - was soll ich damit machen? Somit müssen Regeln für die einzelnen Applikationen her, damit der Verkehr funktioniert. Dabei ist es der PFW relativ egal von wo nach wo - es kommt nur auf die Regel an. Du kannst natürlich sagen: von meinem Rechner nach 192.168.1/24 darf alles, dann bisst Du erstmal mit dem interenen Verkehr fertig -aber ob das so günstig ist? Keine Ahnung.

Eine Ausnahme bilden da die Vertreter, die diese "run on Gateway" unterstützen. Auch da wird dann IMHO zwischen den verschiedenen Interfaces unterschieden und erlaubt so eine etwas bessere Konfiguration.

Warum nun WinRoute mit einer PFW kombinieren? Ist das sinnvoll? Wie schon festgestellt wurde, gibt es Szenarien bei denen das Sinn macht. Der Paketfilter und die PFW haben jeweils Grenzen, die man kennen sollte ( http://www.different-thinking.de/firewall.php ). Wenn man nun feststellt, daß WinRoute nicht ausreicht, so muß man sich Gedanken machen wie man den Schutz erhöhen kann. Eine PFW kann das Sinn machen.

Jedoch kommt es dort dann auf die Konfiguration an. Ich weiß nicht ob es Sinn machte jedes Programm über die PFW zu konfigurieren und dann zusätzlich noch den Portfilter zu nutzen - vielleicht sollte man die Serverprogramme in der PFW komplett erlauben und dann auf den Portfilter hoffen. Wenn der Rechner natürlich auch noch Gateway für eine Netz ist, dann muß der Portfiler auvh wieder was leisten.

An der Stelle sei noch gesagt: Die PFW handelt nur die Programme auf dem Rechner - alles andere ist nur reiner Netzwerkverkehr, der dann durch den Portfilter untersucht werden muß.

Robert (hoffe, jetzt nicht ganz am Thema vorbei zu sein, es ist früh am Morgen)
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...