Firewall hinter Hardwarerouter

#0
21.08.2003, 23:03
...neu hier

Beiträge: 6
#1 Moin!

Ich verwende einen Hardwarerouter der Firma Netgear, Modell MR 314. Jetzt würde mich interessieren wie ich am besten eine Firewall "hinter" dem Router realisiere.

Thx für euere Tipps!

Grüße Andi
Seitenanfang Seitenende
21.08.2003, 23:37
Member
Avatar Emba

Beiträge: 907
#2 ist das ein dedizierter rechner oder wird das ne desktopfirewall?
deine frage ist so allgemein und unpräzise wie das horoskop ;)

ein guter anfang ist, wenn firewall und router sich in einem anderen netz befinden, sodass die FW den traffic zwischen internem LAN, an das der router nicht direkt rankommt, und WAN routet

greez
Seitenanfang Seitenende
21.08.2003, 23:48
...neu hier

Themenstarter

Beiträge: 6
#3 Sorry für meine unpräzise Ausdrucksweise, deshalb noch folgende Infos:
Für die Firewall würde ich auf jeden Fall einen dedizierten Rechner verwenden. Dein Vorschlag klingt echt gut. Mit welchem OS (noja, Frage erledigt sich ja eigentlich von selbst: Linux) und welcher Software realisiere ich sowas am besten? Mit Linux habe ich geringe Erfahrungen gesammelt, deshalb wäre eine relativ leicht konfigurierbare (bzw. vorkonfigurierte) Software von großem Vorteil.

Thx!

Grüße Andi
Seitenanfang Seitenende
21.08.2003, 23:56
Member
Avatar Emba

Beiträge: 907
#4 hi

schnapp dir ne distri, die am anfang für noobs einfach zu bedienen ist (SuSE, RedHat, ...)

[ flame: ja, schlag mich Xeper ;) ]

erstere liefert eine eigene "FW-Engine" mit (aufbauend auf iptables), es gibt aber auch GUI bzw. fernadministrations tools, die es dir erlauben, deine rules zusammen zu klicken

mein vorschlag dazu: wende dich an uns hier und wir helfen dir mit der config oder schau auf roberts seite, da hat xeper ne doku zu netfilter/iptables

router kommt ins netz 192.168.0.0
internes LAN 192.168.10.0

Firwall mit beiden NIC´s in den netzen

-> routing und evtl. NATing, letzteres nicht unbedingt notwendig, da das schon der router macht

greez
Seitenanfang Seitenende
22.08.2003, 10:48
...neu hier

Themenstarter

Beiträge: 6
#5 Klingt ja echt gut. Also bräuchte ich dann zwei Netzwerkarten... . Wie ist das denn, lässt die Firewall die Absender IP gleich wenn die Pakete die Firewall "durchqueren" (weil sonst gibt es ja Probs mit NAT)? Sorry, aber auch in Sachen TCP/IP bin ich noch nicht wirklich fit, aber jeder fängt ja bekanntlich mal klein an ;)... . Und müsste ich dann die Firewall IP als Gateway in den Clients eintragen oder würde trotzdem alles gleich bleiben? Von dem Angebot das ich mich dann an euch wenden kann werde ich sicher Gebrauch machen, danke.

Grüße Andi
Dieser Beitrag wurde am 22.08.2003 um 10:48 Uhr von protector editiert.
Seitenanfang Seitenende
22.08.2003, 12:35
Member
Avatar Emba

Beiträge: 907
#6 hi

no prob

FW = Gateway
wenn die FW nicht NATet, verändert sie die adressen auch nicht
das prob ist aber, dass wenn du ein anderes netz "betrittst" (hier also die DMZ vom internen netz aus), muss sie NATen, da die client IP quasi in der DMZ "ungültig" ist

bisschen konfigurieren und dann geht das schon mit dem 2x NATing

greez
Seitenanfang Seitenende
22.08.2003, 12:59
...neu hier

Themenstarter

Beiträge: 6
#7 Und wäre es dann nicht sinnvoller wenn man die Fw in das bestehenden Netz integriert, sofern das in der Form überhaupt möglich ist? Welche Vorteile ergeben sich denn wenn man den Router in ein anderes Netz outsourced?

Thx!

Grüße Andi
Seitenanfang Seitenende
22.08.2003, 15:29
Member
Avatar Emba

Beiträge: 907
#8 wenn dein router in einem anderen netzsegment "steht" und dabei noch eine firewall dahinter, stellt dies für einen angreifer einen höheren aufwand dar, weil:

- er zunächst den filter des routers überwinden muss
- dann immer noch nicht im internen netz ist, sondern in der DMZ
- die firewall dann der nächste zu knackende punkt ist
-> seine anfragen bei kompromiertem router nie direkt einen client treffen können, insofern die fw dies restriktiert
- er ohne kompromitierte firewall keinen traffic der clients untereinander mitschneiden kann, weil diese ja auch noch hinter der firewall liegen (wichtig bei infosammlung, um schwachstellen aus zu machen)
- du die DMZ dann problemlos ohne weitere sicherheitsbedenken um dein internes netz erweitern kannts

du kannst natürlich auch alle rechner und den router in ein netz stellen und dabei die FW wie folgt integrieren

LAN 192.168.0.0/24 -> FW 192.168.0.1/24 -> Router 192.168.0.2/24

die clients im LAN können also somit nie direkt den router (ohne umwege) erreichen, da dieser nur an die NIC der FW angeschlossen wird und nicht an den switch

diese lösung ist auf den ersten blick vllt. eleganter, lässt aber spätere erweiterungen (Server in der DMZ) außen vor

greez
Seitenanfang Seitenende
22.08.2003, 16:02
...neu hier

Themenstarter

Beiträge: 6
#9 Nach deinen genannten Argumenten denke ich sollte man schon zu der Lösung mit der DMZ greifen, denn wenn man schon den Aufwand mit einer Fw betreibt dann richtig... ;). Mit welcher Software löse ich dann am besten das "NAT-Problem"?

Thx!

Grüße Andi
Seitenanfang Seitenende
22.08.2003, 17:03
Member
Avatar Xeper

Beiträge: 5291
#10 Naja eigentlich reicht ein netzsegment völlig an der Firewall wirst du ja nicht vorbeikommen, jedenfalls nicht von außen und von innen auch nicht wenn alles richtig konfiguriert ist - DMZ ist hier gar nicht nötig. Ers kommt halt der Router dann der netfilter(Firewall) danach die ganzen clients und was auch immer. Das ganze hängst du halt an ein Switch und dann reicht das scho, auch die konstruktion kannst du nicht knacken - noch ganz sicher wer vielleicht sowas wie ipsec oder so wegen verschlüsselten datenverkehr aber naja im allgemeinen auch nicht wirklich nötig.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
22.08.2003, 17:55
...neu hier

Themenstarter

Beiträge: 6
#11 Achso, na dann... . Dann wäre ja auch kein NAT-System auf dem Fw-Rechner nötig, richtig? Aber ist die SuSE "FW-Engine" eigentlich mehr als ein Packetfilter, denn im Prinzip ist ja mein Router eh schon (indirekt) ein Packetfilter. Ich dachte da eher an ein IDS-System oder ähnliches. Wie sieht es denn z.B. mit Snort aus, wäre diese Software dafür geeignet und dennoch nicht zu schwer zu konfigurieren? Oder welche Software würdest du in meinem Fall verwenden?

Thx!

Grüße Andi
Dieser Beitrag wurde am 22.08.2003 um 17:56 Uhr von protector editiert.
Seitenanfang Seitenende
23.08.2003, 04:48
Member
Avatar Xeper

Beiträge: 5291
#12 Aber klar musst du NAT benutzen, wie sollen denn sonst deine clients die Pakete empfangen können wenn da zwischen ne gegenstelle ist. Nein die SuSE Engine ist weniger als ein Paketfilter - genaugenommen ist sie nichts weiter als ein billiges bash script was du dir auch selbs zusammenbasteln kannst. der eigentliche netfilter ist der Linux kernel netfilter (www.netfilter.org) oder man iptables. Snort funktioniert ganz gut habs bei mir mal eingesetzt aber habs sein gelassen das ist halt bei nem hausnetz mit 4 computern nicht nützlich, da sowieso jeder daemon ne einzelne logfile hat. Darüber hinaus interessiert es mich auch nicht wer mich nun scannt oder nicht scannt das ist ja kein verbrechen. Solang du dein System unter Kontrolle hast wird auch nichts passieren.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: