Firewall integration, aber wie?

#1 Hola!

Ich möchte eine Firewall in ein bestehendes Netzwerk von 3 PCs integrieren, die über einen DSL-Dlink Router mit dem Internet verbunden sind. Die Firewall: SuSE Linux.
Der Router hat einen integrierten 4 Port Switch.
Wenn ich nun die Firewall an einen Port ranhänge und am Router einstelle das alles an diesen Rechner weitergeleitet wird, könnte ich ja prinzipiell mich als sicher wähnen oder? Was würde passieren wenn jemand den Router hacken würde? Hätte er dann direkt Zugriff auf das interne Netz? Zumindestens könnte er den Router umkonfigurieren und die Firewall so ausser kraft setzen, oder? Wie hoch ist dieses Risiko?
Als zweite Variante gäbe es immer noch die Möglichkeit eine zweite Netzwerkkarte in die Firewall einzubauen und sie gleich noch das routing und DSL'ern übernehmen zu lassen -
Was ist eine sinvolle Lösung?

vielen Dank!

mat

#2 Ähhhh ... habe ich das richtig verstanden, dass Du einfach nur den kompletten Netzwerk-Verkehr vom DSL-Router auf den Firewall-Rechner routen lassen willst?

Sorry - aber welchen Sinn hat dann die Firewall, wenn nichts dahinter ist, was sie schützen könnte?

Die von Dir angefragte Lösung ist allerdings nicht so ganz ohne, auch wenn Du es vermutlich nicht ganz so gemeint hast. Richtig konfiguriert und ggf. mit einer zweiten Netzwerkkarte und einem zweiten Switch versehen eine durchaus professionelle Lösung. Um genauer zu sein, eine der professionellsten Lösungen überhaupt - ein "Bastion Host".

Eine "Dual-Homed-Gatway"-Lösung ist mit der von Dir beschriebenen Konfiguration natürlich auch möglich - aber ich denke, das geht hier zu weit.

So - weg von der Theorie, hin zur (normalen privaten) Praxis.

Ich gehe mal davon aus, dass dein Router eine Firewall-Funktionalität beinhaltet - wenn Du ihn entsprechend konfigurierst. Damit kannst Du dir den separaten Firewall-Rechner sparen. Allemal billiger als einen separaten Firewall-PC zu integrieren. Ein bisschen Handbuch-Studium dürfte da schon weiter helfen.

Oder Du spendierst deinem geplanten Firewall-PC nach (oder auch vor) entsprechender Konfiguration eine zweite Netzwerkkarte und setzt DEN in Verbindung mit einem einfachen Switch als Router ein. Auch eine prima Firewall-Lösung - aber dann kannst Du auf deinen DSL-DLINK-Router verzichten.

So - und jetzt gehe ich ins Bett. Vielleicht melde ich mich morgen nochmal zu dem Thema. Möglichkeiten gibt es viele - aber die sind zu umfangreich, als dass ich sie um diese Uhrzeit noch gut beschreiben könnte.


Gruss

Aahz

#3 Hmm wofür die zweite NIC? - Verschwendung von Ressourcen.

Einfach das restliche netz in ein anderes Netz legen und die Firewall als Gateway benutzen. Wofür brauchste den nen Router? Dat kann der susi Rechner au locker erledigen da hötteste sogar noch halbwegs Platz und Strom gesparrt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 @Xeper:

Ich bevorzuge nun mal die physikalische Trennung. Und an den zehn Teuros für einen zweiten NIC hat es bei mir noch nie gelegen ...


Gruss

Aahz

#5 Ja und vorallem verbraucht ne Proxyfirewall deutlich weniger strom als ein kleiner piseliger router. LOGAN!!!!!!

#6 @JuJo

Ich hatte mich mit meiner Aussage auf die Anzahl der Geräte bezogen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 Aahz ("physische") lösung ist auch mit einer NIC möglich
stichwort: virtualNIC's

greez

#8 @emba:

Ich lerne gerne dazu. Erklär' mal!


Gruss

Aahz

#9 na klar...

genau heißt es "Virtual IP Addresses" [1] und simuliert mehrere IP's auf einer NIC
eignet sich auch gut im zusammenspiel mit iptables [2]

somit lässt sich folgendes szenario realisieren

1 router (Netz A)
1 gateway (= linux ins netz zum router mit Virtual IP; NetzA/B)
x clients (Netz B)

an einem switch...
der router kann nur direkt mit der virtuellen IP des gw sprechen
die clients hingegen nur mit dem gw mit der realen IP
somit ist die trennung schon erreicht

inwieweit das sicherheitsbedenklich ist, kann ich genau nicht sagen, da mir die 5€ für ne NIC einfach nie zu viel waren und ich somit nie das projekt angegangen bin

greez


[1]
http://www.adventnet.com/products/simulatorbeta/help/sim_network/netsim_conf_virtual_ip.html#linux
www.google.de -> virtual ip addresses

[2]
http://www.experts-exchange.com/Security/Linux_Security/Q_20642728.html (ab 2. comment)

#10 Ach sooo ...

das mit der Zuweisung verschiedener IPs zu einem NIC war mir bekannt. Ich dachte nur, hinter dem Begriff "Virtual NIC" würde mehr stecken. Sorry.


Aber wo wir gerade dabei sind:

SAMBA wird doch z. B. in der CONF-Datei an einen NIC gebunden - in einer von mir gerade mal überprüften Konfiguration an ETH0. Damit hätte ich SAMBA in diesem Fall sowohl für's Internet als auch für's LAN freigegeben ...

Klar kann man da mit IPTABLES noch dran rumbasteln ... und vielleicht ist ja auch eine Bindung an bestimmte IPs statt an den NIC möglich, das habe ich noch nicht gecheckt.

Wenn man solche kleinen "Löcher" aber vergisst oder ausser Acht lässt ... könnte das vielleicht übel ausgehen.

U. a. deshalb bevorzuge ich immer noch die "physikalische" Lösung. Aber wahrscheinlich ist das nur Ausdruck mangelnden Verständnisses meinerseits ...

Xeper und Du habt natürlich Recht: möglich ist die Lösung mit einem NIC. Aber ich traue mich nicht. Habe noch viel zu lernen.


Gruss

Aahz

#11 zum thema mit samba

bsp:

du hast

eth0 = 192.168.0.1 -> LAN
eth0:1 = 194.96.28.2 (öffentlich) -> WAN

du bindest samba an eth0, dann sollte es AFAIK auch nicht vom internet erreichbar sein, denn die internet IP läuft auf der eth0:1 auf und wenn man eth0 angibt ist das AFAIK nicht global für alle sub-NIC´s, die auf eth0 basieren - könnte genau so gut aber auch anders sein

eine lösung:
richte für das LAN einfach noch eine vrirtuelle IP ein und binde samba an diese NIC oder vertausche die konstellation von mir oben einfach und binde samba an die (nun private) IP der eth0:1 - dann ist es vom internet auch nicht mehr ansprechbar

aber zur sicherheitsfrage mit virt. IP würde ich auch gern noch was lesen wollen

greez

#12 Also erstmal vielen Dank euch allen für die Information- jetzt ist mir einiges klarer.
Ich denke, ich werde mich für die Linux Firewall entscheiden, da der Router nur begrenzte Einstellungsmöglichkeiten hat (und zwar mit 2 Netzwerkkarten;-) )

@embaas mit den virtuellen IPs hört sich interessant an, hat genau auch meine Frage beantwortet.

Jetzt leg ich gleich mal los!

gruß

mat