Netzwerkkonzept

[zanubi]

Hi all,

ich hab mich heute einmal an eine ganz spezielle Netzwerkkonzeption gesetzt. Speziell, da es einige außergewöhnliche Anforderungen hat. So, sollte eigentlich keine Verbindung zum Internet bestehen. Kein Client und keiner der beiden Hauptserver soll Kontakt zum Internet haben, umso perfekt abgesichert zu sein. Nichtsdestotrotz will man ja auf den Internetzugriff nicht gänzlich verzichten.
Graphische Darstellung von Konzept 1 (105KB)
Graphische Darstellung von Konzept 1 (klein) (19KB)

Lösung: Die Server und die Clients bekommen nur Zugriff auf den Proxy. Dadurch kann ich die HW-Firewall eigentlich komplett zumachen, den Proxy jetzt einmal ausgenommen. Eventuell wäre ja dann auch ein VPN denkbar. Die eigentliche Firewall (ein normaler Server mit openBSD und pf) könnte dann einige Ports der Server aus der DMZ zur HW-Firewall durchstellen.
Diese HW-Firewall ist eine Zyxel 10W. Diese wurde einmal bei ebay um 1€ ersteigert, soweit ich weiß ist sie von 2004-2005. Die sollte dann den Großteil der Attacken auf da Netz abwehren und nebenbei noch via IPsec den Nutzern wirklich sichern Zugriff auf die beiden Hauptserver erlauben. Das Problem ist, ich traue dem Gerät nicht wirklich, aber für was Größeres fehlt das Geld ...

Darum hätte ich mir noch eine andere Zusammenstellung überlegt:

Graphische Darstellung von Konzept 2 (103KB)
Graphische Darstellung von Konzept 2 (klein) (19KB)

Ich stelle die Server einfach zu den Clients, und forwarde die benötigten Ports einfach zur Firewall. Diese würde nun auch als VPN-Server dienen, und die HW-Firewall würde etwas stiefmütterlich behandelt werden.
Natürlich, wenn ich statt der Zyxel irgendetwas mit einer DMZ anschaffen würde, würde sich das Problem in Luft auflösen, aber dazu fehlt derzeit einfach das Geld. Bei der zweiten Möglichkeit könnte ich mir ja auch sparen, den Proxy mit dem VPN zu verbinden. Dieser muss ja vom RADIUS die Benutzerkennungen erhalten und so hätte ich wieder ein Sicherheitsplus, was auch die Hauptsache dieser Konstruktion ist ...

Welcher der beiden Konzepte würde ihr bevorzugen? Oder würdet ihr es mit derselben Hardware komplett anders machen? Seht ihr irgendwelche großen Schwächen?

Ich hoffe ich habe alles verständlich erklärt ...
Danke !!

 

[foexle]

Variante Nr. 1 ....
Der Schutz ist mehr als ausreichend.
Den Snort-Server (wobei das eigentlich an den Router gehört) würde ich nicht vor die FW stellen.

Das Problem ist, ich traue dem Gerät nicht wirklich, aber für was Größeres fehlt das Geld ...

naja ... Firewall ist firewall die Frage ist nicht ob du der FW vertraust oder dem Gerät, sondern wann dies in die Knie geht und vereinzelt Pakete durchlassen.

Wie du schon bemerkt hast ist ein VPN die sicherste aller methoden, aber nur für die Kommunikation nach innen.

Eine Attacke von außen gestartet, ist bei solch einem System meist mit sehr hohen Anstrenungen verbunden was meist nicht lohnt. Wenn aber die Clients, die nach aussen kommunizieren dürfen, Backdoors, Sniffer, Trojaner oder einfach nur Bugs in Ihren Anwendungen haben, ist es ein viel größeres sicherheits Risiko.

Da helfen nur wenige Sachen, Mitarbeiter schulen und instruieren was Sie machen dürfen und was nicht oder eine Terminal-Server Lösung anstreben.

Hoffe ich konnte dir ein wenig helfen und ein paar Anregungen geben

 

[zanubi]

Ich danke dir einmal für deine Antwort.

Von den Angriffen von innen erwarte ich jetzt einmal kein zu großes Risiko, größtenteils werden sowieso Unix-Systeme eingesetzt, und die Mitarbeiter wissen schon was sie tun ...

Den Teil mit dem Snort habe ich nicht ganz verstanden? Hast du dir die Grafik angesehen? Insgesamt habe ich zwei Firewalls zur Verfügung. Auf der ersten würde die Standardsoftware von Zyxel laufen, auf der zweiten ein normales openBSD mit pf und Snort...

Und "FW ist FW" das ist klar, aber das Ding ist ja schon älter und vor allem, was Sicherheitslücken angeht bin ich da sehr kritsch... In die Knie gehen wird die Zyxel nicht so schnell, da die Anzahl der User, die das VPN wirklich nutzen werden, gering ist ...

 

[foexle]

ich habe die grafik schon verstanden
nur das snort solltest du nie an fordester front betreiben.
Also ist es nicht sinnvoll das Snort auf der Firewall zu betreiben sondern hinten draun (physikalisch gesehen)

 

[zanubi]

ich habe die grafik schon verstanden
nur das snort solltest du nie an fordester front betreiben.
Also ist es nicht sinnvoll das Snort auf der Firewall zu betreiben sondern hinten draun (physikalisch gesehen)

Gut, da danke ich dir Vielleicht kann ichs bei Gelegenheit einmal auf einem WRT54GL probieren ...

Was mich noch interessieren würde? Wäre es theoretisch möglich auf dem Proxy, in Variante 1, Asterisk zu betreiben? Die SIP-Phones wären natürlich im selben internen Netz wie die Clients.
Da müsste ich einmal die Ports nach außen forwarden und dann innerhalb würde ich auch noch ein paar NATs brauchen? Das Problem ist ja, dass SIP sich nicht so gut damit verträgt? Hast du oder jemand anderes vielleicht schon Erfahrungen mit einer ähnlichen Konzeption?!