Netzwerkzugriff von Server einschränken

Re(5): Netzwerkzugriff von Server einschränken

Desolationrob — Thu, 19 May 2011 11:44:25 GMT

was soll denn diese "überwindung" bitte sein ? Auf einer Firewall kann ich ja trotzdem zig Zonen anlegen, wenn ich eine Kiste innerhalb dieser Zone knacke, heisst das dann im Normalfall das ich höchstens die Maschinen leicht erreiche die in der gleichen Zone stehen...im extremfall geht nicht mal das. Also wozu brauche hier hierfür 2 Firewalls ?

Den Punkt mit Dmz Server und 2 Interfaces, null Plan was du damit ausdrücken willst.

Das einzige Sicherheitsbedürfniss das mit 2 verschiedenen Herstellern befriedigt wird,ist das ein Fehler in dem OS der Firewall nicht gleich Zutritt zu allen Systemen verschafft. Solche Angreiffe sind auch schwer hinzubekommen, ich muss wissen welche Firewall da steht, welche Version und eben einen exploit kenen mit dem ich genau das erreiche was ich brauche...imho äusserst konstruiert, da bleibe ich doch eher bei services die ich so und so erreiche und versuche die Applikation zu hacken, odealerweise ohne übliche inspection von firewalls und IPS Systemen auszulösen.

Re(4): Netzwerkzugriff von Server einschränken

kombipaket — Thu, 19 May 2011 11:35:31 GMT

Beispielsweise aus dem INet kommend:
Bei 2 FWs bist halt nicht nach Überwindung der ersten schon im Kompletten Lan - sondern nur in der DMZ (also zB beim Webserver). Deine DB-Server, Clients, .. hast dann noch nicht zwingend verloren.

Natürlich können 2 unterschiedliche Firewalls die Sicherheit gegenüber 2 gleichen erhöhen... Und natürlich sind 2 Firewalls etwas sicherer als eine Firewall, wo zB der DMZ-Server auf 2 Ports ranhängt oder per Trunking verbunden ist...

Re(3): Netzwerkzugriff von Server einschränken

Desolationrob — Thu, 19 May 2011 08:37:40 GMT

Re(3): Netzwerkzugriff von Server einschränken

Desolationrob — Thu, 19 May 2011 08:37:40 GMT

dann musst du dir dein ruleset anschauen was derzeit alle szum server erlaubt ist und alles rausschmeissen was zu viel ist, natürlich erst wenn VPN funktioniert. Da ist dann eben noch die frage ob RA oder L2L und wie die ASA derzeit konfiguriert ist. Auf den restliceh traffic der über die ASA geht hats keien Auswirkungen sofern man keinen Unsinn macht

und vom aufbau

internet-fw-serverchen-fw-serverchens/office halte ich persönlich nicht viel, meistens macht man das dann nämlich superschlau mit 2 gleichen firewalls -.- Sinn ergibts erst mit 2 unterschiedlichen firewalls die auch unterschiedlich eignesetzt werden, nicht aber um Zonen voneinander zu trennen..was sollen da bitte 2 Firewalls besser/einfacher machen als 1 ?

Re(2): Netzwerkzugriff von Server einschränken

werni007 — Thu, 19 May 2011 08:05:36 GMT

INET -- FireWall -- Server -- FireWall -- Produktionslan.

sowas ist für die zukunft geplant allerdings leider von der GF noch nicht genehmigt worden da momentan maximal 2 kunden auf unsere server direkt zugreifen!

danke für die tipps

Re: Netzwerkzugriff von Server einschränken

kombipaket — Thu, 19 May 2011 07:51:05 GMT

Mehrere Varianten denkbar:

1.) Wenn der Kunde mal auf eurem VPN-Konzentrator aufschlägt, bekommt er im VPN ja immer dieselbe IP, oder ? Anhand derer sollten sich ACLs definieren lassen a la
- Wenn die SourceIP im VPN a.b.c.d ist - erlaube Zugriff zu Serverort
- Ansonsten DROP

2.) Eventuell den Server an einen Trunc anbinden mit 2 VLANs...
- Eines für Produktion, eines für Kunden
Der Konzentrator stellt sicher, dass der Kunde mit seinem Zertifikat in das KundenVLAN fliegt.

3.) Zweiten VPN-Konzentrator für Kunden.

4.) Der Standardweg:
INET -- FireWall -- Server -- FireWall -- Produktionslan.

Re(3): Netzwerkzugriff von Server einschränken

dadaniel — Thu, 19 May 2011 06:25:21 GMT

Hä?! Ich meine die öffentliche IP! Die z.B. bei http://www.wieistmeineip.de aufscheint.
Business-Internetzugänge haben meistens mehrere davon zur verfügung.
Und da fast immer nur 1 IP davon für den Internetzugang des internen Netzes hergenommen wird und per NAT sowieso von Außen abgeschottet ist, sollte es kein Problem sein den Kundenserver auf einer eigenen öffentlichen IP zu betreiben.

Re(2): Netzwerkzugriff von Server einschränken

werni007 — Thu, 19 May 2011 06:18:53 GMT

eine eigene externe IP für den Server verwenden

naja wenn ich eine externe IP verwende kann ich ja trotzdem auf die anderen netzressourcen im netz zugreifen!

Re(2): Netzwerkzugriff von Server einschränken

werni007 — Thu, 19 May 2011 06:18:14 GMT

server 2008, das ganze in einer ESX umgebung drinnen, das ganze netzt liegt hinter einer ASA 5510

Re: Netzwerkzugriff von Server einschränken

Desolationrob — Wed, 18 May 2011 18:37:34 GMT

blooooss nicht verraten um WELCHEN Server es sich handelt.

und sonst, tjo, meine Kristallkugel ist hin und eurer Netzdesign kann ich nciht bis hier ehr riechen..also wie soll man da weiterhelfen ?

Re: Netzwerkzugriff von Server einschränken

Desolationrob — Wed, 18 May 2011 18:37:34 GMT

blooooss nicht verraten um WELCHEN Server es sich handelt.

und sonst, tjo, meine Kristallkugel ist hin und eurer Netzdesign kann ich nciht bis hier ehr riechen..also wie soll man da weiterhelfen ? Also bitte möglichst diffus und ohne sinnvolle Infos posten.

Re: Netzwerkzugriff von Server einschränken

dadaniel — Wed, 18 May 2011 13:39:17 GMT

Ich würd entweder

a) eine eigene externe IP für den Server verwenden
b) einen anderen Adressbereich intern verwenden
c) den Server per VLAN o.ä. vom restlichen Netz abschotten

Netzwerkzugriff von Server einschränken

werni007 — Wed, 18 May 2011 13:07:53 GMT

Hallo Leute!
Wir haben hier einen Kundenserver der nun wirklich unseren Kunden per VPN zugänglich gemacht werden soll - allerdings sollte es für den Kunden nicht möglich in das Produktiv-Netz einzugreifen!

Daher meine Frage:
Ist es mit Bordmitteln möglich z.b. Netzwerkzugriff von diesem Server aus zu unterbinden?
Wenn nein gibt es dafür eine Software?
Es wäre z.b. super wenn man den Zugriff auf unser produktivnetz komplett sperren könnte!

oder hat jemand von euch eine andere Idee?