Hilfe für Aufgabe mit Firewall (auch schutz vor innen)

[NacKteOmA]

Ich habe eine Aufgabe zu lösen. Stichwort schutz mit einer Firewall und das auch vor angriffen im inneren.

Aufgabe: Das Unternehmen besitzt 10 Workstations, 1 Fileserver, 1 Mailserver und eine feste Internetanbindung, wie bieten sie mit einer Firewall auch Schutz vor innen?

Diese Aufgabe habe ich unteranderem für meinen Eignungstest (Bewerbung zum FISI) bekommen.

Wie stelle ich dies nun an, hier müsste man mit irgendwelchen Sicherheitssystem (Softwareseitig) spielen oder? Einfach Firewall zwischen Router und Switch zu stecken z.B. hilft ja nicht.

Ich stehe hier leider etwas aufm schlau. Über hilfe würde ich mich freuen.

[NacKteOmA]

Natürlich habe ich noch einwenig Recherchiert. Wäre dies mit einer DMZ möglich?

Es wären Praktisch 3 Zonen

Zone 3 - Offenes Netz (Internet)

Zone 2 - DMZ mit Zugriff zum Internet

Zone 1 - Intranet kein Zugriff zum Internet, nur Zugriff zum DMZ

Zone 3 - Router

Zone 2 - Mailserver (muss ja schließlich Mails abholen und senden)

Zone 1 - 10 Workstations und Fileserver (ich schätze der Fileserver wird Firmenintern verwendet)

Im Mittelpunkt steht die Hardware Firewall mit 14 Ports (es werden ja schließlich 13 Ports benötigt) alle Geräte werden an die Hardware Firewall angeschlossen, also Workstations, Mail/Fileserver + Router.

Dadurch das alle Geräte an der Firewall sitzen (auch die z.B. die Workstations) kann man ja auch den Schutz vor Internen Angriffen vornehmen.

Allerdings was würde man allgemein üblich so in der Firewall für Techniken verwenden für den Schutz vor Internen Angriffen? Was gibts da für Techniken/Einstellungen, so im groben?

Was haltet ihr von meiner oben genannten Planung?

[Crash2001]

Hardware-Firewall mit 14 Ports? Da reicht doch eine mit 3-4 Ports, oder aber zwei mit jeweils 2 Ports vollkommen aus, wenn man mit Switchen arbeitet. Ob eine regel nun für einen direkten Hardwareport, oder aber für den Port an dem ein Switch hängt gilt - an den Regeln ändert sich eigentlich nichts. Dafür muss man dann aber nicht mit allen Kabeln bis zur Firewall, die Firewall ist entsprechend günstiger (ich weiss gar nicht, ob es überhaupt Firewalls mit so vielen Ports gibt) und so müsste das switching ja auch noch von der Firewall übernommen werden, was keinen Sinn macht.

Also entweder die DMZ auf der Firewall direkt separiert, oder aber zwei Firewalls ums die DMZ rum.

Ich gehe einfach mal von zwei Firewalls aus, weil es sich einfacher erklären lässt.

An das Intranet angeschlossen wird eine Firewall, die den Zugriff auf z.B. server, oder aber auch Proxy regelt. Hinter diese Server kommt eine weitere Firewall, die den Zugriff vons / ins Internet regelt.

Dazu könnte man evtl noch Intrusion Detection Systeme (IDS) oder Intrusion Prevention Systeme (IPS) einsetzen. Beide suchen nach bestimmten Angriffsmustern oder Veränderungen von Paketen, Malware u.s.w.

Eine reine IDS erkennt aber einen Angriff nur, wohingegen eine IPS diesen Angriff auch verhindert.

Bearbeitet 31. Mai 2010 von Crash2001

[hades]

Es gibt Hardware-Firewalls mit der Portdichte von Switches.

z.B. die SSG- und SRX-Serien von Juniper.

Von kleinen Modellen (z.B. 1 HE- und 2 HE-Appliances mit 4, 8, 16, 24 oder 48 Ports) bis hin zu modularen Chassis-Loesungen mit bis zu 440 Ports a 1 Gbit/s / 44 Ports a 10Gbit/s in bis zu 11 Slots.

Die Preise sind dann aber ein anderes Thema, da wenn ueberhaupt nur fuer grosse Provider interessant.