26. august 2003 - 10:59Der er
18 kommentarer og 1 løsning
Firewall på små netværk
Hej! Vi har i vores firma en lille netværk med 3 servere og 11 PC (arbejdsstationer). Vi har en ADSL Router som er tilsluttet en mail server og alle de 11 maskiner har adgng til internet igennem den adsl forbindelse. Nu overvejer vi at skaffe en firewall. Så vil je spørge er der nogen der kan sige mig hvilken firewall skal vi skaffe og er det svært at installere og konfiguere den . Er det noget vi selv kan finde ud af eller skal man have profesionelt hjælp ?
Da du har mailserver, bør du faktisk placere denne i DMZ (Ikke software DMZ som nogen billige routere kan, men hardware DMZ med eget netkort) Der findes mange dyre firewalls der kan dette, men du kunne kikke på en smoothwall løsning der faktisk kun behøver at koste en gammel PC. Se www.smoothwall.org
Hvorvidt smoothwall eller andre er egnet for oppgaven og om man behøver profesjonell hjelp eller ikke det vil jo for en stor del avhenge av hva slags servere det er snakk om og hvilket antall globale ip'er man ønsker å bruke. Likeledes så vil det også være et spørsmål om hva slags serversoftware man ønsker å benytte på de forskjellige serverene. Smoothwall vil vel normalt bare være egnet til nokså enkle løsninger. Den er til gjengjeld nokså enkel å sette opp.
Kan spørsmålet utdypes litt:
1. Hva slags servere er det snakk om (3-4)? 2. Hva slags programvare er det (hovedsakelig) som kjører på serverene. 3. Kjører disse serveren på hver sin globale ip i dag eller kjører de på lokale adresser (et "normaloppsett" basert på smoothwall/Zywall vil vel fortusette lokale ip'er og at det ikke finnes to eller flere "like" servere for eksempel web eller ftp servere)
Der er 3 server: 1. mail.(tilsluttet router) 2. fil/printerserver 3. Navision (økonomi system) Mail server kører på NT.4 Workststion mens Navision og fil server har NT Server OS. Hver server har sin egen IP adresse.
I utgangspunktet så skulle det kunne la seg gjøre å bruke Smoothwall. Den er ganske enkel å sette opp. Versjon 2.0 har statefull inspection.
Enkelte servere kan ha problemer med å kjøre bak en nat forbindelse med lokale adresser dersom et mere eller mindre automatisk oppsett for konfigurering forutsetter en global adresse. Dette kan forekomme. En mail server kan kjøre inne på lan eller på dmz. Den "riktige" plass å kjøre den er på dmz. Smothwall har en slik.
Fil server og økonomisystem kan etter all sansynlighet kjøre på en lokal adresse bak firewall.
Dersom mail server pr dags dato har en lokal adresse så kan den helt sikkert kjøre bak en smoothwall uten problemer. Dersom den på den annen side har en global adresse så kan den muliggens konfigureres om til å kjøre på en lokal adresse, men dette kan vel også tenkes å gi en del problemer.
Langbein: hvilke problemer kan dey give ? Kan man finde nogle manualer til hvordan man bruger og konfigurere Smootwall 2.0 Jeg kunne kun finde Smoothwall 0.9.9 .
Det samme lurte jeg også en hel del på da jeg skulle teste Smoothwall 2.0. Fant ingen manual for denne. Det viste seg imidlertid at brukerinterfacen var så godt som helt lik i forhold til V 1.0 / V 0.9.9 slik at denne manualen fungerer helt fint. Endringene har skjedd under fasaden mens bruk og konfigurering er så godt som helt lik. Det er sånn sett også meget enkelt å skifte mellom de to versjonene og man gjør hele installasjone med konfiguring ganske hurtig hvis man har litt trening. Konfigureringsskjermbildene er også langt på vei selvforklarende etter litt trening.
Når det gjelder problemstillingen rundt lokal og global ip ... Noen servere av forskjellig type kan ha mere eller mindre automatiserte funksjoner for konfigurering. Noe av det som typisk da kan skje det er at serveren vil tilordne den lokale adressen der den skulle ha tilordnet den lokale. Typisk så vil for eksempel en dns server kunne svare tilbake med 10.0.1.12 som lokal adresse i stedet for den lokale adressen som den skulle ha svart med. Dette vil selvøgleig kunne være mulig å konfigurere om. Denne problemstillingen vil vel kanskje ikke være så aktuell for en mail server.
En annen problemstilling det er at de lokale klientene kan få problemer med å nå fram til serveren dersom den utenfor nettverket "er kjent" på firewalls eksterne adresse, for eksempel 152.95.70.168 eller noe slikt mens den lokalt blir kjørende på for eksempel 10.0.1.12 Dette vil kunne gi problemer og bugs også i forhold til lokale mail klienter. Det vil selvfølgelig være mulig å konfigurere slik at tingene kan kjøre, men man bør ta høyde for problemstillingen slik at ikke denne kommer som noen overraskelse.
"Noe av det som typisk da kan skje det er at serveren vil tilordne den lokale adressen der den skulle ha tilordnet den GLOBALE. Typisk så vil for eksempel en dns server kunne svare tilbake med 10.0.1.12 som lokal adresse i stedet for den GLOBALE adressen som den skulle ha svart med."
Nu vil jeg spørge måske noget dumt. Hvis jeg vælger at klave en PC til Firewall med SmoothWall: skal den PC HAVE FLERE netkort ( 3 stk )? Hvor på netværket skal den tilsluttes )? Direkte i adsl router eller en u Switch ?
"Normalt" så er det slik at dersom man både har servere som kjører mot internett samtidig som man også har et lan der man har diverse arbeidsstasjoner og eventuelle lokale servere for eksempel file server og server for økonomisystem så benytter man en firewall med i prinsipp 3 kort, Inngang, altså ufiltrert, DMZ, det segmentet som de internettilkoplede serverne står og så selve LAN segmentet. Prinsippet er at det skal være mulig å sette opp trafikk inn til lan segmentet til internettserverne. Samtidig så skal det være umulig å sette opp trafikk ute fra internett til lan segmentet.
Hos Smoothwall så kaller man disse kortene tilkoplet hvert sitt nettverksegment for rødt (ufiltrert, inngang), Gult (DMZ, litt filtrering, noe åpning inn til serverne) og Grønt (En høy grad av sikekrhet og filtrering.)
Du legger egentlig inn en ny opplysning i den siste kommentaren. Du opplyser at du kjører via en ADSL router. Da er det jo sansynlig at du allerede benytter lokale adresser.
Smoothwallen er jo også en router. De fleste hardware firewalls fungerer ved å være routere som filtrerer trafikken mens de router trafikken fra det ene nettverkssegmentet til det annet. Ikke utenkelig at den routeren du allerede har utfører en firewallfunksjon eller at den kan settes opp til å utføre en slik funksjon.
Det er på den annen side ingen ting i veien for å sette opp to routere eller to nat routere i serie etter hverandre for å oppnå en høy grad av sikkerhet.
Dette kan også benyttes som et annet prinsipp for å etablere en dmz sone.
Man lar det mellomliggende nettvekssegmentet mellom de to firewall/routere fungere som dmz. Man setter så opp internett servere slike ting i denne mellomliggende sonen. I enden av denne DMZ sonen så setter man så opp en ny firewall/router forran LAN opg interne servere. Dette kan godt være en smoothwall. I dette tilfellet så skal den bare ha to kort.
I det tilfelle at du går for en 3 port løsning så vil du kunne trekke en kabel (sansynligvis krysset dette varierer litt) mellom adsl router og Smoothwall.
Dersom du går for en 2 port løsning med DMZ i midten så vil du måtte behøve å bruke en ekstra switch for mellomsegmentet (DMZ).
Har testet ut både en slik DMZ løsning basert på to port Smoothwall og DMZ midtsegment og 3 port løsning med rødt gult grønt kort. Begge deler testet i kombinasjon med adsl router og det fungerte bra.
På jobb så bruker vi en slik løsning med flere firewall routere i serie.
Hjemme hos meg selv så har jeg testet ut alle variantene, men det var til å bli sprø av å høre på alle de PC'ene. I dag så kjører jeg bare en hardware firewall/router pluss intern firewall på workstations og server. Server står også plassert inne på lan, hvilket også er litt på kanten, i henhold til boken. Det heter seg i teorien at serverne som er tilknyttet internett og som kjører inne på lan kan bli bruks som plattform for videre angrep av workstations osv .. I praksis så har jeg kjørt server mot internett i ca 6 år med null havarier og null gjennomførte/velykkede angrep så langt.
Man må vurdere sikkerheten totalt og hva man egentlig har å beskytte. En felles fileserver som står og går døgnet rundt og en server for økonomisystem kan da saktens være noe som bør beskyttes. Tar man utgangspunkt i en eksisterende adsl/router og setter en smoothwall bak denne så har man i hvertfall en hel del sikkerhet på plass og den som vil bryte seg inn skal i hvertfall få holde på noen timer ..
Man må selvfølgelig ha en switch til den grønne sonen/lan uansett.
En annen viktig problemstilling: det står "adsl router". Dette vil vanligvis bety at du allerede kjører lokale adresser. Dersom du på den annen side har et adsl modem som faktisk ikke har en router men bare en modemfunksjon, eller dersom din router eventuelt er av "transparent type" så blir hele problemstillingen litt anerledes. Du vil sannsynligvis fortsatt kunne bruke Smoothwall, men på en litt annen måte.
Det aller viktigste å opplyse for å kunne diskutere en slik problemstilling riktig det er omkring bruken av lokale og globale adresser. Så lenge dette er ukkjent så blir det hele litt "omtrentlig" og "hvis i så fall".
Langbein- tak for svar(erne). Vores netværk ser sådan ud: Switch-ADSL Router (fra TDC)- Mail server . Mail server er en PC MED SIN ip adresse. Hvilken løsning vil du anbefale?
Vi dette si at det finnes to eksterne ip, den som adsl routeren mottar og den som mail serveren mottar ? Er disse to forskjellige ip adressene helt forskjellige, eller er det slik at det kun er det siste siffret som er forskjellig ? Alle PC'ene har selvfølgelig hver sin ip når det dreier seg om tcp-ip, men selve poenget er jo hvilke som eventuelt kjører via en nat forbindelse og somfølgelig har interne adreeser og hvilke som event kjører utenom nat forbindelsen i dag. Kan du ikke bare legge ut adtressene, og så anonymiserer du ved å la de to sitste siffrene være x.x, for eksempel slik: 152.96.x.x Når disse adressen er lagt ut så har du sansynligvis forklart godt nok hvordan netverket fungerer og hvoran det er bygget opp i dag.
hej langbein! nu er jeg tilbage. adsl router har flg ip:196.128.x.x mail server :196.128.x.x mail server bruges også som en ftp server. lokale maskine (11 i alt) få tildelt en ip adresse. Jeg tænker om er det måske en god ide at tilslutte firewall kun til mail server, fordi der er ikke nogen der har adgang til vores netværk (fil/ og økonomisystem server) hjemmefra.
Dine adresser viser at du for så vidt allerede har en nat router som på mange måter fungerer noenlunde likt med en firewall. I mange tilfeller så er det bare et konfigureringsspørsmål om å aktivisere rene firewall funksjoner i slike routere også.
Det er ingen ting i veien for å sette opp en nat router eller en firewall no 2 bak den første for eksempel en smoothwall hvis du ønker det.
Svakheten med oppsettet i dag det er at det finnes en teorietisk mulighet for å benytte mail/ftp serveren som plattform for videre angrep inn mot Workstations, servere for økonomisytem og fileserver. For en mail server så er vel dette kanskje mest teoretisk. For en ftp server så kan vel dette være noe mere reelt.
Du har i grunnen to muligheter for hvordan du ønsker å sette opp en firewall med dmz.
Enten så kan du sette mail serveren på en switch som følger etter den første modem/router. Videre så lar du en smoothwall eller liknende med bare 2 kort / inn utganger stå og beskytte for videre trafikk inn til den inneste lan der workstations og økonomi pluss fireserver befinner seg. Mellomsegmentet mellom de to routerne blir da dmz. Her befinner seg da mail/ftp server.
Alternativt så kan du bruke en (sansynligvis) krysset kabel mellom eksisterende firewall/nat router og smoothwall. Smoothwall settes så opp med 3 kort, rødt (Internett), Gult (dmz) og Grønt (Lan).
Mail server settes så opp på dmz/gult kort og det øvrige på lan segmenter, dvs koplet til grønt kort.
---(Moden/router)---(Smoothwall)----(dmz/mail/ftp server) I ------------(Lan/økonomi/file server)
Begge løsninger kan brukes, men ville vel tenkt mest på den varianten som har dmz i midten. Denne er vanligvis enklest å sette opp. Enten man velger den ene eller den annen løsning så må dmz og lan ligge i to forskjellige nettverkssegmenter, for eksempel 192.168.1.x/255.255.255.0 og 192.168.2.x/255.255.255.0
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
