Re: Traffic Sharper testen - Balancing

Moin,

On Sat, Jan 12, 2002 at 04:59:10PM +0100, Oliver Fromme wrote:
> Andreas Braukmann <braukmann(at)tse-online.de> wrote:
> > On Fri, Jan 11, 2002 at 11:28:51PM +0100, Oliver Fromme wrote:
> > > weitervermittelt (sog. Application-Level-Gateway). Aber so
> > > einen Aufwand treibt man daheim i.allg. nicht.
                            ^^^^^^^^^^
Da war doch noch was mit diesem Wort "daheim"?

> > aehem? Nein? Ich hab erst in den vergangenen Tagen bei
> > einem Freund exakt so eine Konfiguration in Betrieb
> > gesetzt.
>
> Ich schrieb ja auch »i.allg.«, denn die Regel ist das
> sicherlich nicht, sondern die Ausnahme.

> In Deinem Fall fehlt außerdem der Paketfilter.

Noe. Der Paketfilter steht ja sozusagen auf "deny all".

> Gemäß BSI-
> Empfehlung sollten wirksame Firewalls eine PAP-Struktur
> aufweisen (Paketfilter, Application-Level-Gateway, Paket-
> filter), und zwar alles drei auf getrennten Maschinen.

Das ist schon klar. :-) Und wenn ich sowas beruflich erledige,
dann geschieht das ueblicherweise auch.
Fuer "daheim" halte ich Paketfilter aber fuer deutlich schwerer
*beherrschbar* als eine strikte "no forwarding"-Loesung mit 'nem
kleinen Satz an Proxies.

> Deine DMZ (so vorhanden) hängst Du dann hinter den ersten
> Paketfilter ins »Niemandsland«.

Ja, sicher. Aber hier ging es ja gerade um "daheim"- und damit
auch um "moeglichst wenig Aufwand"-Loesungen. Wenn man zudem
vermeiden kann, dass der "dual-homed Bastion-Host" keinerlei
Rechte im LAN eingeraeumt bekommt, sehe ich (*privat*) auch
keinen "praktisch relevanten" Nachteil dieser Loesung.

Der empfohlene Idealfall
(die "." symbolisieren den Paketfluss)

A] Internet<--->[PF-A]<----DMZ---->[PF-B]<--->LAN
      . | .
       ................ | ............
                       . | .
                        ...[ALP]...

Ohne Application Level Proxies (ALP) (und die beschriebst Du
ja als "zu aufwaendig" fuer daheim) ergibt sich ja dieses Bild,
mit *zwei* routenden Paketfiltern und einer "leeren" DMZ. Dabei
*muss* man zwangslaeufig Pakete zwischen LAN und Internet aus-
tauschen. (Mit allen potentiellen negativen Konsequenzen)

B] Internet<--->[PF-A]<----DMZ---->[PF-B]<--->LAN
      . .
       .........................................

Eine leere DMZ kann man aber auch gleich weglassen, oder?
Insbesondere dann, wenn PF-A und PF-B auf derselben Technik
basieren. Damit mutiert das ganze dann zu:

C] Internet<--->[PF-AB]<--->LAN
      . .
       .......................

Ich rueste halt auf der anderen Seite ab. Ausgehend von einer
Konfiguration mit ALPs in der DMZ und einer strengen Beschraen-
kung der Kommunikationswege zwischen LAN und Internet auf die
APLs (kein Datenpaket, das PF-A passieren soll oder passiert hat
passiert PF-B und umgekehrt), schiebe ich die PFs symbolisch in
in den APL-Host (sobald man mehrere APL-Hosts hat, bleibt halt
wirklich nur Bild A] uebrig).

D] Internet<---->[ALP-Host]<-------->LAN
      . . . .
       ............ ............

Ich fuehle mich mit "D" wohler als mit "B" oder "C", weil es mit
dem ALP-Host einen exakt definierten Administrations-, Ausfall-,
Angriffs- und Verteidigungspunkt gibt.

Sobald die Anschlusstechnik nicht "T-DSL" heisst, sieht "D" bei
mir dann aber auch eher so aus:

E] Internet<---->[PF-A]<------>[ALP-Host]<-------->LAN
      . . . .
       ........................... ............

Wobei PF-A dann durch einen "kleinen" Router realisiert ist.

-Andreas

-- 
: Anti-Spam Petition:     http://www.politik-digital.de/spam/          :
: PGP-Key:                http://www.tse-online.de/~ab/public-key      :
: Key fingerprint:  12 13 EF BC 22 DD F4 B6  3C 25 C9 06 DC D3 45 9B   :
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message