Re: Sichere Verbindung zu anderen Netzen

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Tue, 1 Sep 2009 11:01:00 +1000 (EST)



On Mon, 31 Aug 2009, Uwe Laverenz wrote:



> Aber egal ob IPsec oder nicht, wenn Verfügbarkeit eine Rolle spielt, würde 


> ich für die Anbindung anderer Netze immer kleine, dedizierte Firewalls 


> (neudeutsch "Appliances") benutzen, die ohne Lüfter, Platten oder anderes 


> ausfallträchtiges Zeugs auskommen.



Das ist sicher ein Kriterium, aber nicht das Einzige.



"wenn Verfügbarkeit eine Rolle spielt" - nimm zwei.



So haeufig sterben ordentliche Server auch nicht. Ich habe z.B. vor drei 


Jahren z.B. mehr als zehn Dell 1950 als Firewalls installiert, die leben 


alle noch, und hatten bisher keine Probleme. Da sind auch immer zwei 


Platten drin, fuer den Fall der Faelle.



"Wenn Sicherheit eine Rolle spielt" - da ist nicht immer eine Appliance 


das Richtige.



Das hat weniger mit den technischen Moeglichkeiten dieser Appliances zu 


tun, sondern mit der zumeist bevorzugten Konfigurationsweise: dem 


Webinterface.



In der Realitaet habe ich ueber Jahre _keine_ "webadministrierte" Firewall 


gesehen, die etwas komplexer war und so uebersichtlich konfiguriert war, 


dass ich ihr trauen konnte.



Beispiel: Ich installiere heute zwei Tomcat-Server.



Die brauchen:



- HTTP von den Loadbalancern


- Datenbank-Zugriff zu einer anderen Zone


- NRPE zum Monitor


- SSH von zwei "Admin"-Boxen


- SFTP von einem Filegenerator



Die Loadbalancer und der Filegenerator sind "produkt"- und 


location"-spezifisch, waehrend DB, Monitor und Admin-Boxen 


"location"-spezifisch sind.



Hier meine Konfiguration:


all_apps="app1 app2 .."


app1_location="datacenter1"


app1_type="tomcat"



Das geht wie Broetchenbacken, der Rest ist in Skripten, die die 


benoetigten IPs aus dem DNS holen (z.B. 


tomcat1.app1.datacenter1.local_domain) und dann ein Ruleset wie oben 


beschrieben fuer eine skriptbare Firewall generieren.



Im Zweifelsfall habe ich lieber zwei "generische" Server (mit FreeBSD z.B. 


und CARP und pf) mit Quad-Karten drin, denn ein Webinterface fuer eine 


Appliance.



Ich bin gerade dabei, ein vor ein paar Jahren geschriebenes Skript zu 


entstauben und auf "hiesige" Beduerfnisse anzupassen.



Das wird dann eine Juniper-Konfig schreiben, weil wir diese hier 


verwenden.



Es gruesst


Peter



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 01 Sep 2009 - 03:01:13 CEST













search this site