Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Fünf von sechs Routern…
  6. Thema

Pfsense

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Pfsense

    Autor: M.P. 05.10.18 - 17:52

    Die PS1 "neben" der Firewall direkt anzubinden ist aber nicht so gut ...

    Immerhin muss sie noch durch die Firewall, um an den Rest des Heimnetzes zu kommen ... so kann man sie nur zur Botnetz-Drohne machen, wenn sie irgendjemand kapern sollte ...

  2. Re: Pfsense

    Autor: xploded 05.10.18 - 18:49

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > In der Praxis habe ich es schon bei einigen Firmen gesehen dass genau dies
    > gemacht wird.
    >

    Das sind eher schlechte Beispiele. Das kommt aber eben davon, wenn man VLAN für etwas missbraucht, für das es nicht gemacht ist.

    Für deine genannten "Probleme" gibt es eine total praktische Erfindung: Routing.
    Deine IP-Kamera braucht Zugang zum Fileserver? Kein Problem, kann man doch via TCP/IP ermöglichen. Man kann natürlich auch darüber nachdenken, in die DMZ einen Fileserver zu stellen, auf dem vom internen Netz aus zugegriffen wird - das würde ich bevorzugen.

    Alles Dinge, die man ganz sauber per Routing und Firewallregeln einrichten kann. Dafür braucht man nicht einen Server in zwei Netze zu legen - schon gar nicht so abenteuerliche Konstrukte "ein Bein intern, ein Bein DMZ". Würde ich das auf der Arbeit bringen, würde mein Schreibtisch geräumt werden.

    Und wenn ich dann höre: "Aber das kostet ja alles soviel Geld..." - Ja, richtig. Sicherheit kostet Zeit und Geld.

    Genau dafür braucht man halt mehrere Schnittstellen, damit man das sauber trennen kann.
    VLAN dient der Trennung von Netzen - zum Zusammenführen nimmt man praktischerweise Router. Die dürfen dann auch gerne Firewall sein.

    Ich arbeite auch mit VLAN, macht ja auch Sinn. Aber mit einem RJ45 kann man wie ich sagte, keine Netze trennen (also, bezogen auf Firewalling!). Und die Trennung ist aufgehoben, wenn Komponenten in mehreren VLAN zur gleichen Zeit sind - dabei spielt es keine Rolle ob tagged oder untagged. Manche kommen ja auch auf die Idee, das man mehrere virtuelle Schnittstellen verwenden kann.

    Wie man so schön sagt: Kannste so machen, dann ist es halt kacke.

  3. Re: Pfsense

    Autor: robinx999 05.10.18 - 19:17

    xploded schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > In der Praxis habe ich es schon bei einigen Firmen gesehen dass genau
    > dies
    > > gemacht wird.
    > >
    >
    > Das sind eher schlechte Beispiele. Das kommt aber eben davon, wenn man VLAN
    > für etwas missbraucht, für das es nicht gemacht ist.
    >
    > Für deine genannten "Probleme" gibt es eine total praktische Erfindung:
    > Routing.
    > Deine IP-Kamera braucht Zugang zum Fileserver? Kein Problem, kann man doch
    > via TCP/IP ermöglichen. Man kann natürlich auch darüber nachdenken, in die
    > DMZ einen Fileserver zu stellen, auf dem vom internen Netz aus zugegriffen
    > wird - das würde ich bevorzugen.
    >
    > Alles Dinge, die man ganz sauber per Routing und Firewallregeln einrichten
    > kann. Dafür braucht man nicht einen Server in zwei Netze zu legen - schon
    > gar nicht so abenteuerliche Konstrukte "ein Bein intern, ein Bein DMZ".
    > Würde ich das auf der Arbeit bringen, würde mein Schreibtisch geräumt
    > werden.
    >
    > Und wenn ich dann höre: "Aber das kostet ja alles soviel Geld..." - Ja,
    > richtig. Sicherheit kostet Zeit und Geld.
    >
    > Genau dafür braucht man halt mehrere Schnittstellen, damit man das sauber
    > trennen kann.
    > VLAN dient der Trennung von Netzen - zum Zusammenführen nimmt man
    > praktischerweise Router. Die dürfen dann auch gerne Firewall sein.
    >
    > Ich arbeite auch mit VLAN, macht ja auch Sinn. Aber mit einem RJ45 kann man
    > wie ich sagte, keine Netze trennen (also, bezogen auf Firewalling!). Und
    > die Trennung ist aufgehoben, wenn Komponenten in mehreren VLAN zur gleichen
    > Zeit sind - dabei spielt es keine Rolle ob tagged oder untagged. Manche
    > kommen ja auch auf die Idee, das man mehrere virtuelle Schnittstellen
    > verwenden kann.
    >
    > Wie man so schön sagt: Kannste so machen, dann ist es halt kacke.


    Ob man hier von einer DMZ sprechen kann, glaube ich nicht, die DMZ bezeichnet doch typischerweise Systeme die aus dem Internet erreichbar sein sollen.
    Hier wäre die Frage wenn ein System sowohl im IP Kamera Netz hängt als auch im Server Netz so ist es doch in keiner DMZ. Wobei ist jetzt die Frage ob die Telefone wirklich Aktiv den Asterisk Server hacken um von dort weiter zu kommen oder ob die IP Kameras den Server für die Videoaufzeichnung angreifen, vor allem wenn diese Systeme gar nicht in das Internet kommen und somit auch nicht von außen angegriffen werden können. Klar wer im Internen Netz ist und den VideoServer hackt könnte sich dann evtl. auch bis auf die Kameras weiterhacken, aber der wäre dann eh schon im System.


    Und ich frage mich wirklich wenn ich z.B.: einen OpenWRT Gerät nehme da dann Tagged das Gäste Netz drauf Lege, dieses mit einem WLAN Bridge dem keine IP in dem Netz gebe und dann gleichzeitig Tagged noch das Interne Netz und das mit einem anderen WLAN Bridge in wie weit man das angreifen kann.

  4. Re: Pfsense

    Autor: xploded 05.10.18 - 19:33

    DMZ war nur Beispielhaft - kann auch anders aussehen:

    Ein (V)LAN für Telefonie, eine Schnittstelle auf der Firewall.
    Ein (V)LAN für Server, eine Schnittstelle auf der Firewall.
    Ein (V)LAN für Clients, eine Schnittstelle auf der Firewall.
    Ein (V)LAN für DMZ, eine Schnittstelle auf der Firewall.
    WIFI, eine Schnittstelle auf der Firewall.
    Guest-WIFI, eine Schnittstelle auf der Firewall.

    Und natürlich die "rote" Seite. Eine Schnittstelle auf der Firewall. Wie man sieht: Da kommen ein paar Ports zusammen.
    Streng genommen gehört die DMZ aber wieder auf einen extra Switch - und von außen kommt man nur in die DMZ.



    1 mal bearbeitet, zuletzt am 05.10.18 19:35 durch xploded.

  5. Re: Pfsense

    Autor: bombinho 05.10.18 - 20:06

    xploded schrieb:
    --------------------------------------------------------------------------------
    > DMZ war nur Beispielhaft - kann auch anders aussehen:
    >
    > Ein (V)LAN für Telefonie, eine Schnittstelle auf der Firewall.
    > Ein (V)LAN für Server, eine Schnittstelle auf der Firewall.
    > Ein (V)LAN für Clients, eine Schnittstelle auf der Firewall.
    > Ein (V)LAN für DMZ, eine Schnittstelle auf der Firewall.
    > WIFI, eine Schnittstelle auf der Firewall.
    > Guest-WIFI, eine Schnittstelle auf der Firewall.
    >
    > Und natürlich die "rote" Seite. Eine Schnittstelle auf der Firewall. Wie
    > man sieht: Da kommen ein paar Ports zusammen.
    > Streng genommen gehört die DMZ aber wieder auf einen extra Switch - und von
    > außen kommt man nur in die DMZ.

    Hat auch den Vorteil, dass der Traffic sauber logbar bleibt, weil Alles durchs jeweilige Nadeloehr muss.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. CSB-SYSTEM AG, Geilenkirchen
  2. hubergroup Deutschland GmbH, Kirchheim bei München
  3. Technische Universität Darmstadt, Darmstadt
  4. Hochschule Furtwangen, Furtwangen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Hell Let Loose für 15,99€, Hitman 2 für 15,49€ und PSN Card 25 Euro [DE] für 21,99€)
  2. (u. a. SanDisk SSD Plus 1 TB für 88€ + Versand oder kostenlose Marktabholung)
  3. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...
  4. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Carver Elektro-Kabinenroller als Dreirad mit Neigetechnik
  2. Elektroauto Neuer Chevrolet Bolt fährt 34 km weiter
  3. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. Arbeit Hilfe für frustrierte ITler
  2. IT-Arbeitsmarkt Jobgarantie gibt es nie
  3. IT-Fachkräftemangel Freie sind gefragt

  1. Disney: 4K kostet bei Disney+ keinen Aufpreis
    Disney
    4K kostet bei Disney+ keinen Aufpreis

    Ohne Aufpreis für 4K-Streaming will sich Disney zum Start von Disney+ von Konkurrenten wie Netflix abheben. Außerdem wird auf der Plattform Binge-Watching weniger populär sein, denn neue Episoden sollen nacheinander wöchentlich erscheinen.

  2. Kickstarter: Retrostone 2 ist ein Game Boy mit LC-Display und Ethernet
    Kickstarter
    Retrostone 2 ist ein Game Boy mit LC-Display und Ethernet

    Er sieht aus wie eine Mischung aus SNES-Controller und Game Boy: Der Retrostone 2 ist eine mobile Spielekonsole, auf der Gamer ihre alten Spiele als Emulation spielen können. Ungewöhnlich: Mit USB, HDMI und Ethernet eignet sich das System auch als Standkonsole am Fernseher.

  3. Taleworlds: Mount and Blade 2 ist 2020 nach acht Jahren spielbar
    Taleworlds
    Mount and Blade 2 ist 2020 nach acht Jahren spielbar

    Mit dem Schwert und dem Pferd können Fans der Mittelaltersimulation Mount and Blade den langersehnten zweiten Teil spielen. Diese Version wird allerdings im Early Access erscheinen und von daher nicht fertig sein. Zumindest geht es voran.


  1. 13:13

  2. 12:34

  3. 11:35

  4. 10:51

  5. 10:27

  6. 18:00

  7. 18:00

  8. 17:41