Routing zwischen 2 Firewalls?

[Patrick M. Hausen]

Lies Dir mal das verlinkte Paper von Genua durch. Das ist zwar deren Werbematerial, aber das verschafft Dir einen guten Überblick, was P-A-P nach BSI tatsächlich bedeutet.

Magst Du uns erzählen, was das für ein Auditor ist und in welcher Branche Ihr tätig seid? Ungefähr vielleicht? Weil ... Kanonen ... Spatzen - wenn man diese Architektur wirklich durchzieht, ist das was für Großkonzerne vom Kaliber "Bank" oder "Versicherung".

[lewald]

Ich hatte ja auch ein Teil der PDFs vom BSI reingestellt.
Da steht auch schon so einiges drinnen.

[FWStarter]

Hallo,
klar, wir sind ein Konstruktionsbüro mit ca. 70 Mitarbeiter im Bereich Maschinenbau.
Aktuell mit einem Hauptbüro und einer Zweigniederlassung, die zweite ist für Mitte 2022 geplant. Dann kommt nochmals ein VPN Tunnel dazu.

Ich stecke aktuell aber in einer Sackgasse mit den Internet Geräte.
Das Problem im Detail:
Auf Port 2 der Sophos ist die Fritzbox mit der IP 192.168.178.100 mittels derem DHCP Server verbunden.
Meine Internetrechner im OPNsense liegen unter: 192.168.20.0/24
Wenn ich ein Drop IN von 192.168.20.0/24 nach 192.168.178.0/24 mache
passiert gar nix. Die Regel ist ganz oben angelegt...  Im Liveview sehe ich keine Meldungen.
Bin da gerade etwas ratlos.

Etwas anderes ist mit in Verbindung mit der OPNsense ebenfalls aufgefallen.
Macht man beispielsweise einen Dauerping auf eine Adresse. Legt man nun eine Drop/Reject Regel für Ping zu dieser Adresse an, schlägt die Regel nicht an. Erst wenn der Ping unterbrochen und anschließend neu angestoßen wird, kommt die Zeitüberschreitung.
Ist das bei Euch auch so oder nur eine Besonderheit in meiner Umgebung?

[kosta]

Hi,

beim Ping ist es so auch bei mir. Wenn das ICMP-Allow-Rule deaktiviert wird, dauert es bisschen bis es wirkt, und Ping muss man stoppen. Aber die Aktivierung wiederum ist schnell.
Das hat was mit die States zu tun, vermute ich.
Da ich aber die Sache nicht ausreichend verstehe, um es zu erklären, überlasse ich das wem anderen.

Für den Rest, rate ich dir noch einmal, einen Netzwerkplan zu erstellen.

[lewald]

Nun,

Du solltest zuerst einaml rausfinden was der Audit Typ bemängelt. Was ich bisher verstanden haben ist das der sagt kritische Rechner dürfen nicht oder nicht dieselbe verbindung ins Internet haben. Ich würde sogar sagen diese Bereiche dürfen kein Internet haben. Das bedeutet das Netz muss in Bereiche (Zonen) aufgeteilt werden.

[kosta]

Du hast es nicht verstanden:
Der Chef HAT bereits ne OPNsense besorgt und er MUSS diese verbauen, unabhängig davon was der Auditor sagt 

[lewald]

Doch ich habe es verstanden.

Alles das nützt nichts wenn ich nicht weiß was das Ziel ist. Dann geht das Ding nach hinten los.
Zuerst muss man verstehen was das Ziel ist. Und sei es das Ziel das Audit zu überstehen.

[kosta]

eine P-A-P Struktur aufzubauen. Der ALG soll auch nur für die Internet PCs mittels Webproxy umgesetzt werden.

[FWStarter]

Hallo zusammen,
es ist eigentlich ganz einfach:

Internet Geräte = nur Internet, ansonsten isoliert vom restlichen Netz.
CAD Workstation/sonstige Geräte = nur internes Netzwerk aber kein Zugriff auf die Internet Geräte.

Bei uns hat jeder Mitarbeiter einen separaten Internet Rechner zusätzlich zu seinem Arbeits PC/Laptop.

[kosta]

Und warum kann man das nicht elegant mit VLANs auf einer Firewall lösen?
Ist bestimmt in eurer Konstellation sicherer als das Herumgeiere mit zwei Firewalls.

[Patrick M. Hausen]

Wenn der Auditor ein P-A-P Setup vorschreibt, dann braucht man 3 unabhängige Geräte. Aus die Maus. Einen Paketfilter - als eigenständiges Gerät. Einen Application Level Gateway - als eigenständiges Gerät. Noch einen Paketfilter - als weiteres eigenständiges Gerät.

Alles andere ist kein P-A-P nach BSI.

Also was will man da mit einer Sophos und einer OPNSense? Die könnten die Paketfilter abbilden. Dann fehlt noch eine Genugate in der Mitte ...

Orakelt doch bitte nicht mit VLANs etc. rum. Entweder das Setup ist so verlangt oder nicht. Wenn es so verlangt ist, sind die Begriffe absolut eindeutig definiert. Weder die Sophos noch die Sense sind ein Application Level Gateway. Es müssen *alle* Protokolle durch dedizierte Proxies durch.

Wenn das Setup so nicht verlangt ist - ja, worüber diskutieren wir dann überhaupt?

[kosta]

Also ich orakel gar nicht sondern frage nach, basierend darauf was bisher geschrieben wurde.
Also:
Er schreibt selbst dass der Auditor dann eben gesagt hat es genügt ein Webproxy, oder habe ich das missverstanden?!
Das ist das was mich die ganze Zeit verwirrt und ich schon am Anfang gesagt habe, dass hier ein Konzept fehlt und vor allem Klarheit was gemacht werden soll.

Wenn das Setup so nicht verlangt ist - ja, worüber diskutieren wir dann überhaupt?

EBEN!