Glaubensfrage

minimike

minimike

Berufsrevolutionär
Hi

Angenommen ihr hättet einen drei Jahre alten Server. Den würdet ihr mit OpenBSD als Unternehmensfirewall sowie für Ipsec verwenden. Würdet ihr auf der selben Installation auch Icinga installieren?

Ich finde den Gedankengang zum einen ketzerisch. Weil auf einer Firewall sollte nichts anderes laufen als zum Betrieb der FW notwendig ist. Zum anderen ist aber auch der Wunsch da vorhandene Resourcen optimal und sehr effizient auszunutzen.
Zur Zeit wäge ich diesbezüglich ich pro und kontra ab. Vielleicht bekomme ich hier noch einige gute Denkanstösse.
 
Firewall ist Firewall ich würde dafür auch immer getrennte Rechner verwenden ABER:

Warum sollte man das nicht machen? Aus meiner Sicht gibt zwei Gründe die dagegen sprechen.
- Punkt 1 betrifft die Stabilität des Servers.
- Punkt 2 vergrössert die Angriffsfläche auf der Firewall.

Kannst du dem internen Netz vertrauen? Hast du eine saubere FW Config?

Man kann einige Punkte beachten wie z.B. dass Icinga nur auf dem LAN Interface läuft, nicht unter "root" evtl. sogar in einer "chroot" Umgebung (Geht das unter OpenBSD?).

Das ist alles Ansichtssache und schlussendlich musst du entscheiden. :)
 
Für so ein Konzept würde ich niemals die Betriebsverantwortung übernehmen.
Wenn die Verantwortlichen das so wollen.. lehn jegliche Verantwortung dafür ab, am besten schriftlich. Sollte mal was schief gehen, bist im Zweifelsfall Du der Depp und kannst beim immer wieder beliebten Fingerpointingspiel nämlich nur verlieren, wenn Du so etwas zu stimmst.
Daher wehret den Anfängen. ;)
 
minimike schrieb:
Hi

Angenommen ihr hättet einen drei Jahre alten Server. Den würdet ihr mit OpenBSD als Unternehmensfirewall sowie für Ipsec verwenden. Würdet ihr auf der selben Installation auch Icinga installieren?

Ich finde den Gedankengang zum einen ketzerisch. Weil auf einer Firewall sollte nichts anderes laufen als zum Betrieb der FW notwendig ist. Zum anderen ist aber auch der Wunsch da vorhandene Resourcen optimal und sehr effizient auszunutzen.
Zur Zeit wäge ich diesbezüglich ich pro und kontra ab. Vielleicht bekomme ich hier noch einige gute Denkanstösse.
Zum Vergrößern anklicken....

Bei der IT Security sollte man nicht unbedingt sparen.

Tunnelendpunkte (IPSEC) gehören meines Erachtens auf dedizierte Systeme (z.B. OpenBSD Appliances) in einer DMZ und nicht mit auf die Firewall.

Das gilt genauso für Monitoring Systeme. Die haben auf Firewalls nichts verloren.

Bei der Verwendung eines 3 Jahre alten Servers würde ich mir die Frage des Hardware Supports stellen, was wenn eine Komponente abraucht?

Bekommst Du schnell genug Ersatzteile, gibt es noch Ersatzteile? Muss erst ein Beschaffungsantrag geschrieben werden?

Du kannst Dir Deine Fragen am besten beantworten, wenn Du mit Deinem Businessansprechpartner die Anforderungen klärst.

Welche Verfügbarkeiten sind für welchen Service gewünscht, gibt es spezielle Sicherheitsanforderungen.

7x24 und "Alles muss immer tun!" sind dann die falschen Antworten!

Am Ende des Tages ist eine ordentliche IT Security nicht teuer, gemessen an möglichen Problemen oder Schäden die auftreten können.

Bei Beantwortung der Fragen hilft z.B. die Lektüre des BSI IT Grundschutzhandbuch ggf. weiter.

Gruss
F41THR
 
Zuletzt bearbeitet:
VPNs können meines Erachtens durchaus auf ner Firewall terminiert werden solange die Sicherheitsanforderungen das zulassen. Nur ist der OpenBSD Kernel halt ein Flaschenhals für SMP Hardware. Es bietet sich also an VPN und Firewall zu trennen um Resource Exhaustion Angriffe auf die Verfügbarkeit zu erschweren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben