[OT] Einfacher Router - sicheres Trennen 2er Netze

11/05/2009 - 20:09 von Sven Schulz | Report spam
Hallo,

ich suche einen Router mit dem ich zwei Netze (Netz_1, Netz_2)
hinter(!) einem DSL-Router trennen kann. Netz_1 hat vertrauenswürdige
Daten, die geschützt werden müssen.
Netz_2 beherbergt jede Menge Chaoten die nicht an die Daten herankommen
sollten. Es handelt sich um personen bezogene Daten, es wàre eine
Katastrophe kàmen diese in die Hànde unbefugter.

Aus Netz_2 soll "nur" DNS- und HTTP-Verkehr zugelassen werden. Sufen im
klassischen Sinne.


Ist-Zustand

DSL-Router
| |
Netz_1 Netz_2


Soll-Zustand

DSL-Router
| |
Netz_1 Firewall
|
Netz_2


Cisco hat die PIX der 500er-Reihe bzw. ASA 5500-Serie im Programm. Ich
brauche aber nur sehr wenig Leistung und suche nach einem Geràt das mir
die 2 Netze zuverlàssig trennt und auch die Leute vom Hals hàlt die im
Netz_2 herumtoben. Z.B. login an der Firewall nur mittels Konsole und
ohne Web/Telent Interface. Schön wàre ein Web-basiertes Frontend zur
Konfiguration der Firewall, ist aber keine Bedingung - Befehlszeile ist
auch ok.

Die Netze bestehen aus insgesamt 4 Rechnern, also sehr übersichtlich.

Kennt jemand Hersteller die sowas bieten jedoch preisgünstiger sind als
Cisco?

Sven
 

Lesen sie die antworten

#1 Holger Marzen
11/05/2009 - 22:28 | Warnen spam
* On Mon, 11 May 2009 20:09:18 +0200, Sven Schulz wrote:

ich suche einen Router mit dem ich zwei Netze (Netz_1, Netz_2)
hinter(!) einem DSL-Router trennen kann. Netz_1 hat vertrauenswürdige
Daten, die geschützt werden müssen.
Netz_2 beherbergt jede Menge Chaoten die nicht an die Daten herankommen
sollten. Es handelt sich um personen bezogene Daten, es wàre eine
Katastrophe kàmen diese in die Hànde unbefugter.

Aus Netz_2 soll "nur" DNS- und HTTP-Verkehr zugelassen werden. Sufen im
klassischen Sinne.


Ist-Zustand

DSL-Router
| |
Netz_1 Netz_2



Sind die Netze nun getrennt oder nicht? Wenn nicht, hàttest du bereits
die Katastrophe, die doch unbedingt vermieden werden muss.

Auch würde man Daten, an die keiner kommen soll, nicht an einen Router
hàngen, der ins Internet geht.

Das klingt alles sehr widersprüchlich, was du schreibst.

Soll-Zustand

DSL-Router
| |
Netz_1 Firewall
|
Netz_2




Da Netz_2 nur surfen soll, bietet sich ein HTTP-Proxy an, der keinen
Zugriff auf Netz_1 erlaubt. Dann müsstest du überhaupt nicht routen.
Also Routing am Rechner komplett ausschalten und den Proxy, z.B. Squid,
so konfigurieren, dass er keinen Zugriff auf die Adressen in Netz_1
erlaubt.

Alternativ realisierst du die Firewall als Rechner mit eingeschaltetem
Routing und Paketfilter. Allerdings kann der HTTP nicht erkennen sondern
bloß anhand der Zielports die Pakete freigeben. Du kannst auch alle
Ports freigeben, aber als erste Regel alle Zugriffe auf Netz_1 blocken.

Kosten muss die Software nichts. Das gesparte Geld kannst du einem Profi
geben, der sie dir einrichtet.

Ähnliche fragen