Empfehlung für Firewall gesucht

[maceis]

Ich möchte im Netzwerk eines Freundes eine Firewall installieren, die wirkungsvoll für einen bestimmten IP Adressbereich jegliche Filesharing-Aktivitäten zuverlässig unterbindet.
Erlaubt sein soll ausschließlich normales Surfen im Internet sowie Email.

Da habe ich an Hardwarefirewall mit Proxy gedacht.
Leider kenne ich mich schon lange nicht mehr aus, was für Geräte es da am Markt gibt und eine Googlesuche hat mich einfach mit Ergebnisse überschwemmt.
Die gefundenen Geräte können einfach zu viel und sind dementsprechend teuer.

Wer kann mir Tipps und Empfehlungen geben.

Danke und Gruß
maceis

 

[Hotze]

In der Fritzbox kann man zum Beispiel FileSharing Ports und Domains mit bestimmten Themen sperren. Das bietet aber sicher nicht nur die FB an. Welcher Router ist es denn?

Ansonsten sind richtige Hardware-Firewalls, die mehr können als das was Router anbieten, recht teuer. ZyXEL ZyWall USG 50 ist gut, aber für den Homebereich fast schon wieder zu teuer.

 

[maceis]

Es sind zwei Fritzboxen (WDS Basis und Repeater)
Das Sperren von Ports ist m. E. nicht ausreichend, da man Filesharing auch über beliebige Ports machen kann.

Der kleine Bruder der ZyWall USG 20 kann doch eigentlich das selbe wie die USG 50.
Ist, soweit ich jetzt gesehen habe, nur für etwas weniger Traffic ausgelegt.
Die Anzahl der Clients ist aber bei mir klein (max. 10).
Wäre also evtl. eine Option.
Soweit ich gelesen habe, hat man aber laufende Kosten für jährliche Lizenzgebühren.

 

[maba_de]

wie wäre es mit einem Linux (Mini-) PC, konfiguriert als Proxy mit Firewall?
Gibt ja Linux Derviate wie IPCop, die eine einfache Konfiguration ermöglichen.

 

[maceis]

Wäre ne Möglichkeit, aber eine dezidierte Proxy Firewall (gerne mit embedded Linux als OS) wäre mit lieber, da kleiner, leiser und vermutlich geringere Betriebskosten.

 

[Andy.321]

oder gleich die M0n0wall mit der passenden Hardware...

 

[maba_de]

die Draytek Router bieten auch eine Application based Firewall, vielleicht reicht das?

Hier kann man sich das live ansehen:
http://draytek.com/.upload/Demo/Vigor2820/v3.3.5.2/

 

[maceis]

Soweit ich das sehen kann, erfüllen weder m0n0wall noch der draytec router die o. g. Anforderungen.
Ich lass mich aber gerne eines bessern belehren.

Gruß
Maceis

 

[beage]

Für den Home-Bereich würde ich mir ne kleine Linux-Kiste auf irgendeinem Booksize mit geringer Stromaufnahme hin stellen. Die Dinger kosten nicht viel und für die Firewall wird kaum Rechenleistung benötigt. Für Linux gibt es genügend Software, dass Deine Anfordungen erfüllt.

 

[Olivetti]

...
Soweit ich gelesen habe, hat man aber laufende Kosten für jährliche Lizenzgebühren.

Das ist das übliche Konzept von UTM-Systemen und im Endeffekt hat der Kunde weniger Stress und Scherereien.
»Set and forget« trifft hier tatsächlich zu (imho).

Wenn du die fiesen Proxy-Gemeinheiten auch abfangen willst, kommst du um ein richtiges Eisen (FortiGate/Cisco) nicht herum.

Tecchannel UTM-Ratgeber und Top10

Selber bauen ist ja lustig, aber du musst das Ding auch ständig im Auge haben (Logfiles/Updates/Wartung).

Für Linux gibt es genügend Software, dass Deine Anfordungen erfüllt.

Hast du da ein Beispiel?

 

[maceis]

Ich brauche kein Fort Knox.
Es geht eher darum, im Ernstfall nachweisen zu können, dass man alles zumutbare unternommen hat, um missbräuchliche Nutzung des WLANs durch die Benutzer zu unterbinden.
Stichwort: Störerhaftung.

 

[Olivetti]

... eine Firewall installieren, die wirkungsvoll für einen bestimmten IP Adressbereich jegliche Filesharing-Aktivitäten zuverlässig unterbindet.

Das sind aber die von dir gewünschten, relevanten Anforderungen und das können die Kleinen noch nicht.

Meinst du evtl. Störerhaftung und Gastnetzwerk, wie bei Hotels?

Da würde ich z.B. Squid (evtl. mit DansGuardian) nehmen, möglichst dicht machen (geläufige URLs sperren)
und bei Erstkontakt eine Seite mit entsprechenden Hinweisen vorschalten.
Nennt sich bei pfsense »captive portal« und du kannst es so schalten, dass immer erst ein browser aufgemacht
und abgenickt werden muss, auch bei email.

Als flexible Bausätze/Hardware gibt es z.B. die Alix-Platinen mit Gehäuse und CF-Card für unter €200,
da kannst du alles mögliche draufspielen (ipcop/monowall/pfsense usw.).

 

[Tzunami]

Es sind zwei Fritzboxen (WDS Basis und Repeater)
Das Sperren von Ports ist m. E. nicht ausreichend, da man Filesharing auch über beliebige Ports machen kann.

Der kleine Bruder der ZyWall USG 20 kann doch eigentlich das selbe wie die USG 50.
Ist, soweit ich jetzt gesehen habe, nur für etwas weniger Traffic ausgelegt.
Die Anzahl der Clients ist aber bei mir klein (max. 10).
Wäre also evtl. eine Option.
Soweit ich gelesen habe, hat man aber laufende Kosten für jährliche Lizenzgebühren.

Laufende Kosten entstehen nur wenn du den Contentfilter dauerhaft aktuell halten und nutzen willst. Für die Firewallfunktionen ist das nicht nötig.
Mit dem Content-Filter kannst du z.B. Gewaltdarstellung oder hochauflösende Fortpflanzungsdokumentationen verbieten.