Welche professionellen Firewall (Hardware oder Software)?

[DontPanic]

Genau das. (Ob er dann noch rausgeschmissen wird ist die Frage.)
Wile

na ich wussts doch. ich habs auch so weil ich die gleich in dem router drinn hab ist die schon noch praktisch. und nimms nicht so schwer, es gibt immer ein paar mac user die seit jahrhunderten einen mac haben und sowiso alles noch besser, schneller, höher und weiter können als alle andern. ;-)

grüsschen aus der kalten schweiz wile .e

 

[Adrenalinpur]

Eine Hardwarefirewall unterscheidet sich auch dadurch, daß sie meist ein propietäres Betriebssystem hat, das nicht so leicht zu knacken ist. Das wäre noch ein Vorteil gegenüber einem separaten PC mit Linux. Wenn die Firma Mailserver, Webserver hat ist die Einrichtung einer DMZ zu empfehlen. Es kommt eben auch immer darauf an, wie sicherheitsrelevant die Firmendaten sind, sind sie prikär wäre auch noch ein Honeypot und ein Intrusion Detection System überlegenswert.

 

[lobolobolobo]

Vorausschickend: Ich weiß noch nicht was so alles kommen wird

wieviele Connections werden denn vorraussichtlich über diese Firewall laufen.

Keine Ahnung
10 Leute arbeiten im Büro. 160 Mitarbeiter insgesamt in der Firma, 30 davon potenzielle "VPN-Kunden", 50 davon potenzielle "Mail-Groupware-Kunden".

Wie seit Ihr an das Internet angebunden?

Derzeit 2MBit SDSL. Beantrag sind feste IPs (5). Ich plane eine zweite SDSL-Anbindung.

Was willst Du denn alles auf der Firewall abfangen?

Böse Ideen von bösen Jungs und Mädels Alles was geht zum max Preis von 1000-1500 EUR (heul, heul vielleicht 2000 EUR). Viren spielen eine untergeordnete Rolle, da andere Wächter installiert.

 

[Time4more]

Keine Ahnung
10 Leute arbeiten im Büro. 160 Mitarbeiter insgesamt in der Firma, 30 davon potenzielle "VPN-Kunden", 50 davon potenzielle "Mail-Groupware-Kunden".


Derzeit 2MBit SDSL. Beantrag sind feste IPs (5). Ich plane eine zweite SDSL-Anbindung.

kommst Du mit Cisco klar?
Falls ja kommt da eine Pix mit Hardware Accelator und Crypto Engine in Frage. Achte aber auf ausreichend RAM.

Wichtig wäre auch zu wissen wie komplex das Regelwerk der Firewall werden wird. Hast Du hier eine Vorstellung?

VPN Zugriff? - Wie viele der Jungs sind gleichzeitig im Netz?

Alternativ: Eine nicht "ganz kleine" Netscreen und ein Nortel VPN Switch sollte auch gut funktionieren.

Was ist denn schon vorhanden?

Gruß
Patrick

 

[Time4more]

Eine Hardwarefirewall unterscheidet sich auch dadurch, daß sie meist ein propietäres Betriebssystem hat, das nicht so leicht zu knacken ist.

aha, schon mal was von einem gehärtetem Unix gehört. Das sollte gegenüber eine Hardware Symantec klar im Vorteil sein.

Was vermutest Du denn was auf so einer "hardware-firewall" als BS so läuft ;-)

Das wäre noch ein Vorteil gegenüber einem separaten PC mit Linux. Wenn die Firma Mailserver, Webserver hat ist die Einrichtung einer DMZ zu empfehlen.

Hmm,

in den "PC" kommen 3 Netzwerkkarten über die ich ebenfalls eine DMZ abbilden kann. Hier verstehe ich Dich nicht richtig.

Es gibt "Software"Firewalls die laufen zum Beispiel auf einer SUN Solaris ( oder auch unter Windows ). Es gibt "Hardware"Firewalls die laufen mit Windows XP. Hier alles über einen Kamm zu scheren macht die Sache doch ein wenig zu einfach.

nette Grüße
Patrick

 

[dr_jaykay]

Wie soll WS1, mit der IP 192.168.0.1, von aussen erreichbar sein?

Endlich, mein erstes Posting als neuer Mac User (und Umsteiger)!
Also wenn der Rechner mit dem Internet verbunden und online ist, muss er eine Öffentliche IP haben. Die kriegt er entweder von der Firewall via NAT (Network Adress Translation) oder dynamischer Vergabe von dem Provider. Damit ist er wieder von aussen erreichbar. Private Adressen werden im Internet nicht geroutet und sind somit unbrauchbar. Als Firewall vielleicht ne Appliance von Checkpoint ? Nur etwas teuer ....

 

[maceis]

Endlich, mein erstes Posting als neuer Mac User (und Umsteiger)!
...

Willkommen bei macuser.

Also wenn der Rechner mit dem Internet verbunden und online ist, muss er eine Öffentliche IP haben. Die kriegt er entweder von der Firewall via NAT (Network Adress Translation) oder dynamischer Vergabe von dem Provider.
...

Sorry, das ist leider falsch.
Wenn Du über einen Router mit dem Internet verbunden bist, bekommt der Router die öffentliche IP Adresse vom Provider und routet zwischen dem lokalen (privaten) Netz und dem Internet.
Firewall ist wieder eine andere Baustelle.

Damit ist er wieder von aussen erreichbar. Private Adressen werden im Internet nicht geroutet und sind somit unbrauchbar.
...

Das ist ja gerade einer der Vorteile beim Einsatz eines Routers.
Die privaten Adressen werden nicht geroutet und damit sind die Rechner mit privaten Adressen eben nicht direkt erreichber, sondern nur über den Router.

 

[dr_jaykay]

Willkommen bei macuser.
Sorry, das ist leider falsch.
Wenn Du über einen Router mit dem Internet verbunden bist, bekommt der Router die öffentliche IP Adresse vom Provider und routet zwischen dem lokalen (privaten) Netz und dem Internet.
Firewall ist wieder eine andere Baustelle.
Das ist ja gerade einer der Vorteile beim Einsatz eines Routers.
Die privaten Adressen werden nicht geroutet und damit sind die Rechner mit privaten Adressen eben nicht direkt erreichber, sondern nur über den Router.

Sorry, ich bin davon ausgegangen, dass er ohne Router / Firewall direkt mit dem Internet verbunden ist. Werch ein Illtum.

Gruss
Juergen

 

[xymos]

Hallo,


Ich habe irgendwie das Gefühl, das hier einige wohl nur Prollen wollen - ohne Sinn für die Materie !

Ne Pix , nettes Teil - Logen, aber gleich ne 515 die mal alleine bei Ebay gebraucht für 2500-5000 euro wegwandert..HALLO ??
Und das ohne Encrypton Module....

Für die geforderten Wünsche würde ich da mal genau überlegen, was ich kaufe...Stichwort Skalierbarkeit !!!!

Ich würde bei 160 Leuten ( sind das dann auch 160 PCs ?? ;-)...) das ganze Auf verschiedene Systeme Aufteilen...

Firewall
Proxy
IDS/IPS ( Sofern das Wissen für die Konfiguration besteht )

Somit ist man sehr gut abgedeckt.
Empfehlungen...im ernst ? keine Appliance für 1000-1500 Euronen !
Astaro ist sehr gut - ohne Frage !

Würde mich da mal im OpenSource Umfeld umsehen.

 

[asg]

@maceis
Der Unterschied ist gross und dennoch klein. Von "Software" und "Hardware" Firewall zu sprechen ist heutzutage, bei verwaschener Nutzung der Begriffe, und auf dem Markt befindlicher Geräte, nicht mehr so einfach, bzw. was die Security angeht, vollkommen obsolet.

Nokia, Checkpoint FW, Genuagate, Juniper nutzen BSD Code. Und es geht noch weiter, sie nutzen ein *BSD welches sie umgestrickt haben und dabei verwenden Sie ein mehr oder weniger modigiziertes IPFW oder PF. Diese Teile werden dann für viel Geld von vielen als HW-Firewall verkauft.

Nochmals zu Software-Firewall: NEIN, ich meine damit keine Personal-Firewall und alle die solche Teile meinen, also die Dinger die unter Windows auf dem Client aktiv sind, sollten auch Personal-Firewall schreiben, denn hier besteht ein Unterschied zu einer SW-Firewall.

Zum Threadersteller:
Nimm zwei PII oder PIII Rechner, setze OpenBSD oder FreeBSD auf. Aktiviere PF und erstelle Deine FW-Rules entsprechend Deinen Anforderungen. Aktivere CARP und PF-Synxc um eine transparente redundante FW zu haben.
Zur FW gehört dann aber auch noch ein IDS, setze auch noch einen Proxy hinter die FW. Deaktiviere alle nicht benötigten Dienste auf den FW-Rechnern. Fahr die System auf securelevel 3 (da kann nichtmal mehr root die Regeln ändern oder überhaupt eine Datei verändern, wenn auch die securityflags richtig gesetzt sind).

Nutze ssh2 nur mit PW und key. Nutze VPN.

Das ganze kostet Dich nicht wirklich etwas. Ausser Zeit.

 

[Time4more]

Hallo,
Ich habe irgendwie das Gefühl, das hier einige wohl nur Prollen wollen - ohne Sinn für die Materie !

Ich fühle mich einfach mal angesprochen
Aus meiner Sicht ist der Einsatz einer Firewall immer eine kritische Sache.
Entweder man macht das vernünftig - oder man lässt das.

Klar kann man auch ein Linux System nutzen, aber hier muss man sich gleich um 2 Dinge kümmern.

Zum einem muss mann das BS im Auge behalten, zum anderen ist die nicht ganz einfache Konfiguration der Firewall. Aus meinem betrieblichen Alltag ( ich arbeite im Security/WAN Bereich der Bertelsmann AG ) kann ich sagen das die sichere administration einer Linuxfirewall immer nur irgendwie - so eben klappt.

( Ohne hier einen Flame a la - Linux ist für Geeks und Frickler - anzetteln zu wollen ).

Eine halbherzig gepflegte und "fast" sichere Firewall ist - wie Schlangenöl.
Man muss daran glauben das es funktioniert und sollte es besser nicht darauf ankommen lassen.

Ne Pix , nettes Teil - Logen, aber gleich ne 515 die mal alleine bei Ebay gebraucht für 2500-5000 euro wegwandert..HALLO ??
Und das ohne Encrypton Module....

Sorry, aber ich weiß nicht in welcher Apotheke Du diese Preise bekommen hast. Auf die Listenpreise von Cisco erhalte zumindest ich cirka 30 % inkl. einer 4 Stunden vor Ort Ausstauschgarantie ( nur EU und North America )

Auf Deine weitere Ausführungen möchte ich nicht weiter eingehen bis auf die Bemerkung das du sagst
- eine Pix ist zu teuer
aber gleichzeitig gleich
- einige weitere Syteme die noch nicht einmal angefragt waren ins Spiel bringst.

Eine Diskussion an dieser Stelle wird dem ursprünglichen Fragesteller aus meiner Sicht ebenfalls nicht weiter bringen. Da sollte dieser Thread ehr in die Bar.

nette Grüße

 

[maceis]

@maceis
Der Unterschied ist gross und dennoch klein. Von "Software" und "Hardware" Firewall zu sprechen ist heutzutage, bei verwaschener Nutzung der Begriffe, und auf dem Markt befindlicher Geräte, nicht mehr so einfach, bzw. was die Security angeht, vollkommen obsolet.
...

Dass die Begriffe aus meiner Sicht irreführend sind erwähnte ich bereits. Auch sind mir Unterschiede durchaus bewusst.

Ich hatte absichtlich nicht geschrieben, dass Du Unrecht hast, sondern dass Du Dir den Wind aus den Segeln nimmst, weil mE die von Dir gegebenen Definitionen schwach sind.

Selbst der Begriff "Firewall" ist ja eigentlich schon so weich geworden, dass jeder etwas anderes darunter versteht.
Aus meiner Sicht ist "Firewall" weder eine bestimmte Software noch ein bestimmtes Gerät sondern ein Konzept.
Ähnlich wie im Bauwesen Brandschutz nicht durch ein bestimmtes Bauteil sondern durch ein abgestimmtes Gesamtkonzept mit teilweise sehr unterschiedlichen Aufgaben und Lösungskonzepten realisiert wird, sieht es auch bei Firewalls aus.
Schon aus diesem Grund verbietet sich mE die Verwendung der unseligen Begriffe SW/HW-FW, da man oft eine Kombination aus beiden benötigt.

Es gibt noch eine weitere Parallele zu Gebäudebrandschutz.
Ab einem gewissen (relativ geringen) Komplexitätsgrad müssen Firewall- (und Brandschutz-)konzepte von Profis (!) individuelle erarbeitet werden.
Lösungen von der Stange kann IMO man nur in sehr begrenztem Umfang empfehlen.

 

[asg]

@maceis
Ack.

@patrickk
Ein System ist nur so sicher wie sein Administrator paranoid.
Soll heissen, was bringt ein Cisco (die auch Schwachstellen hatten und haben werden) wenn der Admin sich (a) nicht auskennt und (b) nichts pflegt (das ist bei allen Systemen so, egal welches).
Wirkliche Sicherheit gibt es nicht, man kann nur versuchen sich sicher zu "fühlen". Und wie ich meine kann man das mit PF ganz gut erreichen (in Zusammenarbeit mit anderen Punkten die zu einem FW-Konzept gehören).

 

[xymos]

hi,


@patrickk

das sind gebrauchtpreise für die Pixen bei Ebay !

Besorge mir ne neue PIX 515(e) für unter 1000 Euro - und Du hast einen Käufer..( Einfach ne PM )

_xymos.