Hallo

ich habe mal 2 Fragen:

1. Welche Firewall unter Linux ist denn am besten bzw. wird auch von den Profis/Großnetzwerken benutzt?

2. Bei einem Pool von Webservern und Servern in einem Netzwerk, ist es sicherer jeden davon mit einer Firewall abzusichern oder nur den Knotenpunkt der ins WAN geht?

Hoffe ich bekomme reichlich Antworten

Danke

Hi,

zu 1.): Checkpoint ist ganz ok .... läuft u. a. unter einem angepaßten RedHat
zu 2.): eigentlich reicht es, wenn Knotenpunkte gesichert sind.

Gruß

Hallo,

1. Checkpoint auf Nokia und Celestix, oder etwas günstiger Sonicwall

2. Das kommt auf die Anwendung drauf an.

Viele Grüße

Eicke

hi

zu 2.

ich würde nicht jeden server einzeln absichern. je mehr (firewall)konfigurationen, desto mehr fehler können sich auch einschleichen. besser ist es, wie schon erwähnt, das ganze auf ein paar knotenpunkte zu konzentrieren. da dann aber richtig :)

ausserdem würde ich bei den servern strikt zwischen lan und inet trennen. bedeutet => server die auch vom inet aus erreichbar sein sollen, würde ich auf jedenfall in eine DMZ auslagern.

zu 1.

auf paketebene muss sich eine *iptables firewall* glaub ich nicht vor den *großen* verstecken. wenn du ganze dann noch mit entsprechenden proxies garnierst, sollte auch mit *open source mitteln* ein ausreichender schutz gewährleistet sein.


Gruß HL

Um noch ein paar zu nennen: Firewall 1 und Astaro.

Gruss, Andy

was ist mit ipchains / iptables ?!
(in verbindung mit fwbuilder)

;)


sorry aber von der checkpoint hör ich nur gruselmärchen (allerdings auf windoof-kisten) :D

@corresponder
Eine FW zeichnet sich dadurch aus, daß es eine integrierte Lösung für filtering und daran anschließenden definierbaren Aktionen ist.
iptables/ipchains ist lediglich für das filtering nutzbar - für alles weitere benötigt man dann wieder zusätzliche Programme. Und damit erhöht man wieder das Risiko an Softwarefehlern, Denkfehlern, etc. - und das alles in Deiner Verantwortung.

Gruß

ASTARO hat gerade die neue Firewall 4.0 released. Sie kann man mittlerweile mit Checkpoint vergleichen. Ich würde sagen, Checkpoint ist ein gute Alternative zu ASTARO 4.0;)

Man kann sie 30 Tage kostenlos testen. Home User bekommen sie kostenlos. Siehe auch hier. (http://www.linux-tip.net/modules.php?name=News&file=article&sid=58)

Danke für eure Antworten, jetzt hab ich einen überblick. Um nicht noch nen Thread zu öffnen hab ich jetzt konkret ne Frage:

Ich möchte eine Firewall mit iptables einrichten, kann ich dazu den Firewallbuilder nutzen und dann das configurierte iptables für nen anderen rechner nutzen oder muss firewallbuilder auf diesem installiert sein? Meine damit, baue mir zuhause ne Firewall wie ich sie brauche, und nehme dann dieses configfile mit zu der Umgebung wo es eingesetzt wird! Ist das möfglich?

Ein klares: Ja
Aber nur, sofern die Basisdaten übereinstimmen (ip Adresse, Interfacebezeichnungen, etc.), ansonsten mußt Du die anpassen. Zusätzlich sollten auf beiden Systemen in etwa gleiche Kernelreleases laufen (ist aber kein Muß), da Du ansonsten u. U. einen erfolgreichen Lauf des Testsystems erlebst, aber irgendein Modul des "Livesystems" aus irgendeinem Grunde streikt.
Und immer daran denken: nur die Dienste laufen lassen, die tatsächlich benötigt werden - und keinen inetd nehmen, sondern xinetd (wenn überhaupt benötigt).
Das sind so ein paar Grundgedanken meinerseits bei der von Dir beschriebenen Ausgangssituation .... ;)

Gruß

@Stormbringer

du hast natürlich recht aber eine firewall sollte in erster linie auch laufen....
ich kenn da halt ein paar admins, die schwere probleme mit der checkpoint haben und somit doch wieder zu ipchains/iptables mit fwbuilder tendieren.....ich rede hier von einem grossen firmennetz und nicht von einem heimnetz und somit ist die stabilität wichtig....mag sein, dass ich unrecht habe und die checkpoint ein gutes produkt ist aber abstürzende firewalls sind halt meiner meinung nach nix gutes


gruss

c.

Klingt gut :)

Gibts irgend ne gute deutsche Site in Bezug auf iptables? Mit Howto´s, Erklärungen, Tut´s, etc.?

mit der Securepoint (http://www.securepoint.de) Firewall.
Die baut einfach auf RedHat mit iptables/netfilter auf.
Auf der Firewall leauft ein in Java geschriebener Server fuer die Administration von einem Win- Clienten z.B.
Der Support ist gut und ansonsten kommt es hier natuerlich auch auf die richtige Hardware Auswahl an.

Zum Thema fwbuilder:
Wenn du als einziger die Firewall administierst, ja.
Ansonsten wird es schon schwer, welche neue Regel wurde von wem fuer was eingefuegt oder entfernt und so weiter. Da muesste man dann Buch fuehren.
Ein mit graphischer Administration ist da dann besser, da man immer alle Regeln sehen kann.

T;o)Mes

Trotz grafischer Anzeige sollte man Buch darüber führen welche Regeln, aus welchem Grund und von wem sie hinzugefügt wurden.

2. Bei einem Pool von Webservern und Servern in einem Netzwerk, ist es sicherer jeden davon mit einer Firewall abzusichern oder nur den Knotenpunkt der ins WAN geht?

Um auf die Ausgangsfrage zurückzukommen:

Da Du scheinbar die Firewall auf iptables Basis realisieren willst sollte Dir bewußt sein, dass Du einen seperaten Rechner mit minimaler Konfiguration nehmen solltest.

Eine Installation eines Intrusion Detection System (z.B. Tripwire) wäre aufgrund der hohen Anzahl an Exploits für gängige Systeme sicher auch nicht verkehrt.

Zum guten Schluss kannst Du Dein System über Kernel Patches wie Openwall gegen fast alle Exploits absichern da der Code auf dem Stack nicht mehr ausführbar ist. Oder Du benutzt Tools wie Systrace die die Syscalls für jeden Prozess genau definieren und es somit einem exploiteten Apache Prozess zum Beispiel nicht möglich ist eine Shell zu öffnen...

Das wird dann aber schon komplexer, ist aber empfehlenswert wenn Du Lust und Zeit hast...

mfg
cane

@cane

hast du systrace mittlerweile schon genauer gestestet und wenn ja, wie sind deine erfahrungen?


Gruß HL

Noch leider so gut wie gar nicht weil ich im Moment einen Apache + Sqid + Iptables Projekt in einem Schulnetzwerk realisiere.
Ist zwar nicht alzu komplex aber zum Thema Apache mußte ich einiges leeeeeesen...

Ich habe mir grad ein zweites Linux zum Testen installiert und werde in den nächsten Wochen anfangen die verschiedenen Kernelpatches etc. auszuprobieren.
Leider hab ich nicht Geld zuviel sonst würde ich mir ein paar ältere Rechner kaufen, die über ein Image minimal mit Linux bestücken dann auf jeden Rechner einen anderen Kernelpatch ziehen und das ganze im LAN praktisch mit gängigen Exploits testen...

Ich behalts aber auf jeden Fall im Hinterkopf - interessiert mich nämlich ungemein...

Übrigens kennst Du www.buhaboard.net ?
Wenn nicht schaus Dir mal an - kann ziemlich lehrreich sein...

See you
cane

@cane

so'ne kleine *serverfarm* für solche zwecke könnte mir auch gut gefallen ;).


ps: das board kenne ich,war aber schon ewig nicht mehr da


Gruß HL

@corresponder
Unsere Checkpoints laufen seit Februar letzten Jahres mit einer einzigen Unterbrechung: unser Umzug in ein neues Gebäude. Von daher kann ich selbstredend nur subjektive Eindrücke weitergeben, und die von Dir angesprochenen Probleme nicht nachvollziehen.

Aber es gibt ja genügend alternative Produkte dazu!!! ;)
Es lebe die Freiheit der Auswahl ....

Gruß