Firewall zum schutz mehrerer Server

Dieses Thema im Forum "Firewalls" wurde erstellt von BrianFFM, 08.11.2008.

  1. #1 BrianFFM, 08.11.2008
    BrianFFM

    BrianFFM Grünschnabel

    Dabei seit:
    08.11.2008
    Beiträge:
    3
    Zustimmungen:
    0
    Hallo Unix/linux Gemeinde,

    das Thema Firewall verwirrt mich etwas, weil es da sehr viele Variablen zu berücksichtigen gibt von denen ich, mit verlaub, keine Ahnung habe :)

    ich betreue eine Community die gerade ziemlich stark wächst, der zweite Server (db auslagern) steht in den Startlöchern und es wird zeit dass ich mir auch um das Thema Firewall Gedanken mache. schon früh denn ich habe viel zu lernen.

    habe mir so einiges durch gelesen und stelle fest dass die meisten open Source firewalls wohl mehr dazu sind interne Netze zu schützen. gut gefallen hat mir zB die SmoothWall Express 3.0, aber auch hier wird fast ausschließlich von dsl usw gesprochen was auf den Einsatz in einem internen LAN weist.

    Ich hoffe dass ihr mir etwas helfen könnt die richtige Wahl zu treffen, und das richtige Produkt für meinen Einsatz zu finden.

    Die firewall soll in einem RZ eingesetzt werden um anfangs 2-3 (später vielleicht mal) 10-15 Server zu schützen.

    Die services sind wohl gleich denen, die so jeder ISP hat. http / https, mysql SMTP SSH , zzg IRC oder andere Chat server .

    Die wall sollte über ein Webinterface verfügen, da nicht immer ein CommandLine Guru dran sitzt ;-)

    um die DB zu schützen sollten verschiedene Zonen da sein. ein VPN um an die wichtigen Services ran zu kommen auch. (möchte SSH nicht nach außen offen lassen) IDS etc..

    Da wir im letzten jahr unseren Traffic um den Faktor 100 vergrößert haben, rechnen wir damit, dass es weiter so geht. Deswegen sollte die Firewall entsprechend leistungsfähig sein.

    momentan mache ich alles mit Debian. für die Firewall liebäugle ich auch mit einem BSD Derivat.

    vielleicht gibt es hier Leute die auch aus dem Professionellen Umfeld kommen und Erfahrung mit Firewall Produkten haben.

    liebe Grüße, Dekus
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. @->-

    @->- Guest

    Eine Software Firewall ist zwar schön und gut, aber nicht für kritische einsätze geeignet. Das sicherste ist eine Hardware Firewall, welche Lösungen es dort gibt und welchen Funktionsumfang du braucht klärst du am besten mit jemanden der Ahnung von der Sache hat. :)

    Nicht jede Firewall lösung ist auch für jede Aufgabe geeignet.

    In diesem Sinne
     
  4. #3 Mike1, 09.11.2008
    Zuletzt bearbeitet: 09.11.2008
    Mike1

    Mike1 Niederösterreicher

    Dabei seit:
    21.12.2006
    Beiträge:
    1.376
    Zustimmungen:
    0
    Ort:
    Österreich
    er möchte ja anscheinend einen PC explizit als Firewall einsetzen, und das unterscheidet sich dann von einer "Hardware Firewall" nichtmehr sonderlich :)

    Grundsätzlich basiert unter GNU/Linux doch sowieso alles in Richtung Firewall auf iptables, entweder also du verwendest eines der zahlreichen Frontends oder konfigurierst direkt. Als Distribution dürfte auch alles geeignet sein, das ordentliche Sicherheitsupdates und Stabilität bietet, schlussendlich hängt dann vom Admin (und wie er damit umgehen kann) das meiste ab. Wenn du also mit Debian schon Erfahrung hast, dann nimm das.

    jemandem der keine Ahnung hat sollte es auch nicht möglich sein die Firewall zu verändern...
     
  5. #4 BrianFFM, 09.11.2008
    BrianFFM

    BrianFFM Grünschnabel

    Dabei seit:
    08.11.2008
    Beiträge:
    3
    Zustimmungen:
    0
    Jo, Hardware Firewall ist teuer --

    spiele gerade mit pfsense rum .. in einer VM läuft sie schon mal . wenn auch nicht konfiguriert .. jemand erfahrung damit ??
     
  6. Gast1

    Gast1 Guest

  7. #6 schwedenmann, 09.11.2008
    schwedenmann

    schwedenmann Foren Gott

    Dabei seit:
    18.11.2003
    Beiträge:
    2.635
    Zustimmungen:
    2
    Ort:
    Wegberg
    Firewall

    Hallo


    Neben pfsense, gibts noch ipcop und ipfire.

    Als hardware einfacher alter PC (PentiumI), oder ein Epiaboard oder ein wrap-board.


    mfg
    schwedenmann
     
  8. #7 helidoc, 09.11.2008
    helidoc

    helidoc Jungspund

    Dabei seit:
    02.05.2006
    Beiträge:
    21
    Zustimmungen:
    0
    Auch wenn die meisten "erstmal" als DSL-Gateway/Firewall erscheinen, so kann man vermutlich alle auch dazu bewegen keine DSL-Verbindung herzustellen...

    Du kannst dafür natürlich auch eine der vorgefertigten Instant-Distributionen (bzw. Derivate) benutzen. Die haben wohl den Vorteil, bereits vorkonfiguriert zu sein. Auch haben wohl die meisten eine Administrationsoberfläche, die meist per Apache/lighttp o.Ä. realisiert wird, also direkt über einen Browser zu bedienen sind. Allerdings bleibt dir auch da vermutlich nicht erspart, dich zumindest grundlegend mit IPTABLES, oder zumindest dem Konzept dahinter, zu befassen.

    Wenn du dir schon pfsense angeschaut hast, dann vielleicht auch mal MOnOwall (daraus ist pfsense hervorgeganen). Vermutlich dann interessant für dich:
    http://www.freebsd.org/doc/en/books/handbook/firewalls.html
    Man kann MOnOwall und pfsense wohl auch ohne grossartige freeBSD-Kenntnisse installieren und nutzen.

    Ich denke aber, es wäre am einfachsten und übersichtlichsten, wenn du eine Distribution benutzt, die du eh schon kennst und weisst wie man sich zB um Sicherheitsuptades kümmert. Wenn man "gewöhnliche" Distributionen (die zB hauptsächlich für den Desktopeinsatz gedacht sind) nutzt, sollte man das System allerdings härten. Überflüssige Dienste runterschmeissen, unnötige Benutzerkonten löschen, Rechte überprüfen und anpassen... etc... Dafür gibt es für viele Distributionen auch Tools wie zB Bastille-Linux.
    http://sourceforge.net/projects/bastille-linux/

    Auch diverse Administrationsoberflächen um die Einrichtung der Firewallregeln zu erleichtern gibt es auch. Zum Beispiel FirewallBuilder, Shorewall, evtl. Firestarter. Habe ich persönlich allerdings noch nicht benutzt.
     
  9. T-One

    T-One Routinier

    Dabei seit:
    14.10.2008
    Beiträge:
    478
    Zustimmungen:
    3
    Ort:
    Österreich
    Sichwort Netscreen, bei den Herrschaften von Juniper kannst du auch anrufen, die beraten dich gern.
     
  10. #9 Bigzed, 09.11.2008
    Zuletzt bearbeitet: 09.11.2008
    Bigzed

    Bigzed Jungspund

    Dabei seit:
    26.05.2006
    Beiträge:
    12
    Zustimmungen:
    0
    Also ich persönlich kann da IpCop empfehlen. Es ist eine spezielle Distribution, die nur als Firewall gedacht ist, natürlich eigentlich für den Heimbreich d.h. sie bittet auch Dinge wie Proxyserver, VPN's und vorkonfigurierte iptables für die Schnittstellen Grün (vertrauenswürdig), Rot (Internet), Orange(Server) und Blau (Wlan) an.
    Ich habe bis jetzt 2 dieser Firewalls aufgesetzt jedesmal auf einem Alix-Board und beide laufen wunderbar. Die eine hat eine Uptime von 5Monaten und die andere von 21Tagen (was auch ihrer Existenz entspricht). Eine davon betreibe ich bei mir zu Hause an einer DSL-Leitung und die andere schützt ein Firmennetzwerk, ebenfalls an einer DSL-Leitung. Sie besitzt ein Webinterface über das sie Konfiguriert werden kann oder für die Leute die fitt auf der Konsole sind auch einen SSH Zugriff.
    Es alles nachträglich änderbar und in dem Forum (siehe Link) wird einem freundlich und Kompetent geholfen. ;)
    Für weitere Infos guck einfach mal hier http://www.ipcop-forum.de

    ..bigzed
     
  11. #10 gropiuskalle, 09.11.2008
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Nutze auch gerne den IPCop, der rennt hier auf 'ner antiken Kiste mit einer uptime, die lediglich von Versionssprüngen unterbrochen wird (das sind jetzt immerhin rund 2½ Jahre). Das Ding hat auch ein schickes Webinterface, aber ob sich das für mehrere Server auslegen lässt oder auch nur geeignet ist, kann ich nicht sagen. Ein Blick ist es wert.
     
  12. marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.053
    Zustimmungen:
    8
    ... auch dran denken, wenn das Ding in ein RZ soll - und ein komplettes Netz abschotten soll, daß das ein SPOF ist -> redundant auslegen mit Failover - ansonsten ist bei einem HW-Defekt komplett alles tot - und Kunden mögen sowas gar nicht. Und auch zukünftige Entwicklungen bezüglich Durchsatz einplanen - z.B. nicht überall, wo GB-Anschlüsse drin sind kann dann auch GB über's Netzwerk laufen...

    Mit einer entsprechenden Appliance und entsprechendem Service fährt man da meist besser als mit "privaten Bastellösungen". Und ja, die Dinger kosten z.T. richtig Geld.
     
  13. niLs

    niLs òle òle

    Dabei seit:
    10.06.2004
    Beiträge:
    153
    Zustimmungen:
    0
    Ort:
    Hannover
    Ich kann dir www.securepoint.de ans Herz legen. Bin mit den Firewall-Produkten ziemlich zufrieden. Auch Hot-Standby ist möglich.
     
  14. #13 BrianFFM, 10.11.2008
    BrianFFM

    BrianFFM Grünschnabel

    Dabei seit:
    08.11.2008
    Beiträge:
    3
    Zustimmungen:
    0
    Wow, vielen dank an alle.

    Ich kann gar nicht auf alles eingehen aber es waren auf jeden Fall viele Wertvolle Tips und Links dabei. Um nochmal alles zusammen zu fassen:

    Es ist klar, wenn man eine Firewall selbst bastelt, dass man hier auf einen gehärteten Kernel und System zurück greift. Das sollte man auch bei einem Webserver oder Datenbank Server schon tun :)

    Wegen der Redundanz: Ja wichtig und auch eine schöne sache. Wenn Kunden dahinter sind :-) Ich möchte jedoch nicht mit Kanonen auf Spatzen schießen. Fakt ist, bei einem Hardware schaden würde auch jetzt ohne Firewall die Sache erst mal still stehen. Aber es ist natürlich richtig! Redundanz ist das A und O wenn es um Geld verdienen geht.

    Wie gesagt, Es ist noch nicht soweit, dass ich die FW nächste Woche oder in einem Monat brauche. Es wird für mich wichtig, wenn das in einem Jahr wirklich so explodiert ist wie im letzten. Deswegen beschäftige ich mich jetzt schon damit ..

    So ein kleines bisschen kenne ich mich ja auch mit IPTABLES aus. habe selber auch schon kleine Paketfilter für meinen DSL Anschluss gebastelt. 486er mit einer uptime von über 5 Jahren :) damals noch ein SuSE :(

    Meine Grundüberlegung war, dass die FW auch eine "Intelligenz" besitzt. Ein paketfilter schottet nur ab. Meine Server sind soweit gehärtet, dass sowieso nur das offen ist, was der Client benötigt. von dahehr wäre meiner Meinung nach eine reine IPTABLES filter nicht sinnvoll.

    zB Ein packetfilter mit IPTABLES lässt alles auf port 80 durch.. ein Angriff erkennt er aber nicht. Thema IDS.

    Ich werde mich jetzt mal in das Thema rein lesen und bedanke mich für eure Hilfe zunächst ganz herzlich. die verschiedenen Firewall Derivate werde ich mal in einer VM ansehen und mir die Foren durch lesen.

    liebe Grüße, Brian
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 foobarflu, 10.11.2008
    foobarflu

    foobarflu Foren As

    Dabei seit:
    21.12.2003
    Beiträge:
    79
    Zustimmungen:
    0
    Darum ist iptables auch keine Firewall sondern ein Paketfilter. Die Intelligenz der Firewall bist Du selbst. Du überlegst, was zum Schutz nötig ist, was passieren kann und wie Du den Schutz umsetzt. Das schreibst Du auf und setzt es danach um.

    "Building Internet Firewalls" von Chapman und Zwicky ist trotz seines Alters (erschienen 2000) immer noch extrem lesenswert.
     
  17. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Ich habe m0n0wall im Einsatz. pfSense ist ein Fork von m0n0wall. m0n0wall ist aber mehr auf embedded Systeme und schlanken Footprint ausgelegt. Deswegen mein Favorit, da ich viele Features nicht brauche.

    mfg
     
Thema:

Firewall zum schutz mehrerer Server

Die Seite wird geladen...

Firewall zum schutz mehrerer Server - Ähnliche Themen

  1. Firewall und Virenschutz

    Firewall und Virenschutz: Hallo, eingentlich ist das Thema alt. Wird aber unter Linux meiner Ansicht nach eher weniger behandelt, weil viele der Meinung sind, soetwas...
  2. Firewall pfSense 2.3 erschienen

    Firewall pfSense 2.3 erschienen: Version 2.3 der auf FreeBSD beruhenden Firewall-Distribution pfSense bringt unter anderem eine noch einmal neu geschriebene Weboberfläche und eine...
  3. DNS, DNS-Crypt und Firewall

    DNS, DNS-Crypt und Firewall: Hallo! Ich bin gerade wieder an meiner Hardware-Firewall dran und drehe ein paar Hähne enger zu. Da kam mir die Frage mit dem DNS auf. Ich habe...
  4. Firewall Smoothwall Express 3.1 veröffentlicht

    Firewall Smoothwall Express 3.1 veröffentlicht: Die Entwickler der Smoothwall-Gemeinschaft haben ihre freie Firewalldistribution Smoothwall Express in der Version 3.1 veröffentlicht. Smoothwall...
  5. Untangle NG Firewall 11 veröffentlicht

    Untangle NG Firewall 11 veröffentlicht: Das US-amerikanische Unternehmen Untangle hat seine Firewall- und Gateway-Distribution Untangle NG Firewall in der Version 11 veröffentlicht....