Ich habe hohe Ansprüche was Firewalls angeht.

Dieses Thema: "Ich habe hohe Ansprüche was Firewalls angeht." im Forum "Firewalls" wurde erstellt von Henker, 15.02.2006.

  1. #1 Henker, 15.02.2006
    Zuletzt bearbeitet: 15.02.2006
    Henker

    Henker Jungspund

    Dabei seit:
    15.02.2006
    Beiträge:
    12
    Zustimmungen:
    0
    Hallo. Ich bin neu hier und ich begrüße euch als ersters mit einer Security Frage. :))

    Situation:
    Ich will eine Hardwarefirewall haben! Ich habe zwar schon eine (Router mit Paketfilter) aber ich will das sie mehr kann. Ich besitze zwei Computer, auf den einen läuft nur Suse 10 und dient nur zum surfen. Auf dem anderen Computer läuft Windows XP Prof. und selten Suse 10. Es wird nur herum gesurft und ab und zu Daten runtergeladen oder E-Mails abgerufen. Ich betreibe keine Serverdienste wie Apache oder sonstiges was von aussen erreicht werden soll.


    Mögliche Lösung
    Was ich haben möchte ist, das ich eine Hardwarefirewall habe, die sehr viele Angriffsmuster erkennt. Ich brauch nicht unbedingt VPN. Hier http://www.netscreen.de/downloads/juniper/ds_5gt.pdf kann man sehen, dass die unter "NUMBER OF APPLICATION ATTACKS DETECTED OVER 250" erkennen kann. Das finde ich schon ziemlich gut.Ich hatte mal eine Hardwarefirewall gesehen die über 6000 verschiedene Angriffsmuster erkennen konnte. Allerdings hat die auch soviel wie ein VW Golf gekostet. Ich hatte mal IPCOP 1.4.10 ausprobiert gehabt, war mir aber nicht so sicher, ob die gut ist oder nicht. Ich hatte das damals so angeschlossen gehabt.

    INTERNET == ROUTER == IPCOP == SWITCH == CLIENTS

    Mein jetziger Router erkennt manchmal nicht, dass er gescannt wird. Das finde ich total daneben. Ich hatte mal von ausserhalb mein Rechner mit nmap gescannt und mein Syslog Programm hatte mir überhaupt nichts angezeigt. Auch nicht als ich bei www.grc.com war.

    Kann mir jemand vielleicht ein Tipp geben?

    EDIT
    Mit Linux bin ich noch ein Anfänger. Was jetzt Iptables oder Ipchains angeht, da bin ich ein DAU.
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. sono

    sono Sack Flöhe Hüter

    Dabei seit:
    31.01.2004
    Beiträge:
    1.299
    Zustimmungen:
    0
    Ort:
    http://webfrap.de
    Hm das ist keine Firewall das ist dann ein IDS. Aber mal im Ernst. Du willst ne Firewall mit der du das allgemeine Internetrauschen mitscheiden kannst.

    Das ist unsinnig und hat erst mal gar nichts mit Sicherheit zu tun. Ja ich das ist erst mal schwer zu verstehen, aber er hat wirklich nichts mit Sicherheit zu tun. Du solltest dich mal mit dem Thema Sicherheit beschäftigen, dann wirst du sehen was ich meine.

    So lange du keine Dienste nach ausen anbietest wie einen Webserver oder was auch immer, ist das was du willst Zeit und Geldverschwendung.

    Und wenn dich einer Scannt. Was dann? Zurückhacken? Was ist denn Scannen für dich überhaupt? ICMP Traffic?

    Weißt du was einer Sieht der dich Scannt wenn du keine Dienste anbietets?
    Der Sieht dass alle Ports zu sind.

    Es ist also irelevant für dich ob dich einer Scannt oder nicht. Er kann nichts machen da du keine Dienste anbietest, und du kannst nichts mit dem Daten anfangen die du in deinen Logfiles hast.

    Auserdem 6000 Angriffsmuster, weißt du wieviele Exploits und Tools jeden Tag dazukommen? Sowas ist schon veraltet bevor es hergestellt wurde. Vor allem wenns nicht regelmäßig upgedatet wird.

    Nimm die Kohle lieber und kauf dir ein gutes Buch zu dem Thema. O Reilly hat das sicher einige Titel die dir gefallen werden.

    Ja ich weiß, meine Antwort war absolut unbefriedigend für dich, aber aus meiner Sicht die korrekteste die ich dir geben konnte.

    Gruß Sono
     
  4. #3 lordlamer, 15.02.2006
    lordlamer

    lordlamer Haudegen

    Dabei seit:
    15.05.2003
    Beiträge:
    703
    Zustimmungen:
    0
    Ort:
    hamburg
    hi

    jaja netscreen. feines spielzeug *G*

    die ns5gt wireless *lechtz* is schon was ganz feines.

    also als hardwarefirewall kann ich netscreen wirklich empfehlen. administriere selber einige modele. ist echt was feines. beonders die zusatzfeatures, sofern man diese überhaupt in anspruch nimmt, sind gut. ausserdem kann man dann auch schon mit vpn rumspielen.

    wenn du das geld hast dir eine zu kaufen dann machs. ist keien fehlinvestition.

    mfg frank
     
  5. Henker

    Henker Jungspund

    Dabei seit:
    15.02.2006
    Beiträge:
    12
    Zustimmungen:
    0
    Morgen.

    Ok. Trotzdem Danke für den Tip mit O.Reilly.
    Ich will einfach, dass er alles "bemerkt" wenn ich z.B. gescannt werde oder jemand sonst irgendeine DoS oder DDoS attacke macht. Wäre da IPCOP doch die richtige Wahl?

    Wegen Netscreen. . . ja die Firewall hat was. Momentan habe ich ein Draytek vigor 2900 www.draytek.de Aus meiner Sicht, so wie ich an Infos gesammelt habe, ist eine Hardwarefirewall nicht gleich Hardwarefirewall.
    OK sagen wir mal alle erfüllen den gleichen Zweck. Sie haben ein Paketfilter, ggf. SPI usw. aber erkennen nun mal unterschiedliche Anzahl von Angriffsmuster.

    Netscreen erkennt da über 250 Angriffe hat auch nicht nur SPI sondern auch Deep Inspection. Es geht mir halt eben nicht darum, VPN oder am Router noch ein Printserver zu haben, sondern einfach mehr "etwas" zu erkennen. IDS war hier wohl das richtige Zauberwort.

    Ich denke, dass dann wohl IPCOP eine Möglichkeit wäre oder? Denn da kann man sich ja bei snort.org die Rules runterladen? Damit IPCOP IDS noch mehr sachen erkennen kann. Oder habe ich das jetzt mit den Rules Missverstanden?
     
  6. #5 avaurus, 16.02.2006
    avaurus

    avaurus °°°°°°°°°°°°°

    Dabei seit:
    28.12.2003
    Beiträge:
    965
    Zustimmungen:
    0
    in bestimmten Situationen ist SPI sowas von arm, dass es schon an Alphaware grenzt, aber das ist wieder ein anderes Thema :).
     
  7. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
  8. #7 sono, 16.02.2006
    Zuletzt bearbeitet: 16.02.2006
    sono

    sono Sack Flöhe Hüter

    Dabei seit:
    31.01.2004
    Beiträge:
    1.299
    Zustimmungen:
    0
    Ort:
    http://webfrap.de
    Nun, auch wenn du es eigentlich nicht benötigts, da du eine Tür die nur von Innen nach ausen Betreten werden kann nicht sicherer wird, indem man einen Pit Bull und 30 Security davorstellt will ich dir mal nicht im Weg stehen wenn du deinen Spieltrieb ausleben willst.

    Vor ein paar Jahren hätte ein Beitrag in der Form von mir sein können, aber nach ein bischen Beschäftigung mit der Materie, egal.

    Also, fangen wir mal klein an.

    Du willst sehen wenn jemand Versucht bei dir anzuklopfen. Ist zwar verständlich, aber es bringt dir kaum Sicherheit. Bei einer DDos Attacke kannst du das ganz bequem abwehren indem du Offline und wieder online gehts. Dann hast du ne neue IP und die DDos geht irgendwo auf /dev/null. Anderst kannst du eine DDos nicht abwehren.

    Du kannst Verbindungsaufbauende Angriffen von Ausen generell auschliesen, da du keine Dienste Anbietest, was ein IDS und eine Firewall überflüsig macht.

    Du benötigtst solange du keine Dienste nach Ausen anbietest lediglich eine Router der einen Verbindungsaufbau nur von Innen nach ausen aber nicht von Ausen nach innen zulässt.

    Sobald du dienste Anbietest ist das wieder was anderes, ab da fangen dann die ganzen Feature die du hier aufgezählt hast an zu greifen, aber erst dann.

    Die einzigen Gefahren die zu dir nach innen kommen können Sind Trojaner oder Würmer in Mails, oder Malwaredownloads von dubiosen Websites.
    Da ist aber auch die Beste Firewall machtlos, da Trojaner usw aus der Sicht der Firewall legitimer Verbindungen nach Ausen aufmachen.

    Was du wirklich "benötigst", wenn du sicher ins Netz gehen willst ist ein Proxy der bösartige Inhalte Filtert und ein E-Mail Proxy oder Server der Mails auf Malware untersuchen kann.

    Das ist die Sicherheit die du benötigst.

    Wie gesagt eine Firewall mit zig 100erten von Funktionen ist für deine Zecke so überdimensioniert wie mit der "Dicken Berta" auf Rummelplatz eine Rose für die Liebste zu schießen.

    Klar du wirst treffen, aber ein MG40 , oder eine Handgranate hätten auch gereicht.

    Lies dir mal ein paar Texte über Routing, Netzwerkprotokolle durch, danach kauf dir bei Ebay nen alten Rechner für ein paar € , besorg dir ein gescheites IPtables Script, ARNO irgendwas hat da was feiner geschrieben, einfach nach ARNO Iptables Script googln.

    Da schau dir noch Squid oder Junkbuster an und konfigurier dir nen Mail(server|proxy) mit Spamassasin , einem Virenscanner ( Private Zewcke sind viele Scanner für Linux kostenlos)

    Dann hast du alles auf einer Kiste.

    Ps. Wenn du dein IDS und die Firewall hinter deinem Router hast, dann wirst du vermutlich nichts in deinen Logfiles zu lesen bekommen, da durch den Router so oder so nichts nach innen kommt was nicht rein soll.

    Gruß Sono
     
  9. Henker

    Henker Jungspund

    Dabei seit:
    15.02.2006
    Beiträge:
    12
    Zustimmungen:
    0
    Ja stimmt. Die Fortigate 50 A ist was feines.
    Ich hatte mir ja damlas IPCOP runtergeladen und ausprobiert, aber ich konnte dort kein Antivir installieren, weil er nicht den befehl Make kannte. Das soll ja auch nur eine maßgeschneiderte Linux Distri sein.

    Was haltet ihr von IPCOP und den Snort Regeln? Kann man sich die Snort Regeln frei runterladen? Oder muss man da irgendwie Mitglied sein? Ich hatte da was gelesen, dass man dafür bezahlen muss.

    @sono
    Dann wäre doch IPCOP die richtige Wahl, oder?
    Kennst du noch andere Linux Firewalls? Selber eine Firewall basteln mit Linux, kann ich noch nicht.
     
  10. #9 Gummibear, 16.02.2006
    Gummibear

    Gummibear Computerversteher

    Dabei seit:
    19.07.2005
    Beiträge:
    100
    Zustimmungen:
    0
    Ort:
    Schweiz
    *g* Er wills einfach nicht hoeren! :headup:

    Also Henker: d-u b-r-a-u-c-h-s-t d-a-s n-i-c-h-t

    Aber wenn du unbedingt Geld in nicht benoetigte Security stecken willst, wuerde ich dir einen Argus Pitbull empfehlen.
    http://www.argus-systems.com/product/index.shtml

    Aber wie gesagt: nur weil ein Produkt mega-features hat, bedeutet das nicht, dass du es unbedingt brauchst. *sich einen ablach*
     
  11. saiki

    saiki Bratwurstgriller

    Dabei seit:
    18.03.2003
    Beiträge:
    934
    Zustimmungen:
    0
    Ort:
    Sachsen/ Meerane
    du solltest vielleicht mal openbsd probieren. da kannst du dir die firewall eigentlich sparen, sofern du alle dienst dicht machst. den eine firewall ist flickwerk. ein gutes system/dienst hält sich selbst dicht :)
     
  12. Henker

    Henker Jungspund

    Dabei seit:
    15.02.2006
    Beiträge:
    12
    Zustimmungen:
    0
    Ja, ok, ok, ok :)
    Ich werde mir nochmal alles in Ruhe durch den Kopf gehen lassen.
     
  13. #12 lordlamer, 16.02.2006
    lordlamer

    lordlamer Haudegen

    Dabei seit:
    15.05.2003
    Beiträge:
    703
    Zustimmungen:
    0
    Ort:
    hamburg
    hi

    ich verkauf dir gerne ne netscreen wenn du eine möchtest :)

    mfg frank
     
  14. Henker

    Henker Jungspund

    Dabei seit:
    15.02.2006
    Beiträge:
    12
    Zustimmungen:
    0
    Und welches Model für wieviel?
    Was kann die alles?
     
  15. #14 Goodspeed, 16.02.2006
    Goodspeed

    Goodspeed Foren Gott
    Moderator

    Dabei seit:
    21.04.2004
    Beiträge:
    4.158
    Zustimmungen:
    1
    Ort:
    Dresden
    *g* ... kann man ne Copy von dem Thread nicht unter "Fun" hängen?
     
  16. #15 Nemesis, 16.02.2006
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.161
    Zustimmungen:
    0
    hehe, das denk ich mir schon seit min. 5 antworten goodspeed ;)
    ich dachte ja, ich bin paranoide, aber das übersteigt mich bei weitem ^^
     
Thema:

Ich habe hohe Ansprüche was Firewalls angeht.

Die Seite wird geladen...

Ich habe hohe Ansprüche was Firewalls angeht. - Ähnliche Themen

  1. Frage zu QNX - habe login nie gefunden

    Frage zu QNX - habe login nie gefunden: Hallo Leute, QNX ist ein Betriebssystem für Krankenhäuser und Autos. Man kann es in einer Version ohne Support verwenden. Leider ist das Forum...
  2. Die meisten Repositorien auf GitHub haben immer noch keine Lizenz

    Die meisten Repositorien auf GitHub haben immer noch keine Lizenz: Die Zahl der Repositorien auf GitHub, die eine klare Lizenz haben, bewegt sich seit Jahren um die 20 Prozent und teilweise deutlich darunter. Der...
  3. Die meisten Repositories auf GitHub haben immer noch keine Lizenz

    Die meisten Repositories auf GitHub haben immer noch keine Lizenz: Die Zahl der Repositories auf GitHub, die eine klare Lizenz haben, bewegt sich seit Jahren um die 20 Prozent und teilweise deutlich darunter. Der...
  4. Habe ein FTP problem

    Habe ein FTP problem: Hallo Liebe Community, da ich ein Neuling bin und nicht so viel ahnung von Linux habe hat ein typ für mich den ftp dienst installiert. er...
  5. Linux Zertifkate - welche sollte man haben?

    Linux Zertifkate - welche sollte man haben?: Hallo, ich bin fast am Ende meiner Ausbildung als Fachinformatiker für Anwendungsentwicklung und wollte gleich darauf ein paar Zertifizierungen...