PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Ich habe hohe Ansprüche was Firewalls angeht.



Henker
15.02.2006, 20:02
Hallo. Ich bin neu hier und ich begrüße euch als ersters mit einer Security Frage. :))

Situation:
Ich will eine Hardwarefirewall haben! Ich habe zwar schon eine (Router mit Paketfilter) aber ich will das sie mehr kann. Ich besitze zwei Computer, auf den einen läuft nur Suse 10 und dient nur zum surfen. Auf dem anderen Computer läuft Windows XP Prof. und selten Suse 10. Es wird nur herum gesurft und ab und zu Daten runtergeladen oder E-Mails abgerufen. Ich betreibe keine Serverdienste wie Apache oder sonstiges was von aussen erreicht werden soll.


Mögliche Lösung
Was ich haben möchte ist, das ich eine Hardwarefirewall habe, die sehr viele Angriffsmuster erkennt. Ich brauch nicht unbedingt VPN. Hier http://www.netscreen.de/downloads/juniper/ds_5gt.pdf kann man sehen, dass die unter "NUMBER OF APPLICATION ATTACKS DETECTED OVER 250" erkennen kann. Das finde ich schon ziemlich gut.Ich hatte mal eine Hardwarefirewall gesehen die über 6000 verschiedene Angriffsmuster erkennen konnte. Allerdings hat die auch soviel wie ein VW Golf gekostet. Ich hatte mal IPCOP 1.4.10 ausprobiert gehabt, war mir aber nicht so sicher, ob die gut ist oder nicht. Ich hatte das damals so angeschlossen gehabt.

INTERNET == ROUTER == IPCOP == SWITCH == CLIENTS

Mein jetziger Router erkennt manchmal nicht, dass er gescannt wird. Das finde ich total daneben. Ich hatte mal von ausserhalb mein Rechner mit nmap gescannt und mein Syslog Programm hatte mir überhaupt nichts angezeigt. Auch nicht als ich bei www.grc.com war.

Kann mir jemand vielleicht ein Tipp geben?

EDIT
Mit Linux bin ich noch ein Anfänger. Was jetzt Iptables oder Ipchains angeht, da bin ich ein DAU.

sono
15.02.2006, 20:36
Mögliche Lösung
Was ich haben möchte ist, das ich eine Hardwarefirewall habe, die sehr viele Angriffsmuster erkennt. Ich brauch nicht unbedingt VPN. Hier http://www.netscreen.de/downloads/juniper/ds_5gt.pdf kann man sehen, dass die unter "NUMBER OF APPLICATION ATTACKS DETECTED OVER 250" erkennen kann. Das finde ich schon ziemlich gut.Ich hatte mal eine Hardwarefirewall gesehen die über 6000 verschiedene Angriffsmuster erkennen konnte. Allerdings hat die auch soviel wie ein VW Golf gekostet. Ich hatte mal IPCOP 1.4.10 ausprobiert gehabt, war mir aber nicht so sicher, ob die gut ist oder nicht. Ich hatte das damals so angeschlossen gehabt.


Hm das ist keine Firewall das ist dann ein IDS. Aber mal im Ernst. Du willst ne Firewall mit der du das allgemeine Internetrauschen mitscheiden kannst.

Das ist unsinnig und hat erst mal gar nichts mit Sicherheit zu tun. Ja ich das ist erst mal schwer zu verstehen, aber er hat wirklich nichts mit Sicherheit zu tun. Du solltest dich mal mit dem Thema Sicherheit beschäftigen, dann wirst du sehen was ich meine.

So lange du keine Dienste nach ausen anbietest wie einen Webserver oder was auch immer, ist das was du willst Zeit und Geldverschwendung.

Und wenn dich einer Scannt. Was dann? Zurückhacken? Was ist denn Scannen für dich überhaupt? ICMP Traffic?

Weißt du was einer Sieht der dich Scannt wenn du keine Dienste anbietets?
Der Sieht dass alle Ports zu sind.

Es ist also irelevant für dich ob dich einer Scannt oder nicht. Er kann nichts machen da du keine Dienste anbietest, und du kannst nichts mit dem Daten anfangen die du in deinen Logfiles hast.

Auserdem 6000 Angriffsmuster, weißt du wieviele Exploits und Tools jeden Tag dazukommen? Sowas ist schon veraltet bevor es hergestellt wurde. Vor allem wenns nicht regelmäßig upgedatet wird.

Nimm die Kohle lieber und kauf dir ein gutes Buch zu dem Thema. O Reilly hat das sicher einige Titel die dir gefallen werden.

Ja ich weiß, meine Antwort war absolut unbefriedigend für dich, aber aus meiner Sicht die korrekteste die ich dir geben konnte.

Gruß Sono

lordlamer
15.02.2006, 21:13
hi

jaja netscreen. feines spielzeug *G*

die ns5gt wireless *lechtz* is schon was ganz feines.

also als hardwarefirewall kann ich netscreen wirklich empfehlen. administriere selber einige modele. ist echt was feines. beonders die zusatzfeatures, sofern man diese überhaupt in anspruch nimmt, sind gut. ausserdem kann man dann auch schon mit vpn rumspielen.

wenn du das geld hast dir eine zu kaufen dann machs. ist keien fehlinvestition.

mfg frank

Henker
16.02.2006, 06:42
Morgen.

Ok. Trotzdem Danke für den Tip mit O.Reilly.
Ich will einfach, dass er alles "bemerkt" wenn ich z.B. gescannt werde oder jemand sonst irgendeine DoS oder DDoS attacke macht. Wäre da IPCOP doch die richtige Wahl?

Wegen Netscreen. . . ja die Firewall hat was. Momentan habe ich ein Draytek vigor 2900 www.draytek.de Aus meiner Sicht, so wie ich an Infos gesammelt habe, ist eine Hardwarefirewall nicht gleich Hardwarefirewall.
OK sagen wir mal alle erfüllen den gleichen Zweck. Sie haben ein Paketfilter, ggf. SPI usw. aber erkennen nun mal unterschiedliche Anzahl von Angriffsmuster.

Netscreen erkennt da über 250 Angriffe hat auch nicht nur SPI sondern auch Deep Inspection. Es geht mir halt eben nicht darum, VPN oder am Router noch ein Printserver zu haben, sondern einfach mehr "etwas" zu erkennen. IDS war hier wohl das richtige Zauberwort.

Ich denke, dass dann wohl IPCOP eine Möglichkeit wäre oder? Denn da kann man sich ja bei snort.org die Rules runterladen? Damit IPCOP IDS noch mehr sachen erkennen kann. Oder habe ich das jetzt mit den Rules Missverstanden?

avaurus
16.02.2006, 09:44
OK sagen wir mal alle erfüllen den gleichen Zweck. Sie haben ein Paketfilter, ggf. SPI usw. aber erkennen nun mal unterschiedliche Anzahl von Angriffsmuster.
in bestimmten Situationen ist SPI sowas von arm, dass es schon an Alphaware grenzt, aber das ist wieder ein anderes Thema :).

devilz
16.02.2006, 09:58
Wenn du ein wenig Geld ausgeben willst, schau mal Spaßeshalber die Fortinet Produkte an .... ;)

Wir haben hier grade eine Forti Wifi 60 stehen ... vom Preis her noch OK.

http://www.fortinet.com/products/
http://www.fortinet.com/products/telesoho.html

sono
16.02.2006, 10:23
Nun, auch wenn du es eigentlich nicht benötigts, da du eine Tür die nur von Innen nach ausen Betreten werden kann nicht sicherer wird, indem man einen Pit Bull und 30 Security davorstellt will ich dir mal nicht im Weg stehen wenn du deinen Spieltrieb ausleben willst.

Vor ein paar Jahren hätte ein Beitrag in der Form von mir sein können, aber nach ein bischen Beschäftigung mit der Materie, egal.

Also, fangen wir mal klein an.

Du willst sehen wenn jemand Versucht bei dir anzuklopfen. Ist zwar verständlich, aber es bringt dir kaum Sicherheit. Bei einer DDos Attacke kannst du das ganz bequem abwehren indem du Offline und wieder online gehts. Dann hast du ne neue IP und die DDos geht irgendwo auf /dev/null. Anderst kannst du eine DDos nicht abwehren.

Du kannst Verbindungsaufbauende Angriffen von Ausen generell auschliesen, da du keine Dienste Anbietest, was ein IDS und eine Firewall überflüsig macht.

Du benötigtst solange du keine Dienste nach Ausen anbietest lediglich eine Router der einen Verbindungsaufbau nur von Innen nach ausen aber nicht von Ausen nach innen zulässt.

Sobald du dienste Anbietest ist das wieder was anderes, ab da fangen dann die ganzen Feature die du hier aufgezählt hast an zu greifen, aber erst dann.

Die einzigen Gefahren die zu dir nach innen kommen können Sind Trojaner oder Würmer in Mails, oder Malwaredownloads von dubiosen Websites.
Da ist aber auch die Beste Firewall machtlos, da Trojaner usw aus der Sicht der Firewall legitimer Verbindungen nach Ausen aufmachen.

Was du wirklich "benötigst", wenn du sicher ins Netz gehen willst ist ein Proxy der bösartige Inhalte Filtert und ein E-Mail Proxy oder Server der Mails auf Malware untersuchen kann.

Das ist die Sicherheit die du benötigst.

Wie gesagt eine Firewall mit zig 100erten von Funktionen ist für deine Zecke so überdimensioniert wie mit der "Dicken Berta" auf Rummelplatz eine Rose für die Liebste zu schießen.

Klar du wirst treffen, aber ein MG40 , oder eine Handgranate hätten auch gereicht.

Lies dir mal ein paar Texte über Routing, Netzwerkprotokolle durch, danach kauf dir bei Ebay nen alten Rechner für ein paar € , besorg dir ein gescheites IPtables Script, ARNO irgendwas hat da was feiner geschrieben, einfach nach ARNO Iptables Script googln.

Da schau dir noch Squid oder Junkbuster an und konfigurier dir nen Mail(server|proxy) mit Spamassasin , einem Virenscanner ( Private Zewcke sind viele Scanner für Linux kostenlos)

Dann hast du alles auf einer Kiste.

Ps. Wenn du dein IDS und die Firewall hinter deinem Router hast, dann wirst du vermutlich nichts in deinen Logfiles zu lesen bekommen, da durch den Router so oder so nichts nach innen kommt was nicht rein soll.

Gruß Sono

Henker
16.02.2006, 12:18
Ja stimmt. Die Fortigate 50 A ist was feines.
Ich hatte mir ja damlas IPCOP runtergeladen und ausprobiert, aber ich konnte dort kein Antivir installieren, weil er nicht den befehl Make kannte. Das soll ja auch nur eine maßgeschneiderte Linux Distri sein.

Was haltet ihr von IPCOP und den Snort Regeln? Kann man sich die Snort Regeln frei runterladen? Oder muss man da irgendwie Mitglied sein? Ich hatte da was gelesen, dass man dafür bezahlen muss.

@sono

Die einzigen Gefahren die zu dir nach innen kommen können Sind Trojaner oder Würmer in Mails, oder Malwaredownloads von dubiosen Websites.
Da ist aber auch die Beste Firewall machtlos, da Trojaner usw aus der Sicht der Firewall legitimer Verbindungen nach Ausen aufmachen.

Was du wirklich "benötigst", wenn du sicher ins Netz gehen willst ist ein Proxy der bösartige Inhalte Filtert und ein E-Mail Proxy oder Server der Mails auf Malware untersuchen kann.


Dann wäre doch IPCOP die richtige Wahl, oder?
Kennst du noch andere Linux Firewalls? Selber eine Firewall basteln mit Linux, kann ich noch nicht.

Gummibear
16.02.2006, 12:39
*g* Er wills einfach nicht hoeren! :headup:

Also Henker: d-u b-r-a-u-c-h-s-t d-a-s n-i-c-h-t

Aber wenn du unbedingt Geld in nicht benoetigte Security stecken willst, wuerde ich dir einen Argus Pitbull empfehlen.
http://www.argus-systems.com/product/index.shtml

Aber wie gesagt: nur weil ein Produkt mega-features hat, bedeutet das nicht, dass du es unbedingt brauchst. *sich einen ablach*

saiki
16.02.2006, 13:24
du solltest vielleicht mal openbsd probieren. da kannst du dir die firewall eigentlich sparen, sofern du alle dienst dicht machst. den eine firewall ist flickwerk. ein gutes system/dienst hält sich selbst dicht :)

Henker
16.02.2006, 15:29
*g* Er wills einfach nicht hoeren!

Also Henker: d-u b-r-a-u-c-h-s-t d-a-s n-i-c-h-t

Ja, ok, ok, ok :)
Ich werde mir nochmal alles in Ruhe durch den Kopf gehen lassen.

lordlamer
16.02.2006, 17:09
hi

ich verkauf dir gerne ne netscreen wenn du eine möchtest :)

mfg frank

Henker
16.02.2006, 17:10
Und welches Model für wieviel?
Was kann die alles?

Goodspeed
16.02.2006, 17:18
*g* ... kann man ne Copy von dem Thread nicht unter "Fun" hängen?

Nemesis
16.02.2006, 17:27
hehe, das denk ich mir schon seit min. 5 antworten goodspeed ;)
ich dachte ja, ich bin paranoide, aber das übersteigt mich bei weitem ^^

Cordell
16.02.2006, 17:52
Hi,

deinen Ansprüchen müsste eine WatchGuard Firebox X500 genügen!! :oldman

http://www.dunkel.de/produkte/firewall-watchguard.html#fireboxxcore

Ciao
Cordell

damager
17.02.2006, 18:45
nix für ungut aber wer "make" auf einer firewall erwartet...der sollte wohl tatsächlich auf eine hardware-firewall bauen :]