PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Die Wahl der Firewall *würg....



Macyver
29.05.2007, 11:00
Hoi

nachdem ich hier ziemlicher Neuling bin, was Unix/Linux betrifft....(endlich mal ne Herrausforderung.....) suche ich eine gute FIrewall, die VPN (l2tp/ ipsec) und höher kann...

Mir ist schon klar dass eine Firewall nur so gut ist wie der Admin selbst...

Ich hab momentan folgendes schon getestet.::rtfm:

Securepoint
M0noWall
Openwall

Aber VPN`??? (unter M0n0wall und Openwall)??

Oder soll ich doch lieber FreeBSD oder DEBIAN mit Iptabels nehmen oder ähnlichen nehmen?

ICh bin momentan mit einem WINDDOOF ISA Server abgesichert (jaja lacht nur),:devil: habe auch nicht vor ihn zu ersetzen. Ich möchte lediglich Linux davorschalten...
Auch wird die Vpn Funktion aus gewissenen Sicherheitsaspekten an Linux gehen.

Als Hardware werde ich dafür einen TK Server einsetzen....Hab aber im moment noch einen Medion PC...den ich für diese Zwecke gern noch belasten würde bevor ich ihn endgültig dem TEufel überlass...

Sollte dieser Thread schon bereits entstehen, so bitte ich vielmals :hilfe2: um Vergebung....

Ich hab die letzten 14 Jahre überwiegend nur mit Windows (Client und serverbe.) gearbeitet....letztenendlichs stellt es mich irgendwie nicht zufrieden. Letztes Jahr habe mich dann so ganz vorsichtig an die Linux distris herangewagt....und tue es immer noch....


Momentan versuchen einige Spinner meine Firewall zu hacken, was letztenendes nicht möglich ist...

Danke
Macyver

lets have a nice Day....

bitmuncher
29.05.2007, 11:13
Egal welches Linux du nimmst, wird die Firewall mit hoher Wahrscheinlichkeit eh iptables sein. Openwall ist auch nur ein Linux, das halt ein paar Sicherheitspatches im Kernel hat (Stack-Smashing-Guard u.ä.). Und Monowall ist auch nur ein BSD und da wirst du pf nutzen. Also ist die Entscheidung eigentlich nur pf oder iptables. iptables sind meiner Meinung nach leichter zu verwalten, pf bietet aber mehr Möglichkeiten.

Macyver
29.05.2007, 14:29
Hmm ich werd mal OpenBSD / FreeBSD und Debian testen...

Nunja das eigentliche problem ist, es gibt für mich ziemlich viele Distries...bei den ein oder anderen hab ich bereits positive und negative Erfahrungen gemacht, jedoch suche ich im Prinzip eine Linux Firewall mit VPN (dieser soll ja auch an das Active Directory angebunden werden)....

danke dir

Macyver

bitmuncher
29.05.2007, 14:48
Jeder Linux-Rechner kann im Prinzip als VPN-Router eingerichtet werden. Siehe z.B. http://www.64-bit.de/dokumentationen/netzwerk/a/012/DE-VPN-HOWTO.html Weitere Doku unter: http://www.google.de/search?hl=de&q=linux+vpn+howto&btnG=Google-Suche&meta=

Macyver
29.05.2007, 21:35
Hoi

ich hab von einer Firewall gehört, die dynamic Port fähig ist...

Sprich, das TEil öffnet nur bei Bedarf die Ports, sowohl ein als auch ausgehend?

Irgendwelche Einwände, Ideen?

Danke

mfg

bitmuncher
29.05.2007, 22:24
Dann nimm garkeine Firewall. Dann hast du die eh dynamisch, denn ein Port ist von außen eh nur erreichbar, wenn an diesem ein Service lauscht.

Macyver
31.05.2007, 19:36
hoi

es gibt ja auch noch dieses Port Knocking Zeuch unter Linux da..

kann ich das mit jeder Distri realisieren, auch mit FreeBSD oder Debian?

Danke

mfg..

bitmuncher
31.05.2007, 19:48
Bei BSD hab ich sowas noch nie eingesetzt. Der knockd läuft aber auf jeden Fall auf jeder Distro die iptables-Support hat und somit eigentlich auf allen (von ein paar Mini/Floppy-Distros abgesehen). Debian ist auch nur eine Linux-Distro und dort steht der knockd auf jeden Fall via apt-get zur Verfügung, wenn du vom FTP-Server installierst.

nice2kn0w
31.05.2007, 23:21
Falls Du mehr darüber wissen willst @macyver

files.doomed-reality.org/Papers/runlevel.pdf


Momentan versuchen einige Spinner meine Firewall zu hacken, was letztenendes nicht möglich ist...
--> gewagte Behauptung :devil:

serverzeit.de
31.05.2007, 23:33
iptables sind meiner Meinung nach leichter zu verwalten
Die Aussage überrascht mich jetzt und widerspricht meinen Erfahrungen. Ist nicht gerade pf aufgrund seiner leichten Handhabbarkeit bekannt? Also ich liebe pf und versuche ipfw weitestgehend zu vermeiden.

Wenn es um Sicherheit geht (und das scheint bei dir ja der Fall zu sein), würde ich dir zu einem OpenBSD raten. Das mit einer schönen pf-Konfiguration versehen brauchst du auch kein Port-Triggering/Port-Knocking.
Ob es sowas für BSD/pf gibt ist mir auch nicht bekannt. Gerade bei Firewalls bin ich eh froh, wenn sie das machen was ich will und kein Prozess im Hintergrund über "auf" und "zu" entscheidet. Aber das ist Ansichtssache.

Eigentlich wollte ich nur bitmuncher "widersprechen" bzw. die Subjektivität unterstreichen.
Mein Rat daher: Schau dir mal zwei Firewall regeln an, einmal von IPFW und einmal von PF. Welche findest du leichter zu verstehen? Denn letztlich geht es um die Lesbarkeit. Sicher sind alle beide (wenn sie richtig eingesetzt werden).

Ich nehme für alles einfach FreeBSD ;-)

Literatur zu Port-Knocking http://www.portknocking.org/view/implementations
http://www.l0t3k.org/security/tools/portknocking/

bitmuncher
31.05.2007, 23:54
Deswegen sprach ich von meiner Meinung. Es ist sicherlich Gewöhnungs- und Geschmackssache.

serverzeit.de
01.06.2007, 14:28
Das ist richtig, für jemanden wie mich, der (fast) ausschließlich mit pf arbeitet, ist IPFW enorm umständlich, da man wieder umdenken muss. Umgekehrt natürlich genauso.

War nicht als Kritik gedacht, sondern lediglich als "Gegenposition". Ich möchte das nicht falsch verstanden wissen! Ich nehme an du hast mich schon richtig verstanden :-)

Macyver
01.06.2007, 16:55
hmm

nunja die Windows Welt geht mir nun langsam ziemlich aufm "seier.."

hmm ich denke es wird das beste wenn ich mir mal ein paar linux distries auf meinen hauptrechner tue und mich mal ernsthaft damit befasse...

Danke an Alle...

mfg Macyver

netcat
27.07.2007, 04:48
shorewall (http://www.shorewall.net)

Kann alles, was Du brauchst, ist einfach zu konfigurieren (wenn Du mit Textdateien umgehen kannst) und fast berall verfügbar.

saeckereier
16.08.2007, 01:03
Kleiner Tipp: Wenn die Linux Kiste VPN machen soll, versuch auf OpenVPN umzusteigen, ist Firewallseitig seeeehr einfach. Im Vergleich zu IPSec und son Krams zumindest..