Firewall zum schutz mehrerer Server

B

BrianFFM

Grünschnabel
Hallo Unix/linux Gemeinde,

das Thema Firewall verwirrt mich etwas, weil es da sehr viele Variablen zu berücksichtigen gibt von denen ich, mit verlaub, keine Ahnung habe :)

ich betreue eine Community die gerade ziemlich stark wächst, der zweite Server (db auslagern) steht in den Startlöchern und es wird zeit dass ich mir auch um das Thema Firewall Gedanken mache. schon früh denn ich habe viel zu lernen.

habe mir so einiges durch gelesen und stelle fest dass die meisten open Source firewalls wohl mehr dazu sind interne Netze zu schützen. gut gefallen hat mir zB die SmoothWall Express 3.0, aber auch hier wird fast ausschließlich von dsl usw gesprochen was auf den Einsatz in einem internen LAN weist.

Ich hoffe dass ihr mir etwas helfen könnt die richtige Wahl zu treffen, und das richtige Produkt für meinen Einsatz zu finden.

Die firewall soll in einem RZ eingesetzt werden um anfangs 2-3 (später vielleicht mal) 10-15 Server zu schützen.

Die services sind wohl gleich denen, die so jeder ISP hat. http / https, mysql SMTP SSH , zzg IRC oder andere Chat server .

Die wall sollte über ein Webinterface verfügen, da nicht immer ein CommandLine Guru dran sitzt ;-)

um die DB zu schützen sollten verschiedene Zonen da sein. ein VPN um an die wichtigen Services ran zu kommen auch. (möchte SSH nicht nach außen offen lassen) IDS etc..

Da wir im letzten jahr unseren Traffic um den Faktor 100 vergrößert haben, rechnen wir damit, dass es weiter so geht. Deswegen sollte die Firewall entsprechend leistungsfähig sein.

momentan mache ich alles mit Debian. für die Firewall liebäugle ich auch mit einem BSD Derivat.

vielleicht gibt es hier Leute die auch aus dem Professionellen Umfeld kommen und Erfahrung mit Firewall Produkten haben.

liebe Grüße, Dekus
 
Eine Software Firewall ist zwar schön und gut, aber nicht für kritische einsätze geeignet. Das sicherste ist eine Hardware Firewall, welche Lösungen es dort gibt und welchen Funktionsumfang du braucht klärst du am besten mit jemanden der Ahnung von der Sache hat. :)

Nicht jede Firewall lösung ist auch für jede Aufgabe geeignet.

In diesem Sinne
 
Eine Software Firewall ist zwar schön und gut, aber nicht für kritische einsätze geeignet. Das sicherste ist eine Hardware Firewall, welche Lösungen es dort gibt und welchen Funktionsumfang du braucht klärst du am besten mit jemanden der Ahnung von der Sache hat. :)

Nicht jede Firewall lösung ist auch für jede Aufgabe geeignet.

er möchte ja anscheinend einen PC explizit als Firewall einsetzen, und das unterscheidet sich dann von einer "Hardware Firewall" nichtmehr sonderlich :)

Grundsätzlich basiert unter GNU/Linux doch sowieso alles in Richtung Firewall auf iptables, entweder also du verwendest eines der zahlreichen Frontends oder konfigurierst direkt. Als Distribution dürfte auch alles geeignet sein, das ordentliche Sicherheitsupdates und Stabilität bietet, schlussendlich hängt dann vom Admin (und wie er damit umgehen kann) das meiste ab. Wenn du also mit Debian schon Erfahrung hast, dann nimm das.

Die wall sollte über ein Webinterface verfügen, da nicht immer ein CommandLine Guru dran sitzt ;-)
jemandem der keine Ahnung hat sollte es auch nicht möglich sein die Firewall zu verändern...
 
Zuletzt bearbeitet:
Jo, Hardware Firewall ist teuer --

spiele gerade mit pfsense rum .. in einer VM läuft sie schon mal . wenn auch nicht konfiguriert .. jemand erfahrung damit ??
 
Firewall

Hallo


Neben pfsense, gibts noch ipcop und ipfire.

Als hardware einfacher alter PC (PentiumI), oder ein Epiaboard oder ein wrap-board.


mfg
schwedenmann
 
habe mir so einiges durch gelesen und stelle fest dass die meisten open Source firewalls wohl mehr dazu sind interne Netze zu schützen.
Auch wenn die meisten "erstmal" als DSL-Gateway/Firewall erscheinen, so kann man vermutlich alle auch dazu bewegen keine DSL-Verbindung herzustellen...

momentan mache ich alles mit Debian. für die Firewall liebäugle ich auch mit einem BSD Derivat.
Du kannst dafür natürlich auch eine der vorgefertigten Instant-Distributionen (bzw. Derivate) benutzen. Die haben wohl den Vorteil, bereits vorkonfiguriert zu sein. Auch haben wohl die meisten eine Administrationsoberfläche, die meist per Apache/lighttp o.Ä. realisiert wird, also direkt über einen Browser zu bedienen sind. Allerdings bleibt dir auch da vermutlich nicht erspart, dich zumindest grundlegend mit IPTABLES, oder zumindest dem Konzept dahinter, zu befassen.

Wenn du dir schon pfsense angeschaut hast, dann vielleicht auch mal MOnOwall (daraus ist pfsense hervorgeganen). Vermutlich dann interessant für dich:
http://www.freebsd.org/doc/en/books/handbook/firewalls.html
Man kann MOnOwall und pfsense wohl auch ohne grossartige freeBSD-Kenntnisse installieren und nutzen.

Ich denke aber, es wäre am einfachsten und übersichtlichsten, wenn du eine Distribution benutzt, die du eh schon kennst und weisst wie man sich zB um Sicherheitsuptades kümmert. Wenn man "gewöhnliche" Distributionen (die zB hauptsächlich für den Desktopeinsatz gedacht sind) nutzt, sollte man das System allerdings härten. Überflüssige Dienste runterschmeissen, unnötige Benutzerkonten löschen, Rechte überprüfen und anpassen... etc... Dafür gibt es für viele Distributionen auch Tools wie zB Bastille-Linux.
http://sourceforge.net/projects/bastille-linux/

Auch diverse Administrationsoberflächen um die Einrichtung der Firewallregeln zu erleichtern gibt es auch. Zum Beispiel FirewallBuilder, Shorewall, evtl. Firestarter. Habe ich persönlich allerdings noch nicht benutzt.
 
Sichwort Netscreen, bei den Herrschaften von Juniper kannst du auch anrufen, die beraten dich gern.
 
Also ich persönlich kann da IpCop empfehlen. Es ist eine spezielle Distribution, die nur als Firewall gedacht ist, natürlich eigentlich für den Heimbreich d.h. sie bittet auch Dinge wie Proxyserver, VPN's und vorkonfigurierte iptables für die Schnittstellen Grün (vertrauenswürdig), Rot (Internet), Orange(Server) und Blau (Wlan) an.
Ich habe bis jetzt 2 dieser Firewalls aufgesetzt jedesmal auf einem Alix-Board und beide laufen wunderbar. Die eine hat eine Uptime von 5Monaten und die andere von 21Tagen (was auch ihrer Existenz entspricht). Eine davon betreibe ich bei mir zu Hause an einer DSL-Leitung und die andere schützt ein Firmennetzwerk, ebenfalls an einer DSL-Leitung. Sie besitzt ein Webinterface über das sie Konfiguriert werden kann oder für die Leute die fitt auf der Konsole sind auch einen SSH Zugriff.
Es alles nachträglich änderbar und in dem Forum (siehe Link) wird einem freundlich und Kompetent geholfen. ;)
Für weitere Infos guck einfach mal hier http://www.ipcop-forum.de

..bigzed
 
Zuletzt bearbeitet:
Nutze auch gerne den IPCop, der rennt hier auf 'ner antiken Kiste mit einer uptime, die lediglich von Versionssprüngen unterbrochen wird (das sind jetzt immerhin rund 2½ Jahre). Das Ding hat auch ein schickes Webinterface, aber ob sich das für mehrere Server auslegen lässt oder auch nur geeignet ist, kann ich nicht sagen. Ein Blick ist es wert.
 
... auch dran denken, wenn das Ding in ein RZ soll - und ein komplettes Netz abschotten soll, daß das ein SPOF ist -> redundant auslegen mit Failover - ansonsten ist bei einem HW-Defekt komplett alles tot - und Kunden mögen sowas gar nicht. Und auch zukünftige Entwicklungen bezüglich Durchsatz einplanen - z.B. nicht überall, wo GB-Anschlüsse drin sind kann dann auch GB über's Netzwerk laufen...

Mit einer entsprechenden Appliance und entsprechendem Service fährt man da meist besser als mit "privaten Bastellösungen". Und ja, die Dinger kosten z.T. richtig Geld.
 
Wow, vielen dank an alle.

Ich kann gar nicht auf alles eingehen aber es waren auf jeden Fall viele Wertvolle Tips und Links dabei. Um nochmal alles zusammen zu fassen:

Es ist klar, wenn man eine Firewall selbst bastelt, dass man hier auf einen gehärteten Kernel und System zurück greift. Das sollte man auch bei einem Webserver oder Datenbank Server schon tun :)

Wegen der Redundanz: Ja wichtig und auch eine schöne sache. Wenn Kunden dahinter sind :-) Ich möchte jedoch nicht mit Kanonen auf Spatzen schießen. Fakt ist, bei einem Hardware schaden würde auch jetzt ohne Firewall die Sache erst mal still stehen. Aber es ist natürlich richtig! Redundanz ist das A und O wenn es um Geld verdienen geht.

Wie gesagt, Es ist noch nicht soweit, dass ich die FW nächste Woche oder in einem Monat brauche. Es wird für mich wichtig, wenn das in einem Jahr wirklich so explodiert ist wie im letzten. Deswegen beschäftige ich mich jetzt schon damit ..

So ein kleines bisschen kenne ich mich ja auch mit IPTABLES aus. habe selber auch schon kleine Paketfilter für meinen DSL Anschluss gebastelt. 486er mit einer uptime von über 5 Jahren :) damals noch ein SuSE :(

Meine Grundüberlegung war, dass die FW auch eine "Intelligenz" besitzt. Ein paketfilter schottet nur ab. Meine Server sind soweit gehärtet, dass sowieso nur das offen ist, was der Client benötigt. von dahehr wäre meiner Meinung nach eine reine IPTABLES filter nicht sinnvoll.

zB Ein packetfilter mit IPTABLES lässt alles auf port 80 durch.. ein Angriff erkennt er aber nicht. Thema IDS.

Ich werde mich jetzt mal in das Thema rein lesen und bedanke mich für eure Hilfe zunächst ganz herzlich. die verschiedenen Firewall Derivate werde ich mal in einer VM ansehen und mir die Foren durch lesen.

liebe Grüße, Brian
 
Meine Grundüberlegung war, dass die FW auch eine "Intelligenz" besitzt. Ein paketfilter schottet nur ab. Meine Server sind soweit gehärtet, dass sowieso nur das offen ist, was der Client benötigt. von dahehr wäre meiner Meinung nach eine reine IPTABLES filter nicht sinnvoll.
Darum ist iptables auch keine Firewall sondern ein Paketfilter. Die Intelligenz der Firewall bist Du selbst. Du überlegst, was zum Schutz nötig ist, was passieren kann und wie Du den Schutz umsetzt. Das schreibst Du auf und setzt es danach um.

"Building Internet Firewalls" von Chapman und Zwicky ist trotz seines Alters (erschienen 2000) immer noch extrem lesenswert.
 
Ich habe m0n0wall im Einsatz. pfSense ist ein Fork von m0n0wall. m0n0wall ist aber mehr auf embedded Systeme und schlanken Footprint ausgelegt. Deswegen mein Favorit, da ich viele Features nicht brauche.

mfg
 
Naja ich glaube nicht, dass man auf ein Embedded System zurückgreifen sollte, denn wenn wirklich ein HD Ausfall ist muss man ja die Kaputte Spiegelfestplatte am besten durch Hot Swap austauschen, da man ja sonst wieder eine Downtime hat. Also wäre es vielleicht am besten sich entweder ne professionelle Lösung zu holen oder einen richtigen Rechner mit genügend Rechenleistung, Hot Swap Festplatten und wirklichem Gigabit-Lan holen und diesen dann mit einer geeigneten Distribution bespielen und einrichten.

..bigzed
 

Ähnliche Themen

Server-Monitoring mit RRDTool

Zurück
Oben