12
Firewall OS
Hallo,
Kurz zum Aufbau:
Als erstes kommt eine Watchguard Firewall für den gesamten Verkehr. In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt. In der DMZ steht ein Microsoft Forefront TMG der diverse Microsoftdienste freigibt z.b. Exchange.
Nun weis ich nicht was so wirklich gut für die Firewall in der Mitte ist. Ich habe mal folgende Liste zusammengesetzt:
Untangle
Pfsense
IPCop
Monowall
IPFire
Smoothwall
Endian
Was ich brauche ist QoS, IDS / IPS, ein SMTP und HTTP Proxy mit SPAM und Virenabwehr sowie Reportings an die Mailbenutzer mit eigenen Whit-/Blacklists. Falls das mit dem SMTP Proxy nicht so klappt kann man ja auch noch ein Mail Gateway einsetzen wie z.b. ASSP, oder andere jenachdem womit Ihr bereits Erfahrung habt. Nach Möglichkeit sollte es ein kostenloses OS sein, die Lizenzen für die anderen Produkte waren ziemlich teuer.
Hat jemand einen guten Vorschlag bzw. schon gute Erfahrung mit einem dieser oder einem anderen OS?
Schöne Grüße
BJ
Kurz zum Aufbau:
Als erstes kommt eine Watchguard Firewall für den gesamten Verkehr. In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt. In der DMZ steht ein Microsoft Forefront TMG der diverse Microsoftdienste freigibt z.b. Exchange.
Nun weis ich nicht was so wirklich gut für die Firewall in der Mitte ist. Ich habe mal folgende Liste zusammengesetzt:
Untangle
Pfsense
IPCop
Monowall
IPFire
Smoothwall
Endian
Was ich brauche ist QoS, IDS / IPS, ein SMTP und HTTP Proxy mit SPAM und Virenabwehr sowie Reportings an die Mailbenutzer mit eigenen Whit-/Blacklists. Falls das mit dem SMTP Proxy nicht so klappt kann man ja auch noch ein Mail Gateway einsetzen wie z.b. ASSP, oder andere jenachdem womit Ihr bereits Erfahrung habt. Nach Möglichkeit sollte es ein kostenloses OS sein, die Lizenzen für die anderen Produkte waren ziemlich teuer.
Hat jemand einen guten Vorschlag bzw. schon gute Erfahrung mit einem dieser oder einem anderen OS?
Schöne Grüße
BJ
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 171682
Url: https://administrator.de/contentid/171682
Ausgedruckt am: 23.11.2024 um 15:11 Uhr
12 Kommentare
Neuester Kommentar
Was soll das werden, ein Firewallzoo? Du hast doch eine Watchguard, die sollte doch ausreichend sein.
Gruß, Arch Stanton
Gruß, Arch Stanton
Danke für deine Antwort. Es wäre schön wenn die Zoo These noch begründet werden würde. Was spricht gegen zwei Firewalls von zwei verschiedenen Herstellern? Somit kann man z.b. fehlerhafte Updates vorbeugen. Wenn technische- und Verwaltungsressourcen vorhandene sind sollte der "Zoo" kein Problem sein.
Gruß BJ
Gruß BJ
Hi,
ich habe gute Erfahrungen mit pfSense gemacht. Kann ich nur empfehlen. (Sehr großer Funktionsumfang)
Gruß
Chris
ich habe gute Erfahrungen mit pfSense gemacht. Kann ich nur empfehlen. (Sehr großer Funktionsumfang)
Gruß
Chris
Ja pfsense hat einige gute Ansätze, vorallem unterstützt die 2 beta auch die verbaute crypto card. Leider hat die Beta noch makken und kein spamfilter. Mit pfsense 1 funktioniert kein multiwan und failover. Was könnt ihr noch empfehlen? Was für SMTP Gateways kennt ihr?
Pfsense
IPCop
Monowall
IPFire
Smoothwall
Endian
IPCop
Monowall
IPFire
Smoothwall
Endian
Das sind alles Linux-Systeme, also alles ein und die selbe
netfilter-Firewall.Die Teile unterscheiden sich höchstens in der Anordnung der Knöpfe und dem Patch-Stand...
Jup das stimmt schon wobei pfsense BSD nutzt. Ich habe mal gehört das BSD ein stabilieren Kernel haben soll was Netzwerk angeht, ob das so ist oder nicht sei mal dahin gestellt. Nur die Frage ist, welcher dieser Distributionen ist empfehlenswert? Welcher untertützt die o.g. Features? Welche Erfahrungen habt ihr mit diesen gemacht? Wo ist die Anordnung der Knöpfe am feinsten?
Beispielsweise sind mir bei Endian die alten Pakete aufgefallen und die IPSec funktion (entweder openSWAN oder freeSWAN weis gerade nichtmehr welche) ist nicht gerade Stabil in Kombination mit z.B. Watchguard IPSec. Was für ein OS Watchguard nutzt und wodrauf das basiert, oder ob es was ganz anderes ist, weis ich nicht.
Pfsense hatte ich schon was zu gesagt.
Monowall hat zuwenig funktionen.
Smoothwall / IpFire und IPCop habe ich noch nicht getestet.
Untangle hatte ich bei der Installation auf einer VM (testweise) Probleme, somit kann ich dazu auch noch nichts sagen.
Beispielsweise sind mir bei Endian die alten Pakete aufgefallen und die IPSec funktion (entweder openSWAN oder freeSWAN weis gerade nichtmehr welche) ist nicht gerade Stabil in Kombination mit z.B. Watchguard IPSec. Was für ein OS Watchguard nutzt und wodrauf das basiert, oder ob es was ganz anderes ist, weis ich nicht.
Pfsense hatte ich schon was zu gesagt.
Monowall hat zuwenig funktionen.
Smoothwall / IpFire und IPCop habe ich noch nicht getestet.
Untangle hatte ich bei der Installation auf einer VM (testweise) Probleme, somit kann ich dazu auch noch nichts sagen.
Hallo,
was willst du genau mit der 2. Firewall machen? Aus deinem Satz ist mir das nicht ganz klar. "In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt."
Eigentlich würde ich das Netzwerk so aufbauen FW1 -> DMZ -> FW2 -> LAN, somit verteilt die 2. Firewall keine Sachen in die DMZ.
Aus Administrativer Sicht würde ich persönlich immer bei einem Firewall System bleiben, da es sonst sehr schnell zu Verwechslungen in der Administration kommen kann. Jedes System hat meistens auf eineetwas andere Konfiguration.
Wie groß ist dein Netzwerk? Ich würde den SMTP und HTTP Proxy als dedizierten Server in die DMZ oder auf Firewall 1 setzen aber nicht auf der Firewall 2.
Mit IPCop v2 habe ich gute Erfahrungen gesammelt. Läuft sehr stabil und sicher.
was willst du genau mit der 2. Firewall machen? Aus deinem Satz ist mir das nicht ganz klar. "In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt."
Eigentlich würde ich das Netzwerk so aufbauen FW1 -> DMZ -> FW2 -> LAN, somit verteilt die 2. Firewall keine Sachen in die DMZ.
Aus Administrativer Sicht würde ich persönlich immer bei einem Firewall System bleiben, da es sonst sehr schnell zu Verwechslungen in der Administration kommen kann. Jedes System hat meistens auf eineetwas andere Konfiguration.
Wie groß ist dein Netzwerk? Ich würde den SMTP und HTTP Proxy als dedizierten Server in die DMZ oder auf Firewall 1 setzen aber nicht auf der Firewall 2.
Mit IPCop v2 habe ich gute Erfahrungen gesammelt. Läuft sehr stabil und sicher.
Also ich wollte es gerne so aufbauen:
FW1
|
DMZ
|
FW2
| |
DMZ LAN
In der DMZ hinter FW1 sollen externe Dienste laufen in der DMZ hinter FW2 interne Dienste. Des Weiteren soll das LAN in 4 VLANs getrennt werden. Einmal ein für Mobile Entgeräte, eine für die Thin- und Fat-Clients, eine für VOIP und die 4te für Steuergeräte über IP (z.B. Tore).
FW1 soll nur reine netzwerüberwachung leisten, in der DMZ werde ich dann die Proxys unterbringen. Bei dem SMTP Proxy habe ich in den letzten Tage einmal Mailcleaner getestet und bis dato gute Erfahrung gesammelt, muss aber noch länger getestet werden.
FW2 soll dafür Sorgen das nichts nach intern gelangt und soll einen Proxy bereitstellen der z.B. SPAM-Werbung und Viren aus dem Web fernhält.
Der Micorosft Forefront TMG soll dann in die DMZ zwischen FW1 und FW2 für externe Freigaben.
Derzeitig sieht es in entwa so aus:
FW1
| |
DMZ LAN
In der DMZ steht ein TMG als interner und externer Proxy.
FW1
|
DMZ
|
FW2
| |
DMZ LAN
In der DMZ hinter FW1 sollen externe Dienste laufen in der DMZ hinter FW2 interne Dienste. Des Weiteren soll das LAN in 4 VLANs getrennt werden. Einmal ein für Mobile Entgeräte, eine für die Thin- und Fat-Clients, eine für VOIP und die 4te für Steuergeräte über IP (z.B. Tore).
FW1 soll nur reine netzwerüberwachung leisten, in der DMZ werde ich dann die Proxys unterbringen. Bei dem SMTP Proxy habe ich in den letzten Tage einmal Mailcleaner getestet und bis dato gute Erfahrung gesammelt, muss aber noch länger getestet werden.
FW2 soll dafür Sorgen das nichts nach intern gelangt und soll einen Proxy bereitstellen der z.B. SPAM-Werbung und Viren aus dem Web fernhält.
Der Micorosft Forefront TMG soll dann in die DMZ zwischen FW1 und FW2 für externe Freigaben.
Derzeitig sieht es in entwa so aus:
FW1
| |
DMZ LAN
In der DMZ steht ein TMG als interner und externer Proxy.
Ok soweit so gut. Aber ich verstehe nicht warum du hinter FW2 noch eine DMZ haben willst.
Die DMZ beinhaltet in der Regel ja alle Dienste die mit dem INternet kommunizieren. Somit schützt du all Komponenten durch FW1 und erlaubst den Zugriff vom Internet auf DMZ Dienste in der FW 2.
In der DMZ sollten dann auch alle Server / Komponenten stehen, die das interne LAN mit dem NIternet verbidnen z. b. Proxys. FW 2 regelt dann den Zugriff vom LAN nach DMZ und DMZ nach LAN. Dadurch erlangst du einen vollwertigen Schutz und hast keine doppelten DMZ.
So wäre ein logischer Aufbau.
Ich vermute mal, das du einen Webproxy einsetzen möchtest, oder? Dieser sollte dann ein eigener Server oder fie FW1 sein. FW2 macht keinen Sinn, denn dann würdest du diese ja wieder mit dem Internet verbinden. FW2 sollte eigentlich nicht mit dem Interent verbunden werden, lediglich mit DMZ und LAN. So ist dein Netzwerk relativ sicher.
Wenn man dann in dein LAN eindrigen möchte muss zu nächst die FW1 überwunden und dann die FW2. Damit du einen besser Schutz hast, würde ich FW 2 so konfigurieren, dass keine Pakete von FW1 durchgelassen werden, sondern nur Pakete von Servern in der DMZ. Somit muss ein Hacker nciht nur FW 1 hacken, sondern auch noch einen Server in der DMZ.
Die DMZ beinhaltet in der Regel ja alle Dienste die mit dem INternet kommunizieren. Somit schützt du all Komponenten durch FW1 und erlaubst den Zugriff vom Internet auf DMZ Dienste in der FW 2.
In der DMZ sollten dann auch alle Server / Komponenten stehen, die das interne LAN mit dem NIternet verbidnen z. b. Proxys. FW 2 regelt dann den Zugriff vom LAN nach DMZ und DMZ nach LAN. Dadurch erlangst du einen vollwertigen Schutz und hast keine doppelten DMZ.
So wäre ein logischer Aufbau.
Ich vermute mal, das du einen Webproxy einsetzen möchtest, oder? Dieser sollte dann ein eigener Server oder fie FW1 sein. FW2 macht keinen Sinn, denn dann würdest du diese ja wieder mit dem Internet verbinden. FW2 sollte eigentlich nicht mit dem Interent verbunden werden, lediglich mit DMZ und LAN. So ist dein Netzwerk relativ sicher.
Wenn man dann in dein LAN eindrigen möchte muss zu nächst die FW1 überwunden und dann die FW2. Damit du einen besser Schutz hast, würde ich FW 2 so konfigurieren, dass keine Pakete von FW1 durchgelassen werden, sondern nur Pakete von Servern in der DMZ. Somit muss ein Hacker nciht nur FW 1 hacken, sondern auch noch einen Server in der DMZ.
Danke für deien Antwort. In der DMZ hinter der FW2 würde ich gerne sowas wie Domänencontroller und TK-Anlage setzen, damit die erst garnicht mit dem LAN direkt verbunden sind. Es gibt ja auch Experten die im LAN fummeln bzw. im WLAN. Deshalb soll das WLAN (Mobile lokale Entgeräte) auch in ein eigenes VLAN und vom LAN getrennt werden.
Da die WLAN-APs nur Standart-Geräte sind soll die FW2 wieder diverse Funktionen wie VPN usw. für das WLAN zur Verfügung stellen, damit einmal eine Authetifizierung am AP sowie am AD (z.B. über RADIUS in Form von einem VPN-Tunnel) stattfindet.
Da die WLAN-APs nur Standart-Geräte sind soll die FW2 wieder diverse Funktionen wie VPN usw. für das WLAN zur Verfügung stellen, damit einmal eine Authetifizierung am AP sowie am AD (z.B. über RADIUS in Form von einem VPN-Tunnel) stattfindet.
In der DMZ hinter der FW2 würde ich gerne sowas wie Domänencontroller und TK-Anlage
Hmmh, Du weißt schon, daß der DC ins LAN gehört?!? Also für eine Bastellösung, um mal zu sehen, was alles möglich ist, mag es ok sein. Für eine Lösung im Firmenumfeld, also im praktischen Einsatz kann man nur davon abraten. Selbst wenn du es irgendwie zum Laufen bekommst, wird dein Nachfolger das ganze Gewusel abreißen und eine vernünftoige Lösung aufsetzen müssen. Dein Chef wird sich freuen.
Gruß, Arch Stanton
Okay mit dem DC hast Du Recht. Ich mache es dann ohne DMZ hinter FW2. Danke für die Tipps.
