Firewall OS
Hallo,
Kurz zum Aufbau:
Als erstes kommt eine Watchguard Firewall für den gesamten Verkehr. In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt. In der DMZ steht ein Microsoft Forefront TMG der diverse Microsoftdienste freigibt z.b. Exchange.
Nun weis ich nicht was so wirklich gut für die Firewall in der Mitte ist. Ich habe mal folgende Liste zusammengesetzt:
Untangle
Pfsense
IPCop
Monowall
IPFire
Smoothwall
Endian
Was ich brauche ist QoS, IDS / IPS, ein SMTP und HTTP Proxy mit SPAM und Virenabwehr sowie Reportings an die Mailbenutzer mit eigenen Whit-/Blacklists. Falls das mit dem SMTP Proxy nicht so klappt kann man ja auch noch ein Mail Gateway einsetzen wie z.b. ASSP, oder andere jenachdem womit Ihr bereits Erfahrung habt. Nach Möglichkeit sollte es ein kostenloses OS sein, die Lizenzen für die anderen Produkte waren ziemlich teuer.
Hat jemand einen guten Vorschlag bzw. schon gute Erfahrung mit einem dieser oder einem anderen OS?
Schöne Grüße
BJ
Kurz zum Aufbau:
Als erstes kommt eine Watchguard Firewall für den gesamten Verkehr. In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt. In der DMZ steht ein Microsoft Forefront TMG der diverse Microsoftdienste freigibt z.b. Exchange.
Nun weis ich nicht was so wirklich gut für die Firewall in der Mitte ist. Ich habe mal folgende Liste zusammengesetzt:
Untangle
Pfsense
IPCop
Monowall
IPFire
Smoothwall
Endian
Was ich brauche ist QoS, IDS / IPS, ein SMTP und HTTP Proxy mit SPAM und Virenabwehr sowie Reportings an die Mailbenutzer mit eigenen Whit-/Blacklists. Falls das mit dem SMTP Proxy nicht so klappt kann man ja auch noch ein Mail Gateway einsetzen wie z.b. ASSP, oder andere jenachdem womit Ihr bereits Erfahrung habt. Nach Möglichkeit sollte es ein kostenloses OS sein, die Lizenzen für die anderen Produkte waren ziemlich teuer.
Hat jemand einen guten Vorschlag bzw. schon gute Erfahrung mit einem dieser oder einem anderen OS?
Schöne Grüße
BJ
12 Antworten
- LÖSUNG Arch-Stanton schreibt am 18.08.2011 um 09:50:09 Uhr
- LÖSUNG BlackJack0190 schreibt am 18.08.2011 um 10:23:44 Uhr
- LÖSUNG Chris85 schreibt am 18.08.2011 um 10:42:12 Uhr
- LÖSUNG BlackJack0190 schreibt am 18.08.2011 um 17:38:23 Uhr
- LÖSUNG Chris85 schreibt am 18.08.2011 um 10:42:12 Uhr
- LÖSUNG BlackJack0190 schreibt am 18.08.2011 um 10:23:44 Uhr
- LÖSUNG dog schreibt am 18.08.2011 um 21:40:01 Uhr
- LÖSUNG BlackJack0190 schreibt am 18.08.2011 um 21:49:03 Uhr
- LÖSUNG 16409 schreibt am 25.08.2011 um 14:40:42 Uhr
- LÖSUNG BlackJack0190 schreibt am 25.08.2011 um 16:05:18 Uhr
- LÖSUNG 16409 schreibt am 25.08.2011 um 21:43:33 Uhr
- LÖSUNG BlackJack0190 schreibt am 25.08.2011 um 21:56:28 Uhr
- LÖSUNG Arch-Stanton schreibt am 26.08.2011 um 11:57:43 Uhr
- LÖSUNG BlackJack0190 schreibt am 26.08.2011 um 12:01:12 Uhr
- LÖSUNG Arch-Stanton schreibt am 26.08.2011 um 11:57:43 Uhr
- LÖSUNG BlackJack0190 schreibt am 25.08.2011 um 21:56:28 Uhr
- LÖSUNG 16409 schreibt am 25.08.2011 um 21:43:33 Uhr
- LÖSUNG BlackJack0190 schreibt am 25.08.2011 um 16:05:18 Uhr
- LÖSUNG 16409 schreibt am 25.08.2011 um 14:40:42 Uhr
- LÖSUNG BlackJack0190 schreibt am 18.08.2011 um 21:49:03 Uhr
LÖSUNG 18.08.2011 um 09:50 Uhr
LÖSUNG 18.08.2011 um 10:23 Uhr
Danke für deine Antwort. Es wäre schön wenn die Zoo These noch begründet werden würde. Was spricht gegen zwei Firewalls von zwei verschiedenen Herstellern? Somit kann man z.b. fehlerhafte Updates vorbeugen. Wenn technische- und Verwaltungsressourcen vorhandene sind sollte der "Zoo" kein Problem sein.
Gruß BJ
Gruß BJ
LÖSUNG 18.08.2011 um 10:42 Uhr
LÖSUNG 18.08.2011 um 17:38 Uhr
LÖSUNG 18.08.2011 um 21:40 Uhr
LÖSUNG 18.08.2011 um 21:49 Uhr
Jup das stimmt schon wobei pfsense BSD nutzt. Ich habe mal gehört das BSD ein stabilieren Kernel haben soll was Netzwerk angeht, ob das so ist oder nicht sei mal dahin gestellt. Nur die Frage ist, welcher dieser Distributionen ist empfehlenswert? Welcher untertützt die o.g. Features? Welche Erfahrungen habt ihr mit diesen gemacht? Wo ist die Anordnung der Knöpfe am feinsten?
Beispielsweise sind mir bei Endian die alten Pakete aufgefallen und die IPSec funktion (entweder openSWAN oder freeSWAN weis gerade nichtmehr welche) ist nicht gerade Stabil in Kombination mit z.B. Watchguard IPSec. Was für ein OS Watchguard nutzt und wodrauf das basiert, oder ob es was ganz anderes ist, weis ich nicht.
Pfsense hatte ich schon was zu gesagt.
Monowall hat zuwenig funktionen.
Smoothwall / IpFire und IPCop habe ich noch nicht getestet.
Untangle hatte ich bei der Installation auf einer VM (testweise) Probleme, somit kann ich dazu auch noch nichts sagen.
Beispielsweise sind mir bei Endian die alten Pakete aufgefallen und die IPSec funktion (entweder openSWAN oder freeSWAN weis gerade nichtmehr welche) ist nicht gerade Stabil in Kombination mit z.B. Watchguard IPSec. Was für ein OS Watchguard nutzt und wodrauf das basiert, oder ob es was ganz anderes ist, weis ich nicht.
Pfsense hatte ich schon was zu gesagt.
Monowall hat zuwenig funktionen.
Smoothwall / IpFire und IPCop habe ich noch nicht getestet.
Untangle hatte ich bei der Installation auf einer VM (testweise) Probleme, somit kann ich dazu auch noch nichts sagen.
LÖSUNG 25.08.2011 um 14:40 Uhr
Hallo,
was willst du genau mit der 2. Firewall machen? Aus deinem Satz ist mir das nicht ganz klar. "In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt."
Eigentlich würde ich das Netzwerk so aufbauen FW1 -> DMZ -> FW2 -> LAN, somit verteilt die 2. Firewall keine Sachen in die DMZ.
Aus Administrativer Sicht würde ich persönlich immer bei einem Firewall System bleiben, da es sonst sehr schnell zu Verwechslungen in der Administration kommen kann. Jedes System hat meistens auf eineetwas andere Konfiguration.
Wie groß ist dein Netzwerk? Ich würde den SMTP und HTTP Proxy als dedizierten Server in die DMZ oder auf Firewall 1 setzen aber nicht auf der Firewall 2.
Mit IPCop v2 habe ich gute Erfahrungen gesammelt. Läuft sehr stabil und sicher.
was willst du genau mit der 2. Firewall machen? Aus deinem Satz ist mir das nicht ganz klar. "In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt."
Eigentlich würde ich das Netzwerk so aufbauen FW1 -> DMZ -> FW2 -> LAN, somit verteilt die 2. Firewall keine Sachen in die DMZ.
Aus Administrativer Sicht würde ich persönlich immer bei einem Firewall System bleiben, da es sonst sehr schnell zu Verwechslungen in der Administration kommen kann. Jedes System hat meistens auf eineetwas andere Konfiguration.
Wie groß ist dein Netzwerk? Ich würde den SMTP und HTTP Proxy als dedizierten Server in die DMZ oder auf Firewall 1 setzen aber nicht auf der Firewall 2.
Mit IPCop v2 habe ich gute Erfahrungen gesammelt. Läuft sehr stabil und sicher.
LÖSUNG 25.08.2011 um 16:05 Uhr
Also ich wollte es gerne so aufbauen:
FW1
|
DMZ
|
FW2
| |
DMZ LAN
In der DMZ hinter FW1 sollen externe Dienste laufen in der DMZ hinter FW2 interne Dienste. Des Weiteren soll das LAN in 4 VLANs getrennt werden. Einmal ein für Mobile Entgeräte, eine für die Thin- und Fat-Clients, eine für VOIP und die 4te für Steuergeräte über IP (z.B. Tore).
FW1 soll nur reine netzwerüberwachung leisten, in der DMZ werde ich dann die Proxys unterbringen. Bei dem SMTP Proxy habe ich in den letzten Tage einmal Mailcleaner getestet und bis dato gute Erfahrung gesammelt, muss aber noch länger getestet werden.
FW2 soll dafür Sorgen das nichts nach intern gelangt und soll einen Proxy bereitstellen der z.B. SPAM-Werbung und Viren aus dem Web fernhält.
Der Micorosft Forefront TMG soll dann in die DMZ zwischen FW1 und FW2 für externe Freigaben.
Derzeitig sieht es in entwa so aus:
FW1
| |
DMZ LAN
In der DMZ steht ein TMG als interner und externer Proxy.
FW1
|
DMZ
|
FW2
| |
DMZ LAN
In der DMZ hinter FW1 sollen externe Dienste laufen in der DMZ hinter FW2 interne Dienste. Des Weiteren soll das LAN in 4 VLANs getrennt werden. Einmal ein für Mobile Entgeräte, eine für die Thin- und Fat-Clients, eine für VOIP und die 4te für Steuergeräte über IP (z.B. Tore).
FW1 soll nur reine netzwerüberwachung leisten, in der DMZ werde ich dann die Proxys unterbringen. Bei dem SMTP Proxy habe ich in den letzten Tage einmal Mailcleaner getestet und bis dato gute Erfahrung gesammelt, muss aber noch länger getestet werden.
FW2 soll dafür Sorgen das nichts nach intern gelangt und soll einen Proxy bereitstellen der z.B. SPAM-Werbung und Viren aus dem Web fernhält.
Der Micorosft Forefront TMG soll dann in die DMZ zwischen FW1 und FW2 für externe Freigaben.
Derzeitig sieht es in entwa so aus:
FW1
| |
DMZ LAN
In der DMZ steht ein TMG als interner und externer Proxy.
LÖSUNG 25.08.2011 um 21:43 Uhr
Ok soweit so gut. Aber ich verstehe nicht warum du hinter FW2 noch eine DMZ haben willst.
Die DMZ beinhaltet in der Regel ja alle Dienste die mit dem INternet kommunizieren. Somit schützt du all Komponenten durch FW1 und erlaubst den Zugriff vom Internet auf DMZ Dienste in der FW 2.
In der DMZ sollten dann auch alle Server / Komponenten stehen, die das interne LAN mit dem NIternet verbidnen z. b. Proxys. FW 2 regelt dann den Zugriff vom LAN nach DMZ und DMZ nach LAN. Dadurch erlangst du einen vollwertigen Schutz und hast keine doppelten DMZ.
So wäre ein logischer Aufbau.
Ich vermute mal, das du einen Webproxy einsetzen möchtest, oder? Dieser sollte dann ein eigener Server oder fie FW1 sein. FW2 macht keinen Sinn, denn dann würdest du diese ja wieder mit dem Internet verbinden. FW2 sollte eigentlich nicht mit dem Interent verbunden werden, lediglich mit DMZ und LAN. So ist dein Netzwerk relativ sicher.
Wenn man dann in dein LAN eindrigen möchte muss zu nächst die FW1 überwunden und dann die FW2. Damit du einen besser Schutz hast, würde ich FW 2 so konfigurieren, dass keine Pakete von FW1 durchgelassen werden, sondern nur Pakete von Servern in der DMZ. Somit muss ein Hacker nciht nur FW 1 hacken, sondern auch noch einen Server in der DMZ.
Die DMZ beinhaltet in der Regel ja alle Dienste die mit dem INternet kommunizieren. Somit schützt du all Komponenten durch FW1 und erlaubst den Zugriff vom Internet auf DMZ Dienste in der FW 2.
In der DMZ sollten dann auch alle Server / Komponenten stehen, die das interne LAN mit dem NIternet verbidnen z. b. Proxys. FW 2 regelt dann den Zugriff vom LAN nach DMZ und DMZ nach LAN. Dadurch erlangst du einen vollwertigen Schutz und hast keine doppelten DMZ.
So wäre ein logischer Aufbau.
Ich vermute mal, das du einen Webproxy einsetzen möchtest, oder? Dieser sollte dann ein eigener Server oder fie FW1 sein. FW2 macht keinen Sinn, denn dann würdest du diese ja wieder mit dem Internet verbinden. FW2 sollte eigentlich nicht mit dem Interent verbunden werden, lediglich mit DMZ und LAN. So ist dein Netzwerk relativ sicher.
Wenn man dann in dein LAN eindrigen möchte muss zu nächst die FW1 überwunden und dann die FW2. Damit du einen besser Schutz hast, würde ich FW 2 so konfigurieren, dass keine Pakete von FW1 durchgelassen werden, sondern nur Pakete von Servern in der DMZ. Somit muss ein Hacker nciht nur FW 1 hacken, sondern auch noch einen Server in der DMZ.
LÖSUNG 25.08.2011 um 21:56 Uhr
Danke für deien Antwort. In der DMZ hinter der FW2 würde ich gerne sowas wie Domänencontroller und TK-Anlage setzen, damit die erst garnicht mit dem LAN direkt verbunden sind. Es gibt ja auch Experten die im LAN fummeln bzw. im WLAN. Deshalb soll das WLAN (Mobile lokale Entgeräte) auch in ein eigenes VLAN und vom LAN getrennt werden.
Da die WLAN-APs nur Standart-Geräte sind soll die FW2 wieder diverse Funktionen wie VPN usw. für das WLAN zur Verfügung stellen, damit einmal eine Authetifizierung am AP sowie am AD (z.B. über RADIUS in Form von einem VPN-Tunnel) stattfindet.
Da die WLAN-APs nur Standart-Geräte sind soll die FW2 wieder diverse Funktionen wie VPN usw. für das WLAN zur Verfügung stellen, damit einmal eine Authetifizierung am AP sowie am AD (z.B. über RADIUS in Form von einem VPN-Tunnel) stattfindet.
LÖSUNG 26.08.2011 um 11:57 Uhr
In der DMZ hinter der FW2 würde ich gerne sowas wie Domänencontroller und TK-Anlage
Hmmh, Du weißt schon, daß der DC ins LAN gehört?!? Also für eine Bastellösung, um mal zu sehen, was alles möglich ist, mag es ok sein. Für eine Lösung im Firmenumfeld, also im praktischen Einsatz kann man nur davon abraten. Selbst wenn du es irgendwie zum Laufen bekommst, wird dein Nachfolger das ganze Gewusel abreißen und eine vernünftoige Lösung aufsetzen müssen. Dein Chef wird sich freuen.
Gruß, Arch Stanton
LÖSUNG 26.08.2011 um 12:01 Uhr