touro411
Goto Top

IPFire (Linuxfirewall) im Unternehmen

Hallo,

mich würde es mal interressieren, was ihr davon haltet die IPFire im Unternehmen einzusetzen? Unternehmensgröße 50-200 Personen

Edit: Ich meine natürlich als Firewall und nicht als reinen Proxydienst oder nur als VPN Einwahl....

www.ipfire.org

Für diese IPFire gibt es ja auch professionellen Support und dafür "empfohlene" Hardware.

VG

Touro411

Content-ID: 246935

Url: https://administrator.de/forum/ipfire-linuxfirewall-im-unternehmen-246935.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

Kuemmel
Kuemmel 20.08.2014 um 13:14:24 Uhr
Goto Top
Zitat von @touro411:
Für diese IPFire gibt es ja auch professionellen Support und dafür "empfohlene" Hardware.

VG

Touro411

Na siehst du. Beantwortet doch deine Frage face-wink Ich würde aber mehr zu pfSense/m0n0wall tendieren.

Grüße
Kümmel
108012
108012 20.08.2014 um 13:35:00 Uhr
Goto Top
Hallo,

das ist wohl eher eine Frage was Ihr nehmen bzw. benutzen könnt.
Denn viele Firmen haben auch Firmen eigene Vorschriften und eventuell auch
durch die Versicherung, Partner, Verbände oder Kunden eine gewisse Vorgabe
dies bezüglich und da muss man einmal zusehen das eben diese auch eingehalten
werden. Als Beispiel gibt es von vielen Versicherungen eine Vorgabe der Zertifizierung
einer Firewall, z.B. muss diese ICSA zertifiziert sein und dann
haftet die Versicherung der Firma bis xyz € und es kommt auch nicht darauf an wie groß
eine Firma ist sondern eher in welcher Branche das Unternehmen tätig ist und was es
denn für Vorschriften gibt, die eingehalten werden muss, ist das nicht der Fall kann man
sich sicherlich auch die IPFire Firewall einmal näher ansehen.

Gruß
Dobby
Flo985
Flo985 20.08.2014 um 14:45:21 Uhr
Goto Top
Wäre schön, wenn jemand mal seine Erfahrungen dazu berichten könnte...
Setze aktuell Endian bei uns als virt. Maschine in Hyper-V ein, läuft allerdings nicht wirklich sehr stabil.
touro411
touro411 20.08.2014 um 15:56:31 Uhr
Goto Top
Zitat von @Flo985:

Wäre schön, wenn jemand mal seine Erfahrungen dazu berichten könnte...
Setze aktuell Endian bei uns als virt. Maschine in Hyper-V ein, läuft allerdings nicht wirklich sehr stabil.

Ich habe seit 2 Wochen Ipfire als reinen Proxy im Einsatz... läuft 1A

Seit ca. 1 Jahr habe ich IPFire als reinen VPN Server im Einsatz... ebenfalls 1A

Nicht die geringsten Probleme....
Dani
Dani 20.08.2014 um 21:49:12 Uhr
Goto Top
Moin,
als Ergänzung zu Dobby:
Die Frage ist parallel zu organisatorischen Themen, welche Funktionen brauchst du auf der Firewall bzw. UTM. Beispiele:
  • Wir nutzen BGP und OSPF. Somit würde IP-Fire ausscheiden.
  • Einfacher Contentfilter ist kein Problem.

Ich möchte damit sagen, schau dir andere Firewalls an und dann wirst du merken "och das Feature würde mir das Leben einfacher machen" oder "Mit IPFire ist alles abgedeckt".

Grundsätzlich nie eine Firewall mit DMZ oder Internetzugang virtualisieren. Weiter.


Gruß,
Dani
Flo985
Flo985 21.08.2014 um 07:29:04 Uhr
Goto Top
Zitat von @touro411:

Ich habe seit 2 Wochen Ipfire als reinen Proxy im Einsatz... läuft 1A

Seit ca. 1 Jahr habe ich IPFire als reinen VPN Server im Einsatz... ebenfalls 1A

Nicht die geringsten Probleme....

Auf Hardware oder virtualisiert???
touro411
touro411 21.08.2014 um 08:34:52 Uhr
Goto Top
Auf Hardware oder virtualisiert???

Seit ca. 1 Jahr habe ich IPFire als reinen VPN Server im Einsatz... ebenfalls 1A
Auf einem Alix 2d13, also Hardware

Ich habe seit 2 Wochen Ipfire als reinen Proxy im Einsatz... läuft 1A
HyperV - Virtuell...
aqui
aqui 21.08.2014 aktualisiert um 08:55:16 Uhr
Goto Top
Wenn du einmal das Setup einer pfSense gesehen hast:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Willst du nie wieder eine IPFire sehen dessen Setup sehr unübersichtlich und kompliziert ist.
pfSense ist eine semiproffessionelle Firewall und auf Basis von BSD noch sicherer obendrein. Sie lässt sich z.B. statt auf den kleineren ALIX Boards auch auf Watchguard Hardware oder 1HE Server Hardware installieren und ist so flexibel skalierbar.
Nebenbei: Es sind übrigens 95% aller Midrange Firewalls immer Unix basierend ob Linux oder BSD.

Zum Thema Firewall in virtuellen Imgebungen ist ja schon alles gesagt. Das kann man privat und zum Spielen machen aber in professionellen oder Firmenumgebungen hat das logischerweise nichts zu suchen !
Pepito
Pepito 19.09.2014 um 10:45:57 Uhr
Goto Top
Wir sind hier ebenfalls ein mittelständisches Unternehmen mit rund 100 PCs und setzen seit einigen Jahren IPFire ein. Bei uns läuft das auf einem Dual Core Intel Atom D525 mit zwei Netzwerkanschlüssen (ist so ja für jede Firewall notwendig). Auf diesem System läuft IPFire einwandfrei.
IPFire läuft dabei als Firewall und Proxy. Von den vielen möglichen AddOns setzen wir kaum etwas an.
Ich hatte am Anfang ein paar Probleme mit Update-Accelerator und habe ihn dann nicht mehr aktiiviert. Ansonsten rennt das Teil so wie ich es erwarte.
Ein Mitgrund für die Entscheidung zu IPFire war auch, dass es primär aus Deutschland stammt. Vor ein paar Jahren war NSA ja noch kein Thema, aber inzwischen ist auch das ein Grund für mich, bei IPFire zu bleiben in der Hoffnung, dass auch die NSA draußen bleibt. Updates gibt es alle paar Wochen - mal Bugfixes, mal Neuerungen. Das Projekt lebt auf jeden Fall.
aqui
aqui 19.09.2014 aktualisiert um 11:04:26 Uhr
Goto Top
Die relevanten Komponenten aus denen IPFire besteht sind aber nicht Deutsch sondern kommen aus einem gehärteten Linux. Es ist quasi also nur eine spezialisierte Distribution. Das sollte man bei dieser Diskussion nicht vergessen. Die Hoffnung bleibt also bestenfalls eine Hoffnung...
Gravierender Nachteil bei IPFire ist das komplizierte unflexible Management was z.B. bei pfSense erheblich besser gelöst ist. Das pf Ruleset von FreeBSD ist hardwarenaher und entsprechend performanter speziell auf embeddeten Systemen.
Zudem hat pfSense mit CARP (Clustering) usw. einige Funktionen professioneller Firewalls im Firmenumfeld die IPFire eben nicht hat. Ebenso die HW Unterstützung diverser Cryptohardware die VPN Funktionen erheblich beschleunigen.
Letztlich wie immer eine Ansichtssache die ja jeder für sich entscheiden kann...
108012
108012 19.09.2014 um 11:15:42 Uhr
Goto Top
Ein Mitgrund für die Entscheidung zu IPFire war auch, dass es primär aus Deutschland stammt.
Und was genau ist da jetzt der Grund? Linux unterstützt mehr Hardware im WLAN Bereich, aber
ansonsten sehe ich IPFire im Moment zumindest noch eher im privaten Umfeld angesiedelt!

Und bei 100 PCs würde ich schon lange eine UTM von Sophos, Barracuda, PaloAlto oder Netgear
im Einsatz haben.

Vor ein paar Jahren war NSA ja noch kein Thema, aber inzwischen ist auch das ein Grund für mich,
bei IPFire zu bleiben in der Hoffnung, dass auch die NSA draußen bleibt.
Und Du glaubst wirklich dass, wenn man sich an Cisco mit einer 400 Mitarbeiter großen
Rechtsabteilung heran traut, vor einem deutschen Hobbyprogrammierer halt macht!?
Hier gibt es den BND, den Verfassungschutz, den Staatsschutz, den MaD, das BKA
und die sollten jetzt nicht bei so einem Hobbyprogrammierer aus der OpenSource Szene
anklopfen und den in Ruhe lassen aber an alle namhaften und großen Firmen wie Cisco,
Brocade, Netgear, Zyxel und wie sie alle heißen traut man sich ran, oder wie jetzt???

Das Projekt lebt auf jeden Fall.
Das tun die folgenden auch;
- ClearOS
- Eisfair & fli4l
- mOnOwall
- ZeroShell
- DD-WRT
- OpenWRT
- pfSense
- Endian
- OpenBSD & OpenBGPD/OpenOSPFD
- IPCop

Also das Argument lasse ich einfach mal nicht so gelten.

Gruß
Dobby
seltsam
seltsam 23.09.2014 um 10:56:15 Uhr
Goto Top
Hallo,

wir verwenden seit nunmehr einem Jahr IP Fire als transparenten Webproxy, zum loggen und für die Echtzeitüberprüfung auf Schadsoftware über Webbrowser.
Das Setup ist etwas tricky und einiges ist nicht gut gelöst.
LDAP Anbindung ist möglich, aber mir nicht granular genug. Mann kann beispielsweise nicht ordentlich nach Gruppen filtern (LDAP Verschachtelungen).
Allerdings ist das Forum recht stark und das Teil läuft stabil.
Bei uns laufen ca. 100 Clients darüber, auch Streaming und https läuft sehr gut, ich kann mich also nicht beklagen.

Gruß aus Berlin

Kannst Dich auch gern an mich wenden.


Seltsam
aqui
aqui 23.09.2014 aktualisiert um 11:10:05 Uhr
Goto Top
Das Setup ist etwas tricky und einiges ist nicht gut gelöst.
Deshalb ist eine pfSense von der Bedienung und Handhabung erheblich besser:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Als transparenten Prxy lässt sich Squid über die Package Verwaltung nachinstallieren....wie es vermutlich auch bei der IPFire ist ?!
freeinternet
freeinternet 31.12.2014 aktualisiert um 18:32:26 Uhr
Goto Top
@108012
Eine sehr naive Sichtweise der Dinge.
1. OpenSource ist nicht zwangsweise Linux auch Dein geliebtes Microsoft bietet und benutzt sogar OpenSource
2. Linux gehört keinem Unternehmen und schon gar nicht einem US Unternehmen. Das ist ein erheblicher Vorteil
3. Du darfst gerne probieren Schadcode bei einem Linuxprojekt ein zu schmuggeln, sei aber nicht frustiert wenn es auffällt.
4. wird es dem BND nichts nutzen eine einzelne Person zu infiltrieren, ich denke Du hast da eine sehr einfache Sichtweise.
5. Jedes US Unternehmen ist per US Gesetz verpflichtet den US Geheimdiensten (CIA FBI e.t.c.) Zugang zu verschaffen auch wenn dies gegen Gesetze der jeweiligen Länder verstößt ! Das ganze nennt sich Patriot Act für Dich gerne auf deutsch: http://de.wikipedia.org/wiki/USA_PATRIOT_Act#Auswirkungen_auf_den_Schut ...
6. Ein Unternehmen das wirklich auf Sicherheit bedacht ist, wird kein US Produkt zur Abschirmung einsetzen wegen 5.


Deine Vergleiche zu anderen Projekten hinken.fli4l ist nicht als Produkt für viele Clients vorgesehen. fli4l wurde ursprünglich mal als Floppy (Diskettenvariante) zu Modem und ISDN Zeiten entwickelt. Bei IPCop gab es schon Diskussionen sich ipfire anzuhängen da IPCop mit der Entwicklung hinterher hinkt. Eisfair ist ein kleiner Server für kleine Arbeitsgruppen und nicht zwingend ein Router/Firewall Projekt. Natürlich lässt sich jedes Linux zu einer stabilen sicheren Firewall aufrüsten. Bei allen gängigen Distris sind die notwendigen Programme von Haus aus mit an Board
OpenBSD ist ein Betriebssystem also wie NetBSD, Linux, Windows oder MacOS.

Tut mir leid, aber Deine Argumente kann ich nicht nachvollziehen.
108012
108012 06.03.2015 um 22:38:34 Uhr
Goto Top
Zitat von @freeinternet:

@108012
Eine sehr naive Sichtweise der Dinge.
Also wenn ich mir das "Pamphlet" von dir so durchlese ist das Wort naiv bei Dir besser
aufgehoben! Ich weiß bei dem ganzen Schwachsinn den Du mir hier vorwirfst gar nicht
mal mehr in welcher Altersgruppe ich Dich einstufen soll! 12,13 oder doch schon 15 Jahre?

1. OpenSource ist nicht zwangsweise Linux auch Dein geliebtes Microsoft bietet und
benutzt sogar OpenSource
Es ist nur leider weder zielgerichtet noch auf die obige Frage zugeschnitten!
MS Windows benutze ich, Linux mag ich und BSD finde ich wirklich gut!

2. Linux gehört keinem Unternehmen und schon gar nicht einem US Unternehmen.
Das ist ein erheblicher Vorteil
Das habe ich auch nirgends erzählt, oder wo hast Du das gelesen?
Nur wenn ein solcher Dienst bei RedHat oder OpenSUSE vorbeischaut
werden die sich nicht quer stellen, aber garantiert nicht! Und dabei ist
es egal in welchem Land das passiert!

3. Du darfst gerne probieren Schadcode bei einem Linuxprojekt ein zu schmuggeln,
Warum sollte ich das denn nun tun? Bloß weil ich hier meine eigene Meinung auf eine Frage
ehrlich und frei Preis gegeben habe?

sei aber nicht frustiert wenn es auffällt.
???

4. wird es dem BND nichts nutzen eine einzelne Person zu infiltrieren,
ich denke Du hast da eine sehr einfache Sichtweise.
Ich kann mir kein Land vorstellen in dem der dortige Geheimdienst mehrfach nachfragt und
die Firmen, Entwickler, oder die treibende und leitende Kraft hinter einem Firewallprojekt
sei es nun Linux oder BSD basierend würde denen die Tür vor der Nase zuschlagen!?

5. Jedes US Unternehmen ist per US Gesetz verpflichtet den US Geheimdiensten
(CIA FBI e.t.c.) Zugang zu verschaffen auch wenn dies
gegen Gesetze der jeweiligen Länder verstößt ! Das ganze nennt sich Patriot Act
für Dich gerne auf deutsch:
Na wer ist denn hier nun das kleine naive "Kind"?

6. Ein Unternehmen das wirklich auf Sicherheit bedacht ist, wird kein US Produkt zur
Abschirmung einsetzen wegen 5.
Nein es nimmt die Software von der Crypto AG in der Schweiz die ist ja neutral!

Deine Vergleiche zu anderen Projekten hinken.fli4l ist nicht als Produkt für viele
Clients vorgesehen. fli4l wurde ursprünglich mal als Floppy (Diskettenvariante) zu
Modem und ISDN Zeiten entwickelt.
Auf einer sehr leistungsfähigen Hardware ist es locker für 50 - 200 Mitarbeiter zu gebrauchen.

Bei IPCop gab es schon Diskussionen sich ipfire anzuhängen da IPCop mit der
Entwicklung hinterher hinkt.
Und was hat das nun mit meinen Vorschlägen zu tun? Ich würde mal rein gar nichts tippen!
Denn wenn ich persönlich zur Zeit IPFire für den Unternehmenseinsatz für noch nicht
ausgereift genug halte ist das alleine meine Sache und Meinung und eben diese tue ich
hier im Forum so lange kund bis einer der Moderatoren mich anspricht!

Eisfair ist ein kleiner Server für kleine Arbeitsgruppen
Und zusammen mit fli4l, nämlich dahinter ist es ein gutes Gespann, richtig dimensioniert
auch für 200 Leute und mehr.

und nicht zwingend ein Router/Firewall Projekt.
Habe ich auch nicht behauptet!

Natürlich lässt sich jedes Linux zu einer stabilen sicheren Firewall aufrüsten.
Ich würde einmal eher dazu tendieren das OS abzuhärten.

Bei allen gängigen Distris sind die notwendigen Programme von Haus aus mit an Board
Darum geht es gar nicht, sondern mehr um das härten und abschotten eines Systemskerns
und ich weiß nicht welche der obigen von mir genannten Lösungen dem nicht gerecht werden
sollten.

OpenBSD ist ein Betriebssystem also wie NetBSD, Linux, Windows oder MacOS.
Nach dieser Aussage zu OpenBSD ist das mit dem naiv ist jetzt wohl ganz auf Deiner
Seite gelandet, sorry! Mit OpenBSD kann man sehr kleine bis hin zu sehr großen Firewalls
oder Router aufsetzen.

Tut mir leid, aber Deine Argumente kann ich nicht nachvollziehen.
Weil Du gar nicht auf sie eingehst (falls Du das überhaupt wolltest bzw. konntest)
und weil Du, zumindest so wie ich das sehe, hier nur Müll geschrieben hast!

Und noch einmal ich würde IPFire noch nicht in Unternehmen einsetzen wollen.


Gruß
Dobby