IPFire (Linuxfirewall) im Unternehmen
Hallo,
mich würde es mal interressieren, was ihr davon haltet die IPFire im Unternehmen einzusetzen? Unternehmensgröße 50-200 Personen
Edit: Ich meine natürlich als Firewall und nicht als reinen Proxydienst oder nur als VPN Einwahl....
www.ipfire.org
Für diese IPFire gibt es ja auch professionellen Support und dafür "empfohlene" Hardware.
VG
Touro411
mich würde es mal interressieren, was ihr davon haltet die IPFire im Unternehmen einzusetzen? Unternehmensgröße 50-200 Personen
Edit: Ich meine natürlich als Firewall und nicht als reinen Proxydienst oder nur als VPN Einwahl....
www.ipfire.org
Für diese IPFire gibt es ja auch professionellen Support und dafür "empfohlene" Hardware.
VG
Touro411
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 246935
Url: https://administrator.de/forum/ipfire-linuxfirewall-im-unternehmen-246935.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
15 Kommentare
Neuester Kommentar
Zitat von @touro411:
Für diese IPFire gibt es ja auch professionellen Support und dafür "empfohlene" Hardware.
VG
Touro411
Für diese IPFire gibt es ja auch professionellen Support und dafür "empfohlene" Hardware.
VG
Touro411
Na siehst du. Beantwortet doch deine Frage Ich würde aber mehr zu pfSense/m0n0wall tendieren.
Grüße
Kümmel
Hallo,
das ist wohl eher eine Frage was Ihr nehmen bzw. benutzen könnt.
Denn viele Firmen haben auch Firmen eigene Vorschriften und eventuell auch
durch die Versicherung, Partner, Verbände oder Kunden eine gewisse Vorgabe
dies bezüglich und da muss man einmal zusehen das eben diese auch eingehalten
werden. Als Beispiel gibt es von vielen Versicherungen eine Vorgabe der Zertifizierung
einer Firewall, z.B. muss diese ICSA zertifiziert sein und dann
haftet die Versicherung der Firma bis xyz € und es kommt auch nicht darauf an wie groß
eine Firma ist sondern eher in welcher Branche das Unternehmen tätig ist und was es
denn für Vorschriften gibt, die eingehalten werden muss, ist das nicht der Fall kann man
sich sicherlich auch die IPFire Firewall einmal näher ansehen.
Gruß
Dobby
das ist wohl eher eine Frage was Ihr nehmen bzw. benutzen könnt.
Denn viele Firmen haben auch Firmen eigene Vorschriften und eventuell auch
durch die Versicherung, Partner, Verbände oder Kunden eine gewisse Vorgabe
dies bezüglich und da muss man einmal zusehen das eben diese auch eingehalten
werden. Als Beispiel gibt es von vielen Versicherungen eine Vorgabe der Zertifizierung
einer Firewall, z.B. muss diese ICSA zertifiziert sein und dann
haftet die Versicherung der Firma bis xyz € und es kommt auch nicht darauf an wie groß
eine Firma ist sondern eher in welcher Branche das Unternehmen tätig ist und was es
denn für Vorschriften gibt, die eingehalten werden muss, ist das nicht der Fall kann man
sich sicherlich auch die IPFire Firewall einmal näher ansehen.
Gruß
Dobby
Moin,
als Ergänzung zu Dobby:
Die Frage ist parallel zu organisatorischen Themen, welche Funktionen brauchst du auf der Firewall bzw. UTM. Beispiele:
Ich möchte damit sagen, schau dir andere Firewalls an und dann wirst du merken "och das Feature würde mir das Leben einfacher machen" oder "Mit IPFire ist alles abgedeckt".
Grundsätzlich nie eine Firewall mit DMZ oder Internetzugang virtualisieren. Weiter.
Gruß,
Dani
als Ergänzung zu Dobby:
Die Frage ist parallel zu organisatorischen Themen, welche Funktionen brauchst du auf der Firewall bzw. UTM. Beispiele:
- Wir nutzen BGP und OSPF. Somit würde IP-Fire ausscheiden.
- Einfacher Contentfilter ist kein Problem.
Ich möchte damit sagen, schau dir andere Firewalls an und dann wirst du merken "och das Feature würde mir das Leben einfacher machen" oder "Mit IPFire ist alles abgedeckt".
Grundsätzlich nie eine Firewall mit DMZ oder Internetzugang virtualisieren. Weiter.
Gruß,
Dani
Ich habe seit 2 Wochen Ipfire als reinen Proxy im Einsatz... läuft 1A
Seit ca. 1 Jahr habe ich IPFire als reinen VPN Server im Einsatz... ebenfalls 1A
Nicht die geringsten Probleme....
Seit ca. 1 Jahr habe ich IPFire als reinen VPN Server im Einsatz... ebenfalls 1A
Nicht die geringsten Probleme....
Auf Hardware oder virtualisiert???
Wenn du einmal das Setup einer pfSense gesehen hast:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Willst du nie wieder eine IPFire sehen dessen Setup sehr unübersichtlich und kompliziert ist.
pfSense ist eine semiproffessionelle Firewall und auf Basis von BSD noch sicherer obendrein. Sie lässt sich z.B. statt auf den kleineren ALIX Boards auch auf Watchguard Hardware oder 1HE Server Hardware installieren und ist so flexibel skalierbar.
Nebenbei: Es sind übrigens 95% aller Midrange Firewalls immer Unix basierend ob Linux oder BSD.
Zum Thema Firewall in virtuellen Imgebungen ist ja schon alles gesagt. Das kann man privat und zum Spielen machen aber in professionellen oder Firmenumgebungen hat das logischerweise nichts zu suchen !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Willst du nie wieder eine IPFire sehen dessen Setup sehr unübersichtlich und kompliziert ist.
pfSense ist eine semiproffessionelle Firewall und auf Basis von BSD noch sicherer obendrein. Sie lässt sich z.B. statt auf den kleineren ALIX Boards auch auf Watchguard Hardware oder 1HE Server Hardware installieren und ist so flexibel skalierbar.
Nebenbei: Es sind übrigens 95% aller Midrange Firewalls immer Unix basierend ob Linux oder BSD.
Zum Thema Firewall in virtuellen Imgebungen ist ja schon alles gesagt. Das kann man privat und zum Spielen machen aber in professionellen oder Firmenumgebungen hat das logischerweise nichts zu suchen !
Wir sind hier ebenfalls ein mittelständisches Unternehmen mit rund 100 PCs und setzen seit einigen Jahren IPFire ein. Bei uns läuft das auf einem Dual Core Intel Atom D525 mit zwei Netzwerkanschlüssen (ist so ja für jede Firewall notwendig). Auf diesem System läuft IPFire einwandfrei.
IPFire läuft dabei als Firewall und Proxy. Von den vielen möglichen AddOns setzen wir kaum etwas an.
Ich hatte am Anfang ein paar Probleme mit Update-Accelerator und habe ihn dann nicht mehr aktiiviert. Ansonsten rennt das Teil so wie ich es erwarte.
Ein Mitgrund für die Entscheidung zu IPFire war auch, dass es primär aus Deutschland stammt. Vor ein paar Jahren war NSA ja noch kein Thema, aber inzwischen ist auch das ein Grund für mich, bei IPFire zu bleiben in der Hoffnung, dass auch die NSA draußen bleibt. Updates gibt es alle paar Wochen - mal Bugfixes, mal Neuerungen. Das Projekt lebt auf jeden Fall.
IPFire läuft dabei als Firewall und Proxy. Von den vielen möglichen AddOns setzen wir kaum etwas an.
Ich hatte am Anfang ein paar Probleme mit Update-Accelerator und habe ihn dann nicht mehr aktiiviert. Ansonsten rennt das Teil so wie ich es erwarte.
Ein Mitgrund für die Entscheidung zu IPFire war auch, dass es primär aus Deutschland stammt. Vor ein paar Jahren war NSA ja noch kein Thema, aber inzwischen ist auch das ein Grund für mich, bei IPFire zu bleiben in der Hoffnung, dass auch die NSA draußen bleibt. Updates gibt es alle paar Wochen - mal Bugfixes, mal Neuerungen. Das Projekt lebt auf jeden Fall.
Die relevanten Komponenten aus denen IPFire besteht sind aber nicht Deutsch sondern kommen aus einem gehärteten Linux. Es ist quasi also nur eine spezialisierte Distribution. Das sollte man bei dieser Diskussion nicht vergessen. Die Hoffnung bleibt also bestenfalls eine Hoffnung...
Gravierender Nachteil bei IPFire ist das komplizierte unflexible Management was z.B. bei pfSense erheblich besser gelöst ist. Das pf Ruleset von FreeBSD ist hardwarenaher und entsprechend performanter speziell auf embeddeten Systemen.
Zudem hat pfSense mit CARP (Clustering) usw. einige Funktionen professioneller Firewalls im Firmenumfeld die IPFire eben nicht hat. Ebenso die HW Unterstützung diverser Cryptohardware die VPN Funktionen erheblich beschleunigen.
Letztlich wie immer eine Ansichtssache die ja jeder für sich entscheiden kann...
Gravierender Nachteil bei IPFire ist das komplizierte unflexible Management was z.B. bei pfSense erheblich besser gelöst ist. Das pf Ruleset von FreeBSD ist hardwarenaher und entsprechend performanter speziell auf embeddeten Systemen.
Zudem hat pfSense mit CARP (Clustering) usw. einige Funktionen professioneller Firewalls im Firmenumfeld die IPFire eben nicht hat. Ebenso die HW Unterstützung diverser Cryptohardware die VPN Funktionen erheblich beschleunigen.
Letztlich wie immer eine Ansichtssache die ja jeder für sich entscheiden kann...
Ein Mitgrund für die Entscheidung zu IPFire war auch, dass es primär aus Deutschland stammt.
Und was genau ist da jetzt der Grund? Linux unterstützt mehr Hardware im WLAN Bereich, aberansonsten sehe ich IPFire im Moment zumindest noch eher im privaten Umfeld angesiedelt!
Und bei 100 PCs würde ich schon lange eine UTM von Sophos, Barracuda, PaloAlto oder Netgear
im Einsatz haben.
Vor ein paar Jahren war NSA ja noch kein Thema, aber inzwischen ist auch das ein Grund für mich,
bei IPFire zu bleiben in der Hoffnung, dass auch die NSA draußen bleibt.
Und Du glaubst wirklich dass, wenn man sich an Cisco mit einer 400 Mitarbeiter großenbei IPFire zu bleiben in der Hoffnung, dass auch die NSA draußen bleibt.
Rechtsabteilung heran traut, vor einem deutschen Hobbyprogrammierer halt macht!?
Hier gibt es den BND, den Verfassungschutz, den Staatsschutz, den MaD, das BKA
und die sollten jetzt nicht bei so einem Hobbyprogrammierer aus der OpenSource Szene
anklopfen und den in Ruhe lassen aber an alle namhaften und großen Firmen wie Cisco,
Brocade, Netgear, Zyxel und wie sie alle heißen traut man sich ran, oder wie jetzt???
Das Projekt lebt auf jeden Fall.
Das tun die folgenden auch;- ClearOS
- Eisfair & fli4l
- mOnOwall
- ZeroShell
- DD-WRT
- OpenWRT
- pfSense
- Endian
- OpenBSD & OpenBGPD/OpenOSPFD
- IPCop
Also das Argument lasse ich einfach mal nicht so gelten.
Gruß
Dobby
Hallo,
wir verwenden seit nunmehr einem Jahr IP Fire als transparenten Webproxy, zum loggen und für die Echtzeitüberprüfung auf Schadsoftware über Webbrowser.
Das Setup ist etwas tricky und einiges ist nicht gut gelöst.
LDAP Anbindung ist möglich, aber mir nicht granular genug. Mann kann beispielsweise nicht ordentlich nach Gruppen filtern (LDAP Verschachtelungen).
Allerdings ist das Forum recht stark und das Teil läuft stabil.
Bei uns laufen ca. 100 Clients darüber, auch Streaming und https läuft sehr gut, ich kann mich also nicht beklagen.
Gruß aus Berlin
Kannst Dich auch gern an mich wenden.
Seltsam
wir verwenden seit nunmehr einem Jahr IP Fire als transparenten Webproxy, zum loggen und für die Echtzeitüberprüfung auf Schadsoftware über Webbrowser.
Das Setup ist etwas tricky und einiges ist nicht gut gelöst.
LDAP Anbindung ist möglich, aber mir nicht granular genug. Mann kann beispielsweise nicht ordentlich nach Gruppen filtern (LDAP Verschachtelungen).
Allerdings ist das Forum recht stark und das Teil läuft stabil.
Bei uns laufen ca. 100 Clients darüber, auch Streaming und https läuft sehr gut, ich kann mich also nicht beklagen.
Gruß aus Berlin
Kannst Dich auch gern an mich wenden.
Seltsam
Das Setup ist etwas tricky und einiges ist nicht gut gelöst.
Deshalb ist eine pfSense von der Bedienung und Handhabung erheblich besser:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Als transparenten Prxy lässt sich Squid über die Package Verwaltung nachinstallieren....wie es vermutlich auch bei der IPFire ist ?!
@108012
Eine sehr naive Sichtweise der Dinge.
1. OpenSource ist nicht zwangsweise Linux auch Dein geliebtes Microsoft bietet und benutzt sogar OpenSource
2. Linux gehört keinem Unternehmen und schon gar nicht einem US Unternehmen. Das ist ein erheblicher Vorteil
3. Du darfst gerne probieren Schadcode bei einem Linuxprojekt ein zu schmuggeln, sei aber nicht frustiert wenn es auffällt.
4. wird es dem BND nichts nutzen eine einzelne Person zu infiltrieren, ich denke Du hast da eine sehr einfache Sichtweise.
5. Jedes US Unternehmen ist per US Gesetz verpflichtet den US Geheimdiensten (CIA FBI e.t.c.) Zugang zu verschaffen auch wenn dies gegen Gesetze der jeweiligen Länder verstößt ! Das ganze nennt sich Patriot Act für Dich gerne auf deutsch: http://de.wikipedia.org/wiki/USA_PATRIOT_Act#Auswirkungen_auf_den_Schut ...
6. Ein Unternehmen das wirklich auf Sicherheit bedacht ist, wird kein US Produkt zur Abschirmung einsetzen wegen 5.
Deine Vergleiche zu anderen Projekten hinken.fli4l ist nicht als Produkt für viele Clients vorgesehen. fli4l wurde ursprünglich mal als Floppy (Diskettenvariante) zu Modem und ISDN Zeiten entwickelt. Bei IPCop gab es schon Diskussionen sich ipfire anzuhängen da IPCop mit der Entwicklung hinterher hinkt. Eisfair ist ein kleiner Server für kleine Arbeitsgruppen und nicht zwingend ein Router/Firewall Projekt. Natürlich lässt sich jedes Linux zu einer stabilen sicheren Firewall aufrüsten. Bei allen gängigen Distris sind die notwendigen Programme von Haus aus mit an Board
OpenBSD ist ein Betriebssystem also wie NetBSD, Linux, Windows oder MacOS.
Tut mir leid, aber Deine Argumente kann ich nicht nachvollziehen.
Eine sehr naive Sichtweise der Dinge.
1. OpenSource ist nicht zwangsweise Linux auch Dein geliebtes Microsoft bietet und benutzt sogar OpenSource
2. Linux gehört keinem Unternehmen und schon gar nicht einem US Unternehmen. Das ist ein erheblicher Vorteil
3. Du darfst gerne probieren Schadcode bei einem Linuxprojekt ein zu schmuggeln, sei aber nicht frustiert wenn es auffällt.
4. wird es dem BND nichts nutzen eine einzelne Person zu infiltrieren, ich denke Du hast da eine sehr einfache Sichtweise.
5. Jedes US Unternehmen ist per US Gesetz verpflichtet den US Geheimdiensten (CIA FBI e.t.c.) Zugang zu verschaffen auch wenn dies gegen Gesetze der jeweiligen Länder verstößt ! Das ganze nennt sich Patriot Act für Dich gerne auf deutsch: http://de.wikipedia.org/wiki/USA_PATRIOT_Act#Auswirkungen_auf_den_Schut ...
6. Ein Unternehmen das wirklich auf Sicherheit bedacht ist, wird kein US Produkt zur Abschirmung einsetzen wegen 5.
Deine Vergleiche zu anderen Projekten hinken.fli4l ist nicht als Produkt für viele Clients vorgesehen. fli4l wurde ursprünglich mal als Floppy (Diskettenvariante) zu Modem und ISDN Zeiten entwickelt. Bei IPCop gab es schon Diskussionen sich ipfire anzuhängen da IPCop mit der Entwicklung hinterher hinkt. Eisfair ist ein kleiner Server für kleine Arbeitsgruppen und nicht zwingend ein Router/Firewall Projekt. Natürlich lässt sich jedes Linux zu einer stabilen sicheren Firewall aufrüsten. Bei allen gängigen Distris sind die notwendigen Programme von Haus aus mit an Board
OpenBSD ist ein Betriebssystem also wie NetBSD, Linux, Windows oder MacOS.
Tut mir leid, aber Deine Argumente kann ich nicht nachvollziehen.
Also wenn ich mir das "Pamphlet" von dir so durchlese ist das Wort naiv bei Dir besser
aufgehoben! Ich weiß bei dem ganzen Schwachsinn den Du mir hier vorwirfst gar nicht
mal mehr in welcher Altersgruppe ich Dich einstufen soll! 12,13 oder doch schon 15 Jahre?
MS Windows benutze ich, Linux mag ich und BSD finde ich wirklich gut!
Nur wenn ein solcher Dienst bei RedHat oder OpenSUSE vorbeischaut
werden die sich nicht quer stellen, aber garantiert nicht! Und dabei ist
es egal in welchem Land das passiert!
ehrlich und frei Preis gegeben habe?
die Firmen, Entwickler, oder die treibende und leitende Kraft hinter einem Firewallprojekt
sei es nun Linux oder BSD basierend würde denen die Tür vor der Nase zuschlagen!?
Denn wenn ich persönlich zur Zeit IPFire für den Unternehmenseinsatz für noch nicht
ausgereift genug halte ist das alleine meine Sache und Meinung und eben diese tue ich
hier im Forum so lange kund bis einer der Moderatoren mich anspricht!
auch für 200 Leute und mehr.
und ich weiß nicht welche der obigen von mir genannten Lösungen dem nicht gerecht werden
sollten.
Seite gelandet, sorry! Mit OpenBSD kann man sehr kleine bis hin zu sehr großen Firewalls
oder Router aufsetzen.
und weil Du, zumindest so wie ich das sehe, hier nur Müll geschrieben hast!
Und noch einmal ich würde IPFire noch nicht in Unternehmen einsetzen wollen.
Gruß
Dobby
aufgehoben! Ich weiß bei dem ganzen Schwachsinn den Du mir hier vorwirfst gar nicht
mal mehr in welcher Altersgruppe ich Dich einstufen soll! 12,13 oder doch schon 15 Jahre?
1. OpenSource ist nicht zwangsweise Linux auch Dein geliebtes Microsoft bietet und
benutzt sogar OpenSource
Es ist nur leider weder zielgerichtet noch auf die obige Frage zugeschnitten!benutzt sogar OpenSource
MS Windows benutze ich, Linux mag ich und BSD finde ich wirklich gut!
2. Linux gehört keinem Unternehmen und schon gar nicht einem US Unternehmen.
Das ist ein erheblicher Vorteil
Das habe ich auch nirgends erzählt, oder wo hast Du das gelesen?Das ist ein erheblicher Vorteil
Nur wenn ein solcher Dienst bei RedHat oder OpenSUSE vorbeischaut
werden die sich nicht quer stellen, aber garantiert nicht! Und dabei ist
es egal in welchem Land das passiert!
3. Du darfst gerne probieren Schadcode bei einem Linuxprojekt ein zu schmuggeln,
Warum sollte ich das denn nun tun? Bloß weil ich hier meine eigene Meinung auf eine Frageehrlich und frei Preis gegeben habe?
sei aber nicht frustiert wenn es auffällt.
???4. wird es dem BND nichts nutzen eine einzelne Person zu infiltrieren,
ich denke Du hast da eine sehr einfache Sichtweise.
Ich kann mir kein Land vorstellen in dem der dortige Geheimdienst mehrfach nachfragt undich denke Du hast da eine sehr einfache Sichtweise.
die Firmen, Entwickler, oder die treibende und leitende Kraft hinter einem Firewallprojekt
sei es nun Linux oder BSD basierend würde denen die Tür vor der Nase zuschlagen!?
5. Jedes US Unternehmen ist per US Gesetz verpflichtet den US Geheimdiensten
(CIA FBI e.t.c.) Zugang zu verschaffen auch wenn dies
gegen Gesetze der jeweiligen Länder verstößt ! Das ganze nennt sich Patriot Act
für Dich gerne auf deutsch:
Na wer ist denn hier nun das kleine naive "Kind"?(CIA FBI e.t.c.) Zugang zu verschaffen auch wenn dies
gegen Gesetze der jeweiligen Länder verstößt ! Das ganze nennt sich Patriot Act
für Dich gerne auf deutsch:
6. Ein Unternehmen das wirklich auf Sicherheit bedacht ist, wird kein US Produkt zur
Abschirmung einsetzen wegen 5.
Nein es nimmt die Software von der Crypto AG in der Schweiz die ist ja neutral!Abschirmung einsetzen wegen 5.
Deine Vergleiche zu anderen Projekten hinken.fli4l ist nicht als Produkt für viele
Clients vorgesehen. fli4l wurde ursprünglich mal als Floppy (Diskettenvariante) zu
Modem und ISDN Zeiten entwickelt.
Auf einer sehr leistungsfähigen Hardware ist es locker für 50 - 200 Mitarbeiter zu gebrauchen.Clients vorgesehen. fli4l wurde ursprünglich mal als Floppy (Diskettenvariante) zu
Modem und ISDN Zeiten entwickelt.
Bei IPCop gab es schon Diskussionen sich ipfire anzuhängen da IPCop mit der
Entwicklung hinterher hinkt.
Und was hat das nun mit meinen Vorschlägen zu tun? Ich würde mal rein gar nichts tippen!Entwicklung hinterher hinkt.
Denn wenn ich persönlich zur Zeit IPFire für den Unternehmenseinsatz für noch nicht
ausgereift genug halte ist das alleine meine Sache und Meinung und eben diese tue ich
hier im Forum so lange kund bis einer der Moderatoren mich anspricht!
Eisfair ist ein kleiner Server für kleine Arbeitsgruppen
Und zusammen mit fli4l, nämlich dahinter ist es ein gutes Gespann, richtig dimensioniertauch für 200 Leute und mehr.
und nicht zwingend ein Router/Firewall Projekt.
Habe ich auch nicht behauptet!Natürlich lässt sich jedes Linux zu einer stabilen sicheren Firewall aufrüsten.
Ich würde einmal eher dazu tendieren das OS abzuhärten.Bei allen gängigen Distris sind die notwendigen Programme von Haus aus mit an Board
Darum geht es gar nicht, sondern mehr um das härten und abschotten eines Systemskernsund ich weiß nicht welche der obigen von mir genannten Lösungen dem nicht gerecht werden
sollten.
OpenBSD ist ein Betriebssystem also wie NetBSD, Linux, Windows oder MacOS.
Nach dieser Aussage zu OpenBSD ist das mit dem naiv ist jetzt wohl ganz auf DeinerSeite gelandet, sorry! Mit OpenBSD kann man sehr kleine bis hin zu sehr großen Firewalls
oder Router aufsetzen.
Tut mir leid, aber Deine Argumente kann ich nicht nachvollziehen.
Weil Du gar nicht auf sie eingehst (falls Du das überhaupt wolltest bzw. konntest)und weil Du, zumindest so wie ich das sehe, hier nur Müll geschrieben hast!
Und noch einmal ich würde IPFire noch nicht in Unternehmen einsetzen wollen.
Gruß
Dobby