Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense als Addon auf QNAP

Mitglied: magicteddy

magicteddy (Level 2) - Jetzt verbinden

22.01.2018 um 21:01 Uhr, 2867 Aufrufe, 7 Kommentare, 2 Danke

Moin,

für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird:
https://www.qnap.com/en/news/2018/qnap-and-netgate-showcase-nas-with-pfs ...

In Anbetracht auf Spectre und Meltdown und was da eventuell noch gefunden wird habe ich mindestens Bauchgrummeln bei einer virtualisierten Firewall ...

-teddy
Mitglied: maretz
23.01.2018 um 00:01 Uhr
Und warum glaubst du das die "virtuelle" Firewall sich von der physikalischen so sehr unterscheidet? Meinst du das der Host von VMs da irgendwie nen Kessel hat und dunkle Magie ausübt? Da ist nicht sooo der grosse Unterschied - denn deine physikalische Hardware kann genauso betroffen sein. Und nur mal unter uns Klosterbrüdern - guck doch mal nach wieviele Hardware-Firewalls die jetzt mal so 2-3 Jahre alt sind dann noch wirklich nen Patch bekommen und/oder dies sogar kostenlos schaffen (z.B. Cisco ASA....). Von den China-Geräten wollen wir nicht erst anfangen, oder? Und du bekommst "magengrummeln" bei VM-Hardware? Na, Prost...
Bitte warten ..
Mitglied: magicteddy
23.01.2018 um 02:26 Uhr
Für die bisher bekannten Angriffe besteht die Notwendigkeit Code auf der Maschine auszuführen, auf dedizierter Hardware wo nur die Firewall selber läuft ist es ohne physische Zugriff eine Ecke schwerer als auf einer NAS mit Virtualisierungsfunktionen und ggf. weiteren Addons ...

-teddy
Bitte warten ..
Mitglied: certifiedit.net
23.01.2018 um 09:47 Uhr
Zitat von magicteddy:

Für die bisher bekannten Angriffe besteht die Notwendigkeit Code auf der Maschine auszuführen auf dedizierter Hardware wo nur die Firewall selber läuft ist es ohne physische Zugriff eine Ecke schwerer als auf einer NAS mit Virtualisierungsfunktionen und ggf. weiteren Addons ...

-teddy

Das ist der Hauptgrund und das ist auch der Grund, warum eine virtuelle Firewall Sicherheitstechnisch weit hinter einer phys. liegt.
Bitte warten ..
Mitglied: maretz
23.01.2018 um 19:15 Uhr
Ich finde es lustig das ihr es an virtuell oder physikalisch festmacht... Wenn ich mir angucke das Hersteller wie Cisco selbst bei kritischen Dingen ohne gültigen Support-Vertrag in der Regel nix machen weiss ich ernsthaft nicht ob ich einer gut gepflegten virtuellen FW mehr vertrauen würde...

Alternativ würde ich einfach mal überlegen das der grösste Faktor eben immer noch vorm Monitor sitzt - auch da macht es keinen Unterschied ob virtuell oder physikalisch. Es bringt wenig wenn ich eine Firewall auf "Any2Any" setze weil ich keine Zeit / Kenntnisse habe mich damit auseinanderzusetzen bzw. die Logs zwar irgendwo auf dem tollen Log-Server laufen aber da auch nur die Platte füllen aber nie angesehen werden.

Von daher sehe ich halt nicht so generell das etwas "virtuelles" per Default unsicherer sein soll als was physikalisches. Klar - wenn ich auf der virtuellen Kiste daneben noch schnell den Gameserver, den IRC-Chat (gibts den noch?),... laufen lasse - dann ja. Und gehe ich auf die physikalische Firewall und haue da mit mehr oder weniger Gewalt irgendwelche Pakete rein dann hat sich das Thema genausoschnell wieder erledigt...
Bitte warten ..
Mitglied: certifiedit.net
23.01.2018 um 19:39 Uhr
Irgendwie generell richtig. Die Sache ist aber die, auf einem HV-Host installierst du wahrscheinlicher mal ProgrammX (Muss schliesslich nichtmal von schlechten Eltern sein, der eine oder andere böse Programmierer reicht um den Code zu verwanzen.) und was, wenn dann dieses Programm über die Lücke die FW manipuliert?

Die Frage nach dem User/DAU-Admin vor dem PC stellt sich erstmals nicht, denn man installiert logischerweise auf einem Android/Ios Device eher mal eine App als auf einem Samsung D-schlagmichtot, welche das auch konnte, aber wesentlich aufwändiger. DAS ist u.a die Gefahr eines virtuellen Systems. Natürlich ist pfSense dafür nicht die optimalste Basis, ich vergleiche hier eine virtuelle FW mit einer FW auf Manufacturer-HW, die demnach auch eher schwieriger zu manipulieren ist.

VG

PS: Was machst du bei nicht zahlenden Kunden?
Bitte warten ..
Mitglied: maretz
23.01.2018 um 20:01 Uhr
Moin,

Kunden habe ich zum Glück keine mehr - ich bin grad vom Dienstleister zum Kunden gewechselt. Aber: Auch bei Kunden habe ich für meine Fehler grade gestanden - und im Zweifel eben auch mal nach Feierabend die Sachen gradegebogen wenns wirklich dumme Fehler waren und/oder ich eindeutig selbst Schuld war. Ich rede bei Cisco ja auch nicht über Feature-Updates oder sowas - sondern über wirklich kritische Bugs. Und auch nicht über EoL-Hardware sondern über Hardware die noch im Support ist - aber eben nur gegen Endgeld.

Was das Thema Firewalls angeht - hier stellt sich für mich die Frage was eben drauf ist. Klar - auf (guter) Hardware ist das nen guter Anfang. Aber wenn ich sehe wie oft bereits die Tools für die Hacker mit auf der FW installiert sind (Compiler, Interpreter,....) stellt sich da leider die Frage auch nicht mehr so oft. Das ist es was ich meine mit "die Person davor". Wenn ich meine ich nehme eine Firewall - egal welcher Hersteller, Hard-/Software, Virtuell oder Physikalisch - und nur weil die im Regal steht bin ich jetzt sicher der irrt sich halt. Und - wieviele Personen/Firmen kennst du bei denen das genauso gehandhabt wird?
Bitte warten ..
Mitglied: certifiedit.net
23.01.2018 um 20:10 Uhr
Wir können das abkürzen, für "in Support" HW hab ich noch nicht mitbekommen, dass keine Patches zur Verfügung gestellt wurden. hast du mir da konkrete Beispiele? (Mit Support meine ich entsprechende Laufzeitverträge ovgl.)

Denn grundsätzlich muss ein Produkt schliesslich nicht EOL sein. Hier gelten auch andere Laufzeiten, als im B2C Segment: 1 Jahr Garantie, 2 Gewährleistung.

Logisch, aber die Person davor hab ich bewusst weggekürzt, denn sonst können wir Stundenlang über Leute, die nicht vor einen PC gehören, aber eine FW bedienen (wollen/müssen/sollen) reden. Das hilft dem Kern aber nicht weiter.

Logisch irrt er sich. Aber da muss ich sagen, da sind meine Kunden meiner Ansicht nach gut geschult. Nur, weil man einen Burggraben hat, heisst das nicht, dass irgendwer irgendwann ne Pontonbrücke baut. ;)

Aber ich weiss, worauf du hinaus willst. Das liegt aber am Punkt "Person davor" - man muss unbedingt eine Firewall verkaufen, weil das jeder so macht - aber dann nicht damit umgehen können, weil die Netzwerkbasics (+FW basics) fehlen....Well.
Bitte warten ..
Ähnliche Inhalte
SAN, NAS, DAS
Neue Malware bei QNAP NAS
Tipp von lcer00SAN, NAS, DAS2 Kommentare

Hallo QNAP NAS scheinen von Schadsoftware Befallen zu sein. Also - alle fix nachschauen. Grüße lcer

SAN, NAS, DAS

QNAP NAS Datenschutz-Loop nach Firmware-Update

Tipp von vanTastSAN, NAS, DAS4 Kommentare

Moin, im allgemeinen Trend seine geänderten Datenschutzbedingungen den Kunden zukommen zu lassen kam die Firma QNAP auf die glorreiche ...

SAN, NAS, DAS

QNAP Installationsproblem wenn der Client mehre statische IP-Adressen hat

Erfahrungsbericht von StefanKittelSAN, NAS, DAS6 Kommentare

Hallo, ich schreibe das mal hier, vieleicht hilft es ja dem einen oder anderem. Ich habe gestern hier zwei ...

Neue Wissensbeiträge
Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 7 MinutenSicherheit

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 6 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 22 StundenGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Datenschutz
Im Zweifel ist die Cloud immer unsicher
Information von certifiedit.net vor 23 StundenDatenschutz19 Kommentare

Hallo, wie schon mehrmals angesprochen, egal, womit der Dienst wirbt, im Zweifel ist es in der Cloud immer unsicher(er) ...

Heiß diskutierte Inhalte
Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Windows Server
AD, Sysprep, Clone, SID . oh weh
Frage von heifumaWindows Server22 Kommentare

Moin, ich versuche es so kurz wie möglich zu halten: Ist-Zustand: - IT Dienstleister hat Monopol für die bei ...

Windows Server
Probleme und Beratung Server 2016 Hyper V aufgesetzt durch Systemhaus
Frage von Moebler78Windows Server22 Kommentare

Hallo all, erst einmal DANKE an das tolle Board, dies hat mir schon sehr viel geholfen, bei Problem Situationen. ...

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 719 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...