Hardware Firewall als Alternative zu Software Firewall

A

asc

Member
Themenstarter
Registriert
26 Jan. 2008
Beiträge
649
Hallo zusammen,

ich glaube jeder kennt die Firewall die Windows XP von Haus aus mitbringt, eigentlich verdient Sie diesen Namen kaum weil an damit kaum was reglementieren kann. Alles was hinaus geht ins Weltweite Netz lässt sich über haupt nicht kontrollieren.

Ich hab in den letzten Jahren viele ausprobiert die ganz lausigen wie Zone Alarm die über einen Schieberegler eingestellt wird (das geht ja gar nicht Augen rollen ) und einige andere.

Outpost in der PRO Version scheint mit unter den schlechten noch das beste zu sein, kann mich aber auch nicht wirklich begeistern, ich hab die Rulesets schon bis zum geht nicht mehr optimiert, aber immer mal wieder geht was nicht richtig ob im Inet oder der Netzwerkdrucker.

Zudem ist es ein Bremsklotz ohne Ende selbst mit halbwegs aktueller Hardware und schneller 16.000 Leitung merkt man die Systembremse deutlich.

Wer hatte schon mal mit sowas zu tun siehe Bild, das Budget im Bereich Hardware Firewall ist nach oben quasi offen. Aber ich denke daß ich bei der Konfiguration sehr schnell an meine Grenzen komme, oder ist das ganz Easy ?
 
Hardware-Firewall bzw Firewall auf dediziertem Rechner hat unbestritten seine Vorteile. Mein Favorit, den ich seit 4 Jahren in mehreren Installationen am laufen hab: IPCop! Basiert auf Linux from Scratch, gehärteter Kernel, geringe HW-Anforderungen, in 15 Min aufgesetzt, stabil, sicher,...!
Siehe http://www.ipcop-forum.de

Viele Grüße,
cibo mato
 
Original von cibo mato
Hardware-Firewall bzw Firewall auf dediziertem Rechner hat unbestritten seine Vorteile. Mein Favorit, den ich seit 4 Jahren in mehreren Installationen am laufen hab: IPCop! Basiert auf Linux from Scratch, gehärteter Kernel, geringe HW-Anforderungen, in 15 Min aufgesetzt, stabil, sicher,...!

Viele Grüße,
cibo mato
Zum Vergrößern anklicken....

Ja dazu braucht es aber nochmal einen Rechner (Vorzugsweise was kleines Stromsparendes z.B. VIA EPIA oder sowas) und auch noch ein bischen Ahnung von Linux, was bei mir definitiv nicht vohanden ist.


Der beste Weg wäre wenn man den Router AVM 7170 aufbohren könnte der ja auch mit einem Mini Linux läuft, keine Zusatzhardware .....Ok das ist jetzt eher mal Wunschdenken von mir...
 
Ja richtig, da brauchst Du ne extra Maschine. Aber das ist ja gerade der Sinn des Ganzen. Irgendwo wirst Du ja einen alten PC auftreiben können, um erst mal damit rumzuspielen. Und Linux-Kenntnisse brauchst Du dafür fast überhaupt keine. Dafür machts neben der erzielten Sicherheit jede Menge Spaß!

Gruß,
cibo mato
 
Kann ich bestimmte Programme auch daran hindern nach Hause zu telefonieren, viele Programme wollen sich ja gleich nach der Installation sofort mal im Netz vergnügen Nee Nee
Selbst Bildbearbeitungprogramme und CD Brennprogramme sind da dabei.

Ich möchte gerne wissen welches Programm raustelefoniert, auch im Hinblick auf Schadsoftware sinnvoll (wenn da eine exe Datei auf dem System ist die einen verdächtigen Namen hat und ständig am telefonieren ist)

Wohl eher nicht so wie ich das sehe
 
Hi,

Original von asc
Der beste Weg wäre wenn man den Router AVM 7170 aufbohren könnte der ja auch mit einem Mini Linux läuft, keine Zusatzhardware .....Ok das ist jetzt eher mal Wunschdenken von mir...
Zum Vergrößern anklicken....
ähm... ja, das ist Wünschdenken. Aber Wünschdanken was schon lange Realität ist. AVM baut gerade selbst an einer Firewall-Lösung für seine Fritz!Box! Die 7270 hat solche auch schon in der Firmware, meines Wissens. Hab' selbst eine "aufgebohrte" 7170 und bin mehr als zufrieden. Das Teil ist in seinem Bereich besser als ein ThinkPad als Notebook.:D

Schau einfach mal im IP-Phone-Forum nach. Freetz sollte genau das richtige für dich sein. Aber Linux-Kenntnisse brauchst du dann auch, zumindest ein wenig. Eine Firewall konfiguriert und administriert sich nicht von allein. ;)


BuergerNB
 
Original von cibo mato
Ja richtig, da brauchst Du ne extra Maschine. Aber das ist ja gerade der Sinn des Ganzen. Irgendwo wirst Du ja einen alten PC auftreiben können, um erst mal damit rumzuspielen. Und Linux-Kenntnisse brauchst Du dafür fast überhaupt keine. Dafür machts neben der erzielten Sicherheit jede Menge Spaß!

Gruß,
cibo mato
Zum Vergrößern anklicken....

Kann allen die was über ipcop sagen nur zustimmen das ist einfach klasse läuft bei uns auf nem 333mhz PC mit 2 gigabit lan pci karten. und sowas lässt sich immer irgendwo auftreiben.

was du willst mit überwachen was rausgeht kannst du ja eigentlich nur auf deinem PC als software haben da du sonnst ja nicht sehen kannst welche software rausgeht.
Ich würde dir dafür z.b. kaspersky internet security emphelen habe das zwar nicht selber aber ein kumpel von mir ist damit sehr zufrieden und zeigt an welche proggs aufs inet wollen und dann kann man halt je nachdem auf `Blocken` oder `Erlauben` klicken.
 
Original von asc
Hallo zusammen,


Wer hatte schon mal mit sowas zu tun siehe Bild, das Budget im Bereich Hardware Firewall ist nach oben quasi offen. Aber ich denke daß ich bei der Konfiguration sehr schnell an meine Grenzen komme, oder ist das ganz Easy ?
Zum Vergrößern anklicken....

Also ich hab gute Erfahrungen mit diesen Leuten hier gemacht.
http://www.octogate.de
 
Octogate? :-) Schildere bitte mal deine Erfahrungen - waere interessant das ganze mal von der anderen Seite zu sehen, gerne aucb per PN. Das Konzept der Octogate war doch eine zentral gemanagte Firewall-Loesung zu haben, mit der Zielgruppe "Kunden ohne eingenes IT/security knowhow". Sprich jede Konfigurationsaenderung geht ueber den Hersteller usw.

Wenn ich mir die Seite so anschaue haben sie die Buechse noch weiter zur eierlegenden Wollmilchsau ausgebaut als vor 2 Jahren als ich das letze Mal damit zu tun hatte. Fax-Server? File-Server? Will man so etwas auf einer Firewall? Und der VPN Client ist von 2005 - CVE-2006-1629, altes openssl, TAP-Win32 bug unter Vista...


Zum Thema generell:
Eine "Firewall" alleine bringt genau gar nichts, sondern ist Teil eines kompletten Sicherheitskonzeptes. Hardware-Firewalls gibt es nicht, ich rede da lieber von dedizierten Systemen. Via Boards etc dafuer anzuschaffen lohnt sich selten, auf jeden Fall mal den Stromverbrauch vergleichen und schauen ob sich die Mehrkosten eines VIA-Systemes in der geplanten Laufzeit des Firewall-Systems ueberhaupt rechnen.

@asc: was willst du denn erreichen? Einen "simplen" Paketfilter? Das sollte beinahe jeder Linuxbasierte Router hinbekommen. Die Geraete auf *WRT-Basis sollten dafuer ganz passabel sein, ich empfehle DD-WRT. Wenns mehr sein soll (mehrere interne voneinander getrennte Netze, Proxies wie Squid, Email-Filterung usw) dann wirklich nen ausgedienten P2/P3 nehmen und mit Linux aufsetzen, wie schon geschrieben wurde gibts dafuer auch mehrere "fertige" Loesungen.

Wenn man unbedingt ne Box mit Logo drauf will - evtl. mal nach einer Cisco Pix 501 schauen fuer den Soho-Bereich. Vieles vom Rest ist halt auch "nur" Linux auf kleiner Hardware. Nicht das das schlecht waere - ganz im Gegenteil. Aber niemand sollte sich der Illusion hingeben das "ich klemme die Kiste zwischen mein Netz und dem Internet und ich bin sicher" funktioniert. Security ohne Plan und Gehirnschmalz funktioniert nicht :-)
 
Wo wir gerade dabei sind kennt jemand sowas wie eine appliance auf der man selbst software aufspielen kann und die gleichzeitig stromsparend ist?

Ich selber verwende ne smoothwall auf einem P3 mit 800MHz aber ich hätte gerne ne stromsparendere alternative!
 
Original von slinger
Wo wir gerade dabei sind kennt jemand sowas wie eine appliance auf der man selbst software aufspielen kann und die gleichzeitig stromsparend ist?

Ich selber verwende ne smoothwall auf einem P3 mit 800MHz aber ich hätte gerne ne stromsparendere alternative!
Zum Vergrößern anklicken....

Schau Dich mal im IPCop-Forum um (ich denke im smoothwall-Forum gibt's vglbares), da berichten viele über solche HW. Da gibbet tolle Lösungen, die deutlich unter 20 Watt verbrauchen, teilweise sehr 'stylisch' sind, aber manchmal auch nicht gerade günstig...

Viel Erfolg! Gruß,

cibo mato
 
Original von slinger
Wo wir gerade dabei sind kennt jemand sowas wie eine appliance auf der man selbst software aufspielen kann und die gleichzeitig stromsparend ist?

Ich selber verwende ne smoothwall auf einem P3 mit 800MHz aber ich hätte gerne ne stromsparendere alternative!
Zum Vergrößern anklicken....

Wie waere es denn mit einem Thinkpad ?
 
Man muss immer überlegen was man erreichen will. Es ist klar das irgend ne olle Desktop Firewall mit Logo in der Taskleiste auf einer ganz anderen Schickt arbeitet als eine Firewall die Pakete filtert. Aber um ehrlich zu sein wozu braucht man hier eine professionelle Firewall. Ein halbwegs vernünftiger Router tut es auch.
 
hallo,
Firewall ohne DMZ ist wie Pistole ohne Lauf. Die Router als Grobfilter sind nicht schlecht. Son kleiner Paketfilter vorne am feindlichen Netz, dann der eigene Router oder Proxy dahnter mit eigenem Intrusion-Detection-System. Das bringts dann gegen die bösartigen hinterhältigen Eindringlinge, die der Viren-Würmer-Killer (egal welcher) mal so übersehen hat. Nicht jede Schadsoftware macht sich auch bemerkbar und schon gar nicht so, wie man es befürchtet.
Die Idee, dafür ältere Thinkis einzusetzen, auch für son kleines Honigtöpfchen, ist gut und sehr interessant (was man merkt, wenn mans mal gemacht hat.) Mein eigenes Sicherheitskonzept sieht noch anders aus. Systeme wie dieses Thinki, auf dem ich jetzt online im Web schreibe, werden bei mir nur wenig bis gar nicht geschützt. Der Postserver und Anwendungssoftware befinden sich hinter einer echten Firewall mit Intrusion-Detection (Mamutu) . Die Datensicherung über mehrere Generationen befindet sich noch außerhalb dieses Netzwerkes. Hierbei wird auf eine Workstation gesichert, diese Workstation dann isoliert, aufwendig gescannt und die Sicherungsdateien dann verkapselt und auf den Sicherungsserver weggespeichert. Auf diesem Server bleiben langfristig die erste, eine mittlere und die beiden letzten Versionen der Datei langfristig erhalten. Ich bin paranoid, seit ich einen Desktop mit allen darauf gespeicherten Daten mal an solch Getier verloren hab, das war sogar in Form von Würmern bereits auf mehreren Sicherungsgenerationen vorhanden, als ich die eigentliche Absicht (emails versenden) noch gar nicht bemerkt habe.
mfG
rudolfka
 
Original von rudolfkaFirewall ohne DMZ ist wie Pistole ohne Lauf. Die Router als Grobfilter sind nicht schlecht. Son kleiner Paketfilter vorne am feindlichen Netz, dann der eigene Router oder Proxy dahnter mit eigenem Intrusion-Detection-System. Das bringts dann gegen die bösartigen hinterhältigen Eindringlinge, die der Viren-Würmer-Killer (egal welcher) mal so übersehen hat. Nicht jede Schadsoftware macht sich auch bemerkbar und schon gar nicht so, wie man es befürchtet.
Zum Vergrößern anklicken....

Na ja, eine DMZ braucht man doch eigentlich nur, wenn man 'nen Server betreibt, der Dienste ins Internet anbietet (ok, bei Dir Mail).

Zum Thema Intrusion Detection: das ist, wie Du richtig sagst, erstmal nur eine 'Detection' und noch keine 'Prevention'. Verhindert also keinen Angriff, sondern loggt ihn nur. Und um das festzustellen, muss man Logfiles lesen, VIELE Logfiles. Und dann muss man sie noch verstehen. Und dann muss man noch wissen, wie man auf die Meldungen reagiert. Ich denke, ich bin netzwerkmäßig einigermassen fit, traue mir aber dennoch nicht zu, alle z.B. von Snort generierten Warnungen zu verstehen und entsprechend darauf zu reagieren. Mein Fazit: wer viel Zeit hat, sonst nichts zu tun hat und Netzwerk-Guru ist, der sollte Intrusion-Detection Logfiles lesen. Alle anderen schalten ein IDS aus Performancegründen am besten ab.

Und die Antivirus-SW, die Du ansprichst: das sind Äpfel und Birnen, die Du da vergleichst, die hat mit der Firewall ja gar nichts zu tun. Ein Antivirusprogramm wird mir genausowenig Hacker vom Hals halten wie eine Firewall Viren oder Würmer finden wird, deswegen braucht man natürlich beides.

Just my 0,02$

Gruß,
cibo mato
 
hallo,
mit snort mag ich dir da tw. recht geben, aber son Programm wie Mamutu unter Windows nimmt dir da viel vom Filtern ab und lernt, ohne das du nicht doch bei Gelegenheit mal geordnete Logfiles nachsehen könntest, ob du nicht zuviel erlaubt hast.
Ich finds jedefalls klasse und meine Viren und Wuemer hats auf Anhieb gemeldet. Was ich von meiner teuren Symantecwall jedenfalls nicht berichten kann.
mfg
rudolfka
 
Ich würde eher behaupten ein DMZ ist ziemlich gefährlich und daher wie die Schrotflinte im Mund :rolleyes:

Der DMZ stellt alle Ports direkt an den Host weiter sprich es ist so als wäre man direkt selber im Internet. Ist zwar ganz praktisch wenn man irgendwas hosten will aber nicht zu empfehlen da man dann ein leichtes Opfer ist. Dann ist ja quasi die ganze Sache mit vorgeschaltetem Router bzw Firewall wieder hinfällig.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben