Page 1 of 1

Firewalls

Posted: 20. May 2003 11:07
by sascha
Hallo,

ich hoffe, ich bin hier richtig.

Situation:
Eine kleinere Firma mit 3 Geschäftstellen und Standleitungen braucht unbedingt FW mit VPN Unterstützung.
Folgende Eigenschaften sind gewünscht
-Der M$ geschädigte Admin will die FWs ggfs. selbst verwalten können. (IP Chains Erklärung etc. zwecklos) ->Frontend
-FW Linux/BSD basierend
-Es werden ältere PCs verwendet also keine Hardware basierende FWs.
-FWs am Besten CD-ROM basierend mit Konfig. Files auf Diskette/Platte/Netzwerk
-möglichst kostengünstig (SuSE FW für ~ 1600 EUR/Filiale zu teuer)
-möglichst keine Userstaffelung bei komerz. FW (25 User/30 User etc)

Freshmeat.net bietet eine Menge FW Links an, aber ob die ganzen FWs. das halten, was sie versprechen?
Leider konnte ich bisher keinen umfassenden Test von verschiedenen FWs finden (vor allem keinen test über nicht komerz. FWs)

Was ich jetzt gerne hätte wäre Euer Backfeed,Empfehlungen und Meinungen zu verfügbaren freien und komerz. Firewalls.
(Vielleicht könnte man ja im Nachhinein eine Pro-Linux Übersicht erstellen?)

Gruß
Sascha

Re: Firewalls

Posted: 20. May 2003 20:55
by ratte
such dir einen anderen Job bei einer Firma, die auch eine ist.

alternativ kannst du der Geschaeftsfuehrung einen Projektplan vorlegen, um die Gesamtanalyse und Bewertung vorhandener Firewalls inclusive Testumgebung und Stresstests und Logfileauswertung vorlegen, nicht unter 5Monate/Mannkraft.

ernstgemeint,

ratte

Re: Firewalls

Posted: 21. May 2003 8:30
by sascha
Hallo Ratte,

jetzt mal gaanz langsam. Ich habe mit der Firma nix zu tun!
Das mach ich für meinen Freund (den Admin) und zwar kostenlos.
Wir kommen zwar aus verschiedenen OS Lagern, aber was solls.
Man muss doch den verzweifelten M$lern dieser Welt zur Hilfe eilen, oder nicht? <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Es spricht doch für ihn, dass er nicht einfach irgendein Produkt aus dem Regal zieht,
installiert und das Beste hofft, sondern die Qualität der Produkte am Markt hinterfragt.
Jeder Trottel kann sich doch ein SonicWall Produkt (oder was auch immer)
kaufen und einbauen.

Zusammen mit ihm habe ich die o.g. Punkte zusammengestellt, einfach weil ich will, dass
ein gutes und günstiges System rauskommt.
Bei der Recherche über aktuelle FWs habe ich dann bemerkt, dass es (zumindest nicht auffindbar) kaum offizielle
Tests oder Erfahrungsberichte gerade von nichtkomerz. Firewalls gibt. Ausserdem scheint kein
"Standard" Test Verfahren zu exist., Berichte in Zeitungen oder Online Publikationen testen immer nur 2 bis 3 verschiedene FWs nach eigenen Vorgaben die oft noch nicht einmal genannt werden.
Deshalb hatte ich gehofft hier im Forum ein paar Erfahrungsberichte von erfahrenen Admins sammeln (ein paar "Darkside" Berichte wären auch nicht schlecht) zu können.


Gruß
Sascha

P.S. IMHO: wenn Du Dein Posting wirklich ernstgemeint hast (und so hast Du es ja angedeutet) so kann ich nur sagen, dass Du mit den Realitäten nicht vertraut bist. Klar kann man in groesseren Firmen komplette Sicherheitsanalysen etc. durchfuehren und dabei absahnen. In mittelständischen Unternehmen die zum Einen in der Chefetage noch kein Sicherheitsbewusstsein entwickelt haben und zum Anderen mit dem Überleben kämpfen kannst Du mit sowas aber nicht ankommen.

Re: Firewalls

Posted: 21. May 2003 9:00
by Stormbringer
Hi,

installiere CheckPoint Boxen inkl. Vertrag, und gut ist es.
(Oder möchte er dann ein komplettes BSD rein per GUI verwalten??)
Ist zwar teuerer, man fährt aber auf der sicheren Seite, da die Dinger von CheckPoint installiert und konfiguriert werden - und das ist auch gut so! Es gibt genügend "Admins", welche nur über eine GUI etwas hinbekommen, und gerade jenen passieren aus absoluter Unerfahrenheit die haarsträubensten Fehler.

Der Kunde ist zwar König, aber er verlangt von keinem eine Selbstüberschätzung, gerade wenn es um das Thema Sicherheit / Datensicherheit / Datenschutz geht.

Gruß

Re: Firewalls

Posted: 21. May 2003 16:41
by mflaig
Hi,

also hier mal ein paar punkte zum grübeln:
- Firewall auf GNU/Linux basis nur mit iptables (wegen stateful inspection)
- Frontend: firewall-builder (zum hochladen würde sich scp anbieten)
- aktivieren der firewall rule per sudo über nen exklusiven ssh login, wo du als login shell pdmenu verwendest und das so konfigurierst, dass man da nur die neuen firewall rules laden kann.
- Maschinen mit Debian autoupdate per apt und kiste dicht machen
- VPN: freeswan

ist aber mächtig arbeit.

Ich hätte dir jetzt ne lösung auf hardware-firewall basis, aber da es nix kosten soll wird da schwierig. Der Punkt ist eben, dass man Sicherheit nicht für 1,50€ bekommt.
Falls doch interesse an einer hardwarelösung vorhanden ist, würd ich mich über ne mail freuen, evtl. kann ich (über meine firma) etwas im mittleren preissegment anbieten. dazu bräuchte ich aber schon noch details von dir.

Gruß,

Michael

Re: Firewalls

Posted: 21. May 2003 21:17
by @sascha
ja, das habe ich dein posting wohl missverstanden, entschuldigung, oder war einfach zu sehr von meinen eigenen Erfahrungen in pissfirmen ausgegangen.

immer schnell, immer alles, immer sofort, immer kostenlos, usw.

dein Einsatz ist, nun versteh' ich's ja endlich richtig, voll zu wuerdigen und unterstuetzenswert, mit meiner 5 Monatenmannkraft denke ich, bin ich aber noch immer realistisch, wenn du das alleine durchziehen willst, jedenfalls wenn du die Vollanalyse anstrebst.

leider habe ich keine Erfahrungen mit Vollprodukten, die dir dienlich waeren.

viel Erfolg

ratte

Re: Firewalls

Posted: 23. May 2003 3:51
by Marc
Hi
spät gelesen diesen Thread.

http://www.smoothwall.org ,leider weiß ich nicht wo ich es mal gelesen habe, doch soll diese Firewall/IDS-Lösung recht gut sein und ist völlig kostenlos. Kann man als ISO ziehen und auch Updaten. Web-Frontend, SSH, keine Limitierungen, VPN, IDS (Snort), gute Anleitung und wird ständig entwickelt. Wenn du noch Hardware zur Verfügung hast ist das vielleicht eine Empfehlung.
Leider kann ich dir keinen Erfahrungsbericht geben.
Ich selber benutze aus Platzgründen einen kleinen handlichen Netgear Switch-Router mit Firewallfunktion, hatte am Anfang leichte Probleme, nach einem Firmwareupdate waren die aber behoben. Lohnt sich vielleicht sich da auch mal zu erkundigen. Allerdings sollte man sich erkundigen welche Funktionen der genau hat, gegebenfalls vorführen lassen. Dazu kann ich dir sagen, mit dem Teil bin ich zufrieden, und der ist echt Miniklein.

Hoffe es hilft ein wenig

Gruss
Marc

Re: Firewalls

Posted: 23. May 2003 4:08
by Marc
Ach ja, das ist eine interessante Lektüre die man sich mal ansehen sollte.

http://www.bsi.de/gshb/deutsch/menue.htm
da ist ein Link zum Downloaden, .zip-Datei als PDF. Kostenlos.

Bye

Re: Firewalls

Posted: 28. May 2003 19:56
by BuBuMacher

Re: Firewalls

Posted: 29. May 2003 8:27
by Wolfi
Hi!
Kann mich der Smoothwall-Empfehlung nur anschließen. Habe sie zuhause auch laufen und sie funktioniert wirklich einwandfrei und ist sehr easy.
Läuft auch auf älteren PCs. Bei mir alter P60, 24 MB RAM, 540 MB HDD. Soll aber ab 486DX100 laufen.
Administration über den Browser, dadurch braucht der Rechner keinen Bildschirm, keine Tastatur und kein FD (Sicherheit!) außer bei der Installation.
Solltest du dir ansehen, gibt auch deutsche Inst.-Anleitung.

Wolfi
http://www.smoothwall.org/docs/

Re: Firewalls

Posted: 02. Jun 2003 22:54
by jese
Hallo,

da die ganze Geschichte wenn möglich kostenfrei realisiert werden soll, geht meine
Empfehlung für diesen Fall ("M$ geschädigte Admin") auch an IpCop. Die Smootwall
kann ich in keinem Fall empfehlen da die freie Version praktisch nicht mehr
weiterentwickelt wird, und Updates nur verzögert Einzug halten. IpCop basierte
ursprünglich auf der Smootwall und unterstützt bedeutend mehr Hardware. Weiterhin
wird diese Firewall ständig weiterentwickelt.
Der Betrieb als VPN-Server ist ohne weiteres möglich, auch wenn die Einstell-
möglichkeiten des Webfrontends in dieser Beziehung etwas hinterherhinken.
In einer der letzten CT's (10/2003]wurde die Einrichtung eines VPN-Servers mit
IpCop beschrieben.

Für diesen Fall ist das sicherlich die beste Lösung.

mfg jese

Re: Firewalls

Posted: 05. Jun 2003 8:36
by sascha
Erst mal Danke an Euch für die vielen Antworten.
Wenn was aus der FW Einführung wird, poste ich einen Erfahrungsbericht auf ProLinux.

Gruß
Sascha