BSD oder LFS für firewall ...?

[Stormbringer]

Hallo,

eine einfache Frage, vielleicht aber nicht arg so einfach zu beantworten.

Szenario:
ein internes LAN und eine DMZ sollen durch Firewalls separiert werden nach dem Schema:
Public <-> firewall (1) <-> dmz <-> firewall (2) <-> LAN
Bis dato wurde als fw 1 Checkpoint und als fw 2 ein Linux Packet Filter genutzt.
Soweit, sogut .... das Ganze hat sich im Feldversuch auch recht gut bewährt.
Um nun aber noch etwas mehr "Sicherheit" hineinzubekommen, überlegen wir, ob es nicht ggf. Sinn macht, sowohl das Checkpoint System (falls möglich) als auch die Standard Linux Distri (SuSE) gegen ein LFS oder BSD System zu tauschen.
Der Voretil wäre, daß tatsächlich nur die wirklich benötigten Komponenten in einer auf das System angepaßten Version (zumindest bei LFS) installiert und konfiguriert würden.

Falls ein BSD geeigneter ist, welches sollte es sein?

Any comments?

Danke & Gruß

[trinity]

<blockquote><hr>ein internes LAN und eine DMZ sollen durch Firewalls separiert werden nach dem Schema:
Public <-> firewall (1) <-> dmz <-> firewall (2) <-> LAN<hr></blockquote>
Wenn die zwei Firewalls nicht wären, wäre es ja keine DMZ <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

<blockquote><hr>Um nun aber noch etwas mehr "Sicherheit" hineinzubekommen, überlegen wir, ob es nicht ggf. Sinn macht, sowohl das Checkpoint System (falls möglich) als auch die Standard Linux Distri (SuSE) gegen ein LFS oder BSD System zu tauschen.
Der Voretil wäre, daß tatsächlich nur die wirklich benötigten Komponenten in einer auf das System angepaßten Version (zumindest bei LFS) installiert und konfiguriert würden.<hr></blockquote>
1. IMHO macht es wenig sein, ein teuer eingekauftes Produkt (das so schlecht ja anscheinend nicht ist), welches sich im Produktiven Einsatz bei euch bewährt hat (und anscheind immernoch wie gewünscht arbeitet) auszutauschen.
2. Du wirst keine zusätzliche Sicherheit gewinnen, nur weil du von SuSE auf LFS umsteigst. Ich schweife dazu mal ein wenig ab: Beide "Distributionen" basieren auf dem gleichen Grundgerüst (Linux-Kernel). Da ich davon ausgehe, dass niemand von euch so Wahnsinnig war und eine Standard installation durchgeführt hat, wird sich Sicherheitstechnisch kein Vorteil ergeben. Ausgangsunkt war bestimmt die minimal installation von SuSE, mit <u>abwahl</u> von nicht benötigten Paketen. Dadurch habt ihr ein ähnlich/identisch minimalistisches System wie das LFS. Da auf eurer FW keine Dienste laufen gibt es da auch kein Angriffspotential.
Also wenn du von Distri A auf B umsteigst hast du genau 0% an mehr Sicherheit.

3. Das dich BSD weiterbringt (evtl. ist dort der TCP/IP etwas Stack besser, da er die Referenz darstellt), wage ich zu bezweifeln. Die Begründung ist genau die selbe: Da auf deiner FW keine Dienste laufen, kann sie auch nicht Angegriffen werden (ausser über DoS/DDoS, aber das hättest du auch bei BSD), zusätzlicher Sicherheitsgewinn: 0%

4. Im allgemeinen, wird davon Ausgegangen, dass es schwieriger ist in das LAN einzudringen, wenn bei FW1 und FW2 verschiedene Produkte zum Einsatz kommen. Das muss aber nicht unbedingt so sein.


Just my...

PS: die Frage mit der Netzwerkadresse habe ich noch nicht getestet. Sobald ich es getestet habe, gib ich dir Bescheid.

[Stormbringer]

Hi Lutz,

es kann sehrwohl auch eine DMZ mit nur einer fw geben ...
<pre>
public <-> fw <-> DMZ
|
LAN
</pre>

Checkpoint=Erworbenes Produkt: Ja, aber für einen anderen Einsatzort.

Bzgl. Straßendistri zu LFS: die benutzbaren Pakete sind der Grund der Überlegungen. Bei SuSE sind nun einmal edliche recht alte Pakete, welche erst wieder mit einigem zeitlichen Aufwand entfernt, und anschließend die "fehlerbereinigteren" installiert werden müssen.

Aber eben deshalb ha auch diese Frage - zum Meinungsaustausch.

Gruß

[trinity]

Tja wenn ich DMZ lese, denke ich automatisch halt immer an FW-DMZ-FW und vergesse alles andere <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
<blockquote><hr>Checkpoint=Erworbenes Produkt: Ja, aber für einen anderen Einsatzort.<hr></blockquote>
Also würde das evtl. gar nicht zum Einsatz kommen bzw. müsste neu gekauft werden nehme ich jetzt mal an. Das heisst, das bei euch evtl. auch 2 Linux Systeme zum Einsatz kommen werden.

<blockquote><hr>
Bei SuSE sind nun einmal edliche recht alte Pakete, welche erst wieder mit einigem zeitlichen Aufwand entfernt, und anschließend die "fehlerbereinigteren" installiert werden müssen.<hr></blockquote>
Ehrlich gesagt, verstehe ich das jetzt nicht so ganz. Also ihr habt doch derzeit schon SuSE im Einsatz. Dort kann man mittels yast die bereits ausgewählten Pakete abspeichern und sich so seine Distribution auf x weitere Rechner in identischer konfiguration installieren. Wenn diese Rechner also sich schon im Einsatz befinden, gibt es rein Theoretisch nur 2 Pakete, die aktualisiert werden 1. iptables 2. Kernel
Alles andere wird IMHO nicht verändert.

Damit ist der Aufwand einer LFS-Installation doch wesentlich höher. Da dort jedes Paket kompiliert werden muss (bei der Installation). Bei der Aktualisierung ist der Aufwand nachher identisch.

Gruß

[Stormbringer]

Ja, das ist ja gerade die Frage. Mit der auf unsere Bedürfnisse angepaßten SuSE Distri läuft es soweit ganz ok.
Deshalb ja auch die Überlegung, ob diese weitere Verwendung findet, oder aber auch durch etwas anderes ersetzt wird.
Per yast etwas de-installieren ist manchmal so eine Sache ... entweder es bleiben Dateileichen übrig, nicht alle Links werden entfernt, oder zuviele Dateien werden entfernt.
Da solch eine äußerst angepaßte Installation dann aber eh schon in Richtung LFS geht (nämlich eine Basisinstalltion nur aus vorkompellierten Teilen), ergibt sich doch schon fast automatisch der Gedankengang: ok, zwei Tage rumpeln lassen, und das System steht. Angepaßt auf dieses und jenes ...
Nochmals eine Checkpoint zu ordern .... das könnte zwar gemacht werden, aber warum? Wenn's auch anders geht.

Nächster Punkt: die meisten sog. FWs unter Linux sind nun einmal packet filter. Als IDS würde eh noch snort mit mysql Anbindung sowie ACID zur Auswertung installiert, und die AVM Capi zur Alarmierung per Fax und ggf. SMS.

Und da ich bis dato keinerlei Berühungspunkte zu BSD hatte, jier aber oftmals die Stabilität, Dauerhaftigkeit und Sicherheit angesprochen wurde, war es nur naheliegend, auch dieses in Betracht zu ziehen.

Der zu betreibende Aufwand ist fast egal - ob dies in KW5 funzt, oder erst in KW15 ist nun wahrlich gleich.

Gruß

[trinity]

Also mit yast1 habe/hatte ich keine Probleme, was de-/installieren angeht. Yast1 will zumindest zugehörige Pakete mitinstallieren (im gegensatz zu yast2, das damit teilweise nicht klarkommt). Da alle benötigten Programme schon während der Erstinstallation eingespielt wurden, ergeben sich nachträglich keine weiteren Probleme mit nicht gelösten Abhängikeiten/Datei Leichen. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

>Nochmals eine Checkpoint zu ordern .... das könnte zwar gemacht werden, aber warum? Wenn's auch anders geht.

Würde ich bei deiner derzeitigen Schilderung der Sachlage auch nicht machen, ging aus meinem vorherigen Posting vielleicht nicht klar hervor.

>Nächster Punkt: die meisten sog. FWs unter Linux sind nun einmal packet filter.
Ja? Habe ich irgendwas verpasst, oder geht es um diese zusätzliche Installation vorn IDS & Co. Was man ja immer Problemlos machen kann (ist zudem auch eine schöne Sache). Vor allem kann amn in bestimmten Zeiten ein Script starten, das das System auf Veränderungen prüft und dann losheult oder die Netzverbindungen kappt...

>Der zu betreibende Aufwand ist fast egal - ob dies in KW5 funzt, oder erst in KW15 ist nun wahrlich gleich.
Da würde wohl meine pragmatische Sicht (beschönigend für ökonomisch <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">) doch das ausschlagende Kriterium darstellen.

Aber mal eine Frage zu den LFS. Wie willst du das eigentlich auf die FW bekommen? Das setzt doch ein bereits installiertes Linux voraus. Compiler und andere Spielerein verbieten sich eignetlich auf der FW. So dass eine Installation sich doch etwas aufwändiger gestalten würde, oder?

Bin auf jeden Fall mal interessiert, wie Ihr euch entscheidet. Es wäre nett wenn du mal abschliessend sagen würdest, was Ihr aus welchen Gründen letzendlich einsetzt.

[Stormbringer]

Hi Lutz,

also z. B. LRS-Linux setzt kein vorhandenes, laufendes Linux System zum Aufbau des LFS voraus.
Habe aber bis dato noch nicht nachgeforscht, ob auch andere LFS's dies bieten. (Ich weiß, daß man dabei auch nur die mitgelieferten Programme zur Grundinstallation kompilieren kann, alle anderen müssen nachinstalliert werden ...).

Gruß

[anonymous]

sorry hab nun keine zeit alles durchzulesen aber ein openbsd (minimal installiert) sicherer als ein suse (minimal installiert)! lass mal saint drüber laufen!

mfg ano

[Rossi]

Es gibt ja auch noch Slackware, Gentoo, Rock oder Sorcerer. Aber davon mal ab:

Ne checkpoint lohnt, wenn z.B. Benutzerauthentisierung an der FW gemacht werden soll und graphische Administration wichtig ist. Geht weder bei Linux noch bei *BSD mit den Packetfiltern. Und knetfilter ist nicht wirklich "graphische Administration". Auth würde einen Squid erfordern. Wenn mans mag ...

Für BSD gegenüber Linux spricht folgendes:

iptables ist noch recht neu und hat noch bekannte Fehler. ipchains scheidet wegen mangelnder "stateful connection" schonmal komplett aus.
ipfw bei FreeBSD ist lange im Einsatz und bewährt. OpenBSD hat mit Version 3.0 auch einen neuen Paketfilter und ipfilter ausgetauscht. Ist also auch noch recht jung. NetBSD basiert glaube ich immer noch auf ipfilter. Letzterer ist nicht wirklich "frei", aber auch stabil und bewährt und kommt logo im Quellcode.

Mein Tip ist NetBSD, wenn man damit klarkommt, ansonsten FreeBSD.

Ach ja, und *BSD hat schon jetzt ipv6 in _brauchbarer_ Form, ipsec eingebaut ohne zu patchen, falls das Argumente sein sollten.