hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Hallo, ich suche Informationen zu Möglichkeiten ein netzwerk per externer Firewall ab zu sichern. Dabei bin ich auf IPCop und Endian gestossen und wollte einfach mal an die Experten die Frage stellen, was Ihr von solchen Lösungen haltet. Im konkreten fal geht es um ein Netzwerk, das hinter einer 2Mbit Standleitung des rosa Riesen sitzt. Endpunkt vom Internet her gesehen ist ein Router des ISP's, dahinter ist das Netzwerk bzw. soll so kommen. Nun wäre eben die Frage ob Endian oder IPCop dazwischen geschaltet Sinn machen oder ob man ggf. auf professionellere produkte setzen soll? Ich würde mich sehr über Infos, Tipps und Eure Meinung dazu freuen. Vielen Dank schon jetzt.
|
TomTobin
Anmeldungsdatum: 24. August 2007
Beiträge: 3094
|
hoerianer schrieb: Nun wäre eben die Frage ob Endian oder IPCop dazwischen geschaltet Sinn machen
Das kommt auf den konkreten Fall an. Was willst Du denn erreichen was nicht durch einen herkömlichen Router (Speedport/Fritzbox/etc) abgedeckt wird? Diese Geräte besitzen ja auch eine Firewall. oder ob man ggf. auf professionellere produkte setzen soll?
Endian oder auch IPCop (entsprechende Hardware vorausgesetzt) halte ich für völlig ausreichend. Aber wie bereits erwähnt kommt es auf deine konkreten Vorstellungen an.
Ich würde mich sehr über Infos, Tipps und Eure Meinung dazu freuen.
http://www.ipfire.org, ein Ableger vom IPCop wäre auch noch eine Variante. IPFire bietet mehr "Schnickschnack" als IPCop.
Ich würde mich sehr über Infos, Tipps und Eure Meinung dazu freuen.
IPCop: Bei diesem Projekt und den entsprechenden Foren (z.B. http://www.ipcop-forum.de) geht es um eine sichere Firewall, keine Kompromisse, kein wenig Schnickschnack 🤓 IPFire: hier sieht man das etwas lockerer 😉 entprechend viele Addons gibt es, die rel. simpel über eine eigene Paketverwaltung (Pakfire) zu installieren sind. Endian: hab ich keine eigenen Erfahrungen
Dienstlich setze ich IPCop ein, der Cop verwaltet das WLAN, es läuft ein transparenter Proxy zwecks Protokollierung und ein URL-Filter für die lästigsten Dinge. Privat bin ich vom IPCop weg wegen den Stromkosten für den dedizierten Rechner, eine Fritzbox reicht mir im Moment 😬 Für einen Bekannten betreibe ich gerade IPFire, jedoch nur weil der IPCop die vorhandene Hardware (WLAN) nicht ausreichend unterstützt. Hier würde es auch ein billig Router für 25€ tun, hätte den Charm das der nur 2-3Watt benötigen würde. IPCop/IPfire auf einen Thinclient (Futro A230 bzw. 450s) benötigt immerhin schon 9-22W. Also unterm Strich: Was stellst Du dir vor? "Nur" eine Firewall? Dann reicht der Router vom Provider in der Regel. URL-Filter? Proxy? Protokolle? IDS? Mehrere getrennte Netze? Ab da werden IPCop, IPFire, Endian etc. interessant... 😉 Gruß Tom
|
hoerianer
(Themenstarter)
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Hallo Tom, Vielen Dank für deine Ausführungen. 👍 TomTobin schrieb: Was stellst Du dir vor? "Nur" eine Firewall?
Also angedacht ist evtl. mal ein eigener Mailserver, von daher wäre eine DMZ ganz nett. Auch um z.B. externe Zugriffe auf bestimmte Datenbestände nicht direkt ins grüne Netz zu leiten, sondern auch in eine DMZ. Dann wäre IDS sicherlich ganz nett, ebenso URL-Filter. Ich hatte vor Jahren mal mit Endian zu tun, war gar nicht mal so verkehrt. Man hatte da z.B. für einen Mailserver eine SPAMfilter eingerichtet, der wirklich alles an Mails abgewiesen hatte, was nicht an dirket eingetragene Mailadressen adressiert war. Das war damals gar nicht so schlecht. Ansonsten eben um bestimmte Seiten zentral zu sperren, aber solche Filter kann ja eine Fritz!Box auch. Genauso wie VPN Zugänge.
|
TomTobin
Anmeldungsdatum: 24. August 2007
Beiträge: 3094
|
von daher wäre eine DMZ ganz nett.
das können IPCop/IPFire recht gut und da würde ich diese auch einem Provider-Router vorziehen da du hier viel mehr Möglichkeiten hast. Mit Endian habe ich mich noch nicht beschäfftigt. Zum Testen, Einrichten und Probebetrieb kannst du quasi jeden altersschwachen PC nehmen, mehrere Netzwerkkarten rein und los... Wenn die Sache dann in deinen Augen rund läuft würde ich mir über Stromkosten und explizit ausgewählter Hardware gedanken machen 😉 Die Konfiguration lässt sich in der Regel per Backupfunktionen übetragen bzw. sollte eh gut dokumentiert sein. Gruß Tom
|
hoerianer
(Themenstarter)
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Die Stromkosten spielen da keine große Rolle, von daher kann man den Punkt zunächst mal übergehen. Von der Hardware her wäre angedacht, zwei beugleiche, ältere PC's zu nutzen, einer produktiv, der andere rein als Backup oder Ersatzteillager, ggf. fertig installiert, so dass bei Bedarf die gesicherte Konfiguration nur eingespielt werden muss und alles innerhalb von ein paar Minuten wieder funktioniert.
|
hoerianer
(Themenstarter)
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Ich bin gerade am überlegen ob man nicht für die Hardware auch etwas kleinere Gehäuse bekommen kann. Also ich bruche jedenfalls ein Board mit 4 Netzwerkkarten und zwar einzelne, diese Multinetzwerkkarten machen vom Treiber her ja Probleme.
Das wäre jetzt noch ein Punkt, die Hardware zu bekommen - auch so, dass man ggf. Ersatz bereitstellen kann.
|
casibu
Anmeldungsdatum: 20. Oktober 2013
Beiträge: 201
|
Hallo,
bin selber auch auf der Suche nach entsprechender HW.
Also ich bruche jedenfalls ein Board mit 4 Netzwerkkarten und zwar einzelne, diese Multinetzwerkkarten machen vom Treiber her ja Probleme.
Was meint Ihr zu diesem Mainboard hier http://www.pcengines.ch/apu.htm?
Keine Ahnung ob das jetzt Multinetzwerkkarten sind? Zum Thema Sicherheit hätte ich da ne Frage, was den Vergleich von IPcop und IPFire betrifft. Gibt es da irgendwelche Kritiken,
oder Infos die man wissen sollte, was die Unabhängigkeit von den Projekten betrifft. Wurde der Quellcode mal von jemandem untersucht?
|
hoerianer
(Themenstarter)
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Ich bin gerade noch auf eine andere Idee gekommen. Wenn man auf IDS verzichten kann, es aber darum geht, dass man eine DMZ haben muss, könnte man doch eigentlich auch zwei Router hintereinander schalten. Nehmen wir mal an, man hat zwei FB Modelle 7390 oder 7490, die hintereinander sitzen. Die erste hängt am Internet (border gateway) und bietet z.B. per WLAN ein Gastnetz und über LAN angeschlossen wäre ein Server denkbar. Anfragen aus dem Internet auf Port 80 würden dann auf den Server geleitet. Das wäre dann die DMZ. Und die zweite FB wird nun per LAN mit der ersten FB verbunden. Das Netz dahinter wäre durch zwei mal NAT abgesichert und eigentlich auch sicher. Funktionieren sollte das doch eigentlich oder habe ich da jetzt einen Denkfehler?
|
zangxuma
Anmeldungsdatum: 1. Dezember 2014
Beiträge: Zähle...
|
Mein Ansatz ist, das Routing im IPCop auszuschalten und den Squid über DHCP als Proxy zu verteilen. Anschließend dem Squid Server sagen, dass er alle user, die sich authentifiziert haben ins internet lassen soll. Aber gleichzeitig auch, dass er die Internetseiten mitloggt.
Hinter dem IPCop kann ich eine Fritzbox aufbauen, die dann ins Internet routet. (Fritzbox ist vorhanden)
Ist das rein technisch möglich mit dem IPCop? Wie sieht dabei die Zwischenschaltung eines Portals aus?
|
casibu
Anmeldungsdatum: 20. Oktober 2013
Beiträge: 201
|
Das Netz dahinter wäre durch zwei mal NAT abgesichert und eigentlich auch sicher.
Es ist sicherer wenn man dazwischen eine unabhängige HW Firewall einbaut. Dann wärst du
halt schon bei 3 HW Geräten, das kostet dann etwas mehr. Wenn der zweite Router eine interne
FW halt, bei der man Einstellen kann, das aus der DMZ nichts ins Interne Netz darf, dann würde
es mir für den Heimgebrauch reichen. Event. gibt es dazu andere Meinungen.
|
hoerianer
(Themenstarter)
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
casibu schrieb: Es ist sicherer wenn man dazwischen eine unabhängige HW Firewall einbaut.
Definiere FW bzw. HW FW die FB sind eigentlich ausreichend.
Wenn der zweite Router eine interne FW halt, bei der man Einstellen kann, das aus der DMZ nichts ins Interne Netz darf, dann würde
es mir für den Heimgebrauch reichen. Event. gibt es dazu andere Meinungen.
Kann man alles per Portweiterleitungen regeln.
|
TomTobin
Anmeldungsdatum: 24. August 2007
Beiträge: 3094
|
hoerianer schrieb: Und die zweite FB wird nun per LAN mit der ersten FB verbunden. Das Netz dahinter wäre durch zwei mal NAT abgesichert und eigentlich auch sicher. Funktionieren sollte das doch eigentlich oder habe ich da jetzt einen Denkfehler?
Wie willst Du denn die beiden Fritzboxen genau verbinden?
per LAN (Switch/Switch) bringt nichts, da wäre keine FW dazwischen. per DSL/WAN-Ausgang(FB1) → Switch FB2? Einige Router können das tatsächlich und behandeln den WAN-Port dann als Ethernet-Port. Ich weiß allerdings nicht ob die Fritzbox das kann.
Gruß Tom
|
hoerianer
(Themenstarter)
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
TomTobin schrieb: Wie willst Du denn die beiden Fritzboxen genau verbinden?
per LAN (Switch/Switch) bringt nichts, da wäre keine FW dazwischen. per DSL/WAN-Ausgang(FB1) → Switch FB2? Einige Router können das tatsächlich und behandeln den WAN-Port dann als Ethernet-Port. Ich weiß allerdings nicht ob die Fritzbox > das kann.
Eigentlich dachte ich WAN Anschluss Box 2 (intern) an den Switch von Box 1 (extern). Man kann aber wohl auch mit nur einer FB eine DMZ erstellen, in dem man ein Gastnetz erstellt und das dann auf Port 4 der FB nutzt, dahinter einen switch. Letztendlich funktionieren ja die IP Anschlüsse des rosa Riesen auch mit der FB und dem WAN Anschluss.
|