debianforum.de

Hallo,

ich wollte mal fragen welche Firewall Distribution ihr so benutzt ?
Bei mir ist es zur Zeit OPNSense

Distri: Debian
Firewall: Gar keine. (Bis auf den Router natürlich)

Debian (Distribution) und Iptables (Firewall)

Darf ich Dir aus Neugier 2-3 Fragen stellen? Welche Aufgabe hat Deine Firewall...?... Kontrolle des ausgehenden Traffics? Oder Kontrolle des eingehenden Traffics? Was war dabei Deine Absicht für die Installation? Wenns um den eingehenden Traffic geht, da frag ich mich, ob der PC nicht ein Device hinter dem Router ist...?.. ist der PC ohne Router also selber direkt Borderdevice? Und wenns um den ausgehenden Traffic geht, wie hast Du kontrolliert, ob das Blocking tatsächlich funktioniert, also z.B. in dem Sinne, dass irgendwelche Verbindungen nicht nach belieben related Ports öffnen dürfen? Welche Kontrolle hast Du darüber?

Darf ich Dir aus Neugier 2-3 Fragen stellen? Welche Aufgabe hat Deine Firewall...?... Kontrolle des ausgehenden Traffics? Oder Kontrolle des eingehenden Traffics? Was war dabei Deine Absicht für die Installation? Wenns um den eingehenden Traffic geht, da frag ich mich, ob der PC nicht ein Device hinter dem Router ist...?.. ist der PC ohne Router also selber direkt Borderdevice? Und wenns um den ausgehenden Traffic geht, wie hast Du kontrolliert, ob das Blocking tatsächlich funktioniert, also z.B. in dem Sinne, dass irgendwelche Verbindungen nicht nach belieben related Ports öffnen dürfen? Welche Kontrolle hast Du darüber?

eingehende und ausgehende Verbindungen werden grundsätzlich verboten, nur bekannte Ports die ich brauche werden freigeschaltet, überprüfen kann man das sehr gut mit tcpdump auf der Firewall selber, desweiteren, wenn kann man auch Regeln definieren die PortScans oder Ähnliches gesockse abhält, können die wenigsten StangenRouter, oder Ähnliches, natürlich bist Du wesentlich flexibler als wenn man sich so ein StangenRouter hinstellt, sicherheits updates= Abhängigkeit vom Hersteller = niemals!!! OK, hat zwar nichts auf einer guten Firewall verloren: einen DNS Server mit möglichkeit für domain black, bzw, whitelisting. für solche zwecke reicht ein kleiner ThinClient mit 2x NIC und stromsparend sind Sie in der Regel auch.

vorher ipFire, seit einigen Jahren nur noch pFsense und ich vergöttere diese FW (empfehlenswert!!!). Super Performance, Super Aufbau, Super Feautures !

ren22 hat geschrieben:

21.02.2018 21:42:17

ich wollte mal fragen welche Firewall Distribution ihe so benutzt?

Keine.

Link?

Tja, was schreibt man hier? Derzeit Cisco (Router-Switch-Kombination mit VLANs für Trusted LAN, WLAN, Gastnetz für Android-Tablet und Smartphone, Firewall für OSI-Lavyer 3 und 4). Früher PFSense, vorher kurz Sophos getestet, davor gar nichts.

Warum derzeit so? Jeder OSI-Layer-3/4-Firewall kann mehr oder weniger bequem dasselbe. Hatte mal ne China-Büchse (Qotom mit Prozessor J1900) für 210 Euro. Hier Dorf, Freileitungen, öfters Stromausfall. Die China-Büchse verdummte. Nach BIOS-Reset wieder intelligent. Da wollte ich professionelle Hardware. Funktioniert bislang perfekt.

Nachteile Cisco-Router für Privatkunden:
lange Einarbeitung, evtl. keine sichere Konfiguration aufgrund mangelhaftem Wissens/Erfahrung möglich
kostenpflichtige Updates per Servicevertrag - oder "andere Quellen"
keine Zusatzpakete (DNS, rsyslog, squid, piHole z. B.) -> zusätzlicher Homeserver erforderlich
(ASAs kenne ich nicht)

Vorteile:
absolut stabil funktionierende Hard- und Software, langjaehrige und regelmäßige Updates, proaktives Handeln von Cisco bezüglich Bugs, langzeige Ankündigung von End of Sale, Ende of Life, Planungssicherheit.
sicher funktionierende Updates, minimale Ausfallzeiten
minimale oder keine Ausfälle von Diensten bei Umkonfigurationen
viele Stellschrauben auch an Protokoll-Einzelheiten: z. B. Konfiguration Spanning Tree Protocol pro VLAN möglich (Backup-Link von anderem VLAN als Primary-Link nutzbar)!!!
hervorragende Dokumentation!!!
eBay: preiswerter Kauf möglich vs. "PC-Hardware" - dazu muss man jedoch genau wissen, was sinnvoll und nicht EoL/EoS ist!!!

_Senses Vorteile:
Siehe (private) Nachteile Cisco - umgekehrt!
Open Source - nützlich, wenn man Quelltexte versteht, ansonsten Religion?

neuerdings Kleinkrieg zwischen Entwicklern (PFSense vs OPNSense, AES-Zwang nur bei PFSense nicht OPNSense, IPFire?!)
Updates riskant, teils fehlerhaft (Foreninfos)
Umkonfiguration - welcher Dienstausfall, wie lange?
Doku vs. Cisco miserabel

Persönliche Ansichten, Begründung versucht.

Edit: Bissel viel Hardware heute, sollte mal noch was zu Zonen und Firewalling schreiben ...

Nunja, Cisco Geräte kosten i.d.R. um einiges mehr als eine pFsense Box oder dessen Fork OPNsense. Nicht falsch verstehen, bin großer Fan von Cisco IOS und wenn man sich einmal mühvoll eingearbeitet hat dann entspricht es genau dem was du sagtest --> solid rock device! läuft mit zig Jahren uptime. Ich liebe die CLI Konfiguration und das Konfigurationsgestricke am "live" System. Ich entscheide ob die Änderung aktiv gehen soll oder nicht. Abgesehen von den m.E. nach sehr gravierenden security holes die bisher jahrelang in diverse Geräte schlummerten und erst kürzlich gepatcht wurde. Gut, ist bei anderen auch nicht anders wirste sagen, Beispiele gibt's genug. Sollte dennoch erwähnt werden --> auch Cisco kocht mit Wasser und die haben genau so ihre Schwachstellen.

Allerdings könnte ich einen Cisco Router nicht unbedingt mit einer Firewall wie pfSense vergleichen. Ich denke das sind einfach zwei verschiedene Sachen, auch wenn sich der Funktionsinhalt teilweise deckt. Auf unterer Ebene konfiguriere ich alles mit Cisco, aber wenn es um stateful packet filtering geht dann kommt die WebGUI von pfSense zum Einsatz. Vor allem auch was das debugging und die Analyse betrifft. Und ich muss gestehen dass ich sehr oft auch in der shell von pfSense unterwegs bin wenn ich nach tiefgründigen Infos suche. Ich könnte weder mit oder ohne dem anderen Produkt, die ergänzen sich.

letztendlich wie auch schon mehrfach erwähnt wurde --> auf einem Desktop habe auch ich keine Firewall laufen, weder iptables noch irgendwelche AV-Scanner oder dergleichen. UNd damit fahre ich seit Jahren sehr gut. Auf manch anderen Hosts, läuft da schon fail2ban mit exzessivem Regelwerk, das ich über die Jahre angesammelt und eingerichtet habe inkl. eigenen Blacklists.

Ich denke es gibt viele gute Produkte, man muss sich damit auseinandersetzen und seine Erfahrung sammeln.
Just my 2 cents.

pangu hat geschrieben:

22.02.2018 21:30:44

Link?

Link.

pangu hat geschrieben:

22.02.2018 22:01:01

Nunja, Cisco Geräte kosten i.d.R. um einiges mehr als eine pFsense Box oder dessen Fork OPNsense.

Die Kosten für Servicevertrag machen den Unterschied, Hardware nicht unbedingt. Und dann kommt es noch auf differenzierte Hardware für KMU vs. Service-Provider an .
https://www.pfsense.org/products/
(Angebot eher dürftig. Ist auch schön, eine komplette Produktlinie für "alles" (Switches, Router, FWs) mit halbwegs gleicher Bedienung, passenden Defaults nutzen zu können.)

pangu hat geschrieben:

22.02.2018 22:01:01

Allerdings könnte ich einen Cisco Router nicht unbedingt mit einer Firewall wie pfSense vergleichen.

Ciscos ASAs kenne ich nun nicht. Jeder will nun "Unified Thread Management", "Next Generation Firewall" (Unterschied zu konventioneller L3/4-Firewall ist m. E. zusätzlicher Virenscanner für angeschlossene Server und Hosts, evtl. Deep Packet Inspection). Marketing/Luegeting. Reine L3/4-Firewalls sind m. E. durchaus vergleichbar und für Privatnutzer ausreichend.

Ich empfehle jedoch Privatnutzern/Forenmitundohnegliedern PFSense oder OPNSense. GUI, Logging, Zusatzpakete, Open Source,, kostenlose Updates ...
Nachteilig:
-Punkte lt. meinem 1. Beitrag, zumal bei Billighardware
-GUI: Mir zumindest unklar: Wann einfacher Paketfilter (LAN incoming), wann SPI, welche Zonen? Unübersichtlich.
-DNSSEC: Mein Cisco-Router (keine ASA) unterstützt das wohl gar nicht, mit PFSense und DNSSEC Probleme nach Booten, DNS nicht verfügbar. Deaktivierten/Aktivieren von unbound nach Stromausfall.
-Zonenmodell mit GUI unverständlich, das habe ich erst mit Cisco / CLI gelernt: https://www.cisco.com/c/en/us/td/docs/i ... 737555B81B
(wochenlang gelernt, probiert)
Eher Problem CLI vs. GUI.

Edit: Ich schiele derzeit etwas nach Hardware von Shuttle, DS67U, 68U, 77U mit 2xLAN. Zuzüglich Smart-Switch.
(Neueste CPUs für PFSense eher nicht ratsam, zwischenzeitlich IPFire auf Linux-Basis?! Persönlich genügt mir der kleine Cisco zuzüglich Homeserver für erweiterte Netzwerkdienste. Bin am Basteln ... Wenn ich alt bin, keine Bastellust mehr habe, hole ich mir eine Fritzbox. )

Wann melden sich die OpenWrt/LEDE-Freunde? Oder -Bricker ... Duck und wech.
(Freue mich auf AWs.)

Wem es interessiert, hier eine Übersicht fSense, OPNsense und IPFire im Vergleich. War mal ein Webinar von Thomas Krenn.
https://youtu.be/M67FiGiu7H0?t=3

Grüße Sven

Nachdem hier vor einigen Jahren die "Grosskopferten" im Forum ausführlich die Sinnlosigkeit von Firewalls beschrieben, nutze ich nur im Browser noch eine Firewall, also ich nutze die erweiterten Funktionen des addon NoScript.

OpenWRT und IPFire.

IPFire liebe ich für die mittlerweile lieb gewonnene und einfache GUI, ich habe genug komplizierte GUI´s jeden Tag um mich herum. Und OpenWRT ist meine Wahl bei AP´s und kleineren Umgebungen die nur einen kleinen Router brauchen.

Alternativende hat geschrieben:

23.07.2018 21:06:42

OpenWRT und IPFire.

Zu OpenWRT/LEDE habe ich Fragen:
Als Privatnutzer (Heimnetzwerk) benötigt man sicher keine pfSense. Allerdings möchte ich doch etwas mehr als von einem Plastikrouter. Okay, Segmentierung (z. B. mehrere VLANs, für Accesspoints mit Gastnetz, LAN, DMZ) funktionieren, Paketfilter auf OSI-Layer 3 und 4 (Direction, Interface, Source+Destination für IP-Adresse, Protokoll, Port) auch, beruht ja wohl auf iptables.

Aber ich würde mir noch als Minimalausstattung (Heimnetzwerk) wünschen:
- Resolver/unbound (iterative DNS-Aufloesung)
- DNSSEC-Unterstützung
- oder wenigstens die Möglichkeit der Verschlüsselung bei DNS-Forwarding mit viel Vertrauen zu irgendwelchen öffentlichen DNS-Anbietern
- zentraler Adblocker outgoing (so was wie piHole)
- etwas Speicher für Logs (nicht remote mit dauerhaft laufendem Zusatzgerät)
- vor allem: regelmäßige und einfach zu installierende Updates bei Entdeckung von Schwächen/Angreifbarkeit/Exploits? Bekanntmachung und Dokumentation derer? Ausreichende Tests von Änderungen?

Letztere Punkte (außer Updates) fehlten mir auch bei meinem Cisco-Router (keine ASA-Firewall mit kostenpflichtiger "Subscription"), deshalb wieder pfSense.