Hardware-Firewall-Proxy wg. http/s-Verkehr.

[debiator]

Hi!

ich würde gerne was in Richtung Firewalls und Proxys dazu lernen und bin auf das Thema Application Layer Firewall gestoßen.
Das soll das Problem lösen, dass man vor allem durch Port 80 und 443 eben alles Mögliche durchschleusen kann, da es den Verkehr genauer betrachtet.

Mit einer Paketfilter-FW, die ich habe, kommt man zwar auch schon etwas weiter, wenn man z.B. den Mailverkehr nur auf die Mailserver-IP des Providers und andere Dienste ebenfalls möglichst auf die jeweiligen IPs begrenzt Das gibt natürlich keine absolute Sicherheit, da man die IPs spoofen könnte, ist aber erstmal eine deutliche Bariere. Aber den Port 80 und 443 kann man natürlich nicht an IPs begrenzen, da es das gesamte Internet umfassen soll. Es wäre natürlich sehr amüsant, wenn es da thematische Listen gäbe, was allerdings Unsinn wäre.

Also kommt man bei dem http/s-Problem nicht um einen Application Layer mit einem Cache-Proxy, der erstens die Programme genauer kontrollieren kann und zweitens die Pakete auch anschaut, bevor er sie weiter leitet.

Ist da mein Verständnis erstmal so weit korrekt?

Wenn ja, dann würde ich gerne mit einer neuen HW-FW mit Proxy rumexperimentieren. Die Frage ist nur, gibt es eine halbwegs brauchbare Lösung bereits zum Kaufen? Ich meine keine Cisco-Dinger für 1000 und mehr Euro. Oder hält sich der Aufwand bei einem eigenen Aufbau mit irgendeinem passivgekühlten stromsparenden PC (geht das überhaupt bei der Belastung als Proxy-Cache??) in Grenzen?

[MSfree]

Das gibt natürlich keine absolute Sicherheit, da man die IPs spoofen könnte

IP-Adressen müßte der Angreifer schon übernehmen, das ist aber deutlich schwieriger als eine Domain zu übernehmen.

Also kommt man bei dem http/s-Problem nicht um einen Application Layer mit einem Cache-Proxy, der erstens die Programme genauer kontrollieren kann und zweitens die Pakete auch anschaut, bevor er sie weiter leitet.

Verschlüsselter Verkehr läßt sich nicht mehr inspizieren, dagegen werden die Pakete schließlich verschlüsselt. Man kann höchstens überprüfen, ob jemand irgendwelchen unverschlüsselten Schabernack über den Port 443 verschicken will, der eigentlich verschlüsselt sein sollte.

Wenn ja, dann würde ich gerne mit einer neuen HW-FW mit Proxy rumexperimentieren.

Was ist denn ein HW-FW? Hardware-Firewalls gibt es nicht. Letztlich ist jedes Netzwerkgerät ein Mischung aus Hardware und Software.

Die Frage ist nur, gibt es eine halbwegs brauchbare Lösung bereits zum Kaufen? Ich meine keine Cisco-Dinger für 1000 und mehr Euro.

Sicherheit ist ein Konzept, das man nicht in Form eines Stücks Hardware kaufen kann, man kann höchstens Know-How bei einem Dienstleister einkaufen. Auf welcher Hardware man das Konzept am Ende umsetzt, ist fast egal.

Oder hält sich der Aufwand bei einem eigenen Aufbau mit irgendeinem passivgekühlten stromsparenden PC (geht das überhaupt bei der Belastung als Proxy-Cache??) in Grenzen?

Wenn es dir darum geht, eine 6MBit-Leitung zu überwachen, sind die Hardwareanforderungen geradezu lächerlich niedrig. Ich kommen mit meinem 533MHz VIA C3 mit 256MB RAM nicht einmal in die Nähe der CPU- und RAM-Auslastung. 6MBit/s ver- und entschlüsseln über einen SSH-Tunnel oder VPN bringt die CPU gelegendlich mal an 10% Auslastung, da ist noch sehr viel Luft nach oben.

[uname]

Um Erfahrung zu sammeln könntest du erst mal einen Debian-Server z.B. mit squid und squidguard bzw dansguardian ausprobieren. Mit SquidGuard könntest du z.B. Millionen von "unerwünschten" Webseiten sperren. Das wäre vielleicht ein Anfang bzw. der Anfang vom Ende.

Eine inhaltliche Überprüfung von SSL wäre nur bei Manipuliation der Client-SSL-Zertifikate (Browser, Betriebssystem, evtl. ca-certificates ?) möglich, wodurch die SSL-Ende-zu-Ende-Verschlüsselung für den Endanwender unerkannt in zwei SSL-Verschlüsselungen aufgeteilt werden könnte. Hierüber solltest du dann aber deine Anwender informieren. Es gibt mindestens kommerzielle Software, die dieses Vorgehen unterstützt. Eingesetzt wahrscheinlich in Ländern, die ihre Anwender darüber wahrscheinlich eher nicht informieren.

[debiator]

Verschlüsselter Verkehr läßt sich nicht mehr inspizieren, dagegen werden die Pakete schließlich verschlüsselt. Man kann höchstens überprüfen, ob jemand irgendwelchen unverschlüsselten Schabernack über den Port 443 verschicken will, der eigentlich verschlüsselt sein sollte.

ja genau um das Zweitere geht es ja. Man kann ja über 443 was weiss ich was schicken, genau so über 80, welcher eben eh nicht verschlüsselt ist.
Dafür wäre als Application Layer mit Inhaltsüberprüfung ja sinnvoll.

Was ist denn ein HW-FW? Hardware-Firewalls gibt es nicht. Letztlich ist jedes Netzwerkgerät ein Mischung aus Hardware und Software.

eine HW-FW ist gemeinhin eine vom Rechner externe Hardware, auf der lediglich die Software-FW läuft.

Sicherheit ist ein Konzept, das man nicht in Form eines Stücks Hardware kaufen kann, man kann höchstens Know-How bei einem Dienstleister einkaufen. Auf welcher Hardware man das Konzept am Ende umsetzt, ist fast egal.

Das ist ja klar, dennoch gibt es Dinge zu kaufen, die man dann eben Einrichten und verwalten muss.

Wenn es dir darum geht, eine 6MBit-Leitung zu überwachen, sind die Hardwareanforderungen geradezu lächerlich niedrig. Ich kommen mit meinem 533MHz VIA C3 mit 256MB RAM nicht einmal in die Nähe der CPU- und RAM-Auslastung. 6MBit/s ver- und entschlüsseln über einen SSH-Tunnel oder VPN bringt die CPU gelegendlich mal an 10% Auslastung, da ist noch sehr viel Luft nach oben.

Hast Du da vielleicht einen Tipp für einen günstigen modernen Mini-PC mit passiver Kühlung für die Zwecke?

Um Erfahrung zu sammeln könntest du erst mal einen Debian-Server z.B. mit Debiansquid und Debiansquidguard bzw Debiandansguardian ausprobieren. Mit SquidGuard könntest du z.B. Millionen von "unerwünschten" Webseiten sperren. Das wäre vielleicht ein Anfang bzw. der Anfang vom Ende.

Danke. Hat Squid und Sguard eine gute GUI zur Konfiguration oder ist es alles per Shell?
Ist Dansguardian nicht dem Sguard ähnlich?

[MSfree]

Hast Du da vielleicht einen Tipp für einen günstigen modernen Mini-PC mit passiver Kühlung für die Zwecke?

Wenn du bereit bist, etwas zu basteln, ist ein Raspberry Pi 2 fast unschlagbar günstig und ziemlich flott. Du mußt aber damit leben, daß der Pi nur eine Ethernetschnittstelle hat und weitere per USB angeschlossen werden müssen, was zumindest optisch nicht gerade elegant aussieht. Mit etwas Geschick kann man das aber in einem kleinen Gehäuse unterbringen. Raspi, 16GB µSD, USB-Ethernet, Netzteil und Gehäuse kann man für rund 100 Euro bekommen.

Ich habe vor kurzem für einen kleinen Server ein Board mit einer Intel J1900 CPU besorgt. Das Ding ist lüfterlos und hat inklusive 4GB RAM 120 Euro gekostet. Aber der J1900 ist für solche Zwecke schon rechentechnischer Overkill, der ist locker 50 mal so schnell wie mein VIA C3.

Danke. Hat Squid und Sguard eine gute GUI zur Konfiguration oder ist es alles per Shell?

Das sind Serverprozesse, die in guter alter Servertradition über Steuerdateien und Kommandozeile konfiguriert werden.

[debiator]

Der Raspberry Pi 2 wäre eh mal interessant. DIe haben ja so viel ich weiss mittlerweile HDMI.

hmmm.. ok... dann bräuchte man dazu wohl noch ein Buch, damit man dabei sitzend per Shell konfigurieren und verwalten kann.

[DeletedUserReAsG]

Wie, „mittlerweile“? HDMI hatte schon die erste Generation Pi. Dennoch will man ein Pi nicht für Netzwerkzwecke: es hat ein Interface, ein zweites ließe sich via USB ranstecken. Genau an dem Bus hängt auch schon das verbaute, so dass die Performance nicht so toll ist.

[MSfree]

Der Raspberry Pi 2 wäre eh mal interessant. DIe haben ja so viel ich weiss mittlerweile HDMI.

Ja, meine beiden Raspis, ich habe einen B+ und einen 2er, haben HDMI. Das ist aber nicht immer praktisch, mein Reserve TFT hat z.B. nur einen VGA-Eingang.

hmmm.. ok... dann bräuchte man dazu wohl noch ein Buch, damit man dabei sitzend per Shell konfigurieren und verwalten kann.

Eigentlich nicht. Es gibt für alle Linuxprojekte extrem ausführliche Dokumentationen im Internet und gute Beispielkonfigurationen. Ausserdem sind die Beispielkonfigurationen, die mitistalliert werden, sehr ausführlich kommentiert. Englisch sollte man aber schon einigermassen beherrschen.

[debiator]

hmm... na das wäre mal ein Projekt!
ich schaff mir mal so ein Ding an, dann schauen wir weiter.

Hat der Raspberry Pi nicht sogar open source Treiber/Firmware??
DAS wäre ja natürlich noch besser.

[eggy]

Was ist denn ein HW-FW? Hardware-Firewalls gibt es nicht. Letztlich ist jedes Netzwerkgerät ein Mischung aus Hardware und Software.

Also das letzte mal als ich nachgesehn hab, war der Repeater noch ziemlich dumm, da war keine Software drin. Ausserdem gibts auch reine Hardwarefirewalls, z.B. auf FPGA Basis.

[MSfree]

Hat der Raspberry Pi nicht sogar open source Treiber/Firmware??
DAS wäre ja natürlich noch besser.

Linux ist jedenfalls kein Problem auf dem Raspi. Es gibt inzwischen eine fast unzählige Vielfalt an Distributionen, da sollte für jeden Geschmack etwas dabei sein. Mein Favorit ist im Moment Minibian, das mit einer 512MB µSD-Karte auskommt, aber keinerlei GUI bietet.

[debiator]

ich meine eher die HW-Firmware nicht das OS.
Habe mittlerweile gelesen... es ist nur der Grafiktreiber wohl nur zum Teil open source, der Rest eh nicht.
Echt schade, dass es im Sinne von open source Hardware so wenig gibt.

[debiator]

Kennt jemand noch eine Alternative zum Raspberry Pi 2 mit 2 (oder mehr?) Netzwerkanschlüssen?
Am besten noch halbwegs "open source" Firmware.

[letzter3]

http://www.administrator.de/wissen/prei ... 49915.html

[debiator]

diese Boards sind wirklich eine geniale Sache!
Was ich nicht verstehe, warum er da was von Windows redet... hä??

[Dimejo]

Kennt jemand noch eine Alternative zum Raspberry Pi 2 mit 2 (oder mehr?) Netzwerkanschlüssen?
Am besten noch halbwegs "open source" Firmware.

Vom Banana Pi gibt es eine Router-Version namens BPi-R1.

Von Jetway gibt es ein paar interessante Barebones falls Du etwas mit mehr Rechenleistung und 4+ Netzwerkanschlüssen suchst. Preislich fängt das allerdings erst bei € 300,- an.

[debiator]

sehr interessant! Vielen Dank!

Eine Lösung mit einem Telefonanschluss wäre natürlich perfekt, dann könnte man auch die Provider-Router ersetzen.

[letzter3]

Alles lesen!
Er beschreibt das Aufspielen von pfSense auf die Karte (auch) unter Windows.

[debiator]

ok... irgendwie hab ich da auf die Schnelle die Linuxvariante übersehen. Ich schau noch mal.