Hardware-Firewall-Proxy wg. http/s-Verkehr.
Hardware-Firewall-Proxy wg. http/s-Verkehr.
Hi!
ich würde gerne was in Richtung Firewalls und Proxys dazu lernen und bin auf das Thema Application Layer Firewall gestoßen.
Das soll das Problem lösen, dass man vor allem durch Port 80 und 443 eben alles Mögliche durchschleusen kann, da es den Verkehr genauer betrachtet.
Mit einer Paketfilter-FW, die ich habe, kommt man zwar auch schon etwas weiter, wenn man z.B. den Mailverkehr nur auf die Mailserver-IP des Providers und andere Dienste ebenfalls möglichst auf die jeweiligen IPs begrenzt Das gibt natürlich keine absolute Sicherheit, da man die IPs spoofen könnte, ist aber erstmal eine deutliche Bariere. Aber den Port 80 und 443 kann man natürlich nicht an IPs begrenzen, da es das gesamte Internet umfassen soll. Es wäre natürlich sehr amüsant, wenn es da thematische Listen gäbe, was allerdings Unsinn wäre.
Also kommt man bei dem http/s-Problem nicht um einen Application Layer mit einem Cache-Proxy, der erstens die Programme genauer kontrollieren kann und zweitens die Pakete auch anschaut, bevor er sie weiter leitet.
Ist da mein Verständnis erstmal so weit korrekt?
Wenn ja, dann würde ich gerne mit einer neuen HW-FW mit Proxy rumexperimentieren. Die Frage ist nur, gibt es eine halbwegs brauchbare Lösung bereits zum Kaufen? Ich meine keine Cisco-Dinger für 1000 und mehr Euro. Oder hält sich der Aufwand bei einem eigenen Aufbau mit irgendeinem passivgekühlten stromsparenden PC (geht das überhaupt bei der Belastung als Proxy-Cache??) in Grenzen?
ich würde gerne was in Richtung Firewalls und Proxys dazu lernen und bin auf das Thema Application Layer Firewall gestoßen.
Das soll das Problem lösen, dass man vor allem durch Port 80 und 443 eben alles Mögliche durchschleusen kann, da es den Verkehr genauer betrachtet.
Mit einer Paketfilter-FW, die ich habe, kommt man zwar auch schon etwas weiter, wenn man z.B. den Mailverkehr nur auf die Mailserver-IP des Providers und andere Dienste ebenfalls möglichst auf die jeweiligen IPs begrenzt Das gibt natürlich keine absolute Sicherheit, da man die IPs spoofen könnte, ist aber erstmal eine deutliche Bariere. Aber den Port 80 und 443 kann man natürlich nicht an IPs begrenzen, da es das gesamte Internet umfassen soll. Es wäre natürlich sehr amüsant, wenn es da thematische Listen gäbe, was allerdings Unsinn wäre.
Also kommt man bei dem http/s-Problem nicht um einen Application Layer mit einem Cache-Proxy, der erstens die Programme genauer kontrollieren kann und zweitens die Pakete auch anschaut, bevor er sie weiter leitet.
Ist da mein Verständnis erstmal so weit korrekt?
Wenn ja, dann würde ich gerne mit einer neuen HW-FW mit Proxy rumexperimentieren. Die Frage ist nur, gibt es eine halbwegs brauchbare Lösung bereits zum Kaufen? Ich meine keine Cisco-Dinger für 1000 und mehr Euro. Oder hält sich der Aufwand bei einem eigenen Aufbau mit irgendeinem passivgekühlten stromsparenden PC (geht das überhaupt bei der Belastung als Proxy-Cache??) in Grenzen?
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
IP-Adressen müßte der Angreifer schon übernehmen, das ist aber deutlich schwieriger als eine Domain zu übernehmen.debiator hat geschrieben:Das gibt natürlich keine absolute Sicherheit, da man die IPs spoofen könnte
Verschlüsselter Verkehr läßt sich nicht mehr inspizieren, dagegen werden die Pakete schließlich verschlüsselt. Man kann höchstens überprüfen, ob jemand irgendwelchen unverschlüsselten Schabernack über den Port 443 verschicken will, der eigentlich verschlüsselt sein sollte.Also kommt man bei dem http/s-Problem nicht um einen Application Layer mit einem Cache-Proxy, der erstens die Programme genauer kontrollieren kann und zweitens die Pakete auch anschaut, bevor er sie weiter leitet.
Was ist denn ein HW-FW? Hardware-Firewalls gibt es nicht. Letztlich ist jedes Netzwerkgerät ein Mischung aus Hardware und Software.Wenn ja, dann würde ich gerne mit einer neuen HW-FW mit Proxy rumexperimentieren.
Sicherheit ist ein Konzept, das man nicht in Form eines Stücks Hardware kaufen kann, man kann höchstens Know-How bei einem Dienstleister einkaufen. Auf welcher Hardware man das Konzept am Ende umsetzt, ist fast egal.Die Frage ist nur, gibt es eine halbwegs brauchbare Lösung bereits zum Kaufen? Ich meine keine Cisco-Dinger für 1000 und mehr Euro.
Wenn es dir darum geht, eine 6MBit-Leitung zu überwachen, sind die Hardwareanforderungen geradezu lächerlich niedrig. Ich kommen mit meinem 533MHz VIA C3 mit 256MB RAM nicht einmal in die Nähe der CPU- und RAM-Auslastung. 6MBit/s ver- und entschlüsseln über einen SSH-Tunnel oder VPN bringt die CPU gelegendlich mal an 10% Auslastung, da ist noch sehr viel Luft nach oben.Oder hält sich der Aufwand bei einem eigenen Aufbau mit irgendeinem passivgekühlten stromsparenden PC (geht das überhaupt bei der Belastung als Proxy-Cache??) in Grenzen?
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Um Erfahrung zu sammeln könntest du erst mal einen Debian-Server z.B. mit squid und squidguard bzw dansguardian ausprobieren. Mit SquidGuard könntest du z.B. Millionen von "unerwünschten" Webseiten sperren. Das wäre vielleicht ein Anfang bzw. der Anfang vom Ende.
Eine inhaltliche Überprüfung von SSL wäre nur bei Manipuliation der Client-SSL-Zertifikate (Browser, Betriebssystem, evtl. ca-certificates ?) möglich, wodurch die SSL-Ende-zu-Ende-Verschlüsselung für den Endanwender unerkannt in zwei SSL-Verschlüsselungen aufgeteilt werden könnte. Hierüber solltest du dann aber deine Anwender informieren. Es gibt mindestens kommerzielle Software, die dieses Vorgehen unterstützt. Eingesetzt wahrscheinlich in Ländern, die ihre Anwender darüber wahrscheinlich eher nicht informieren.
Eine inhaltliche Überprüfung von SSL wäre nur bei Manipuliation der Client-SSL-Zertifikate (Browser, Betriebssystem, evtl. ca-certificates ?) möglich, wodurch die SSL-Ende-zu-Ende-Verschlüsselung für den Endanwender unerkannt in zwei SSL-Verschlüsselungen aufgeteilt werden könnte. Hierüber solltest du dann aber deine Anwender informieren. Es gibt mindestens kommerzielle Software, die dieses Vorgehen unterstützt. Eingesetzt wahrscheinlich in Ländern, die ihre Anwender darüber wahrscheinlich eher nicht informieren.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
ja genau um das Zweitere geht es ja. Man kann ja über 443 was weiss ich was schicken, genau so über 80, welcher eben eh nicht verschlüsselt ist.MSfree hat geschrieben:Verschlüsselter Verkehr läßt sich nicht mehr inspizieren, dagegen werden die Pakete schließlich verschlüsselt. Man kann höchstens überprüfen, ob jemand irgendwelchen unverschlüsselten Schabernack über den Port 443 verschicken will, der eigentlich verschlüsselt sein sollte.
Dafür wäre als Application Layer mit Inhaltsüberprüfung ja sinnvoll.
eine HW-FW ist gemeinhin eine vom Rechner externe Hardware, auf der lediglich die Software-FW läuft.MSfree hat geschrieben:Was ist denn ein HW-FW? Hardware-Firewalls gibt es nicht. Letztlich ist jedes Netzwerkgerät ein Mischung aus Hardware und Software.
Das ist ja klar, dennoch gibt es Dinge zu kaufen, die man dann eben Einrichten und verwalten muss.MSfree hat geschrieben:Sicherheit ist ein Konzept, das man nicht in Form eines Stücks Hardware kaufen kann, man kann höchstens Know-How bei einem Dienstleister einkaufen. Auf welcher Hardware man das Konzept am Ende umsetzt, ist fast egal.
Hast Du da vielleicht einen Tipp für einen günstigen modernen Mini-PC mit passiver Kühlung für die Zwecke?MSfree hat geschrieben:Wenn es dir darum geht, eine 6MBit-Leitung zu überwachen, sind die Hardwareanforderungen geradezu lächerlich niedrig. Ich kommen mit meinem 533MHz VIA C3 mit 256MB RAM nicht einmal in die Nähe der CPU- und RAM-Auslastung. 6MBit/s ver- und entschlüsseln über einen SSH-Tunnel oder VPN bringt die CPU gelegendlich mal an 10% Auslastung, da ist noch sehr viel Luft nach oben.
Danke. Hat Squid und Sguard eine gute GUI zur Konfiguration oder ist es alles per Shell?uname hat geschrieben:Um Erfahrung zu sammeln könntest du erst mal einen Debian-Server z.B. mit Debiansquid und Debiansquidguard bzw Debiandansguardian ausprobieren. Mit SquidGuard könntest du z.B. Millionen von "unerwünschten" Webseiten sperren. Das wäre vielleicht ein Anfang bzw. der Anfang vom Ende.
Ist Dansguardian nicht dem Sguard ähnlich?
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Wenn du bereit bist, etwas zu basteln, ist ein Raspberry Pi 2 fast unschlagbar günstig und ziemlich flott. Du mußt aber damit leben, daß der Pi nur eine Ethernetschnittstelle hat und weitere per USB angeschlossen werden müssen, was zumindest optisch nicht gerade elegant aussieht. Mit etwas Geschick kann man das aber in einem kleinen Gehäuse unterbringen. Raspi, 16GB µSD, USB-Ethernet, Netzteil und Gehäuse kann man für rund 100 Euro bekommen.debiator hat geschrieben:Hast Du da vielleicht einen Tipp für einen günstigen modernen Mini-PC mit passiver Kühlung für die Zwecke?
Ich habe vor kurzem für einen kleinen Server ein Board mit einer Intel J1900 CPU besorgt. Das Ding ist lüfterlos und hat inklusive 4GB RAM 120 Euro gekostet. Aber der J1900 ist für solche Zwecke schon rechentechnischer Overkill, der ist locker 50 mal so schnell wie mein VIA C3.
Das sind Serverprozesse, die in guter alter Servertradition über Steuerdateien und Kommandozeile konfiguriert werden.uname hat geschrieben:Danke. Hat Squid und Sguard eine gute GUI zur Konfiguration oder ist es alles per Shell?
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Der Raspberry Pi 2 wäre eh mal interessant. DIe haben ja so viel ich weiss mittlerweile HDMI.
hmmm.. ok... dann bräuchte man dazu wohl noch ein Buch, damit man dabei sitzend per Shell konfigurieren und verwalten kann.
hmmm.. ok... dann bräuchte man dazu wohl noch ein Buch, damit man dabei sitzend per Shell konfigurieren und verwalten kann.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Wie, „mittlerweile“? HDMI hatte schon die erste Generation Pi. Dennoch will man ein Pi nicht für Netzwerkzwecke: es hat ein Interface, ein zweites ließe sich via USB ranstecken. Genau an dem Bus hängt auch schon das verbaute, so dass die Performance nicht so toll ist.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Ja, meine beiden Raspis, ich habe einen B+ und einen 2er, haben HDMI. Das ist aber nicht immer praktisch, mein Reserve TFT hat z.B. nur einen VGA-Eingang.debiator hat geschrieben:Der Raspberry Pi 2 wäre eh mal interessant. DIe haben ja so viel ich weiss mittlerweile HDMI.
Eigentlich nicht. Es gibt für alle Linuxprojekte extrem ausführliche Dokumentationen im Internet und gute Beispielkonfigurationen. Ausserdem sind die Beispielkonfigurationen, die mitistalliert werden, sehr ausführlich kommentiert. Englisch sollte man aber schon einigermassen beherrschen.hmmm.. ok... dann bräuchte man dazu wohl noch ein Buch, damit man dabei sitzend per Shell konfigurieren und verwalten kann.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
hmm... na das wäre mal ein Projekt!
ich schaff mir mal so ein Ding an, dann schauen wir weiter.
Hat der Raspberry Pi nicht sogar open source Treiber/Firmware??
DAS wäre ja natürlich noch besser.
ich schaff mir mal so ein Ding an, dann schauen wir weiter.
Hat der Raspberry Pi nicht sogar open source Treiber/Firmware??
DAS wäre ja natürlich noch besser.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Also das letzte mal als ich nachgesehn hab, war der Repeater noch ziemlich dumm, da war keine Software drin. Ausserdem gibts auch reine Hardwarefirewalls, z.B. auf FPGA Basis.MSfree hat geschrieben:Was ist denn ein HW-FW? Hardware-Firewalls gibt es nicht. Letztlich ist jedes Netzwerkgerät ein Mischung aus Hardware und Software.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Linux ist jedenfalls kein Problem auf dem Raspi. Es gibt inzwischen eine fast unzählige Vielfalt an Distributionen, da sollte für jeden Geschmack etwas dabei sein. Mein Favorit ist im Moment Minibian, das mit einer 512MB µSD-Karte auskommt, aber keinerlei GUI bietet.debiator hat geschrieben:Hat der Raspberry Pi nicht sogar open source Treiber/Firmware??
DAS wäre ja natürlich noch besser.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
ich meine eher die HW-Firmware nicht das OS.
Habe mittlerweile gelesen... es ist nur der Grafiktreiber wohl nur zum Teil open source, der Rest eh nicht.
Echt schade, dass es im Sinne von open source Hardware so wenig gibt.
Habe mittlerweile gelesen... es ist nur der Grafiktreiber wohl nur zum Teil open source, der Rest eh nicht.
Echt schade, dass es im Sinne von open source Hardware so wenig gibt.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Kennt jemand noch eine Alternative zum Raspberry Pi 2 mit 2 (oder mehr?) Netzwerkanschlüssen?
Am besten noch halbwegs "open source" Firmware.
Am besten noch halbwegs "open source" Firmware.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
diese Boards sind wirklich eine geniale Sache!
Was ich nicht verstehe, warum er da was von Windows redet... hä??
Was ich nicht verstehe, warum er da was von Windows redet... hä??
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Vom Banana Pi gibt es eine Router-Version namens BPi-R1.debiator hat geschrieben:Kennt jemand noch eine Alternative zum Raspberry Pi 2 mit 2 (oder mehr?) Netzwerkanschlüssen?
Am besten noch halbwegs "open source" Firmware.
Von Jetway gibt es ein paar interessante Barebones falls Du etwas mit mehr Rechenleistung und 4+ Netzwerkanschlüssen suchst. Preislich fängt das allerdings erst bei € 300,- an.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
sehr interessant! Vielen Dank!
Eine Lösung mit einem Telefonanschluss wäre natürlich perfekt, dann könnte man auch die Provider-Router ersetzen.
Eine Lösung mit einem Telefonanschluss wäre natürlich perfekt, dann könnte man auch die Provider-Router ersetzen.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
Alles lesen!
Er beschreibt das Aufspielen von pfSense auf die Karte (auch) unter Windows.
Er beschreibt das Aufspielen von pfSense auf die Karte (auch) unter Windows.
Re: Hardware-Firewall-Proxy wg. http/s-Verkehr.
ok... irgendwie hab ich da auf die Schnelle die Linuxvariante übersehen. Ich schau noch mal.