Entscheidungshilfe Firewalldistribution oder Eigenbau

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
chrisg
Beiträge: 10
Registriert: 06.05.2016 09:06:27

Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von chrisg » 29.12.2016 18:04:07

Hallo,

ich habe vor vielen Jahren mit Hilfe des Buches "Linux Firewalls" des O'reilly Verlages eine einfache auf iptables basierende Firewall
aufgesetzt und in Betrieb genommen. Diese lief auch ungefähr achte Jahre ohne Probleme.
Ist solch eine reine Paketfilterfirewall in der heutigen Zeit noch sinnvoll oder sollte man eher auf Distributionen wie pfsense o.ä. zurück greifen?
Mir hat es damals aus reinem Forscherdrang gefallen solch ein System in Eigenregie aufzusetzen und ich bin auch heute nicht
abgeneigt ins Innenleben meiner Technik zu schauen. Grad was Fehlersuche angeht finde ich selbst gebaute Dinge schon vorteilhaft.
Ziel meiner Übung ist ein ESX-Server welcher vier virtuelle Maschinen enthält eine äußere und eine innere Firewall und jeweils eine für
einen asterisk-Server und einen web-Server, welche sich in einer DMZ befinden.
Also eigentlich nichts tolles.

Viele Grüße
chris

BenutzerGa4gooPh

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von BenutzerGa4gooPh » 29.12.2016 18:26:26

chrisg hat geschrieben:Ist solch eine reine Paketfilterfirewall in der heutigen Zeit noch sinnvoll ...
State of the Art sind SPI-Firewalls. Kann man auch mit iptables/netfilter realisieren.
https://de.m.wikipedia.org/wiki/Statefu ... Inspection
Firewall-Distributionen gibt es viele:
https://en.m.wikipedia.org/wiki/List_of ... tributions
https://distrowatch.com/search.php?category=Firewall
Die Auswahl schränkt sich stark ein, wenn du nach kostenfrei, vorhandene IPv6-Implementierung und Eignung für Virtualisierung schaust. Firewall-Distributionen kann man gut und schnell und realistisch mit VirtualBox vortesten, Laptops haben 2 phys. Schnittstellen (LAN und WLAN), die man zum Gast bridgen kann. Geht weniger um die Funktion an sich, die tun schon, mehr um die Bedienung und gewünschte Funktionsvielfalt, Zusatzpakete.

Für netfilter/iptables gibt es neben Debianufw auch professionelle Frontends, teilweise objektorientiert.
https://wiki.archlinux.org/index.php/firewalls
chrisg hat geschrieben:Ziel meiner Übung ist ein ESX-Server welcher vier virtuelle Maschinen enthält eine äußere und eine innere Firewall und jeweils eine für
einen asterisk-Server und einen web-Server, welche sich in einer DMZ befinden.
Die meisten FW-Distris besitzen DMZ. Fuer einen virtuellen Server denke ich, bist du mit iptables/netfilter am besten dran. Erstellst das Regelwerk bei Bedarf mit einem professionellen Frontend.

Eine Firewall-Distribution kann man virtualisieren, gibt aber Vorbehalte wegen mehr Angriffsfläche (Host + Gast), mehr administrativen Aufwand. Also FW-Distri eher auf Blech (Hardware). Die Macher haben sich schon viele Gedanken gemacht. Für die Hostsicherheit wärst du allein und zusätzlich verantwortlich.

Falls du doch noch Hinweise zu 4 speziellen, von mir getesteten FW-Distris benötigst, einfach melden. Die netfilter/iptables-Geschichte sollen andere erläutern, mir genügt eine Firewall-Router-Kombi auf Blech.

Falls dein Server zu Hause oder in deiner Firma steht, würde ich die DMZ oder Portforwarding einer nur intern (LAN) managebaren Hardware-Firewall (Gateway) nutzen.
https://de.m.wikipedia.org/wiki/Externe_Firewall

chrisg
Beiträge: 10
Registriert: 06.05.2016 09:06:27

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von chrisg » 30.12.2016 14:40:21

Erstmal danke für deine Antwort. Also kann ich davon ausgehen, dass "moderne" Firewalls nicht prinzipiell anders arbeiten
wie Firewalls von vor 15 Jahren? Ich habe eben in meinem Buch recherchiert und festgestellt, dass der Autor
Stateful Packet Filtering benutzt hat um Pakete zu verwerfen die nicht zur eigentlichen Verbindung gehören. Er hat halt
damals das Modul "state" benutzt was ja laut google Suche nicht mehr aktuell ist und von ip_conntrack abgelöst wurde.
Ich habe jetzt einfach mal dumm das hier zu Rate gezogen:
https://evilshit.wordpress.com/2013/12/ ... -iptables/
Ich favorisiere eine Eigenbaulösung hauptsächlich wegen des asterisk-Servers. Hatte vor paar Wochen mal schlechte Erfahrung mit nem
Zyxel Router, der Telekom und nem Gigaset Telefon gemacht. Gab da einiges an blabla wegen den Firewallregeln und ich konnte halt
nie genau sagen ob der Router auch das macht was er mir oberflächlich vorgegauckelt hat.
Bei nem iptables-Regelwerk kann man halt einfach mal die Paketfilterung abschalten und gucken was passiert...
Welche Distri würdest du denn empfehlen in Bezug auf Übersichtlichkeit, Performance und Sicherheit?

BenutzerGa4gooPh

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von BenutzerGa4gooPh » 30.12.2016 16:54:50

chrisg hat geschrieben:Welche Distri würdest du denn empfehlen in Bezug auf Übersichtlichkeit, Performance und Sicherheit?
Nu ja, Sicherheit: Die werden wohl alle ihr Ding tun - wenn richtig konfiguriert. Deshalb finde ich persönlich eine gute Oberfläche für wesentlich. Was wiederum subjektiv ist. :wink:
Performance: Ist sehr abhängig von der Hardware, NIC-Qualitaet (aktiv/passiv - Server oder Clientkarten) sowie Regelwerk, NAT und Verschlüsselung/Tunnels.

Also mir gefällt OPNSense (auch Deutsch) am besten, da ich aber gern bastle, nutze ich derzeit PFSense. Ist auch schon altbewährt. PFSense bietet auch GUI-Bedienung für RIP und OSPF. Braucht zuhause kein Schwein. :oops:
IPFire (Linux) kannst du dir auch mal ansehen. IPCop kann meines Wissens kein IPv6.
Schmeiße die Distris doch mal in eine VM. Kannst dann per Browser vom Host zugreifen. Schaue dir auch den genialen DNS-Resolver unbound und Zusatzpakete (squid, snort) an.

In einer Firma würde ich Sophos in Erwägung ziehen, da revisionssicher, Virenschutz für Mail und Windows- Clients. Sophos loggt alles, wahrscheinlich sogar Pupse vom Admin. :oops: Von Sophos gibt es eine kostenlose Version bis 50 IPs. Aber wie gesagt, der (private) Overkill - und amerikanische Ausfuhrbestimmungen (Registrierung).

Zur Hardware: Brauchst dann einen stromsparenden (Mini-) PC mit mindestens 2 ordentlichen, am besten Intel-Netzwerkschnittstellen oder ein APU2C von PC Engines. Bei viel Verschlüsselung und GB-Linespeed wird eher zu Core i3 und Intel-Server-NICs geraten. Falls du viel Geld hast (500...1000 Euro) kannst du mal Produkte von Lanner anschauen. Ein (mein) Traum von Hardware. PFSense, OPNSense und IPFire haben auch eigene, ausgesuchte Hardware. So ab 400 Euro. Kannst mal die Websites besuchen, siehst so auch Hardwareanforderungen.

Ich habe das Gerät und bin sehr zufrieden: http://qotom.net/goods-129-QOTOM-Q190G4 ... ni+PC.html
Etwa 220 Euro mit 64GB SSD und 4GB RAM per Amazon ohne irgendwelche Gebühren, bei Amazon wohl gerade nicht verfügbar. Andere als Qotom oder HSI wollen gerade über 350 Euro. Am besten als Barebone bestellen und RAM/SSD extra - da weiß man, was man kriegt.
Ne Zotac ZBox CI323 + Switch tut privat auch, die Realtec-NICs (oder deren PCIe-Anbindung) sind nicht so performant (400 .. 500 Mbps). Schreibt jedenfalls der IPFire-Guru im Forum.

Einfach mal in den entsprechenden Foren schnüffeln, gibt auch Ratschläge für Eigenbau mit speziellen Boards und Server-NICs. Oder von eBay ne gebrauchte Firewall Appliance. So du 19 Zoll Platz hast. Mal nach Firewall suchen.
Zuletzt geändert von BenutzerGa4gooPh am 30.12.2016 18:13:02, insgesamt 2-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von MSfree » 30.12.2016 17:30:49

Jana66 hat geschrieben:...die Realtec-NICs oder deren Anbindung sind nicht so performant (400 .. 500 Mbps).
Naja, man sollte auch den Einsatzzweck nicht aus dem Auge verlieren. Was nützen CPU und NICs, die ein Gigabit pro Sekunde ver- und entschlüsseln können, wenn der Flaschenhals beim Internetanbieter sitzt und nur DSL-typische 16MBit/s liefert?

Im LAN braucht man eigentlich weder VPN noch irre Routerperformance, und ins Internet mit 16MBit/s kann man selbst meinen alten VIA C3 mit 600MHz nicht ins Schwitzen bringen. Wenn ich im LAN Dateien zwischen zwei Rechnern verschiebe, macht der Router, der bei mit sogar nur eine 100MBit NIC hat, nur mal kurz DNS, der Rest passiert zwichen den Rechnern im LAN mit GBit-Geschwindigkeit.

BenutzerGa4gooPh

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von BenutzerGa4gooPh » 30.12.2016 17:38:14

MSfree hat geschrieben:Naja, man sollte auch den Einsatzzweck nicht aus dem Auge verlieren.
Hast ja Recht, meine AW deckt doch ein ganzes Spektrum, wenn nicht gar Universum von Anforderungen und Hardware ab. Ich hätte auch fast die ZBox (der N3150 hatte mich wegen Vielseitigkeit/Multimedia/AES-NI (*) gereizt) oder die APU genommen. Und teurer lag ich mit meiner China-Keksdose auch nicht.
... der Rest passiert zwichen den Rechnern im LAN mit GBit-Geschwindigkeit.
@TO: WLAN-AP und Switch müssen ihre Existenz schlussendlich auch rechtfertigen. :wink:

(*) Gerät ist heute FW - morgen vlt. NAS-Multimedia-Server - übermorgen? 8O
Zuletzt geändert von BenutzerGa4gooPh am 30.12.2016 18:24:28, insgesamt 3-mal geändert.

TomL

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von TomL » 30.12.2016 18:15:23

chrisg hat geschrieben:Welche Distri würdest du denn empfehlen in Bezug auf Übersichtlichkeit, Performance und Sicherheit?
Ich persönlich würde die Distri empfehlen, die wegen der obligatorischen und statistisch immer vorhandenen Programmfehler und damit auch einhergehender Exploits auf Grund einer minimalistischen Ausgestaltung genau diese Problemquellen eliminiert. Soll heissen, ich empfehle eine Distri, die nur die vom User tatsächlich verwendeten Programme und Dienste installiert hat.

Dein Betreff lässt mich annehmen, dass Du gerne die Sicherheit Deines Systems auf eine Firewall delegieren möchtest. Nun, meine Meinung dazu ist ganz einfach: Das funktioniert nicht, wenn man sich selber am Bildschirm fahrlässig verhält und gleichzeitig diese Delegations-Intention hat... das ist allenfalls eine Scheinsicherheit. Und wenn man sich hingegen sachkundig verhält, ist m.E. eine Firewall auf einem Linux-User-Desktop-PC sowieso weitestgehend überflüssig ... und das imho erst recht, wenn man noch ein IPv4-Netz hat und sich hinter einem Router befindet.

Eigentlich reichen ein paar einfache Maßnahmen aus, um die Sicherheit ohne eine schwammig zu durchschauende Firewall maßgeblich zu erhöhen. Das normale Surfen mit einem total unberechtigtem User in einem eigenem Profil praktizieren. Spezielle Anwendungen wie Flashplayer, JDownloader oder Surfen auf "unseriösen" Seiten in eine oder zwei VMs verlagern. Auf die schnelle mal eben was tun, was man nicht im eigenen Profil tun möchte, dafür gibts Firejail. Keine Verwendung von Programmen aus unseriösen Quellen, bzw. wo vielleicht die Gefahr besteht, dass diese Quelle kompromittiert ist. Die wesentlichen und tatsächlichen wirksamen Schutzmechanismen sind meiner Meinung nach "Sachkenntnis und Sorgfalt. " Das ist 3/4 der Miete.

Also, eine Firewall würde ich sowieso nicht einsetzen. Lediglich bei IPv6 würde ich über einen Paketfilter nachdenken. Deshalb, weil bei IPv6 der Client eben auch Border-Device ist... auch wenn der Router noch dazwischen hängt. Ich halte es in dem Fall aber für besser, sich mal ein paar Tage lang mit den iptables zu beschäftigen.... lernen, experimentieren, üben, fragen.... um dann einen eigenen kleinen effizienten Paketfilter zu erstellen, der effektiv alles verbietet, was nicht ausdrücklich erlaubt ist. Das ist kein Hexenwerk.... und man lernt ne Menge.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von MSfree » 30.12.2016 18:29:33

TomL hat geschrieben:Soll heissen, ich empfehle eine Distri, die nur die vom User tatsächlich verwendeten Programme und Dienste installiert hat.
Nunja, das ist eine ziemliche Algemeinfloskel. Egal, welche Linux-Distribution man verwendet, man kann sie alle so konfigurieren. In meinem Fall rennt Debian auf der Firewall.
Also, eine Firewall würde ich sowieso nicht einsetzen. Lediglich bei IPv6 würde ich über einen Paketfilter nachdenken.
Also, ohne Firewall würde ich mich nicht ans Internet trauen, egal ob IPv4 oder IPv6. Ich halte auch solche Ratschläge, auf Firewalls zu verzichten, für äußerst fahrlässig.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von schwedenmann » 30.12.2016 18:32:26

Hallo


@TomL
Und wenn man sich hingegen sachkundig verhält, ist m.E. eine Firewall auf einem Linux-User-Desktop-PC sowieso weitestgehend überflüssig ... und das imho erst recht, wenn man noch ein IPv4-Netz hat und sich hinter einem Router befindet.
bin absolut deiner Meinung, Firewall, etc. gehören auf den Router, nicht auf den PC und auf einen Router gehören nur die dafür notwendigsten Dienste (ftp, etc, habne da im Grunde nichts verloren)., obwohl das mittlerweile usus zu sein scheint, auf allen Routern. :evil:

mfg
schwedenmann

TomL

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von TomL » 30.12.2016 18:40:37

MSfree hat geschrieben:Nunja, das ist eine ziemliche Algemeinfloskel.
Nee, überhaupt nicht... das sollte einfach nur ne weitergehende Frage provozieren.
MSfree hat geschrieben:Also, ohne Firewall würde ich mich nicht ans Internet trauen, egal ob IPv4 oder IPv6. Ich halte auch solche Ratschläge, auf Firewalls zu verzichten, für äußerst fahrlässig.
Nein, fährlässig ganz sicher nicht. Ich halte hingegen solche Aussagen wie "ohne Firewall nicht ins Netz trauen" schlicht und einfach für Panikmache.... wobei m.E. auch auf Fakten verzichtet wird.

An dem folgenden Satz ist viel wahres dran:
"Es gibt keinen vernünftigen Grund, warum Computer zunächst unsicher konzipiert und dann vom Benutzer abgedichtet werden müssen."

Gefunden auf der folgenden Seite, die meiner Meinung nach das wesentliche zu Firewalls unter Linux beschreibt:
https://wiki.ubuntuusers.de/Sicherheitskonzepte/

BenutzerGa4gooPh

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von BenutzerGa4gooPh » 30.12.2016 19:33:03

Ja, ja, Begriffe und vlt. Missverständnisse. Einen gemieteten (virtuellen) Rootserver kann man u. a durch "Desktop-FW", besser Software-FW (netfilter/iptables) schützen. Hat demzufolge Berechtigung.

Zum Sinn einer Desktop-FW oder Personal Firewall:
Ein Nachteil dieses Prinzips ist, dass die Firewallsoftware selbst angegriffen werden kann. Die Ausnutzung oder Umgehung dieser kann den vollständigen Zugang zum zu schützenden System bedeuten. Die Angreifbarkeit des Rechners wird an den Stellen, an denen die Firewall aktiv ist, von seinem Netzwerk-Betriebssystem auf seine Firewall verlagert. Eine zusätzliche Sicherheit gegen Angriffe entsteht hier dadurch, dass eine Firewall weniger komplex ist als ein ganzes Betriebssystem – und daher statistisch weniger Fehler enthält.

Als weiteren Vorteil kann eine Personal Firewall im Gegensatz zu einer externen Firewall genau ermitteln, welche Applikationen an der ein- und ausgehenden Kommunikation beteiligt sind. Auf diese Weise sind applikationsspezifische Filter möglich, so dass man einigen Programmen den Datenverkehr erlauben kann und anderen nichtDie meisten Personal Firewalls verfügen über einen Lernmodus. Dabei werden die Regeln für Paketfilter und Anwendungsfilter durch Interaktion mit dem Benutzer festgelegt. Registriert die Personal Firewall Datenverkehr, für den noch keine Regel existiert, wird dies dem Benutzer in einem Dialogfenster gemeldet. Er kann daraufhin entscheiden, ob diese Verbindung gestattet oder blockiert werden soll. Aus der Antwort kann die Firewall eine neue Regel formulieren, die zukünftig angewendet wird.

Mit einem Content-Filter können einige Personal Firewalls Inhalte von Datenpaketen überprüfen und beispielsweise ActiveX-Komponenten, JavaScript oder Werbebanner aus angeforderten HTML-Seiten herausfiltern. Content-Filter, die sich auf Webanwendungen spezialisiert haben, werden als "Web Shield" oder "Web Application Firewall" bezeichnet. Filter für E-Mail-Anhänge werden ebenfalls häufig angeboten.

Manche Firewalls verfügen über ein Einbrucherkennungs- und -abwehrsystem. Im Fachjargon wird dieses „Intrusion Detection System“ (IDS) beziehungsweise „Intrusion Prevention System“ (IPS) genannt.
...
https://de.m.wikipedia.org/wiki/Personal_Firewall

HW-Firewall oder Router:
Ansonsten haben wir (meist) keine reinen Router, eher eine Hardware-Firewall mit Switch kombiniert. Der "Router" hat doch nur 2 Ports, LAN und WAN. Selbst WLAN ist häufig im gleichen Routing-Segment wie LAN. NAT wird oft durch NAT-Regeln realisiert. Und dann nur statische Routen, kein Routing-Protokolle wie OSPF, RIP etc.

Firewall-Distributionen für Hardware bieten ausserdem ausgezeichnete Routing-Moeglichkeiten. PFSense auf einfache Weise sogar OSPF, BGP. Es ist keine eindeutige Unterscheidung mehr möglich. Appliance ist vielleicht ein (nichtssagender) Kompromiss. :mrgreen:

Funktionelle Doppelungen zwischen Personal Firewall und HW-Firewall sind unnötig. Ergänzungen nicht unbedingt. :wink:
schwedenmann hat geschrieben:und auf einen Router gehören nur die dafür notwendigsten Dienste (ftp, etc, habne da im Grunde nichts verloren)., obwohl das mittlerweile usus zu sein scheint, auf allen Routern. :evil:
:THX:
Diese zuletzt angesprochenen NAS-Dienste sind nur auf Consumertechnik (Plastikroutern) üblich. Firmenadmins und (semi-) professionelle Hardware-Firewall-Distris werden sich schwer hüten.
Zuletzt geändert von BenutzerGa4gooPh am 30.12.2016 20:05:55, insgesamt 16-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von MSfree » 30.12.2016 19:36:12

TomL hat geschrieben:"Es gibt keinen vernünftigen Grund, warum Computer zunächst unsicher konzipiert und dann vom Benutzer abgedichtet werden müssen."
Der Satz klingt so logisch wie er falsch ist.

Es gibt keinen, der absichtlich Software unsicher konzipiert, aber es gibt nunmal keine fehlerfreie Software. Also ist es absolut nötig, den Rechner hinterher, zusätzlich, und so gut es geht, abzudichten.

TomL

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von TomL » 30.12.2016 20:13:34

MSfree hat geschrieben:Der Satz klingt so logisch wie er falsch ist.
Ich halte diesen Satz in Ahnlehnung dessen, was ich oben im ersten Absatz gesagt habe ("minimalistische Ausgestaltung") für absolut treffend. Ein solches System ist ausreichend sicher, solange sich der User davor nicht durch Fahrlässigkeit und Verantwortungslosigkeit selber als gefährlichster Exploit hervortut.
MSfree hat geschrieben:Es gibt keinen, der absichtlich Software unsicher konzipiert
Nein, gibt es nicht. Aber dafür gibt es den User, der in typischer Windows-Manier mit fahrlässigen Verhalten aus einem an sich sicheren System ein unsicheres System macht. Und genau da hilft eine Firewall oder ein Anti-Viren-Programm überhaupt nix. Ein kundiger Anwender mit verantwortungsbewusstem Verhalten braucht derzeit unter Linux auf einem Enduser-Desktop-PC weder eine Firewall noch ein AV-Programm. Das ist meine Überzeugung.
MSfree hat geschrieben:....aber es gibt nunmal keine fehlerfreie Software.
Und genau darauf bezieht sich mein Ansatz der "minimalistischen Ausgestaltung" des Systems... nur das, was notwendig ist.... siehe erster Absatz in meinem obigen Posting.

Aber wie es schon oft auch an anderer Stelle zutrifft... hier ist es zum Teil auch eine Philosophie-Frage. Der tatsächlich sachkundige (!) Anwender schafft sich mit einem Paketfilter ein bisschen mehr Sicherheit .... es bleibt jedoch die Frage "Schutz gegen wen oder was". Der unkundige User mit leichtsinnigem Verhalten wiegt sich mit einer FW zweifelsfrei in trügerischer Scheinsicherheit... weil die Firewall nicht die Leichtsinnigkeit des Userverhaltens in gänze kompensieren kann.... schon mal gar nicht, wenn er Software aus unbekannten Quellen verwendet.

j.m.2.c.

chrisg
Beiträge: 10
Registriert: 06.05.2016 09:06:27

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von chrisg » 31.12.2016 12:58:57

TomL hat geschrieben:Dein Betreff lässt mich annehmen, dass Du gerne die Sicherheit Deines Systems auf eine Firewall delegieren möchtest.
Ich erwarte keinesfalls von einer Firewall, dass diese auf einen Schlag alle Sicherheitsprobleme löst. DAUs wird es immer geben. Mich interressiert einfach
nur ob es prinzipell sicher ist sich ein Debian zu installieren, das Betriebssystem so gut wie möglich zu schützen. Ich dachte halt an nicht benötigte Dienste
abschalten, nur Netzwerkdienste zulassen die wirklich gebraucht werden, System- und ausführbare Dateien mit einer md5-Prüfsumme regelmäßig zu prüfen,
iptables als Paketfilter einzusetzen usw. Ich würde mich da auf das o.g. Buch verlassen und gegebenfalls noch weiter recherchieren.
Oder sagt ihr, nee die Arbeit braucht sich kein Mensch mehr zu machen, da es genügend tolle Lösungen schon gibt?
In meiner Firma haben wir des öfteren den Collax Business-Server eingesetzt. Problem ist immer, so lange alles geht ist es schön, wehe dem es funzt
mal was nicht mehr so wie es soll. Dann steht man da mit seiner KlickiBunti-Oberfläche. Das zu Grunde liegende Betriebssystem ist meist schön vertütelt
so das man sich nicht mehr zurecht findet und der Kunde schreit auf, wann denn sein Inet wieder funktioniert.
pfSense werde ich auf jeden Fall mal testen. In der ct war ja auch einiges dazu geschrieben.

TomL

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von TomL » 31.12.2016 14:26:36

chrisg hat geschrieben:Mich interressiert einfach nur ob es prinzipell sicher ist sich ein Debian zu installieren, das Betriebssystem so gut wie möglich zu schützen. Ich dachte halt an nicht benötigte Dienste abschalten, nur Netzwerkdienste zulassen die wirklich gebraucht werden, System- und ausführbare Dateien mit einer md5-Prüfsumme regelmäßig zu prüfen
Ich halte es für absolut sicher Debian zu installieren.... nur würde ich persönlich heute keinen fertigen Desktop mehr installieren, sondern mir einen eigenen Desktop bestehend aus den dazu notwendigen Paketen erstellen, und nix darüber hinaus. Das erspart es mir, unnötige und möglicherweise tiefverwurzelte Dienste zu suchen, zu identifizieren und letztlich dann zu deinstallieren... ohne dann die Gewissheit zu haben, dass nicht genau das in *diesem* Desktop ein Loch reinreisst.

Und wenn Du eine wirklich absolut sichere Firewall haben möchtest, reichen genau 3 Zeilen:

Code: Alles auswählen

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
Mit diesen 3 Zeilen ist grundsätzlich alles verboten, da geht gar nix mehr im Netzwerk. Und darauf aufbauend kann man sich dann genau die unbedingt notwendigen "ACCEPTS" draufsetzen.... welches prinzipiell auch die sind, die eine Firewall auch freigeben muss. Nur weiss ich dann mit Sicherheit, dass darüber hinaus nicht noch was passiert, was ich nicht genehmigt habe.

Ich bin von der Tauglichkeit Debians ein sicheres Betriebssystem hinzustellen absolut überzeugt, weitaus mehr, als ich das Ubuntu oder Mint zutraue. Aber es ist imho exakt genau das gleiche wie beim Auto... ein Dummkopf wird immer erfolgreich alle Assistenzsysteme außer Kraft setzen, irgnorieren, es besser wissen und unangeschnallt mit erhöhter Geschwindigkeit aus der Kurve fliegen und mit dem Blech einen Baum umarmen, oder nach andauerndem Missachten von Bordsteinkanten irgendwann bei Tempo 180 mit geplatztem Reifen über die Leitplanken fliegen. Gegen Fahrlässigkeit gibt es keine wirksamen Mittel!

j.m.2.c.
Zuletzt geändert von TomL am 31.12.2016 15:07:44, insgesamt 1-mal geändert.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Entscheidungshilfe Firewalldistribution oder Eigenbau

Beitrag von dufty2 » 31.12.2016 14:53:59

Stateful Firewalls sind vielleicht nicht ganz nutzlos, ihre Nützlichkeit ist doch deutlich reduziert.
wanne hat hier im Forum schon mehre Antworten geschrieben, im kurzen:
Heutzutage geht fast alles über HTTPS (Port 443) und das weiß natürlich auch die dunkle Seite der Macht.
D. h., man bräuchte schon ausgefuchste DPI (Deep Packet Inspection), um überhaupt noch einen Überblick zu behalten ...

Antworten