Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall OS

Mitglied: BlackJack0190

BlackJack0190 (Level 1) - Jetzt verbinden

18.08.2011 um 08:54 Uhr, 5343 Aufrufe, 12 Kommentare

Hallo,

Kurz zum Aufbau:

Als erstes kommt eine Watchguard Firewall für den gesamten Verkehr. In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt. In der DMZ steht ein Microsoft Forefront TMG der diverse Microsoftdienste freigibt z.b. Exchange.

Nun weis ich nicht was so wirklich gut für die Firewall in der Mitte ist. Ich habe mal folgende Liste zusammengesetzt:

Untangle
Pfsense
IPCop
Monowall
IPFire
Smoothwall
Endian

Was ich brauche ist QoS, IDS / IPS, ein SMTP und HTTP Proxy mit SPAM und Virenabwehr sowie Reportings an die Mailbenutzer mit eigenen Whit-/Blacklists. Falls das mit dem SMTP Proxy nicht so klappt kann man ja auch noch ein Mail Gateway einsetzen wie z.b. ASSP, oder andere jenachdem womit Ihr bereits Erfahrung habt. Nach Möglichkeit sollte es ein kostenloses OS sein, die Lizenzen für die anderen Produkte waren ziemlich teuer.

Hat jemand einen guten Vorschlag bzw. schon gute Erfahrung mit einem dieser oder einem anderen OS?

Schöne Grüße

BJ
Mitglied: Arch-Stanton
18.08.2011 um 09:50 Uhr
Was soll das werden, ein Firewallzoo? Du hast doch eine Watchguard, die sollte doch ausreichend sein.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: BlackJack0190
18.08.2011 um 10:23 Uhr
Danke für deine Antwort. Es wäre schön wenn die Zoo These noch begründet werden würde. Was spricht gegen zwei Firewalls von zwei verschiedenen Herstellern? Somit kann man z.b. fehlerhafte Updates vorbeugen. Wenn technische- und Verwaltungsressourcen vorhandene sind sollte der "Zoo" kein Problem sein.

Gruß BJ
Bitte warten ..
Mitglied: Chris85
18.08.2011 um 10:42 Uhr
Hi,

ich habe gute Erfahrungen mit pfSense gemacht. Kann ich nur empfehlen. (Sehr großer Funktionsumfang)

Gruß

Chris
Bitte warten ..
Mitglied: BlackJack0190
18.08.2011 um 17:38 Uhr
Ja pfsense hat einige gute Ansätze, vorallem unterstützt die 2 beta auch die verbaute crypto card. Leider hat die Beta noch makken und kein spamfilter. Mit pfsense 1 funktioniert kein multiwan und failover. Was könnt ihr noch empfehlen? Was für SMTP Gateways kennt ihr?
Bitte warten ..
Mitglied: dog
18.08.2011 um 21:40 Uhr
Pfsense
IPCop
Monowall
IPFire
Smoothwall
Endian

Das sind alles Linux-Systeme, also alles ein und die selbe netfilter-Firewall.
Die Teile unterscheiden sich höchstens in der Anordnung der Knöpfe und dem Patch-Stand...
Bitte warten ..
Mitglied: BlackJack0190
18.08.2011 um 21:49 Uhr
Jup das stimmt schon wobei pfsense BSD nutzt. Ich habe mal gehört das BSD ein stabilieren Kernel haben soll was Netzwerk angeht, ob das so ist oder nicht sei mal dahin gestellt. Nur die Frage ist, welcher dieser Distributionen ist empfehlenswert? Welcher untertützt die o.g. Features? Welche Erfahrungen habt ihr mit diesen gemacht? Wo ist die Anordnung der Knöpfe am feinsten?

Beispielsweise sind mir bei Endian die alten Pakete aufgefallen und die IPSec funktion (entweder openSWAN oder freeSWAN weis gerade nichtmehr welche) ist nicht gerade Stabil in Kombination mit z.B. Watchguard IPSec. Was für ein OS Watchguard nutzt und wodrauf das basiert, oder ob es was ganz anderes ist, weis ich nicht.

Pfsense hatte ich schon was zu gesagt.

Monowall hat zuwenig funktionen.

Smoothwall / IpFire und IPCop habe ich noch nicht getestet.

Untangle hatte ich bei der Installation auf einer VM (testweise) Probleme, somit kann ich dazu auch noch nichts sagen.
Bitte warten ..
Mitglied: 16409
25.08.2011 um 14:40 Uhr
Hallo,

was willst du genau mit der 2. Firewall machen? Aus deinem Satz ist mir das nicht ganz klar. "In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt."

Eigentlich würde ich das Netzwerk so aufbauen FW1 -> DMZ -> FW2 -> LAN, somit verteilt die 2. Firewall keine Sachen in die DMZ.

Aus Administrativer Sicht würde ich persönlich immer bei einem Firewall System bleiben, da es sonst sehr schnell zu Verwechslungen in der Administration kommen kann. Jedes System hat meistens auf eineetwas andere Konfiguration.

Wie groß ist dein Netzwerk? Ich würde den SMTP und HTTP Proxy als dedizierten Server in die DMZ oder auf Firewall 1 setzen aber nicht auf der Firewall 2.

Mit IPCop v2 habe ich gute Erfahrungen gesammelt. Läuft sehr stabil und sicher.
Bitte warten ..
Mitglied: BlackJack0190
25.08.2011 um 16:05 Uhr
Also ich wollte es gerne so aufbauen:

FW1
|
DMZ
|
FW2
| |
DMZ LAN

In der DMZ hinter FW1 sollen externe Dienste laufen in der DMZ hinter FW2 interne Dienste. Des Weiteren soll das LAN in 4 VLANs getrennt werden. Einmal ein für Mobile Entgeräte, eine für die Thin- und Fat-Clients, eine für VOIP und die 4te für Steuergeräte über IP (z.B. Tore).

FW1 soll nur reine netzwerüberwachung leisten, in der DMZ werde ich dann die Proxys unterbringen. Bei dem SMTP Proxy habe ich in den letzten Tage einmal Mailcleaner getestet und bis dato gute Erfahrung gesammelt, muss aber noch länger getestet werden.

FW2 soll dafür Sorgen das nichts nach intern gelangt und soll einen Proxy bereitstellen der z.B. SPAM-Werbung und Viren aus dem Web fernhält.

Der Micorosft Forefront TMG soll dann in die DMZ zwischen FW1 und FW2 für externe Freigaben.

Derzeitig sieht es in entwa so aus:

FW1
| |
DMZ LAN

In der DMZ steht ein TMG als interner und externer Proxy.
Bitte warten ..
Mitglied: 16409
25.08.2011 um 21:43 Uhr
Ok soweit so gut. Aber ich verstehe nicht warum du hinter FW2 noch eine DMZ haben willst.

Die DMZ beinhaltet in der Regel ja alle Dienste die mit dem INternet kommunizieren. Somit schützt du all Komponenten durch FW1 und erlaubst den Zugriff vom Internet auf DMZ Dienste in der FW 2.
In der DMZ sollten dann auch alle Server / Komponenten stehen, die das interne LAN mit dem NIternet verbidnen z. b. Proxys. FW 2 regelt dann den Zugriff vom LAN nach DMZ und DMZ nach LAN. Dadurch erlangst du einen vollwertigen Schutz und hast keine doppelten DMZ.
So wäre ein logischer Aufbau.

Ich vermute mal, das du einen Webproxy einsetzen möchtest, oder? Dieser sollte dann ein eigener Server oder fie FW1 sein. FW2 macht keinen Sinn, denn dann würdest du diese ja wieder mit dem Internet verbinden. FW2 sollte eigentlich nicht mit dem Interent verbunden werden, lediglich mit DMZ und LAN. So ist dein Netzwerk relativ sicher.

Wenn man dann in dein LAN eindrigen möchte muss zu nächst die FW1 überwunden und dann die FW2. Damit du einen besser Schutz hast, würde ich FW 2 so konfigurieren, dass keine Pakete von FW1 durchgelassen werden, sondern nur Pakete von Servern in der DMZ. Somit muss ein Hacker nciht nur FW 1 hacken, sondern auch noch einen Server in der DMZ.
Bitte warten ..
Mitglied: BlackJack0190
25.08.2011 um 21:56 Uhr
Danke für deien Antwort. In der DMZ hinter der FW2 würde ich gerne sowas wie Domänencontroller und TK-Anlage setzen, damit die erst garnicht mit dem LAN direkt verbunden sind. Es gibt ja auch Experten die im LAN fummeln bzw. im WLAN. Deshalb soll das WLAN (Mobile lokale Entgeräte) auch in ein eigenes VLAN und vom LAN getrennt werden.

Da die WLAN-APs nur Standart-Geräte sind soll die FW2 wieder diverse Funktionen wie VPN usw. für das WLAN zur Verfügung stellen, damit einmal eine Authetifizierung am AP sowie am AD (z.B. über RADIUS in Form von einem VPN-Tunnel) stattfindet.
Bitte warten ..
Mitglied: Arch-Stanton
26.08.2011 um 11:57 Uhr
In der DMZ hinter der FW2 würde ich gerne sowas wie Domänencontroller und TK-Anlage

Hmmh, Du weißt schon, daß der DC ins LAN gehört?!? Also für eine Bastellösung, um mal zu sehen, was alles möglich ist, mag es ok sein. Für eine Lösung im Firmenumfeld, also im praktischen Einsatz kann man nur davon abraten. Selbst wenn du es irgendwie zum Laufen bekommst, wird dein Nachfolger das ganze Gewusel abreißen und eine vernünftoige Lösung aufsetzen müssen. Dein Chef wird sich freuen.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: BlackJack0190
26.08.2011 um 12:01 Uhr
Okay mit dem DC hast Du Recht. Ich mache es dann ohne DMZ hinter FW2. Danke für die Tipps.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Suche linuxbasiertes Firewall-OS
Frage von Fenris14LAN, WAN, Wireless16 Kommentare

Guten Tag, die letzten Wochen habe ich einige Betriebssysteme testen können, leider bin ich immer wieder auf immense Bugs ...

Firewall
Hardware Firewall vs. Router OS
gelöst Frage von PharITFirewall3 Kommentare

Hallo allerseits, sorry, dass ich diese Frage stelle -ich glaube, die gab es schon Mal. Aber es ergibt sich ...

Firewall
Welche Firewall ?
Frage von CyberurmelFirewall18 Kommentare

Hi @ all, bräuchte mal wieder Euren fachmännischen Rat / Tipp. Es soll eine neue Firewall mit 10G Interface ...

LAN, WAN, Wireless

Firewall in Subnetz - Firewall in anderem Standort

gelöst Frage von 121103LAN, WAN, Wireless5 Kommentare

Hallo zusammen, momentan fange ich an mich mit Netzwerksegmentierung zu beschäftigen und hätte diesbzgl eine Frage. Option 1 Ich ...

Neue Wissensbeiträge
Windows Server

SBS 2011: Installation von KB4457144 schlägt beim Reboot fehl - Von Dienst gesperrte Schriftart ursächlich

Tipp von the-buccaneer vor 30 MinutenWindows Server

Moinsen zusammen! Das hat mich einige graue Haare gekostet: Ein SBS 2011 weigerte sich schon im August, das monatl. ...

Windows Netzwerk
Browser-Lags und IPv6
Erfahrungsbericht von NixVerstehen vor 6 StundenWindows Netzwerk1 Kommentar

Hallo zusammen, wir betreiben als kleines Speditionsunternehmen ein überschaubares Windows-Netzwerk mit Win10-Clients sowie einem Server 2016 Essentials als "eierlegende ...

Humor (lol)

Erstaunlich, Windows mit extremer Laufzeit (Server) lol

Tipp von mathu vor 8 StundenHumor (lol)5 Kommentare

Was es so alles gibt. :-)

Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 1 TagWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Heiß diskutierte Inhalte
Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V33 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server23 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

Router & Routing
Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten
Frage von miscmikeRouter & Routing15 Kommentare

Hallo Zusammen, ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) . Anwendungen sind z.B. Kaspersky-KSC ...