Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall OS

Mitglied: BlackJack0190

BlackJack0190 (Level 1) - Jetzt verbinden

18.08.2011 um 08:54 Uhr, 5319 Aufrufe, 12 Kommentare

Hallo,

Kurz zum Aufbau:

Als erstes kommt eine Watchguard Firewall für den gesamten Verkehr. In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt. In der DMZ steht ein Microsoft Forefront TMG der diverse Microsoftdienste freigibt z.b. Exchange.

Nun weis ich nicht was so wirklich gut für die Firewall in der Mitte ist. Ich habe mal folgende Liste zusammengesetzt:

Untangle
Pfsense
IPCop
Monowall
IPFire
Smoothwall
Endian

Was ich brauche ist QoS, IDS / IPS, ein SMTP und HTTP Proxy mit SPAM und Virenabwehr sowie Reportings an die Mailbenutzer mit eigenen Whit-/Blacklists. Falls das mit dem SMTP Proxy nicht so klappt kann man ja auch noch ein Mail Gateway einsetzen wie z.b. ASSP, oder andere jenachdem womit Ihr bereits Erfahrung habt. Nach Möglichkeit sollte es ein kostenloses OS sein, die Lizenzen für die anderen Produkte waren ziemlich teuer.

Hat jemand einen guten Vorschlag bzw. schon gute Erfahrung mit einem dieser oder einem anderen OS?

Schöne Grüße

BJ
Mitglied: Arch-Stanton
18.08.2011 um 09:50 Uhr
Was soll das werden, ein Firewallzoo? Du hast doch eine Watchguard, die sollte doch ausreichend sein.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: BlackJack0190
18.08.2011 um 10:23 Uhr
Danke für deine Antwort. Es wäre schön wenn die Zoo These noch begründet werden würde. Was spricht gegen zwei Firewalls von zwei verschiedenen Herstellern? Somit kann man z.b. fehlerhafte Updates vorbeugen. Wenn technische- und Verwaltungsressourcen vorhandene sind sollte der "Zoo" kein Problem sein.

Gruß BJ
Bitte warten ..
Mitglied: Chris85
18.08.2011 um 10:42 Uhr
Hi,

ich habe gute Erfahrungen mit pfSense gemacht. Kann ich nur empfehlen. (Sehr großer Funktionsumfang)

Gruß

Chris
Bitte warten ..
Mitglied: BlackJack0190
18.08.2011 um 17:38 Uhr
Ja pfsense hat einige gute Ansätze, vorallem unterstützt die 2 beta auch die verbaute crypto card. Leider hat die Beta noch makken und kein spamfilter. Mit pfsense 1 funktioniert kein multiwan und failover. Was könnt ihr noch empfehlen? Was für SMTP Gateways kennt ihr?
Bitte warten ..
Mitglied: dog
18.08.2011 um 21:40 Uhr
Pfsense
IPCop
Monowall
IPFire
Smoothwall
Endian

Das sind alles Linux-Systeme, also alles ein und die selbe netfilter-Firewall.
Die Teile unterscheiden sich höchstens in der Anordnung der Knöpfe und dem Patch-Stand...
Bitte warten ..
Mitglied: BlackJack0190
18.08.2011 um 21:49 Uhr
Jup das stimmt schon wobei pfsense BSD nutzt. Ich habe mal gehört das BSD ein stabilieren Kernel haben soll was Netzwerk angeht, ob das so ist oder nicht sei mal dahin gestellt. Nur die Frage ist, welcher dieser Distributionen ist empfehlenswert? Welcher untertützt die o.g. Features? Welche Erfahrungen habt ihr mit diesen gemacht? Wo ist die Anordnung der Knöpfe am feinsten?

Beispielsweise sind mir bei Endian die alten Pakete aufgefallen und die IPSec funktion (entweder openSWAN oder freeSWAN weis gerade nichtmehr welche) ist nicht gerade Stabil in Kombination mit z.B. Watchguard IPSec. Was für ein OS Watchguard nutzt und wodrauf das basiert, oder ob es was ganz anderes ist, weis ich nicht.

Pfsense hatte ich schon was zu gesagt.

Monowall hat zuwenig funktionen.

Smoothwall / IpFire und IPCop habe ich noch nicht getestet.

Untangle hatte ich bei der Installation auf einer VM (testweise) Probleme, somit kann ich dazu auch noch nichts sagen.
Bitte warten ..
Mitglied: 16409
25.08.2011 um 14:40 Uhr
Hallo,

was willst du genau mit der 2. Firewall machen? Aus deinem Satz ist mir das nicht ganz klar. "In Zweiter Instanz soll eine Firewall die dem LAN Zugriff erlaubt und diverse Sachen in die DMZ verteilt."

Eigentlich würde ich das Netzwerk so aufbauen FW1 -> DMZ -> FW2 -> LAN, somit verteilt die 2. Firewall keine Sachen in die DMZ.

Aus Administrativer Sicht würde ich persönlich immer bei einem Firewall System bleiben, da es sonst sehr schnell zu Verwechslungen in der Administration kommen kann. Jedes System hat meistens auf eineetwas andere Konfiguration.

Wie groß ist dein Netzwerk? Ich würde den SMTP und HTTP Proxy als dedizierten Server in die DMZ oder auf Firewall 1 setzen aber nicht auf der Firewall 2.

Mit IPCop v2 habe ich gute Erfahrungen gesammelt. Läuft sehr stabil und sicher.
Bitte warten ..
Mitglied: BlackJack0190
25.08.2011 um 16:05 Uhr
Also ich wollte es gerne so aufbauen:

FW1
|
DMZ
|
FW2
| |
DMZ LAN

In der DMZ hinter FW1 sollen externe Dienste laufen in der DMZ hinter FW2 interne Dienste. Des Weiteren soll das LAN in 4 VLANs getrennt werden. Einmal ein für Mobile Entgeräte, eine für die Thin- und Fat-Clients, eine für VOIP und die 4te für Steuergeräte über IP (z.B. Tore).

FW1 soll nur reine netzwerüberwachung leisten, in der DMZ werde ich dann die Proxys unterbringen. Bei dem SMTP Proxy habe ich in den letzten Tage einmal Mailcleaner getestet und bis dato gute Erfahrung gesammelt, muss aber noch länger getestet werden.

FW2 soll dafür Sorgen das nichts nach intern gelangt und soll einen Proxy bereitstellen der z.B. SPAM-Werbung und Viren aus dem Web fernhält.

Der Micorosft Forefront TMG soll dann in die DMZ zwischen FW1 und FW2 für externe Freigaben.

Derzeitig sieht es in entwa so aus:

FW1
| |
DMZ LAN

In der DMZ steht ein TMG als interner und externer Proxy.
Bitte warten ..
Mitglied: 16409
25.08.2011 um 21:43 Uhr
Ok soweit so gut. Aber ich verstehe nicht warum du hinter FW2 noch eine DMZ haben willst.

Die DMZ beinhaltet in der Regel ja alle Dienste die mit dem INternet kommunizieren. Somit schützt du all Komponenten durch FW1 und erlaubst den Zugriff vom Internet auf DMZ Dienste in der FW 2.
In der DMZ sollten dann auch alle Server / Komponenten stehen, die das interne LAN mit dem NIternet verbidnen z. b. Proxys. FW 2 regelt dann den Zugriff vom LAN nach DMZ und DMZ nach LAN. Dadurch erlangst du einen vollwertigen Schutz und hast keine doppelten DMZ.
So wäre ein logischer Aufbau.

Ich vermute mal, das du einen Webproxy einsetzen möchtest, oder? Dieser sollte dann ein eigener Server oder fie FW1 sein. FW2 macht keinen Sinn, denn dann würdest du diese ja wieder mit dem Internet verbinden. FW2 sollte eigentlich nicht mit dem Interent verbunden werden, lediglich mit DMZ und LAN. So ist dein Netzwerk relativ sicher.

Wenn man dann in dein LAN eindrigen möchte muss zu nächst die FW1 überwunden und dann die FW2. Damit du einen besser Schutz hast, würde ich FW 2 so konfigurieren, dass keine Pakete von FW1 durchgelassen werden, sondern nur Pakete von Servern in der DMZ. Somit muss ein Hacker nciht nur FW 1 hacken, sondern auch noch einen Server in der DMZ.
Bitte warten ..
Mitglied: BlackJack0190
25.08.2011 um 21:56 Uhr
Danke für deien Antwort. In der DMZ hinter der FW2 würde ich gerne sowas wie Domänencontroller und TK-Anlage setzen, damit die erst garnicht mit dem LAN direkt verbunden sind. Es gibt ja auch Experten die im LAN fummeln bzw. im WLAN. Deshalb soll das WLAN (Mobile lokale Entgeräte) auch in ein eigenes VLAN und vom LAN getrennt werden.

Da die WLAN-APs nur Standart-Geräte sind soll die FW2 wieder diverse Funktionen wie VPN usw. für das WLAN zur Verfügung stellen, damit einmal eine Authetifizierung am AP sowie am AD (z.B. über RADIUS in Form von einem VPN-Tunnel) stattfindet.
Bitte warten ..
Mitglied: Arch-Stanton
26.08.2011 um 11:57 Uhr
In der DMZ hinter der FW2 würde ich gerne sowas wie Domänencontroller und TK-Anlage

Hmmh, Du weißt schon, daß der DC ins LAN gehört?!? Also für eine Bastellösung, um mal zu sehen, was alles möglich ist, mag es ok sein. Für eine Lösung im Firmenumfeld, also im praktischen Einsatz kann man nur davon abraten. Selbst wenn du es irgendwie zum Laufen bekommst, wird dein Nachfolger das ganze Gewusel abreißen und eine vernünftoige Lösung aufsetzen müssen. Dein Chef wird sich freuen.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: BlackJack0190
26.08.2011 um 12:01 Uhr
Okay mit dem DC hast Du Recht. Ich mache es dann ohne DMZ hinter FW2. Danke für die Tipps.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Suche linuxbasiertes Firewall-OS
Frage von Fenris14LAN, WAN, Wireless16 Kommentare

Guten Tag, die letzten Wochen habe ich einige Betriebssysteme testen können, leider bin ich immer wieder auf immense Bugs ...

Firewall
Hardware Firewall vs. Router OS
gelöst Frage von PharITFirewall3 Kommentare

Hallo allerseits, sorry, dass ich diese Frage stelle -ich glaube, die gab es schon Mal. Aber es ergibt sich ...

Firewall
Welche Firewall ?
Frage von CyberurmelFirewall18 Kommentare

Hi @ all, bräuchte mal wieder Euren fachmännischen Rat / Tipp. Es soll eine neue Firewall mit 10G Interface ...

LAN, WAN, Wireless

Firewall in Subnetz - Firewall in anderem Standort

gelöst Frage von 121103LAN, WAN, Wireless5 Kommentare

Hallo zusammen, momentan fange ich an mich mit Netzwerksegmentierung zu beschäftigen und hätte diesbzgl eine Frage. Option 1 Ich ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 2 TagenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 TagenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Router & Routing
Router auf Orginal Firmware zurück flashen mit Tftpd
Frage von ILeonardRouter & Routing21 Kommentare

Hallo, Ich habe zwei Router, einmal TP-Link 841n v11 und TP-Link 940N v5. Ich wollte fragen, ob jemand mir ...

Router & Routing
WRT keine Verbindung zum Web Interface
gelöst Frage von ILeonardRouter & Routing18 Kommentare

Hallo, Ich habe einen TP-Link WR841n mit wrt geflasht, das Problem ist ich kann mich mit 192.168.1.1 nicht verbinden. ...

TK-Netze & Geräte
Telefonie zweier Fritzboxen mit je eigenem DSL Anschluss verbinden
Frage von hannsgmaulwurfTK-Netze & Geräte10 Kommentare

Hallo zusammen, ich habe hier einen Haushalt mit zwei Anschlüssen. Einmal ISDN, einmal DSL. An jedem Anschluss hängt eine ...

Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...