9
Fragen zum Thema: Firewall Literatur Aufbau Rat
Hallo Community,
ich bin der neue und habe einige Fragen zum Thema Firewall.
Ich habe bereits O'reillys Bücher zum Thema Einrichten von Internet Firewalls und Linux Firewalls gelesen.
Liegen habe ich noch:
Was haltet ihr von:
Eine virtuelle Maschine
eth0 auf
*virt. Netzwerkverbindung
Paketfilter (Ein und Ausgehend)
*virt. Netzwerkverbindung
Proxy
*virt. Netzwerkverbindung
Paketfilter (Ein und Ausgehend)
*virt. Netzwerkverbindung
auf eth 1
Eigenständige Instanzen . Die VM müsste dann nur 2 Netzwerkanschlüsse besitzen.
Die VM darf selbst auf keinem Port lauschen sondern leitet alle eingehende Pakete an Firewall 1 diese leitet es je nach Protokoll entweder zum Proxy oder zur Firewall 3. (Video Stream).
Hier würde ich ein Banana Pi Router als Router und ein Raspberry Pi 3 mit USB Netzwerkkarte Reichelt Dellock als Proxy verwenden.
Ein ganz Normaler PC oder alten Router.(PfSense mit Squid)
Liste von Distrowatch
vielleicht ein Proxmox/VirtualBox/vmsphere/hyperv?
Für Banana Pi
PfSense/opnSense(abklatsch?)/openWrt/bsd
Paketfilter
Ich würde zwei verschiedene Benutzen. Am besten mit unterschiedlichen System. Oder?
Linux ist ok und BSD muss ich sowieso noch lernen.
*FreeBSD
*Alpine Linux
*ClearOS
*pfSense/Opnsense
*IPFire
*Untangle NG Firewall
*VyOS
*Sophos UTM
*Zeroshell
*BSD Router Project
*Endian Firewall
Meine Frage was empfehlt Ihr?
Womit habt Ihr Erfahrung?
Welcher Aufbau bietet was und welche Nachteile haben diese?
Vielen Dank für euren Rat und Eure Hilfe
Mit freundlichem Gruß
B.Right
ich bin der neue und habe einige Fragen zum Thema Firewall.
Inhaltsverzeichnis
Lektüre
Ich habe bereits O'reillys Bücher zum Thema Einrichten von Internet Firewalls und Linux Firewalls gelesen.Liegen habe ich noch:
- Designing and Implementing Linux Firewalls and Q.o.S von Lucian Gheorghe
- Firewalls im Unternehmenseinsatz von Jörg Fritsch
Aufbau einer Firewall
Was haltet ihr von:Firewalls auf einer Virtuellen Maschine
Eine virtuelle Maschineeth0 auf
*virt. Netzwerkverbindung
Paketfilter (Ein und Ausgehend)
*virt. Netzwerkverbindung
Proxy
*virt. Netzwerkverbindung
Paketfilter (Ein und Ausgehend)
*virt. Netzwerkverbindung
auf eth 1
Eigenständige Instanzen . Die VM müsste dann nur 2 Netzwerkanschlüsse besitzen.
Die VM darf selbst auf keinem Port lauschen sondern leitet alle eingehende Pakete an Firewall 1 diese leitet es je nach Protokoll entweder zum Proxy oder zur Firewall 3. (Video Stream).
Paketfilter und Proxy auf Einplatinenbasis
Hier würde ich ein Banana Pi Router als Router und ein Raspberry Pi 3 mit USB Netzwerkkarte Reichelt Dellock als Proxy verwenden.Paketfilter und Proxy auf einer Maschine
Ein ganz Normaler PC oder alten Router.(PfSense mit Squid)Software
Liste von DistrowatchFür VM
vielleicht ein Proxmox/VirtualBox/vmsphere/hyperv?Für Banana Pi
PfSense/opnSense(abklatsch?)/openWrt/bsd
Paketfilter
Ich würde zwei verschiedene Benutzen. Am besten mit unterschiedlichen System. Oder?
Linux ist ok und BSD muss ich sowieso noch lernen.
*FreeBSD
*Alpine Linux
*ClearOS
*pfSense/Opnsense
*IPFire
*Untangle NG Firewall
*VyOS
*Sophos UTM
*Zeroshell
*BSD Router Project
*Endian Firewall
Rat
Meine Frage was empfehlt Ihr?Womit habt Ihr Erfahrung?
Welcher Aufbau bietet was und welche Nachteile haben diese?
Dank und Grüße
Vielen Dank für euren Rat und Eure HilfeMit freundlichem Gruß
B.Right
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 342123
Url: https://administrator.de/contentid/342123
Printed on: April 18, 2024 at 04:04 o'clock
9 Comments
Latest comment
Grundsätzlich sollte man, wenn man denn wirklich sicher sein will, niemals eine FW in einer VM oder einem Hypervisor laufen lassen. Eine FW gehört immer auf ein dediziertes Blech.
Weitere Grundlagen auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und in den weiterführenden Links.
Raspberry Pi eignet sich nur als Demo oder für den Heimgebrauch bei xDSL Anschlüssen <10 Mbit, denn intern hängt der Ethernet Port am USB Controller der nur einen sehr begrenzten Durchsatz hat.
Scheckkartenrechner ist also nur etwas für ein sehr kleines Umfeld ggf. remote steuerbarer Maschinen usw. also mit sehr wenig Traffic Aufkommen.
Alles andere sollte wenigstens PCEngines Boards oder Intel Mainboards sein. Siehe dazu auch die HW Liste von @108012 hier im Forum.
Weitere Grundlagen auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und in den weiterführenden Links.
Raspberry Pi eignet sich nur als Demo oder für den Heimgebrauch bei xDSL Anschlüssen <10 Mbit, denn intern hängt der Ethernet Port am USB Controller der nur einen sehr begrenzten Durchsatz hat.
Scheckkartenrechner ist also nur etwas für ein sehr kleines Umfeld ggf. remote steuerbarer Maschinen usw. also mit sehr wenig Traffic Aufkommen.
Alles andere sollte wenigstens PCEngines Boards oder Intel Mainboards sein. Siehe dazu auch die HW Liste von @108012 hier im Forum.
Hallo,
der Einwand von @aqui ist auch das erste worüber ich stolpere....
eine Firewall ist immer in Blech...
Virtualisiert hast du nur einen Angriffspunkt mehr.... und wenn es ganz schief läuft bekommt diene Firewall nichts davon mit das sie Kompromitiert wurde und du schläfst Glückselig weiter....
brammer
der Einwand von @aqui ist auch das erste worüber ich stolpere....
eine Firewall ist immer in Blech...
Virtualisiert hast du nur einen Angriffspunkt mehr.... und wenn es ganz schief läuft bekommt diene Firewall nichts davon mit das sie Kompromitiert wurde und du schläfst Glückselig weiter....
brammer
Oder aus Ziegelsteinen.
Weil heute Freitag ist.
lks
Hallo,
was meinst du damit?
Soabld etwas in Software gelöst ist kann man es auch austricksen......
brammer
Ist es nicht möglich eine VM von Ihren Maschinen abzuschotten?
was meinst du damit?
Soabld etwas in Software gelöst ist kann man es auch austricksen......
brammer
Eine VM die einfach nicht auf den Netzwerkkarten lauscht, sondern alles direkt an die Maschinen weiterleitet müsste die nicht sicher sein?
Selbst wenn nicht zuhört?
Bisy
Selbst wenn nicht zuhört?
Bisy
Du hast doch immer das Problem, dass der Hypervisor aus der Vm heraus geknackt werden könnte.
Das muss ja nicht aus der VM der FW passieren.
Das muss ja nicht aus der VM der FW passieren.
Zitat von @Bisy.Right:
Eine VM die einfach nicht auf den Netzwerkkarten lauscht, sondern alles direkt an die Maschinen weiterleitet müsste die nicht sicher sein?
Eine VM die einfach nicht auf den Netzwerkkarten lauscht, sondern alles direkt an die Maschinen weiterleitet müsste die nicht sicher sein?
Was meinste Du damit? Wen die VM nicht Ihre Interfaces bedient, wozu ist sie dann gut?
lks
Vielleicht habe ich einfach einen Denkfehler^^.
Ich habe mir das ganze wie einen Tunnel vorgestellt. So nach dem Motto den Datenverkehr nur weiterzuleiten an die Maschinen, ohne das die VM irgendwie mit dem Datenstrom interagieren muss. Die VM selbst würde nur direkt über SSH mit Schlüssel ansteuerbar sein.
Klar hab ich jetzt verstanden, dass so etwas nicht geht. (Schade)
Weitere Frage ich habe aus meinen völlig veralteten Büchern gelesen, das Single-Core-Performence für eine Firewall wichtiger ist als die Anzahl der Kerne. Warum ist das so? liegt es an der Programmierung der Geräte?
Weiterhin bin ich für jeden Link und jeden Buchvorschlag zum Thema dankbar.
Gruß
Bisy
Ich habe mir das ganze wie einen Tunnel vorgestellt. So nach dem Motto den Datenverkehr nur weiterzuleiten an die Maschinen, ohne das die VM irgendwie mit dem Datenstrom interagieren muss. Die VM selbst würde nur direkt über SSH mit Schlüssel ansteuerbar sein.
Klar hab ich jetzt verstanden, dass so etwas nicht geht. (Schade)
Weitere Frage ich habe aus meinen völlig veralteten Büchern gelesen, das Single-Core-Performence für eine Firewall wichtiger ist als die Anzahl der Kerne. Warum ist das so? liegt es an der Programmierung der Geräte?
Weiterhin bin ich für jeden Link und jeden Buchvorschlag zum Thema dankbar.
Gruß
Bisy
