Hardware Firewall ?

[danibert]

Hi zusammen,

habe mich mal ein wenig zum Thema zum Hardware-Firewalls schlau gemacht.
Leider ist mir aufgefallen, daß die Dinger sauteuer sind.

Nun frage ich mich, ob man unbedingt eine "richtige" Firewall von Cisco, etc. kaufen muß, oder nicht einen normalen Server als Firewall aufsetzen?

Ich meine so richtig, nicht nur Paketfilter, sondern richtig mit allen Features einer sagen wir mal Cisco ASA5550 oder ähnlich, nur eben preisgünstiger.

Wichtig wären vor allem Features wie anti-virus, anti-spyware, file blocking, anti-spam, anti-phishing, URL filtering, Intrusion prevention. Und fein wäre es, wenn man das System gleich noch als Load Balancer einsetzen könnte.

Gibt es evtl. eine vorkonfigurierte Software, die sowas macht?
Habt Ihr Hardware-Firewalls laufen? Wenn ja, welche?

 

[Thorsten]

Hallo!

Wichtig wären vor allem Features wie anti-virus, anti-spyware, file blocking, anti-spam, anti-phishing, URL filtering, Intrusion prevention. Und fein wäre es, wenn man das System gleich noch als Load Balancer einsetzen könnte.

Ähm, bitte? Bist du sicher, dass du dich mit dem Thema Firewall auseinander gesetzt hast? Keines der genannten Aufgaben fällt in den Bereich Firewall. Selbst bei einem IDS ist eine Firewall nur ein Teil des Gesamtkonstrukts.

mfG
Thorsten

 

[danibert]

@ Thorsten

Ja ich bin mir sicher, sonst hätte ich es nicht geschrieben!
Ich habe mich auf die Features der Cisco ASA5550 Hardware Firewall bezogen (ich kann leider nichts dafür, daß sich das Gerät so nennt).

Hier die Infos zu genanntem Gerät:
Cisco ASA 5500 Series Adaptive Security Appliances Models Comparison - Cisco Systems

Nochmal: Egal ob das nun Aufgabe einer Firewall ist oder nicht - ich wollte wissen, ob man die Möglichkeiten des oben genannten Gerätes auch günstiger bekommt.

 

[amnesie]

Nochmal: Egal ob das nun Aufgabe einer Firewall ist oder nicht - ich wollte wissen, ob man die Möglichkeiten des oben genannten Gerätes auch günstiger bekommt.

Das geht sicherlich; allerdings würde ich mich anhand anderer Haupt-Kriterien für so ein Security-Monster entscheiden als nur den Preis zu betrachten.

(Sicherlich gibt es sowas auch von symantec ...)

 

[Firewire2002]

Also einige der aufgezählten Funktionen liesen sich mit IPCop.org :: The bad packets stop here! und dessen Addons realisieren.
An die Qualität von der genannten HW-Firewall kommt IPCop allerdings nicht ran.

 

[Thorsten]

Hallo!
Ich habe bei solchen Geschossen immer die Befürchtung, das der Nutzer in falsche Sicherheit gewiegt wird. Es ist eben - in den meisten Fällen - nicht damit getan, sich eine solche Büchse zu installieren, und zu glauben, jetzt wäre Ruhe im Karton.

mfG
Thorsten

 

[Firewire2002]

Najo es sollte wohl Grundvorraussetzung sein, das man sich mit der Materie auskennt.
Egal ob man sich eine Hardware Firewall für 10.000€ kauft oder sonstige kostenlose Alternativen nutzt.

Aber nachdem ja nun jeder Laie einen Server gemietet hat, wäre das doch eine nette Steigerung. Sollen se doch nun alle Cisco Firewalls kaufen.

 

[mkr]

Folgende Firewall/Router/AccessPoint/...-Distributionen kann ich empfehlen:

- m0n0wall
- pfSense » Introduction

pfSense basiert auf m0n0wall, hat aber einige Funktionen mehr.

Bei mir läuft m0n0wall seit 3 Jahren auf einem WRAP-Board von PC Engines custom embedded PC hardware and firmware design. Macht keinen Lärm und braucht fast keinen Strom.

Paketfilterung, Traffic Shaping, NAT etc. geht mit dem Gerät gut, falls man aber Proxies mit Virenfilter etc. einsetzen will, braucht man ein Gerät mit Festplatte. Wenn man keinen PC dafür nehmen will, wäre ein Board von Soekris Engineering eine Möglichkeit. Etwas teurer als das WRAP, dafür mit IDE-Anschluss für eine Notebookfestplatte.

 

[Sinepp]

Ha(l)lo!

Ich frage mich gerade was dagegen spricht eine Kiste aufzusetzen, die aus genau diesen Einzelteilen besteht: Viren + Mailscanner, Phishing Filter etc. pepe.

So im einzelnen gibt es jede dieser Komponenten als OpenSource. Wobei mir zu Intrusion Detection gerade kein Paket einfällt, aber dafür gibt es ja auch noch andere People hier.

Ich habe bei solchen Geschossen immer die Befürchtung, das der Nutzer in falsche Sicherheit gewiegt wird. Es ist eben - in den meisten Fällen - nicht damit getan, sich eine solche Büchse zu installieren, und zu glauben, jetzt wäre Ruhe im Karton.

Der Nutzer...wer ist das? Bei der Firma in der ich angestellt bin wissen 99% der User garnicht, wie man Firewall buchstabiert, geschweige denn, dass wir einen solchen Feuerschutz haben.

Oder meinst Du den Administrator? Nun, der muss die Kiste natürlich noch konfigurieren und up to date halten. Bei ausreichend Applikationen im LAN die per Internet distribuiert aber durch die Kiste geschützt werden sollen, + Virenscanner + der andere Krempel ist das eine Dreiviertel- bis Vollzeitstelle. Bei Implementierung eher eine 2-3 Mannstelle. Wie Thorsten schon sagt, es ist nicht damit getan das Teil ins Netzwerk zu klemmen.


Kleine Zwischenfrage: Wieviele User sollen dadurch geschützt werden?

Grüße
Sinepp

 

[Firewire2002]

Kleine Zwischenfrage: Wieviele User sollen dadurch geschützt werden?

Die restliche Erdbevölkerung vor seinem Lan.

 

[Sinepp]

Gute Sache das! Also strengen wir uns mal, dat dat Dingens da sicher wird, ne?