Firewall-Appliance oder dedizierte Server als Firewall

marmorkuchen

Well-Known Member
Hallo Freunde der Nacht,

ich plane zur Zeit den Ausbau meines Serverhousings von einem Server auf max. 10 HEs.

Nun stellt sich mir die Frage, ob ich einen Server als dedizierte Firewall einrichten soll, oder eher eine Appliance von Cisco, Juniper oder woher auch immer nutzen soll.

Wie sehen Eure Erfahrungen in dem Bereich aus?
Ich nutze den ganzen Kram privat, sprich meine Hobby-Spielwiese muß vom Schreibtisch ins RZ wandern.

Da es ein Hobby ist, werden dort auch Systeme, mit sagen wir mal, alten OS-Releases ohne Updates laufen, so daß die Firewall schon notwendig sein dürfte.

Gespannte Grüße

marmorkuchen
 

kith

unfuck me!
Teammitglied
Hallo Freunde der Nacht,

ich plane zur Zeit den Ausbau meines Serverhousings von einem Server auf max. 10 HEs.

Nun stellt sich mir die Frage, ob ich einen Server als dedizierte Firewall einrichten soll, oder eher eine Appliance von Cisco, Juniper oder woher auch immer nutzen soll.

Wie sehen Eure Erfahrungen in dem Bereich aus?
Ich nutze den ganzen Kram privat, sprich meine Hobby-Spielwiese muß vom Schreibtisch ins RZ wandern.

Da es ein Hobby ist, werden dort auch Systeme, mit sagen wir mal, alten OS-Releases ohne Updates laufen, so daß die Firewall schon notwendig sein dürfte.

Gespannte Grüße

marmorkuchen

Eine klassische Firewall hilft dir nicht soviel, wenn die Infrastruktur dahinter veraltet ist.
Ob Appliance, oder Rechner mit software ist in deinem Fall wahrscheinlich eine Budget Frage. Wenn die Kohle da ist, würde ich immer eine Appliance vorziehen.
 

mark05

Well-Known Member
. Wenn die Kohle da ist, würde ich immer eine Appliance vorziehen.

never ever ..........

die kochen alle nur mit wasser und der einzigeste mehr wert den eine appliance biete
sind die zusatzdienste wie mail, http proxy , ids .

vieles davon kann man auch selbst kaufen und einrichten.

nur muss eine firewall zwingend content verarbeiten welcher ueber das normale datenpacket
hinaus geht ?

wenn ich z.b. eine cisco asa oder pix im vergleich nehme zu openbsd .... ist openbsd
die bessere wahl .

nehme ich ne checkpoint zum vergleich muss ich mir ueberlegen ob ich ie gui brauche
und ob ich bereit bin alle 1.5 jare nen neue software zu kaufen well die alte version
nicht mehr gepflegt wird.

und bei checkpoint redenwir nicht ueber geringe summen

sonicwall ist in meinen augen schrott , zu dem zeitpunkt wo ich damit gearbeitet
habe habe ich binnen wochen bugs ohne ende gefunden und das system
basierte damals auf vxworks.

juniper kenn ich nicht

astaro setzt auf linux und bastellt daran rum.

genua ist eine coole loesung aber teuer

z.b. nen soekris box mit crypto board , am besten 2x , mit openbsd
sollte perfekt fuer das vorhaben passen.

du solltest aber auch zuhause eine dedizierte fw haben !

holger
 

kith

unfuck me!
Teammitglied
Ich schreib doch, "wenn die Kohle da ist"...

Ich ziehe eine Appliance vor, weil das Ding einfach zeitsparender ist, als ein Rechner mit vollständigem OS drauf.

Checkpoint und Genua haben keine Appliances für den Heimgebrauch afaik. Sonicwall kenne ich nicht. Was Cisco an Firewalls verkauft... :D

Bei Juniper könnte man eine SSG5 zuhause hinstellen. Funktioniert super, geht schnell.

Bei Astaro hatte ich auch mal so kleine Rasierapparatfirewalls gesehen, die auf den ersten Blick auch nicht verkehrt aussahen.

Sie kochen natürlich alle mit Wasser, aber sie haben es bereits gekocht während du bei Softwarelösungen erst selbst noch kochen musst...
Natürlich kommst du mit einer Soekris + OpenBSD deutlich günstiger davon. Allerdings musst Du halt auch erstmal rumbasteln, ich hab darauf keine Lust.
 

marmorkuchen

Well-Known Member
Salve,

an ALIX oder Soekris dachte ich auch schon, nur sind die Gehäuse nicht fürs RZ geeignet. Und wenn ich erst ein 19" Gehäuse besorgen muß kann ich entweder gleich eine Applianace kaufen oder einen dedizierten Server ins Rack schrauben.

Gruß vom marmorkuchen
 

CommanderZed

OpenBSD User
Teammitglied
Vorweg: Ich hab in dem bereich nicht viel praktische Erfahrung.

Aber:
Gerade PF finde ich auch bei komplexeren Regeln überschaubar, und wenn man eh vorhat mehrere Kisten (offenbar mit teilw. älteren Betriebsystemen) zu betreiben und zu pflegen dürfte der aufwand für ein zusätzliches Betriebsystem wie OpenBSD überschaubar bleiben.
2x Im Jahr ein "großes" Update des Betriebsystems, ein paar mal im Jahr ein paar Sicherheitsupdates einspielen - zumal ja vermutlich das Basissystem völlig ausreicht.

So wie ich die Aufgabenstellung Lese würde ich vermuten das ein reiner Paketfilter reicht (Aussperren der "gefährlichen" da ungepatchten Rechner vor dem gesamten Internet, nur wenige Addressen erlauben (oder evtl. auch eine art "komplett" abgeschottes LAN erstellen das nur per VPN erreicht werden kann.)
Evtl. würde es sinn machen, um die Physikalisch noch ein wenig zu trennen einen Switch dazuzupacken der VLANs kann?

Hier wäre mein Tipp: Irgend einen alten 1HE Server besorgen der 2-3 Nics hat und OpenBSD verwenden. Da sollte man denke ich für ca. 100EUR etwas brauchbares bekommen.
 

marmorkuchen

Well-Known Member
Vorweg: Ich hab in dem bereich nicht viel praktische Erfahrung.

So wie ich die Aufgabenstellung Lese würde ich vermuten das ein reiner Paketfilter reicht (Aussperren der "gefährlichen" da ungepatchten Rechner vor dem gesamten Internet, nur wenige Addressen erlauben (oder evtl. auch eine art "komplett" abgeschottes LAN erstellen das nur per VPN erreicht werden kann.)
Evtl. würde es sinn machen, um die Physikalisch noch ein wenig zu trennen einen Switch dazuzupacken der VLANs kann?

Salve,

VLANs sind schon fest eingeplant, Management- und Datennetz muß schon mal aus Prinzip getrennt werden.
Mal schauen ob eine Sun Fire V100 mit OpenBSD befeuert ne gute Firewall abgibt.
Denn das Problem bei dem dedizierten Firewall-Server ist der Stromverbrauch, welcher zusätzlich zu den HEs vom RZ berechnet wird.
Ständig werden nur ein oder zwei Server nebst Switch, LB und halt die Firewall laufen...

Gruß vom marmorkuchen

p.s. Ich würde die alten Kisten ja auch patchen, wenn ja wenn man den halbwegs günstig an die Updates kommen würde :)
 

CommanderZed

OpenBSD User
Teammitglied
Hmm, dann vill. doch son Soekris-Ähnliches teil oder so - kann man sowas nicht einfach auch auf ein 19" Blech schrauben? Da gibt es doch auch "einschübe" in diversen Varianten - sieht zwar nicht sooo nett aus aber tuts vermutlich auch Problemlos.
 

mark05

Well-Known Member
Salve,

an ALIX oder Soekris dachte ich auch schon, nur sind die Gehäuse nicht fürs RZ geeignet. Und wenn ich erst ein 19" Gehäuse besorgen muß kann ich entweder gleich eine Applianace kaufen oder einen dedizierten Server ins Rack schrauben.

Gruß vom marmorkuchen

hi

es gibt auch 19" gehaeuse fuer die dinger.

holger
 

mark05

Well-Known Member
Teilweise. Aber wenn es "bessere" Lösungen gibt, dann muss man ja nicht zwingend ein BSD empfehlen.

sind fertige , von us amerikanische oder israelische , hergestellte blackboxen
wirklich die bessere loesung .......... das bezweifeifel ich .

wer selbst schonmal via gui eine checkpoint oder sonicwall eingerichtet hat,
und diese bei ner cisco versucvht hat , weiss
die einfachheit und bequemlichkeit eines openbsd zu schaetzen.

ein zeitfaktor ist es nicht , der aufwand ne appliance einzuricheten ist genauso hoch wenn
nicht hoeher.

holger
 

marmorkuchen

Well-Known Member
Ich kann mich täuschen, aber waren die nicht rel. teuer?

Aber man könnte sowas nehmen:

http://www.amazon.de/DIGITUS-Fachbo...d=1378292806&sr=8-6&keywords=19+zoll+einschub

Und da nen Alix oder sonstige Single-Board-Computer einfach mit nen paar Kabelbindern Festzurren.
Huhu,

könnte man, mir macht mehr das Netzteil sorgen.
Mir sind schon einige 12V-Netzteile abgeraucht und das ist bei einer Firewall die fünf Stunden Bahnfahrt von der Heimat entfernt läuft etwas ungünstig... :)

Gruß

marmorkuchen
 

kith

unfuck me!
Teammitglied
sind fertige , von us amerikanische oder israelische , hergestellte blackboxen
wirklich die bessere loesung .......... das bezweifeifel ich .

wer selbst schonmal via gui eine checkpoint oder sonicwall eingerichtet hat,
und diese bei ner cisco versucvht hat , weiss
die einfachheit und bequemlichkeit eines openbsd zu schaetzen.

ein zeitfaktor ist es nicht , der aufwand ne appliance einzuricheten ist genauso hoch wenn
nicht hoeher.

holger

Kein Ahnung worauf du hinaus willst, aber falls dich das beruhigt, du kannst auch blackboxen aus deutschem Hause wählen. Falls dich das Thema blackbox generell stört, an irgendeinem Punkt musst du dem Hersteller sowieso vertrauen wenn du nicht eigene Hard und Software herstellst. Ob Vendoren vertrauenswürdig sind oder nicht, ist allerdings ein anderes Thema, wozu man vielleicht ein eigenen Thread starten sollte.

Wie ich bereits sagte, kenne ich Sonicwall nicht, allerdings weiss ich, dass Checkpoint und Cisco nicht unbedingt das Mass der Dinge sind, wenn es um Firewalls geht.

Ich weiss nicht, mit welchen Appliances du deine Erfahrungen gesammelt hast, aber meine Erfahrung ist, dass eine Appliance deutlich weniger Arbeit macht als ein OpenBSD (bei der Wahl der richtigen Appliance). Im Umkehrschluss würde ich kein Geld für eine Appliance ausgeben, die mir nicht meine Zeit spart...
 

TCM

Well-Known Member
Wie, ohne zu basteln? Das normale Programm halt, CPU mit großen Caches und hohem Single-Core-Takt, PCIe Intel NICs, vorzugsweise 82574L. Der Rest hat wenig Einfluss auf pf performance.
 
Oben