Firewall-Appliance oder dedizierte Server als Firewall

scheint was sehr spezielles zu sein, gibts nur von einem anbieter und google findet überhauptnichts dazu (außer diesen thread)
 
Für den Privatgebrauch würde ich keine Appliance einsetzen. Die Lizenzmodelle der großen Hersteller wie Cisco und Checkpoint sind einfach nicht für den Privatgebrauch gedacht und kosten bei konsequenter Update-Folge richtig Asche.

Die Einrichtung von einer Checkpoint finde ich nicht schwieriger als die Einrichtung einer ASA und auch nicht schwieriger als die Einrichtung eines OpenBSD. Das kostet auf jedem System seine Zeit und man sollte wissen was man tut.

Im Betrieb ist der Aufwand neue Regeln zu erstellen auf den GUI-basierten Systemen sicherlich etwas einfacher, wenn man nicht nebenbei auch noch Experte für OpenBSD und PF ist. Wenn du PF bedienen kannst und vielleicht auch schon mal ein IOS bedient hast, dann dürfte es nicht schwer fallen auf ein x-beliebiges anderes System umzusteigen.

Bei den Eckdaten die der TE genannt hat, würde ich zu PF tendieren. Kostet nichts, ist gut dokumentiert, läuft auf fast jeder Hardware und ist relativ wartungsarm wenn es mal läuft.
 
Kleines Update

Salve,

ein Neukauf einer Appliance kam aus Kostengründen eh nicht in Frage.
Nachdem ich nun die Preise für den Support bei z.B. Cisco gesehen habe kommen auch die gebrauchten aus der Bucht nicht mehr in Frage.

D.h. ich werde entweder einen meiner vorhandenen Server mit OpenBSD bestücken und PF nutzen, oder ich muß einen weiteren Server dafür erstehen.

PF sieht jedenfalls recht gut aus, die Regeln lesen sich zumindest für mich gut.

Einziges Problem: Ich muss die Firewall an der Heimatfront einrichten, d.h. ich muss warten bis die Regierung mal nicht ins Arbeitszimmer möchte. :)

Wobei für die OpenBSD-Lösung auch noch der VPN401-Beschleuniger spricht, welcher von OpenBSD ja wunderbar unterstützt wird. Mal schauen.

Kennt jemand so eine, halbwegs erschwingliche, Beschleuniger-Karte mit PCIe?


Viele Dank für die Anregungen und beste Grüße

marmorkuchen
 
CPU mit AES-NI > VPN-Beschleuniger aus vergangenen Tagen.

Salve,

schon klar, allerdings setzt dies eine recht aktuelle Xeon-CPU voraus.

Meine Server dagegen sind Geräte wie der HP ProLiant DL360G5 und der DL380G5... (Intel Xeon L5410 u.ä.)

D.h., eine Beschleuniger-Karte dürfte für mich günstiger sein. :)

Gruß

marmorkuchen
 
Nur ob die noch was bringt? Wieviel macht so eine Karte, wieviel macht die CPU? Kommt nach dem ganzen Interrupt-Overhead von der Leistung noch signifikant was an, was die CPU nicht im Vorbeigehen macht?

Wieviele Sessions willst du denn da haben?
 
Alte Beschleunigerkarten sind schon oft den Overhead nicht wert für symmetrische Kryptographie. Eine Core 2 Kern ist bei AES und SHA1 vllt. langsamer als die Hardware auf der PCI-e Karte, aber die Daten aus dem Userspace in den Kernelspace und von dort zur PCI-e Karte zu bekommen und zurück kostet oft mehr als die Operationen direkt in der CPU durchzuführen. Außerdem ist oft die CPU bereits schnell genug ohne Hardwarebeschleunigung selbst wenn sie etwas bringt.

Nen kleiner Xeon E3-1270 v3 ist dennoch sehr schön geeignet als CPU für OpenBSD mit PF auch wenn AES-NI nur AES und nicht auch SHA1/SHA2 oder RSA beschleunigt.
 
Alte Beschleunigerkarten sind schon oft den Overhead nicht wert für symmetrische Kryptographie. Eine Core 2 Kern ist bei AES und SHA1 vllt. langsamer als die Hardware auf der PCI-e Karte, aber die Daten aus dem Userspace in den Kernelspace und von dort zur PCI-e Karte zu bekommen und zurück kostet oft mehr als die Operationen direkt in der CPU durchzuführen. Außerdem ist oft die CPU bereits schnell genug ohne Hardwarebeschleunigung selbst wenn sie etwas bringt.

Nen kleiner Xeon E3-1270 v3 ist dennoch sehr schön geeignet als CPU für OpenBSD mit PF auch wenn AES-NI nur AES und nicht auch SHA1/SHA2 oder RSA beschleunigt.

Salve,

wirklich benötigen tue ich einen Beschleuniger nicht, ist ja nur ein Hobby.

Das Problem ist ja nicht nur der E3-1270, sondern das ganze drum herum. Meine vorhandenen Server fressen die E3 z.B. nicht und neuere Server dürften gegenüber der Regierung schwer zu begründen sein, jedenfalls solange das "nur" ein Hobby ist.

Gruß

marmorkuchen
 
Bin zufällig über die Ubiquity EdgeMax Router gestolpert. Dieser 3*Gbit Lite Router (99€) kann angeblich packet filtering. Laut Data Sheet hat er nen DualCore 500Mhz MIPS, was ein wenig zweifeln lässt ob er das auch bei wirespeed schafft (und crypto bleibt auch außen vor).
 
Ich habe zwei EdgeMax Lite am laufen. Die Dinger schaffen ihre beworbenen Werte. Die Performance holen sie aus nen paar Hardwarefeatures die effizientes Routing ermöglichen anstatt aus dicken CPU Cores. Die "lahmen" 500MHz Kerne sind Cavium Networking SoCs. Ich habe mal testweise FreeBSD 10-CURRENT drauf gebootet. Selbst aus dem Userspace über /dev/crypto erreicht die Cryptounit noch 2,21GiB/s für AES128-CBC.
 
Unter FreeBSD kann man:
Code:
cd /usr/src/tools/tools/crypto/
make
Anschließend kann man cryptotest /dev/crypto benchmarken:
Code:
./cryptotest -z 1024
Dabei bitte beachten, dass es sehr theoretische Werte sind. In der Realität müssen noch Daten hin und her kopiert werden, was Leistung kostet.
 
Yamagi: Natürlich ist das nur ein Microbenchmark. Das zeigt einem nicht: du wirst soviele pps oder Mbs GRE+IPsec tunneln können. Es zeigt einem nur eines: Die Cryptounit bringt den nötigen Durchsatz um nicht zum Flaschenhals zu werden.
 
Exakt. Wie ich schrieb zeigt es nicht mal das, da der Benchmark keine nennenswerten Datenmengen bewegt. Z.B. landet man im Fall von AES-NI sehr nah am spezifizierten Optimum, welches man in der Praxis natürlich nicht mal annähern erreichen kann.
 
Zurück
Oben