Für den gemeinen Anwender bringt Ipfire und Co keinen Vorteil gegenüber einem normalen Router.
Und ja, die machen grundsätzlich NAT, was anderes würde im Internet auch garnicht funktionieren. Es gibt grundsätzlich für jeden Anschluß nur eine IP Adresse, daher muß alles andere über NAT laufen.
Wieso macht ein Router grundsätzlich NAT?
Es mag vllt sein, das per default IPFire, IPCop und Co. so eingestellt sind, das diese ihre internen Netze (Grün, Orange, Blau, weis der Teufel, wie es dort so schön heist) auf das Rote WAN Interface via NAT umsetzen.
Dennoch kann das Teil auch einfach nur routen, wie man es von einem Router verlangt.
Das man natürlich bei nur einer WAN IP am INet Anschluss grundsätzlich via NAT Arbeiten muss, ist aber richtig. Heist aber nicht, das es die Firewall Appliance sein muss, welche NAT macht. Eine Appliance davor/dahinter wäre dazu auch in der Lage. Wobei davor wenig Sinn macht
, dahinter schon mehr, sprich zwischen WAN und Firewall eben nen billigen Customer Router. Und dann den Router und die Firewall Appliance via Transitnetz koppeln. Das schließt so ziemlich alle Sicherheitslücken, die potentiell durch den Virtualisierungshost aufkommen können mit einem mal. Wichtig ist nur, das die Router Kiste dahinter eben genügend Bums liefert.
Naja, ASG ist eigentlich die EierlegendeWollmichsau und kann auch routen
Ich hoff bei Sophos versauen die nix
Was soll Sophos da kaputt machen?
Das Featurefucking, was man bis dato betreibt, bringt zwar in Mini Umgebungen nette Services ans Licht. Für größere Umgebungen funkt das aber so absolut gar nicht... Was wir auf der Arbeit schon für Probleme damit hatten, geht auf keine Kuhhaut.
Von fehlender Multicore Unterstützung der Software selbst (die größeren ASGs haben 2xQuadcore CPUs, welche zum Teil nicht auslastbar sind) über allgemeine Performanceprobleme, abschmierende Dienste, irgendwelche Workaround Patches, welche woanders wieder riesige Löcher aufreißen usw.
Bei uns geht das sogar soweit, das Astaro selbst bzw. jetzt Sophos ihre neuesten Firmware Releases für spezielle Kunden von uns dediziert freigeben. Einfach aus dem Grund, weil die selbst nicht wissen, ob in größeren Umgebungen der Spaß überhaupt tut. Im Moment fahren wir beispielsweise noch die 8.303 bzw. 8.305. Die V9 ist nichtmal im Ansatz freigegeben
Gleiches gilt auch für Cable Anschlüsse.
Überall da, wo vorher kein Router sitzt, hast du eine öffentliche IP Adresse. Daher macht ja auch ein IPFire und Co auch erst Sinn, da das Teil direkt im Inet steht und so die volle Bandbreite an Diensten bereitstellen kann. (rot=Inet Interface)
Ja soweit schon klar. Nur warum sollte man sich das antun? Ich mein, die Sicherheitslücken, welche potentiell aufkommen kann niemand überschauen. Mit so nem Konstrukt erkauft man sich glatt mal 100% mehr Sicherheitsrisiko, weil doppelte Angriffsfläche (Firewall Appliance + Virtualisierer)
In meinen Augen gab es doch so viele Beispiele schon, wo die Nutzer dachten, sie wären sicher, und dann hats geknallt
Jüngst war doch mal ein Virus für Apple MACs unterwegs. Wo niemand auf nem MAC auch nur nen Virenscanner in Betrieb hat
Weil man dachte, es wäre auch so sicher... -> Beispiel.
von einer vm auf den host und damit ins daran liegende netzwerk zu kommen ist schon eine große hürde.
Das ist die falsche Sichtweise...
Die Hürde ist nicht größer als bei anderen Angriffspunkten. Man könnte ganz einfach (als Beispiel) sich in den IP Stack einklingen und die Datenpakete verfälschen. Alles was im Klartext durchläuft, wäre somit mitlesbar.
Es ist ja nicht so, das der Angreifer zwingend und immer nur auf den jeweiligen Rechner drauf will. Oft gehts da doch um ganz andere Sachen.
Aber wie underclocker schon ansprach, jedem ist zum Glück selbst überlassen, wie stark er sich versucht gegen mögliche "Angriffe" abzusichern.
Im Grunde kann man auch die Firewall ganz weglassen, denn der potentielle Angreifer wird sich mit größter Warscheinlichkeit nicht in IP Adressbereichen von privaten INet Anschlüssen bewegen. Und unterm Strich ist die nächste Schwachstelle auch immer die Layer 8 Ebene des OSI Modells. Vor Dummheit des Users schützt die beste Firewalllösung nicht