Firewall als virtuelle Appliance - Welche?

teqqy

Enthusiast
Thread Starter
Mitglied seit
30.07.2012
Beiträge
1.162
Ort
Rheinhessen
Hallo zusammen,

ich bin auf der Suche nach einer Software-Firewall welche auf ESXi installiert wird. Eigentlich würde ich Sophos UTM verwenden, nur damit funktionieren Push-Dienste in unserem Netzwerk kaum noch. Daher suche ich eine Alternative.

Vor einigen Jahren habe ich mir mal kurz IPFire angeschaut. Damals war die Konfigurationsoberfläche alles andere als bedienbar.

Was setzt ihr ein und/oder könnt mir empfehlen?

Wichtig wäre mir eine Konfigurationsoberfläche bei der man nicht Teil des Dev-Teams sein muss und ein VPN Server (am liebsten SSL).
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich nutzte IPfire. Komme gut damit zurecht. Gute deutsche Entwickler.
pfsense und m0n0wall verichten auch sehr gut ihre dienste.

Ich rate allerdings von einer virtualisierten Lösung ab.
 
Ich kann dir IPFire empfehlen 😉 An der Benutzeroberfläche hat sich auch was getan seit dem letzen Update. Nutze es selber auch auf meinem ESXi..

Gesendet von meinem HTC One mit der Hardwareluxx App
 
[...]Ich rate allerdings von einer virtualisierten Lösung ab.

Kompromittierung etc... Ja ich weiß. Wenn ich ne Richtige Firewall will, dann kauf ich mir eine und bastel nicht selbst. SSL Stack ist eh versaut da kann ich auch auf geprüfte Hardware etc zu Cisco, Juniper oder sonstwas greifen. Ergo -> für Privathaushalt eine zu vernachlässigende Schwachstelle!

Bedanke ich aber bis dato für die Meinungen. Gibt es einen Grund warum ihr diese entsprechenden Distributionen verwendet?
 
Ich nutze IPFire vornehmlich gerne, weil ich von IPCop weg bin und sich damals ipfire vielversprechender weitereintwickelte als ein abgezweigter fork.. ausserdem empfinde ich die community als sehr gut und die deutschen entwickler. das ist aber wahrscheinlich auch schon alles.
 
pfSense wird weltweit genutzt und wird auch von sehr großen Unternehmen verwendet.
IPFire ist ganz nett, zielt aber eher auf den SOHO-Bereich ab, wird auch hauptsächlich nur im deutschsprachigen Raum verwendet und nutzt international kaum jemand.

SSL Stack ist eh versaut da kann ich auch auf geprüfte Hardware etc zu Cisco, Juniper oder sonstwas greifen. Ergo -> für Privathaushalt eine zu vernachlässigende Schwachstelle!
Hehe, der war gut, "geprüfte Hardware", die Kochen auch nur alle mit Wasser. :haha:
Dir ist schon klar das Junipers tolles "Junos" einfach nur FreeBSD mit Aufsatz ist? Und du weißt das viele Cisco-Geräte sperrangel-weit offen sind weil kein Mensch mal auf die Idee kommt ein Update zu fahren? Geprüft my ass.

Ich rate allerdings von einer virtualisierten Lösung ab.
Solche Empfehlungen sind selbst unter Aluhut-Trägern nicht mehr selbstverständlich und eigentlich mittlerweile out, alle "Ich-brech-aus-der-VM-aus"-Szenarien sind nur rein theoretisch und für die Praxis völlig ungeeignet. Und das sage ich als, vermeintlicher, Aluhut. Also bitte.

Ich würde ich mir da viel mehr Sorgen über die Firmware des Mainboard machen, da könnte man ohne Probleme hässliche Überwachungssoftware einbauen ohne dass es irgendwer mitbekommt. Selbst die die normalen Consumer Mainboards können doch mittlerweile vom EFI aus ein Firmware-Update direkt aus dem Internet oder haben einen Browser integriert, denkt mal drüber nach was da sonst noch so alles möglich wäre. tinfoil.gif
 
Zuletzt bearbeitet:
alle "Ich-brech-aus-der-VM-aus"-Szenarien sind nur rein theoretisch und für die Praxis völlig ungeeignet.
Ich beschäftige mich damit evtl. einen Server mit VMs (u.a. Firewall, NAS...) oder doch getrennte "Bleche" zu kaufen. Alle meinen immer die Firewall muss auf ein extra Blech, was ich nicht verstehe, wenn die NIC direkt durchgereicht wird, was soll da passieren? Verstehe ich das also richtig, dass eigentlich nicht viel passieren kann?
 
Es gab halt schon bewiesene Ausbrüche aus einer virtuellen Maschine hin zum Host, was eigentlich dem Sinn einer Firewall komplett entgegenläuft. Frage ist halt wer setzt sich für ein Heimnetzwerk Stundenlang hin um einen Hack durch zu führen? Da gibt es sicherlich lohnendere Ziele. Für daheim denke ich zu vernachlässigen.
 
Hi

Bislang hatte ich auf dem ESXi zwei Endian's im Einsatz, und damit sehr gute Erfahrungen gemacht. Allerdings wollte die mit IDS drei zugewiesene CPU Kerne, damit ich auf einen anständigen FW Durchsatz kam. Ausserdem gab's da den ein oder anderen Bug.

Bin nun aber auf eine Zywall 110 umgestiegen, die sich der Gerüchteküche nach bald zur UTM flashen lässt. Aber da sind mir die Lizenzen wohl zu teuer, für den Moment.

Aber vom Handling her finde ich die virtuallisierte Version fast besser wie die Appliance. Ich konnte die Switches über Nacht auch mal abschalten. Nun muss ich die FW und die Switches laufen lassen, damit der ESXi am Netz bleibt.
 
Zuletzt bearbeitet:
da vor der Firewall ja eh noch in den meisten Fällen der Router hängt und der seine eigene, wenn auch nicht unbedingt beste Firewall mitbringt, sehe ich jetzt kein Problem, diese zu virtualisieren. - das macht das ganze eher 2-Stufig, vorausgesetzt, man weicht die FW des Routers icht zu sehr auf. - Heute bekommt man ja faktisch keine Modems mehr :(

Ich hab bei mir ne pfsense auf nem ESXi 5.5 laufen, da ich die pfsense nicht direkt aufs Board installiert bekommen hab, so hab ich aber mit dem kleinen Teil noch die Möglichkeit, die DMZ-VMs direkt darauf mitlaufen zu lassen...
 
in gewohnt sarkastischer art :coffee: :wink:
Danke dass du es noch mal für die Humorlosen explizit aussprichst. :fresse:

Ich beschäftige mich damit evtl. einen Server mit VMs (u.a. Firewall, NAS...) oder doch getrennte "Bleche" zu kaufen. Alle meinen immer die Firewall muss auf ein extra Blech, was ich nicht verstehe, wenn die NIC direkt durchgereicht wird, was soll da passieren? Verstehe ich das also richtig, dass eigentlich nicht viel passieren kann?
Gar nichts kann da in der Praxis passieren, ist absurd, Erklärung hier drunter.

Es gab halt schon bewiesene Ausbrüche aus einer virtuellen Maschine hin zum Host, was eigentlich dem Sinn einer Firewall komplett entgegenläuft. Frage ist halt wer setzt sich für ein Heimnetzwerk Stundenlang hin um einen Hack durch zu führen? Da gibt es sicherlich lohnendere Ziele. Für daheim denke ich zu vernachlässigen.
Du hast dir aber schon mal angeguckt was dazu konkret nötig ist und nicht nur die irgendeine News auf Heise gelesen? Dazu sind ganz spezielle Dinge in der VM und gleichzeitig auch auf dem Host nötig, also ist es praktisch völlig unmöglich.

Wie du erst mal überhaupt auf die Firewall kommen willst ist mir schon ein Rätsel. Und wenn ich da erst mal bin mache ich mir bestimmt nicht den Aufwand um von dort aus dem Host zu was eventuell gar nichts bringt weil sich die interessanten VMs wo anders befinden.
Wenn du jemanden auf deiner Firewall hast ist sowieso Schicht im Schacht, von dort aus kann man alles nach draußen mitschneiden, da würde im Traum niemand mehr daran denken irgendwie von dort aus zu versuchen den Host zu übernehmen, ist völlig unlogisch. Und wer solche Bugs der Klasse "Eindrigen in eine Firewall über Remote" drauf hat, da meinst du nicht dass er auch noch 500 andere Client-seitige Sachen drauf sind die in Minuten auszuführen sind? Also bitte.

Und überhaupt würde sowieso niemand versuchen eine Firewall direkt anzugreifen, das ist wenn halbwegs ordentlich eingestellt sowieso ein Ding der Unmöglichkeit. Da versucht man es lieber auf die Clients oder auf IPMI-Konsolen zu kommen, das ist im Vergleich dazu ein Kinderspiel.

Mir scheint dass du das Prinzip der low hanging fruits nicht ganz verstanden hast, kein Mensch würde jemals den Angriffsvektor Firewall wählen wenn dort noch etliche viel einfache Ziele in Form von Clients und Menschen liegen.
Da ist als ob ich versuche durch das herunter gelassene Haupttor eines Schlosses bewacht von 20 Elite-Wachen einzudringen anstatt einfach durch das hochgezogene Südtor zu spazieren das von einem 12-Jährigen mit Holzschwert bewacht wird der gerade sein Mittagsschläfchen hält.
 
Zuletzt bearbeitet:
Mir scheint dass du das Prinzip der low hanging fruits nicht ganz verstanden hast, kein Mensch würde jemals den Angriffsvektor Firewall wählen wenn dort noch etliche viel einfache Ziele in Form von Clients und Menschen liegen.

Ich glaube die Diskussion kann man endlos weiterführen. Da gibts keine endgültige, allgemeine Meinung. Jeder hat wohl sein eingenes Sicherheitsbedürfnis. Du patchst ja auch dein Windows und die Firmware deines Routers... So zum Thema low hanging fruits.

OT-off:
An den TE: Vielleicht ist die Frage ja auch, mit was du dich besser auskennst.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh