Firewall ja/nein?

Der Verfolgungswahn (*) kehrt zurück.
Zum Vergrößern anklicken....
Nein. Ich lasse nur meine Haustüre ungern offen stehen, wenn ich nicht zu Hause bin.

Gegen Trojaner hilft übrigens ganz hervorragend ein Virenscanner. Der erlaubt im Idealfall garnicht erst die betroffene Datei zu öffnen, und blockiert nicht nur das Telefonat nach Hause.
Zum Vergrößern anklicken....
Klar, wenn er den betreffenden Trojaner schon kennt. Leider hilft ein Virenscanner überhaupt nichts, wenn die telefoniere-nach-hause-Funktion ein gewolltes Feature der Softwarehersteller ist.

Womit wir wieder bei meiner Aussage sind: Lieber eine Fritzbox als eine falsch konfigurierte Firewall/Routing Lösung.
Zum Vergrößern anklicken....
Eine eingeschaltete Firewall Funktion einer fritzbox erreicht nicht die Funktionalität einer nicht weiter konfigurierten out-of-the-box pfsense Firewall.

Ob ich mein NAS über FritzBox oder professionelle Hardware Firewall nach aussen zugänglich macht, ist doch egal. Wenn sich jemand Zugang verschafft, kann er Kram kopieren.
Zum Vergrößern anklicken....
Ja. Wenn.

(*) Zum Thema Wahn - ich gehe davon aus dass dir bewusst ist wovon du hier leichtfertig redest ? - empfehle ich dir die Lektüre von "Wahn und Wahrheit - Kants Auseinandersetzung mit dem Irrationalen". Und versuche unvoreingenommen da ran zu gehen, dann hast du mehr davon.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
******* schrieb:
Für privat völlig überflüssig...
Zum Vergrößern anklicken....

Achja? Also ich hab noch nie eine Firewall in einem Router arbeiten sehen. Die lässt subjektiv einfach alles durch, was da so kommt...
Ich finde es auch für Privathaushalte durchaus sinnvoll, um sich vor Bedrohungen zu schützen, die jenseits jeder Personal Firewall liegen. SOPHOS bietet hier zB eine für Privatanwender kostenlose Software an, das kann man zuHause super als Komplettlösung einsetzen (da auch ein Android-Endpoint verfügbar ist).

Klar braucht die Konfiguration Zeit und ein bischen Wissen und Logik, aber dafür ist man dann durchaus etwas sicherer im Netz unterwegs.

Ebenso wäre dann denkbar, zur Steuerung der Hausautomation eine über die Firewall aufgebaute verschlüsselte VPN-Verbindung zu nutzen, um den Datenverkehr abzusichern. Klar kommen NSA und co. da immer noch rein (wenn sie denn wollen), aber nicht mehr alle "Kiddies".
 
******* schrieb:
Man ist nicht sicherer im Netz unterwegs, dafür lieber einen abgesicherten Browser nehmen und wer es braucht, einen Client-AV. PFW kann auch nicht schaden, wenn man es denn nutzen möchte. Wenn demnächst mehr und mehr Sites auf TLS umstellen, nützt die dedizierte Firewall noch weniger... wobei sie quasi jetzt schon nichts bringt, ja es sei denn, man arbeitet tatsächlich mit einer Whitelist, was nur für Leute mit Verfolgungswahn praktikabel erscheinen dürfte, aber ich glaube selbst das, kann ich in meinem Router einstellen. ;)
Zum Vergrößern anklicken....

Und welcher Browser ist abgesichert?
Und wie erkennen andere Tools zB, dass die Seite, auf die du willst, einem Botnetz angehört? Hatte ich nämlich schonmal (hinter einer Pro-FW) und ich glaube nicht, dass der Seitenzugriff mit solch einfachen Mitteln blockiert würde. Da bin ich mir allerdings auch nicht sicher.
 
In dem Thema ging es darum, externen Zugang zu einem Home Automation System abzusichern. Bei allem, was direkt vom Internet erreicht werden kann, macht eine Firewall oder ein VPN Gateway sehr viel Sinn. Browser und andere Clients im LAN werden dadurch natürlich nicht geschützt.
 
Ich komm irgendwie nicht mit...

Wo soll im gegebenen Anwendungsfall "Zugriff auf die Hausautomation aus dem Internet" der Vorteil sein, wenn ich jetzt hinter oder anstatt des Router eine Firewall setze...
NAT sei Dank ist per se erstmal nichts innerhalb meines Netzes erreichbar... Wenn ich jetzt per Port Forwarding einen Port durchschleife, ist das vom Effekt her nicht viel anders als die Freischaltung, die ich auch auf einer Firewall machen muss.
Einfach mal davon ausgehend, dass die Unterhaltung mit der Hausautomation verschlüsselt erfolgt (alles andere wäre mit oder ohne Firewall grob fahrlässig), bringt auch eine tiefere Paketanalyse wenig.

Einziger Punkt: Mit einer entsprechenden FW-Appliance ist es z.B. möglich, den Zugriff auf die HA relativ automatisiert auf z.B. Adressen aus DE oder Europa zu begrenzen.

Wirklich schön wird das doch erst, wenn ich die von außen erreichbaren Gerätschaften in eine echte DMZ packe und damit den Rest des eigenen Netzes gegen diese Maschinen abschirmen kann.
Aber das ist für den Heimgebrauch eigentlich overkill...

Fazit: Von außen erreichbar machen gilt es zu vermeiden - lieber über VPN ins eigene Netz tunneln und damit spielen...
 
EveryDayISeeMyDream schrieb:
Und wie erkennen andere Tools zB, dass die Seite, auf die du willst, einem Botnetz angehört? Hatte ich nämlich schonmal (hinter einer Pro-FW) und ich glaube nicht, dass der Seitenzugriff mit solch einfachen Mitteln blockiert würde.
Zum Vergrößern anklicken....
das sind ähnliche Mechanismen wie das was die consumer Produkte der ganzen AV Hersteller tun...und die erkennungsleistung einer "pro fw" ist hier auch ähnlich gut/schlecht. Bei deinem Beispiel wird i.d.R. simpel nach "bad URLs" gesucht.


@*******
https inspection kann inzwischen fast jede firewall und wenn nur selbst verwaltete geräte drübergehen ist das auch leicht zu implementieren...

hat zwar alles nichts mehr mit dem Thema zu tun aber der topicersteller hat sich glaub eh abgemeldet...sonst bleibt eben "eigentlich ist nicht die schutzlösung das Problem sondern das was er erreichbar haben will das scheinbar keinerlei eigene sicherheitsimplementierung hat"
 
Zuletzt bearbeitet:
FLiNTx schrieb:
Wo soll im gegebenen Anwendungsfall "Zugriff auf die Hausautomation aus dem Internet" der Vorteil sein, wenn ich jetzt hinter oder anstatt des Router eine Firewall setze...
...
Wirklich schön wird das doch erst, wenn ich die von außen erreichbaren Gerätschaften in eine echte DMZ packe und damit den Rest des eigenen Netzes gegen diese Maschinen abschirmen kann.
Aber das ist für den Heimgebrauch eigentlich overkill...
Zum Vergrößern anklicken....
Schreibst du ja selber. Für NAT braucht man die Firewall nicht, für eine DMZ (oder ein VPN) schon. Und warum sollte ein Heimanwender sein Home Automation System in eine DMZ packen? Weil diese Dinger unsicher und verbugt ohne Ende sind. Da braucht nur der falsche Scanner mal anklopfen und das ganze LAN steht sperrangelweit offen.
 
EveryDayISeeMyDream schrieb:
Werden solche Listen auch "ständig" und aktualisiert? Weil in meinem Beispiel war die Seite ein paar Tage später wieder erreichbar.
Ich kann ja auch mal unseren Admin fragen, wie die FW das macht, der hat die ja u.a. konfiguriert.
Zum Vergrößern anklicken....
ja, wie gesagt das läuft prinzipiell wie bei den consumer Produkten...es gibt x Kategorien, irgendwer hat entschieden dass die Kategorie für botnet/malware und co geblockt werden soll. Man kann da meist auch manuell URLs reinwerfen aber normal überlässt man das weitgehend den updates des Anbieters die ähnlich häufig stattfinden wie z.B. die definitionsupdates bei den av lösungen
-> auch scannen je nach lösung die fw Systeme nach schadcode, hier kommt häufig dann sogar engine+definitionsupdate von irgend einem bekannten wie sophos oder kaspersky
 
Nicht Firewalls sind unsicher sondern Home Automation Systeme. Deshalb gehören Home Automation Systeme hinter eine Firewall.
 
Ich verwende nun nach vielem Experimentieren eine Firewall nur um einen Server, der von Außen zu erreichen ist vom LAN abzuschotten.
Sprich: Wenn jemand meinen HTTP Server knackt (rootshell) kann er von dort aus nicht das LAN erreichen, da die Firewall dazwischen hängt.
Knackpunt ist, dass der WEB auf einem ESXi läuft, auf dem noch viele andere Dinge laufen. Übrigens auch die Firewall...
Mag sein, dass der Aufbau abenteuerlich, aber mehr ist mir nicht eingefallen :d

Die Sophos lässt nur Port 443 zum WEB zu. Vom WEB aus komme ich nur auf die HTTP Server für Debian.
Code: 
FRITZ-------SOPHOS-----WEB
      |
      LAN

Habe mich in den letzten Tagen auch mit Firewalls beschäftigt und gerade bei sowas wie Sophos festgestellt, dass das doch viel Marketing und Bloated ist.
Gerade wenn ich Anfange den ausgehenden Verkehr (grundlos für alles) zu sperren, gehen viele Dinge nicht mehr... und den ganzen Stress weil theoretisch mal ein Trojaner dabei sein könnte? Auch die können sich durch HTTP Tunneln.
 
Zuletzt bearbeitet:
@KlimperHannes:

In Deinem Aufbau gibts nen Fehler: Das LAN müsste hinter die FW, und die FB würde dann als DMZ dienen.

Der Server kann ja nach wie vor durch die Sophos durch auf Dein jetztiges LAN zugreifen. Probier Mal vom WEB aus einen Rechner im LAN zu pingen. Sollte gehen, so wie Du das hier aufgezeichnet hast.

Hast Du die FB gebridged? Wenn nein, macht Deine Sophos in meinen Augen rein gar keinen Sinn. Zumindest so wie Du das jetzt aufgebaut hast,...

Ist zwar schon etwas älter der Artikel, aber hier wird beschrieben, wie Du eine DMZ aufbaust:

DMZ selbst gebaut | heise Netze
 
Zuletzt bearbeitet:
AliManali schrieb:
@KlimperHannes:

In Deinem Aufbau gibts nen Fehler: Das LAN müsste hinter die FW, und die FB würde dann als DMZ dienen.

Der Server kann ja nach wie vor durch die Sophos durch auf Dein jetztiges LAN zugreifen. Probier Mal vom WEB aus einen Rechner im LAN zu pingen. Sollte gehen, so wie Du das hier aufgezeichnet hast.
Zum Vergrößern anklicken....
Ja, recht hast Du. Im Prinzip habe ich DMZ und LAN "vertauscht". Web kann nicht auf's LAN kommen, da ich Zugriffe explizit in der Sophos verboten habe. Nur via HTTP zum Debian Repo kommt er raus. Schön ist es nicht, aber ich hadere auch noch mit dem Gedanken, meine ganze Fritzbox gegen eine pfSense oder so zu ersetzen. Die bietet mir ein schönes DMZ/LAN Konzept, was die Fritzbox nicht kann und die Sophos ist mir wie gesagt etwas Snake-Oil Style. Lässt sich zwar super bedienen, aber ich habe fast alle features aus, weil ich sie nicht benötige.

AliManali schrieb:
Hast Du die FB gebridged? Wenn nein, macht Deine Sophos in meinen Augen rein gar keinen Sinn. Zumindest so wie Du das jetzt aufgebaut hast,...
Zum Vergrößern anklicken....

Sorry, mit "FB gebrdiged" weiß ich ehrlich gesagt nicht, was Du meinst. Könntest Du es mir genauer erklären?

AliManali schrieb:
Ist zwar schon etwas älter der Artikel, aber hier wird beschrieben, wie Du eine DMZ aufbaust:

DMZ selbst gebaut | heise Netze
Zum Vergrößern anklicken....
Danke für die Sonntagslektüre :)
 
Hi

Auf jeden Fall ein sehr unkonventioneller Aufbau. Aber nach dem Du die FB wohl nicht gebridged hast, kannst Du das so laufen lassen. Mit "FB gebridged" mein ich, dass Du am Server, bzw. der Sophos direkt eine öffentliche IP beziehst, was offensichtlich nicht der Fall ist. Der Router der FB ist wohl immer noch an, bzw. aktiv. Somit ist es relativ egal, was Du dahinter machst.

Wenn Du Portforwarding machst, musst Du das im Moment wohl an der Fritzbox UND an der Sophos machen? Dann ist der Router der Fritzbox noch an (halt nicht gebridged), und somit hast Du doppeltes NAT. Hatte ich früher auch, als ich die Firewall noch virtuell hatte.

Wer übernimmt denn die Einwahl ins Internet? Ich nehm an, die Fritzbox? Hast Du DSL oder Cable?

Falls Du allerdings zwei Netzwerkkarten im Server verbaut hast, würde ich dort eine ans LAN der Sophos klemmen und einen Switch da ran hängen für Dein LAN. Und den "WEB" Server an einen vSwitch mit der DMZ der Sophos nehmen. Das würde dann schon viel mehr Sinn machen. ;)
 
Zuletzt bearbeitet:
Ja, unkonventionell auf jeden Fall.. Aber da ich (noch keine) Lust hatte, das LAN hinter eine Firewall zu hängen, an der ich noch arbeite, bin ich erstmal den Weg gegangen.
Wichtig war mir halt erstmal den WEB vom LAN abzuschotten.
Das mit dem Bridging kannte ich noch gar nicht. Klingt aber nach einem Interessanten Einsatz.

Portforwarding mache ich nur auf der Fritzbox. Die "DMZ" bzw. der WEB Server hat eine andere Subnetzmaske. d.h. Sophos routed nur und sorgt dafür, dass keine Pakete in unerwünschte Richtungen gehen.
In der Fritzbox ist die Route natürlich hinterlegt und daher auch das Portforwarding direkt auf den WEB gesteuert.
Doppeltes NAT hielt ich nicht für nötig; eher sogar als nachteilig. Daher bin ich auch nicht mit IPFire, Endian usw. gekommen. Diese haben schon irgendwelche Standard-Rules drin, womit ich nicht klarkam.

Einwahl erfolgt via Fritzbox in DSL.

Falls Du allerdings zwei Netzwerkkarten im Server verbaut hast, würde ich dort eine ans LAN der Sophos klemmen und einen Switch da ran hängen für Dein LAN. Und den "WEB" Server an einen vSwitch mit der DMZ der Sophos nehmen. Das würde dann schon viel mehr Sinn machen.
Zum Vergrößern anklicken....

Versteh ich Deine Idee so richtig...:
Du würdest sozusagen dem WEB-Server zwei IP Adresse verpassen? Eine für das "DMZ"-Subnetz und eine für das "LAN"?
Das könnte ich doch auch mit VLANs machen oder?

Meine Vorstellung wäre folgende:

APU1D4 mit 3 LANs.

1. LAN an Fritzbox
2. LAN an LAN
3. LAN an WiFi

Lan 2 hat dazu noch ein VLAN als DMZ-LAN. Denn im ESXi tummeln sich mehrere VMs. Nur der WEB-Server soll von außen erreichbar sein.

Die Fritzbox müsste wohl oder übel noch dran bleiben wegen DECT und VOIP. Da habe ich leider noch keine Idee :(

Vielen Dank übrigens für Deine konstruktiven Beiträge :) :)
 
KlimperHannes schrieb:
Wichtig war mir halt erstmal den WEB vom LAN abzuschotten.

Versteh ich Deine Idee so richtig...:
Du würdest sozusagen dem WEB-Server zwei IP Adresse verpassen? Eine für das "DMZ"-Subnetz und eine für das "LAN"?
Zum Vergrößern anklicken....

Hi

Nein. Ich würde dem WEB Server nur eine DMZ Adresse vergeben.

Ich würde am ESXi drei vSwitches machen (WAN, LAN und DMZ). Den WAN Port hängst Du an die FB, an den LAN vSwitch hängst Du die zweite Netzwerkkarte an, an der Du einen physischen Switch für Dein LAN anhängen kannst. Alle VM's, die von aussen nicht erreichbar sein sollen hängst Du auch an den LAN vSwitch. Und den dritten vSwitch ist für Deine DMZ, dort klemmst Du den Server an. Dieser benötigt keine physische Netzwerkkarte.

Diese Methode hat allerdings den Nachteil, dass wenn der ESXi oder die Sophos down ist, dass Du am LAN dann kein Internet zur Verfügung hast.

Allerdings frage ich mich, wie Du das bislang hingekriegt hast, ohne die Portfreigaben an der FB und an der FW den Datenverkehr zur DMZ zu leiten (ohne doppeltes NAT also).

Und vom Modem bridgen würde ich die Finger lassen, so lange Du keine echte Firewall hast. Bei einer virtualisierten Firewall hast Du sonst den vSphere Host nackt am Netz.

Von wo aus administrierst Du übrigens Deinen ESXi? Das muss dann natürlich an den LAN vSwitch :)
 
Zuletzt bearbeitet:
Ich würde am ESXi drei vSwitches machen (WAN, LAN und DMZ). Den WAN Port hängst Du an die FB, an den LAN vSwitch hängst Du die zweite Netzwerkkarte an, an der Du einen physischen Switch für Dein LAN anhängen kannst. Alle VM's, die von aussen nicht erreichbar sein sollen hängst Du auch an den LAN vSwitch. Und den dritten vSwitch ist für Deine DMZ, dort klemmst Du den Server an. Dieser benötigt keine physische Netzwerkkarte.
Zum Vergrößern anklicken....

Okay, jetzt weiß ich was du meinst. Da wie gesagt, fehlte mir noch die Motivation das LAN "umzuziehen".
Zudem hat der ESXi nur 2 NICs und eine davon ist dediziert für Storage (zur Syno NAS via NFS)

Allerdings möchte ich diesen Vorschlag mit einer neuen Hardware, der APU 1D4 umsetzen. Allerdings wird dann das DMZ Subnetz wie davor erwähnt via VLAN laufen müssen.

Allerdings frage ich mich, wie Du das bislang hingekriegt hast, ohne die Portfreigaben an der FB und an der FW den Datenverkehr zur DMZ zu leiten (ohne doppeltes NAT also).
Zum Vergrößern anklicken....

Das ist doch ganz leicht.
LAN: 192.168.178.X Subnetz
DMZ: 10.10.10.X Subnetz

Die Sophos macht KEIN NAT zwischen den Subnetzen. Die Fritz hat die Sophos als GW für 10.10.10.0/24 eingetragen und forwarded somit den Port direkt auf die 10er IP des WEB Servers.

Und vom Modem bridgen würde ich die Finger lassen, so lange Du keine echte Firewall hast. Bei einer virtualisierten Firewall hast Du sonst den vSphere Host nackt am Netz.
Zum Vergrößern anklicken....
Wo könnte direkt Schaden entstehen?
Doch eigentlich nur, wenn man Zugriff auf die Firewall hat und von dort ein Exploit ausnutzt, um in den ESXi zu kommen oder?


Von wo aus administrierst Du übrigens Deinen ESXi? Das muss dann natürlich an den LAN vSwitch
Zum Vergrößern anklicken....
Durch meinen Computer, der ebenfalls im LAN ist.
Derzeit hat der ESXi nur 2 vSwitches: LAN und DMZ. DMZ hat keine NIC. Dafür hängt die Sophos zwischen LAN und DMZ.
 
Zuletzt bearbeitet:
Hi

Wenn Du dann auf eine Hardware Firewall umstellst, kannst Du das NAS ja wahlweise an die DMZ oder an das LAN klemmen, je nach dem, von wo Du darauf zugreifen möchtest. Würd ich zumindest so machen.

Wieso und wie Du die DMZ in ein vLAN legen willst, erschliesst sich mir allerdings nicht ganz. Die APU Hardware hat ja 3 NIC's: ich würd die für WAN, DMZ und LAN benutzen. Wenn es Dir Spass macht, kannst Du an der DMZ ja zwei vLANs machen (eins für den Server, und eins fürs NAS).

Hast Du denn bereits einen vLAN fähigen Switch für das Vorhaben? Dann machst Du zwei portbased VLAN's, fährst von der Firewall zweimal auf den Switch (LAN und DMZ), und zweimal weiter auf den ESXi (ebenfalls LAN und DMZ). So mache ich das bei mir. Allerdings habe ich noch einige Gateways mehr.

Naja, und wenn Du die FB im bridge Mode laufen lässt, dann sind die Clients halt direkt nackt am Netz. Wenn Du das jetzt machen würdest, und das LAN hinter der Firewall hättest, würde halt der Hypervisor direkt am Netz hängen. Somit hätte ein Angreifer zwei Angriffspunkte: die Firewall und den Hypervisor. Aber so, wie Du das jetzt zusammen gehängt hast, würde es wohl gar nicht funktionieren, weil Dein Modem gar nicht in der Lage ist, so viele (bzw. 2) öffentliche IP Adressen zu beziehen.

Ich fahre vom Modem mit zwei Netzwerkkabeln auf die Firewall (die hat drei WAN Anschlüsse). So kann ich eben zwei öffentliche IP Adressen beziehen, und diese in der Firewall pro WAN Port konfigurieren. So kann ich z.B. am Client die Netzwerkschnittstelle wechseln, und schwupps, bin ich mit dem Client mit einer anderen öffentlichen IP Adresse unterwegs. Ich nutze am LAN im Normalfall auch nicht die selbe Adresse wie für die DMZ vorgesehen ist.
 
DMZ mit vLAN aus dem Grund, dass ich nur 2 Netzwerkkarten an der ESXi habe. Da habe ich mich wohl etwas mißverständlich ausgedrückt.
Der ESXi hat 2 NICs. An einem ist dediziert via NFS die NAS angebunden - dort liegen die ganzen VMs. Es gibt im ESXi sonst keine interne Festplatte.
Die 2. NIC wird sozusagen für LAN und DMZ genutzt. Damit ich nun die DMZ dediziert erreiche, habe ich überlegt das via vLAN zu machen.

Alternativ zur Hardware-FW kann ich mal probieren, ob meine dritte NIC auch noch in den ESXi passt.
Dann könnte ich doch theoretisch sogar die Hardware Firewall "sparen", oder?

ESXi:
1. NIC an NAS für Storage der VMs (die ist auch nicht änderbar und ESXi und NAS sind direkt miteinander verbunden)
2. NIC an Fritzbox als WAN (möglicherweise sogar mit passthrough zur Firewall (Sophos oder pfSense)
3. NIC an LAN (hier hängt dann alles an Geräte mit Kabel dran über einen Switch)
-> DMZ wäre dann in dem Falle nur ein interner vSwitch ohne physikalische NIC.
Was würdest Du dann von dem Aufbau halten?
Dann bräuchte ich nur noch einen separaten AP. Die Fritzbox würde ich dann nur für Internetzugang und VOIP nutzen.

Einen Switch mit vLAN benötige ich noch. Der soll erst kommen wenn ich im Februar in mein neues Haus ziehe.
Am liebsten mit 19" Rack.
 
Hi

Wie gesagt, ich würde die Finger davon lassen, das Modem zu bridgen und die Firewall virtuell zu betreiben. Wenn virtuelle FW, dann nur hinter einem Router. Meiner Meinung nach, aber ich bin da etwas schizophren veranlagt. Kann sein, dass das andere anders sehen. Aber ich sehe das so, lieber einen einfachen Router als eine virtuelle Firewall,...

Ich habe im Server zwei und im Desktop eine Vierportkarte, da bist Du dann völlig flexibel. Brauchst Du in Deinem NUC Low Profile Karten? Gibt es auch in der zwei- und vierport Ausführung,... Könnte man denn den NFS Storage nicht einfach an's LAN klemmen? Dann bräuchtest Du auch keine zusätzliche NIC. LAN und DMZ könnte man andererseits wohl schon per vLAN taggen, das habe ich aber noch nie getestet. Sollte aber gehen,... Wenn Du an der Firewall eine NIC übrig hast, kannst Du den AP dann gleich in eine eigene Zone (BLUE) der Firewall hängen (so wird das im Normalfall gemacht). Ich für meinen Teil habe WLAN ganz aus meiner IT verbannt ;)

Was für eine Bandbreite kriegst Du denn im neuen Haus? So ab 100 Mbit/s sollte die Hardware genügend Dampf haben, wenn Du alle Dienste der FW nutzen möchtest. Bei 100 Mbit/s musste ich zwei Threads zuweisen, bei 150 Mbit/s schon drei, wenn ich IDS und sowas nutzen wollte (vSphere Host i7 3930k).

Und da Du noch in der Findungsphase bist, würde ich in einer VM mal die Endian aufsetzen, ich habe recht gute Erfahrungen gemacht mit der FW. Bevor Du selber baust, bzw. die genannte APU kaufst, kannst Du ja auch mal deren fertige Appliances anschauen. Keine Ahnung, was die kosten, aber einen Blick darauf würde ich schon werfen, bevor ich mich auf ein System festlegen würde.

Und wie ich auf Seite 1 des Freds schon geschrieben habe, nutze ich selber mittlerweile die Zywall 110. Vielleicht wär die Zyxel USG20W was für Dich? Die hätte WLAN auch schon an Board. Allerdings sind IDS, Virenschutz und sowas nur im Abo erhältlich, die kosten also jährlich was. Ist nicht ganz ohne zu konfigurieren, aber die Hardware ist top!

Des weiteren könntest Du überlegen, ob nicht ein Router mit dediziertem DMZ Port genügen würde, für Dein Netzwerk. Da bräuchtest Du wohl auch keinen Switch,...
 
Zuletzt bearbeitet:
Dann werde ich mir eine Hardware Firewall zulegen. Die Zywall USG20W sieht irre interessant aus. Bin mir allerdings noch nicht sicher, ob ich mich auf eine Oberfläche/Software festlegen möchte. Ich werde mal Reviews dazulesen.
Derzeit im Rennen sind neben der APU 1D4 noch ein Shuttle DS57U und Zotac CI321. Die letzteren haben mehr Dampf als der APU, aber das WiFi ist wohl nicht kompatibel mit vielen Firewall Lösungen.
Softwaremäßig habe ich schon vieles durch... Sophos, pfSense, IpCop und auch Endian.
pfSense war mir doch eine Spur zu Hardcore zum reinkommen. IpCop und sämtliche Derivate wie Endian waren mir wegen der Farb-Vorgaben nicht flexibel genug. Sobald ich da rumprobierte ohne NAT zu arbeiten für meinen "Zwischen-Lösungs-Router", kam ich nicht mehr weiter. Übrigens auch pfSense ging nix mit direkten Routen. (bzw. bin ich da zu unerfahren). Allerdinsg gebe ich Dir recht, Endian ist mit die beste Umsetzung der IPCop Derivate. Gestört habe mich nur die Beta-Releases und sehr veraltete Software (2.6er Kernel).
Auch wenn ich die Sophos als totally bloated snake oli empfinde und 80% der "Features" deaktiviert habe, macht sie den rundesten Eindruck. Rules lassen sich prima erstellen und auch der ReverseProxy ist nett. IDS habe ich daher auch nur mit den Pattern für WebServer geladen. Der Rest ist mir Wumpe, wenn da einer nach sucht.

Der NUC braucht mini PCI-E Karten. Er hat 2 Slots. Einen half und einen Full. Ich habe eine half und eine Full Karte. Muss mal prüfen, ob ich beide eingebaut kriege, ohne dass sich da was blockiert wegen den Steckern.

Klar, könnte ich auch die NAS für den NUC in's LAN stellen. Dann müsste ich allerdings an die USV noch den Switch hängen. Sollte aber machbar sein. Ich glaube Performancemäßig wird es da als Einzeluser keine Einbrüche geben :d

WiFi würde ich auch gerne in ein vLAN verbannen. Wenn WPA2 geknackt ist, käme man zumindest nicht an die Kronjuwelen. Allerdings werde ich da wohl um FW-Pinholes nicht drumherum kommen, da meine Logitech Squeezeboxen (Multiroom System) auch im WiFi sind und Zugriff auf den Squeezebox Server benötigen.

100MBit aufwärts? Leider nicht.. die Telekom Bauherrenhotline meinte etwas von 16MBit sind möglich. Optional mit deren Hybrid LTE Lösung 50MBit.

Der Switch muss eh rein, da die Bude mit CAT7? verkabelt werden soll. Also Patchfeld + Switch in 19". Diverse Dosen im Hausen lassen dann auch einen flexibeln Einsatz von APs zu. Die Fritzbox ist doch meist nicht gut aufgehoben im HWR...
 
KlimperHannes schrieb:
Derzeit im Rennen sind neben der APU 1D4 noch ein Shuttle DS57U und Zotac CI321. Die letzteren haben mehr Dampf als der APU, aber das WiFi ist wohl nicht kompatibel mit vielen Firewall Lösungen.
Zum Vergrößern anklicken....
Verstehe ich das richtig, du willst WiFi direkt auf der Firewall haben? Wozu?

Fitlet-X ist noch einen Blick wert, ist momentan allerdings nicht verfügbar bzw. teuer.
 
Bei einigen (allen?) Zywall's (ab Firmware 4.0) kannst Du spezielle AP's anhängen, die Du nacher gleich in dem Webinterface der FW konfigurieren kannst. Die AP's haben also selber keinen Webserver, bzw. dieser wird mit einer speziellen Firmware deaktiviert. Nettes Gimmick, finde ich.

Es gibt auch die neuen Modelle (Zywall USG 2014, oder sowas). Die würde ich mir auch mal anschauen. Ich habe eine reine Zywall, also ohne die USG Features. Diese können aber seit ca. einem Jahr (seit Firmware 4.0) nachlizenziert werden. Da sind die Abo's aber leicht teurer, wie bei einer vergleichbaren USG Hardware, so wie ich das in Erinnerung habe.

Wenn Du Dich schlau machen willst, würde ich mich hier einmal einlesen:

Ingenieurbüro Engelhardt - Privatforum zu ZyXEL Produkten • Professionelle Firewall Lösungen für Firmen

Ich könnte Dich bei Bedarf auch mit einem echten Crack im Zyxel Umfeld bekannt machen. Er hat mir auch schon diverse Male weiter geholfen bei der Konfiguration meiner Zywall.
 
AliManali schrieb:
Bei einigen (allen?) Zywall's (ab Firmware 4.0) kannst Du spezielle AP's anhängen, die Du nacher gleich in dem Webinterface der FW konfigurieren kannst. Die AP's haben also selber keinen Webserver, bzw. dieser wird mit einer speziellen Firmware deaktiviert. Nettes Gimmick, finde ich.
Zum Vergrößern anklicken....

Nein. Gerade bei sowas sollte man genau gucken, _wie_ das funktioniert, denn genau solcher proprietärer Mist ist der mit den meisten Lücken. Lieber einen AP nehmen, der auf einem LAN-Port ein Management-Interface hat und im Normalbetrieb im Netz komplett unsichtbar ist und einfach WLAN an einen anderen Port bridgt.
 
Zuletzt bearbeitet:
fax668 schrieb:
Verstehe ich das richtig, du willst WiFi direkt auf der Firewall haben? Wozu?

Fitlet-X ist noch einen Blick wert, ist momentan allerdings nicht verfügbar bzw. teuer.
Zum Vergrößern anklicken....

Ja, so war der Plan. Die WiFi Schnittstelle sollte als 'Blau' fungieren?
Spricht etwas dagegen? Was spricht für einen separaten AP?

Bei der Zyxel bin ich noch am Zögern. Preis Leistung sehen verdammt gut aus. Aber da ich noch nicht so richtig weiß, was ich später mal dauerhaft laufen lassen möchte und ich etwas Bastelspass benötige, werde ich mich wohl nicht auf einen Hersteller festlegen wollen.

ich schwanke da zwischen PFSense, Endian und Sophos.
Das möchte ich gerne ausgiebig mit der Kiste testen. In der VM kann ich nur sehr vage testen und es ist kein "richtiger" Betrieb.
 
KlimperHannes schrieb:
Ja, so war der Plan. Die WiFi Schnittstelle sollte als 'Blau' fungieren?
Spricht etwas dagegen? Was spricht für einen separaten AP?
Zum Vergrößern anklicken....
Falls jemand deinen AP kompromittieren kann, ist gleich die ganze Firewall kompromittiert. Wenn der AP separat ist und kompromittiert wird, ist die Firewall immer noch dahinter. Ich persönlich traue der Software auf den meisten Hardware Access Points übrigens nicht sehr weit, daher würde ich vom Access Point nur direkten Zugang ins Internet und die DMZ zulassen und ins LAN nur per VPN (falls man das überhaupt braucht).
 
Zuletzt bearbeitet:
fax668 schrieb:
Falls jemand deinen AP kompromittieren kann, ist gleich die ganze Firewall kompromittiert.
Zum Vergrößern anklicken....

Deshalb hat man für das WLAN ja ein eigenes Netz. Und an dem Netz gibt es keinen Zugriff auf die Firewall.

Allerdings habe ich das Feature nicht getestet, da ich wie gesagt rein gar kein WLAN habe ;)
 
Schreiben wir gerade aneinander vorbei?

Falls die Firewall auch WiFi eingebaut hat, ist das ein Angriffspunkt direkt auf die Firewall. Deswegen nimmt man besser einen externen AP, der über Ethernet an die Firewall angeschlossen ist. Meinetwegen kann man den AP auch an den Router vor der Firewall hängen. Ich würde das nicht so machen, weil ich der Firewall vertraue, dass sie die Netze zuverlässig getrennt bekommt. (Für den Hausgebrauch würde ich Firewall und Router sowieso nicht trennen, weil letztendlich eine Firewall auch ein Router ist, der die Pakete nicht nur routet sondern auch gleich filtert.)
 
Kann mir halt einfach nicht vorstellen, wie einer "den AP kompromittieren" kann, da er ja aus einem anderen Netz konfiguriert wird. Vielleicht kann er auf's WLAN zugreifen, das war's dann aber schon. Auf die FW kommt er wegen dem noch lange nicht.
 
Zuletzt bearbeitet:
Sag ich doch.
 
Anmelden, um zu antworten.

Ähnliche Themen

Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh