[Kaufberatung] Hardware Firewall im privat Haushalt

F

FiiiNeX

Neuling
Thread Starter
Mitglied seit
10.12.2013
Beiträge
11
Ort
49XXX
Guten Abend Leude,

ich plane momentan mein Heimnetzwerk etwas auszubauen und wollte mir folgende Systeme zulegen:

-ein großes NAS-System
-ein System mit ESXi (um mit den verschiedenen OS's rumzuspielen)
-einen Cloud-Server
-einen Backup-Server

Habe auch schon einige Threads durch gelesen und bin dann über eine Hardware Firewall gestölpert. Nach dem ich dann noch eine Doku über Hackerangriffe gesehen hatte, fand ich es sinnvoll mir auch noch eine Hardware Firewall zu kaufen, bzw. zu basteln.
Ich habe mir da auch schon einige Gedanken über die Komponenten dieser Firewall gemacht:

Gehäuse: Supermicro SC512-200B
Mainboard: Intel D2500CC inkl. Intel Atom D2500 (2x 1866MHz)
RAM: da bin ich mir noch nicht sicher, wird aber einer von Kingston werden
SSD: Kingston SSDnow S200 30gb
Netzteil: ist beim Gehäuse dabei

Die Firewall würde dann um die 200 Taler kosten, nun stelle ich mir aber die Frage, ob es sich wirklich lohnt die 200 Taler in die Tatze zu nehmen, um die Sicherheit zu erhöhen oder ob es totaler schwachsinn ist.
Welche Software auf dem System laufen soll bin ich mir auch noch nicht sicher, würde mich über Empfehlung sehr freuen.
Ich muss noch dazu sagen, dass ich in meinem Elternhaus mit meiner Schwester wohne und ich mir nicht sicher bin, was für böse Pakete hier schon durch gerutscht sind.

Vielen Dank schonmal :)

PS: Ich bin in der Serverwelt noch ziemlich neu ;)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Interessant das du das schreibst, bastel mir auch grad eine :d

hab mir das hier gekauft:
J&W MINIX MINI PC HD HDMI Barebone Intel Dual-Core D2550 CPU Atom 2x 1.86 GHz | eBay
das board bau ich aus, netzteil ist dabei, vor allem passiv und leise

hab das selbe gehäuse das du da ansprichts - ram hab ich noch 4GB rumliegen
als festspeicher nutz ich wohl nen usb 3 stick

ob es wirklich sinn macht, ist eher ne frage - dd-wrt oder ähnlich sollte auf nem router auch funktionieren

aber wenn man spaß mit so einer firewall haben möchte, ist schon ne lustige sache

ich werd die nächsten tage mal n paar bilder hochladen, wenn die komponenten da sind
 
Also für die meisten Anwender ist das Problem dass mehr Sicherheit mehr Arbeit bedeutet. Die Firewall muss ja auch überwacht und betreut werden. Die sophos utm Lösung is ja ganz schick, aber damit es sinnvoll eingesetzt werden kann muss man auch ordentlich zeit investieren
 
Richtig, und für zu Hause meiner Meinung nach absolut überflüssig, das brauchen selbst die meisten kleinen Unternehmen nicht. Ist so als ob man sich für seine 20m² Rasen einen Rasentraktor kauft.
b3858565f4.jpg

Mal ganz davon abgesehen dass hier die meisten irgendwelche "Schutz-Funktionen" der "vereinigten Bedrohungsverwaltung" verwenden ohne überhaupt zu verstehen was diese überhaupt für einen Nutzen bringen, im Regelfall nämlich gar keinen. Im Gegenteil, sie bringen sogar viele Nachteile wie schlechtere Performance, Wartungsaufwand, Schulungsaufwand usw. Aber die Leute haben wahrscheinlich auch eine "Internet Security Suite" auf ihrem Windows-Rechner installiert, weil es ja "sicher" sein muss. :rolleyes:

Ich habe zwar zu Hause schon seit 2006 eine pfSense Firewall, aber auch nur weil ich sie tatsächlich benötige, fürs Dual-WAN und für mehrere VPNs, ansonsten würde mir eine Fritz!Box auch völlig ausreichen. Es hätte aber auch ein Draytek Router gereicht, vielleicht kaufe ich mir auch bald wieder so einen, dann könnte ich aus 4 Geräten (Wlan AP, Modem, Router, 5-Port Switch) eines machen.

FiiiNeX schrieb:
Habe auch schon einige Threads durch gelesen und bin dann über eine Hardware Firewall gestölpert. Nach dem ich dann noch eine Doku über Hackerangriffe gesehen hatte, fand ich es sinnvoll mir auch noch eine Hardware Firewall zu kaufen, bzw. zu basteln

...

Ich muss noch dazu sagen, dass ich in meinem Elternhaus mit meiner Schwester wohne und ich mir nicht sicher bin, was für böse Pakete hier schon durch gerutscht sind.
Zum Vergrößern anklicken....
Die bösen Pakete der Hacker! :haha: Und in den Werbepausen lief Werbung von Symantec und Avira oder was?

Wikipedia: Fear, Uncertainty and Doubt

Vergiss nicht auf deinem Smartphone auch noch ein Antivirenprogramm zu installieren, zur Sicherheit am besten Zwei... oder besser Drei oder gleich Vier!
https://play.google.com/store/search?q=antivirus&c=apps
 
Zuletzt bearbeitet:
FiiiNeX schrieb:
Welche Software auf dem System laufen soll bin ich mir auch noch nicht sicher
Zum Vergrößern anklicken....

Natürlich IPFire! ;-)

Habe ich selbst auf dem von Dir ausgeguckten Intel D2500CCE (grün und rot) und einmal auf einem Supermicro S9Ci-LN4F (grün, rot, blau und orange) aufgesetzt. Auf letztem Board virtualisiert unter Proxmox ... (ja, schon gut, man soll keine Firewall in der VM laufen lassen). IPFire läuft sehr robust und macht auch sonst keinen Kummer.
 
Hi

Ich nutze virtualisiert die Endian und teste auch mit Sophos rum. Richtig was bringen tut das vor allem dann was, wenn Du:

  • eine DMZ benötigst (Server, die von aussen erreichbar sein sollen)
  • Mehrere getrennte LAN's willst

Wenn du IPS verwenden willst, ist es gut möglich, dass bei der genannten Hardware der Durchsatz in die Knie geht. Bei 2 Threads habe ich ~100 MBit/s, bei 3 komme ich auf meine 150 MBit/s
 
@brunick das trifft sich ja ziemlich gut, welche Software hast du denn vor zu installieren?
Hab letztens noch gelesen, dass der Blower Fan ziemlich Krawall (lautenstärkemäßig) machen soll, wirst du den mittels Poti oder kleine Regelung noch etwas runter setzen oder lässt du
den auf 12V rum pusten?

@OpamitKruecke Zeit hab ich eigentlich mehr als genug, dass wird das kleinere Problem werden ;)

@GrafikTreiber Der Rasentraktor ist aufjedenfall bequemer als hinter dem ollen Rasenmäher hinterher zu rennen :)
Da hast du gerad was gesagt mit der Fritz!Box und den Draytek Routern, aber preislich tun die sich ja auch nicht viel. Ob ich 200 Taler für eine Firewall bezahl oder
mir für 200 und ein paar Taler für einen Router bezahle macht ja eig. keinen großen Unterschied außer die Stromkosten aber das wird auch nur minimal sein, im Vergleich
zu den anderen Servern die noch kommen sollen. :d
Das mit der Symantec und Avira Werbung wäre eine gute Idee ;)

@guruhacker Danke für den Tipp.
Wie kommt das Board und der Atom mit der Firewall klar?

@AliManali Eine DMZ werde ich wohl benötigen, wenn ich von unterwegs aus Daten auf meine Cloud laden möchte. (wird das überhaupt etwas ohne statischer IP?)
Getrennte Netzwerke wäre auch eine schöne Sache, da ich mich auch etwas mit den gemanagten Switchen beschäftigen möchten.
Mit welcher Hardware betreibst du deine Firewall denn?
 
FiiiNeX schrieb:
@brunick das trifft sich ja ziemlich gut, welche Software hast du denn vor zu installieren?
Hab letztens noch gelesen, dass der Blower Fan ziemlich Krawall (lautenstärkemäßig) machen soll, wirst du den mittels Poti oder kleine Regelung noch etwas runter setzen oder lässt du
den auf 12V rum pusten?
Zum Vergrößern anklicken....

hab vorne 2x 2x40er lüfter, evtl bissel andere ausstattung als dein gehäusewunsch,
aber die hab ich ausgebaut, selbst die laufen bei 50-60dB - mein mainboard hat nen 40er drauf und ich bau in die halterung von den gehäuselüfter 2 noiseblocker 40mm rein - dann ist das teil leise und von der kühlung reichts auch, 10W TPD sind nicht wirklich viel.

derzeit hab ich IPFire in einer VM laufen, das wird dann direkt drauf gesetzt
 
Da hast du gerad was gesagt mit den 40mm Lüftern, werde mir mal das Gehäuse zu kommen lassen und dann mal spekulieren ob ich da 2 40mm Lüfter rein bekomme, dass wäre mir aufjedenfall lieber als mir eine PWM-Steuerung oder eine Regelung zu basteln
 
FiiiNeX schrieb:
@GrafikTreiber Da hast du gerad was gesagt mit der Fritz!Box und den Draytek Routern, aber preislich tun die sich ja auch nicht viel. Ob ich 200 Taler für eine Firewall bezahl oder mir für 200 und ein paar Taler für einen Router bezahle macht ja eig. keinen großen Unterschied außer die Stromkosten aber das wird auch nur minimal sein, im Vergleich zu den anderen Servern die noch kommen sollen. :d
Zum Vergrößern anklicken....
Wie bitte? Der Stromverbrauch ist ca. doppelt so hoch, die Anschaffungskosten mindestens doppelt bis dreifach. Wie bereits gesagt, du benötigst noch ein extra Modem, einen Switch und einen Wlan-Accesspoint. Eine DMZ, vLans, VPN, Contentfilter... kannst du auch mit einem Draytek Router machen, dafür benötigt es keine x86-Firewall.

Der einzige Grund für eine solche Lösung wäre wenn du tatsächlich ein IDS/IPS benötigst, was wir hier aber wohl ausschließen können. So etwas bringt einem aber sich tatsächlich damit auskennt und man irgendwelche ultra sicherheitskritischen Dienste betreibt welche auch irgendwie von einem IDS/IPS profitieren könnten.

Ansonsten ist so ein Vorhaben in meinen Augen einfach völlig sinnloser Schwachsinn. Informiere dich mal ausgiebig darüber was ein IDS und ein IPS überhaupt machen, welches Potential sie haben und was es tatsächlich an Aufwand (Arbeitszeit) und monatlichen Gebühren (Filter-Abonnements) kostet. Hoffentlich wirst du dann verstehen warum nur für sehr große Firmen mit sehr großem Sicherheitsbedürfnis überhaupt in Frage kommt.

Wenn du dich mehr mit IT-Sicherheit auseinander setzen willst, lerne *NIX, Networking, Pentesting... und schaue dir an wie man einzelne Dienste richtig konfiguriert und absichert. Wenn man dass nicht sehr gut beherrscht braucht man auch kein IDS/IPS. Da du nach eigener Aussage "neu in der Serverwelt" bist, ist dieses Thema also frühestens in ein paar Jahren wieder für dich interessant. ;)
 
Zuletzt bearbeitet:
GrafikTreiber schrieb:
Wie bitte? Der Stromverbrauch ist ca. doppelt so hoch, die Anschaffungskosten mindestens doppelt bis dreifach. Wie bereits gesagt, du benötigst noch ein extra Modem, einen Switch und einen Wlan-Accesspoint. Eine DMZ, vLans, VPN, Contentfilter... kannst du auch mit einem Draytek Router machen, dafür benötigt es keine x86-Firewall.

Der einzige Grund für eine solche Lösung wäre wenn du tatsächlich ein IDS/IPS benötigst, was wir hier aber wohl ausschließen können. So etwas bringt einem aber sich tatsächlich damit auskennt und man irgendwelche ultra sicherheitskritischen Dienste betreibt welche auch irgendwie von einem IDS/IPS profitieren könnten.

Ansonsten ist so ein Vorhaben in meinen Augen einfach völlig sinnloser Schwachsinn. Informiere dich mal ausgiebig darüber was ein IDS und ein IPS überhaupt machen, welches Potential sie haben und was es tatsächlich an Aufwand (Arbeitszeit) und monatlichen Gebühren (Filter-Abonnements) kostet. Hoffentlich wirst du dann verstehen warum nur für sehr große Firmen mit sehr großem Sicherheitsbedürfnis überhaupt in Frage kommt.

Wenn du dich mehr mit IT-Sicherheit auseinander setzen willst, lerne *NIX, Networking, Pentesting... und schaue dir an wie man einzelne Dienste richtig konfiguriert und absichert. Wenn man dass nicht sehr gut beherrscht braucht man auch kein IDS/IPS. Da du nach eigener Aussage "neu in der Serverwelt" bist, ist dieses Thema also frühestens in ein paar Jahren wieder für dich interessant. ;)
Zum Vergrößern anklicken....

Sehe ich auch so, vor allem weil ein IDS/IPS möglichst passiv sein soll, sprich nicht in der Firewall-Kette sondern eher an einem gespiegelten Port vom Switch. Fürs Heimnetzwerk doch sehr Overkill, vor allem der Stromverbrauch ist nicht zu unterschätzen... außer du wohnst noch bei den Eltern und die juckt es nicht. Ob 100 Watt 24/7 laufen oder 400 Watt.. macht schonmal einen Unterschied von rund 750€ im Jahr, bei meinen aktuellen Strompreisen. Bei mir sind es mit einem effizienten HomeServer (13 Platten, TV Server usw), FritzBox, 2 Switches, AccessPoint und kram auch mal eben 150-200 Watt.
 
Ich denke mit einer Firewall ala. IPFire, PFSense, Monowall oder auch UTM ist er besser bedient wenn er bald auch noch einen Server dazu haben will. Owncloud ? Oder nen NAS mit FTP Zugang..
Wenn nicht sogar noch einen kleinen Webserver für einen Blog o.ä.
Meiner Meinung sollte man sich spätestens dann gedanken um eine "gute" Firewall machen.. Und nicht einfach die übliche FritzBox davor lassen. Sonst hat man ganz schnell neue Freunde :grrr: :teufel:
Und die Stromkosten sind bei ner Atom Kiste auch noch zu verkraften. Sieht natürlich auch schöner aus wenn man alles im 19" Schrank hat. Und nicht noch irgendwo zwischen den Servern noch einen externen Router.. Aber das ist natürlich Ansichtssache :coffee:

btw:
Ich kann IPFire empfehlen.. Habs selber hier laufen aber auf nem ESXi mit ner durchgereichten WAN Karte..
Sowie nen Modem und nen Phone Adapter (VoiP) für die Analogen Telefone hier im Haus.
Bald soll dann auch mal eine Externe Firewall her.. Wenn es das Konto zulässt ;)
 
FiiiNeX schrieb:
Wie kommt das Board und der Atom mit der Firewall klar?
Zum Vergrößern anklicken....

Ganz unspektakulär gut. Die kleine Konfiguration mit dem D2500CCE und den beiden onboard INTEL NICs steckt im Moment zwischen einem 50er VDSL-Anschluss und einer 7-köpfigen WG an 'grün'. Bei den entsprechenden Nutzungsprofilen (Browser, Gaming, YouTube, VPNs mit weiß-der-Kuckuck was) gabs noch keine Beschwerden.
 
Je nach Firewall (Sofware) wird dir die Hardware nicht ausreichen.
IDS/IPS frisst Hardware(CPU) ohne Ende.

Schau dir auf jeden Fall auch
-Endian Firewall
-PfSense
und IpCop an.
 
nignog1337 schrieb:
Sehe ich auch so, vor allem weil ein IDS/IPS möglichst passiv sein soll, sprich nicht in der Firewall-Kette sondern eher an einem gespiegelten Port vom Switch.
Zum Vergrößern anklicken....

Ein IPS passiv an nem Spanport? Das musst du mir erklären ;)
IPS das nicht im Blocking-Modus ist, ist für die Füße! Was bringt es mir zu sehen, dass ein Angriff erfolgt ist dieser aber nicht geblockt wurde (obwohl es möglich gewesen wäre)??
 
@ GrafikTreiber Mit den Anschaffungskosten habe ich etwas anderes gesehen, die draytek Router kosten neu auch um 230 Taler, dass einzigste was sich
meiner Meinung nach unterscheiden würde sind die Stromkosten, ich werde mich die Tage mal über IDS und IPS informieren ;)

@ nignog1337 100W wird die Firewall mit 100%iger Sicherheit nicht verbrauchen, rechne so mit 20-25W und das ist glaub ich schon ziemlich hoch
angesetzt. Wenn es denen stört das da 24/7 son paar Watts mehr verbraucht werden dann bezahl ich die Stromkosten für die Firewall
selber, was ich bei den kommenden Servern sowieso machen werde.

@ GamingTrainer Danke für die Software-Beispiele, werde sie mir mal anschauen. ;) Jaa, bei der Cloud hatte ich an OwnCloud gedacht.

@ guruhacker Dass klingt sehr gut, dann reicht die Hardware schon mal dicke für mich ;)

@ Danixx Danke für den Hinweis, werde mir die von dir genannten Beispiele aufjedenfall mal anschauen.

@ daheym Ich habe noch nicht wirklich Erfahrung mit IDS bzw. IPS (hab gestern wikipedia damit gefüttert) aber dein Beitrag klingt für mich ziemlich
logisch, dass wenn ein Angriff erfolgt ist, das dieser auch direkt blockiert wird :d
 
Zuletzt bearbeitet:
Für all die genannten Einsatzzwecke braucht man immer noch keine hardwarefirewall... Und wer owncloud ohne vpn nutzt bei den ganzen Sicherheitslöchern, dem is eh nicht mehr zu helfen (siehe bugtracker).
 
FiiiNeX schrieb:
@ GrafikTreiber Mit den Anschaffungskosten habe ich etwas anderes gesehen, die draytek Router kosten neu auch um 230 Taler, dass einzigste was sich meiner Meinung nach unterscheiden würde sind die Stromkosten, ich werde mich die Tage mal über IDS und IPS informieren ;)
Zum Vergrößern anklicken....
Du vergleichst Äpfel mit Birnen.
Ja, dein Router als billig Variante mit Consumer-Hardware die nicht für den Dauerbetrieb ausgelegt ist mag zwar das selbe kosten wie ein Draytek VDSL-Triple-WAN-DualBand-Wlan-Router. Aber wenn du richtige Serverhardware (Supermicro) kaufst kostet allein der Router doppelt so viel. Und da hört es bei den Anschaffungskosten noch lange nicht auf, mit dem Router alleine kannst du nämlich rein gar nichts anfangen.

Ein gutes VDSL-Modem, z.B ein ZyXEL VMG1312-B30A kostet 100€. Dann kommt mindestens ein 5-Port-Gigabit-Switch dazu, der kostet ca. 10€. Dann brauchst du in der Regel noch einen guten Wlan Accesspoint, wenn 2.4GHz ausreicht kostet der 50-100€, wenn es Dual-Band sein soll 100-200€.

OpamitKruecke schrieb:
Für all die genannten Einsatzzwecke braucht man immer noch keine hardwarefirewall... Und wer owncloud ohne vpn nutzt bei den ganzen Sicherheitslöchern, dem is eh nicht mehr zu helfen (siehe bugtracker).
Zum Vergrößern anklicken....
Richtig, ownCloud und ähnlich unprofessionell entwickelte Software sollte man nicht direkt ans Netz hängen sondern nur über VPN oder Tunnel erreichbar machen.
 
Zuletzt bearbeitet:
GrafikTreiber schrieb:
Ein gutes VDSL-Modem, z.B ein ZyXEL VMG1312-B30A kostet 100€. Dann kommt mindestens ein 5-Port-Gigabit-Switch dazu, der kostet ca. 10€. Dann brauchst du in der Regel noch einen guten Wlan Accesspoint, wenn 2.4GHz ausreicht kostet der 50-100€, wenn es Dual-Band sein soll 100-200€.
Zum Vergrößern anklicken....

evtl. sollte man hier mal den standard ein wenig runtersetzten, ich glaub der TS will eher einen günstigen aber leistungsmäßig guten router haben, das kann man auch mit hardware unter 200€ machen, nur weil man auch profi-hardware kaufen kann muss man das ja noch nicht machen, für die meisten zwecke reicht dann z.B. auch ein Accespoint aus einem Router etwa einem TL-WR1043ND, so mache ich das derzeit - bis ich meinen router fertig gebaut hab.

einen dual-band ap für 200€, das ist schon wieder was für firmen o.ä. wenn man mich fragt..
auch nicht-server hardware kann reichlich gut arbeiten - als server. für heimzwecke perfekt und meist stromsparender.
 
Auch auf die gefahr hin von manchen usern hier gesteinigt zu werden werfe ich mal die idee in den raum deine firewall erst einmal auf deinem (geplanten) esx zu implementieren. Spendier dem server noch 'nen zusätzlichen lan anschluss und teste damit rum.
Wenn dir die software zusagt und dich dein gewissen wegen einer virtualisierten firewall plagt kannst du dir immernoch die atom-kiste zusammenbauen, aber für den heimgebrauch sollte die virtualisierte firewall auch okay sein, auch wenn man das bei firmen mit entsprechend hohen sicherheitsbedürfnissen nicht mehr machen sollte ;)
 
Die Sicherheit is immer nur so stark wie das schwächste Glied in der Kette... Und wenn ich da nen billigen Router hinstelle kann ich mir die Firewall auch sparen.
 
Würde ich nie kombinieren. Weil eine Schwachstelle dann immer beides gleichzeitig trifft.
 
also würdest du sowas wie pfsense oder ipfire nie einsetzten?

bedenke: wir sprechen vom privaten bereich, nicht in firmen
 
Nein nicht wirklich. Hardwarerouter und dann so eine Lösung. Aber nicht allein
 
Naja sonst kann ich auch die fritzbox benutzen. Das hat das gleiche sicherheitsniveau für den heimanwender
 
Da läuft mir nu wieder eine Frage über die Zunge, warum gibt es denn die Software, wie beispielsweise IPFire oder pfSense, wenn die Fritz!Box das selbe Sicherheitsniveau hat?
 
Ipfire, pfsense, endian , sophos, untangle, und wie sie alle heißen können einfach mehr. Ob man das @ Home braucht, das muss jeder für sich selbst entscheiden.
Ich möchte auf traffic shaping via col del nicht mehr verzichten. Proxy und update Cache sind auch Features, die gut funktionieren.
Für zu Hause reicht auch ein Alix Board. Je nach Filterset sättigt die kleine Büchse auch ne 100Mbit Leitung.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh