Unterschied Hardware/Softwarefirewall
Lutz Donnerhacke
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Hardware
Worin besteht der Unterschied zwischen einer Hardware- und einer
Softwarefirewall?
Fast alle Hardwarefirewalls basieren auf Software, die nur auf
einer speziell ausgewählten Hardware läuft. Die eigentlichen
Vorteile dieser speziellen Hardware sind: a) nur gut
ausgetestete Geräte mit gut getesteten Treibern können
verwendet werden und b) es gibt keine fehleranfällige
Festplatte. Der erste Punkt beseitigt mögliche
Sicherheitsrisiken durch einen dramtisch verkleinerten Code.
Der zweite Punkt erhöht die Uptime.
Anderseits sind Softwarefirewalls dank des höheren Marktdrucks
aktueller und haben mehr Features. (Verkaufte Hardware bindet
Kunden längerfirstig.) Der Nachteil besteht in einer höheren
Fehlerquote in der größeren Codebasis.
Schließlich gibt es noch Hardwarefirewalls ohne Software. Diese
nutzen physikalische Effekte aus. Bspw. genügen zwei Zentimeter
Luft, um einen PC vor Netzangriffen zu schützen.
Denis Jedig
> Schließlich gibt es noch Hardwarefirewalls ohne Software. Diese
> nutzen physikalische Effekte aus. Bspw. genügen zwei Zentimeter
> Luft, um einen PC vor Netzangriffen zu schützen.
Nach einer umfassenden Studie mit unzähligen Tests, die ich auf Wunsch auch
mit Auswertung zusammenfasse, habe ich festgestellt, dass sogar ein halber
Zentimeter Luft zwischen Stecker des Netzwerkkabels und Buchse der
Netzwerkkarte dieselbe Wirkung erzeugt.
Um den Abstand von 0,5 cm jedoch genau einhalten zu können, musste ich eine
spezielle Haltevorrichtung für die Stecker entwickeln. Da ich davon
überzeugt bin, dass dies der lang erwartete Durchbruch in der
Netzwerksicherheit ist, werde ich die Haltevorrichtung mit
Aufstellanleitung in Kürze als fertiges Produkt anbieten. Vorbestellungen
werden bereits jetzt angenommen - der Preis liegt bei 95 Euro.
--
Denis Jedig
syneticon GbR
Chris Kreidl
Hallo liebe Leut,
ich trau mich ja fast gar nicht, aber eine Kleinigkeit sehe ich anders.
> Fast alle Hardwarefirewalls basieren auf Software, die nur auf
> einer speziell ausgewählten Hardware läuft. Die eigentlichen
> Vorteile dieser speziellen Hardware sind: a) nur gut
> ausgetestete Geräte mit gut getesteten Treibern können
> verwendet werden und b) es gibt keine fehleranfällige
> Festplatte. Der erste Punkt beseitigt mögliche
^^^^^^^^^^
Das finde ich kann so nicht stehen bleiben. Natürlich ist es besser die
nötige Software nur auf z.B. Diskette zu speichern. Aber bei größeren
Application Firewalls reicht dort der Platz meistens nicht aus (Proxys
usw.) und meiner Meinung nach fallen diese auch unter Hardwarefirewalls.
Ich hoffe ich hab mich präzise genug ausgedrückt und wünsch noch einen
schönen Tag
CU {hris :-}
Lutz Donnerhacke
>ich trau mich ja fast gar nicht, aber eine Kleinigkeit sehe ich anders.
Ach Quatsch.
>Lutz Donnerhacke wrote:
>> verwendet werden und b) es gibt keine fehleranfällige
>> Festplatte. Der erste Punkt beseitigt mögliche
> ^^^^^^^^^^
>Das finde ich kann so nicht stehen bleiben. Natürlich ist es besser die
>nötige Software nur auf z.B. Diskette zu speichern.
Das wäre genauso dämlich, weil das wieder kaputtbare Mechanik ist.
>Aber bei größeren Application Firewalls reicht dort der Platz meistens
>nicht aus (Proxys usw.) und meiner Meinung nach fallen diese auch unter
>Hardwarefirewalls.
Richtig. Cachende Application Gateways fallen da nicht drunter, aber es gibt
auch reine Proxies und reine (protokollüberwachende) Filter. Diese beziehen
ihr System und ihre Konfiguration typischerweise aus einem Flashbaustein.
Joens Peller
auch
> mit Auswertung zusammenfasse, habe ich festgestellt, dass sogar ein halber
> Zentimeter Luft zwischen Stecker des Netzwerkkabels und Buchse der
> Netzwerkkarte dieselbe Wirkung erzeugt.
Mit Hilfe der Realitivitätstheorie und einer unidirektionalen semipermeablen
Membran konnte ich den Abstand der Stecker letztendlich auf 0,22 femtometer
verringern - mit der gleichen Wirkung.
:-)
jp
Florian Weimer
> Fast alle Hardwarefirewalls basieren auf Software, die nur auf
> einer speziell ausgewählten Hardware läuft. Die eigentlichen
> Vorteile dieser speziellen Hardware sind: a) nur gut
> ausgetestete Geräte mit gut getesteten Treibern können
> verwendet werden und b) es gibt keine fehleranfällige
> Festplatte. Der erste Punkt beseitigt mögliche
> Sicherheitsrisiken durch einen dramtisch verkleinerten Code.
> Der zweite Punkt erhöht die Uptime.
Dafür gibt es natürlich fehlerhafte Flash-ROMs.
Mag sein, daß es seltener kracht, aber wenn es kracht, ist man auf den
Hersteller angewiesen. Man kann nicht einfach eine neue Festplatte aus
dem nächsten PC einbauen, und andere Boot-Optionen sind i.d.R. etwas
arg mühsam.
> Anderseits sind Softwarefirewalls dank des höheren Marktdrucks
> aktueller und haben mehr Features. (Verkaufte Hardware bindet
> Kunden längerfirstig.) Der Nachteil besteht in einer höheren
> Fehlerquote in der größeren Codebasis.
Ich glaube nicht, daß sich die Codebasis bei dem, was Du unter
"Hardwarefirewalls" zusammenfaßt, heute nennenswert kleiner ist als
bei den "Softwarefirewalls".
Lutz Donnerhacke
>lu...@iks-jena.de (Lutz Donnerhacke) writes:
>> Der zweite Punkt erhöht die Uptime.
>
>Dafür gibt es natürlich fehlerhafte Flash-ROMs.
Natürlich. Und fehlerhafte RAMs und fehlerhafte Netzteile ...
Der springende Punkt ist die Mechanikfreiheit.
>Mag sein, daß es seltener kracht, aber wenn es kracht, ist man auf den
>Hersteller angewiesen.
;-) Wo ist man das nicht?
>Man kann nicht einfach eine neue Festplatte aus dem nächsten PC einbauen,
Man kann genausogut neues Flash oder RAM einbauen. Ich sehe den Punkt nicht.
>und andere Boot-Optionen sind i.d.R. etwas arg mühsam.
Wenn man's mit einem HP-Server vergleicht, ist es sich ziemlich ähnlich,
weil die seriell das BIOS steuern können, auch wenn das OS die Hufe hoch
reißt. Sonst ist die Fernwartbarkeit der Softwarefirewalls meist deutlich
schlechter. (Man kann eine Linuxkiste natürlich seriell anschließen und mit
Watchdogs aufbauen, dann kommt man schon ziemlich weit.)
>> Anderseits sind Softwarefirewalls dank des höheren Marktdrucks
>> aktueller und haben mehr Features. (Verkaufte Hardware bindet
>> Kunden längerfirstig.) Der Nachteil besteht in einer höheren
>> Fehlerquote in der größeren Codebasis.
>
>Ich glaube nicht, daß sich die Codebasis bei dem, was Du unter
>"Hardwarefirewalls" zusammenfaßt, heute nennenswert kleiner ist als bei
>den "Softwarefirewalls".
Wenn ich mir den Code so ansehe, dann empfinde ich die Unterschiede ziemlich
deutlich. Evlt. unterschlägst Du das OS bei Deiner Betrachtung?
Marc Haber
> Schließlich gibt es noch Hardwarefirewalls ohne Software. Diese
> nutzen physikalische Effekte aus. Bspw. genügen zwei Zentimeter
> Luft, um einen PC vor Netzangriffen zu schützen.
Bedauerlicherweise haben sich Techniken zur Durchtunneling dieser
Hardwarefirewalls inzwischen am Markt etabliert. WLAN. Laserlink.
Richtfunk.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Denis Jedig
[keine Festplatte]
> Der zweite Punkt erhöht die Uptime.
Übrigens, eine kleine Anekdote.
Neulich, auf dem Stand von Astaro/Pyramid bei einer sehr großen IT-Messe,
wo ein Meisterstück von eierlegender Wollmilchsau ausgestellt wird (all-
protocol-on-stream-virus-striping, SMTP-Proxy mit Virenscanner, HTTP-Proxy
mit Virenscanner, VPN-Gateway, "firewall", IDS plus die Erlösung von allen
weltlichen Sünden in einem 2-HE-Gehäuse)
Frage: Sehe ich das richtig, dass die Geräte in erster Linie für kleine
bis mittelständsche Unternehmen konzipiert sind, die es sich nicht
leisten können, eigene IT'ler zu beschäftigen?
Antwort: Ja, wir kommen dem Bedarf insbesondere mit unserem Up2date-Service
entgegen.
[...]
Frage: In den Geräten von Pyramid wird commodity PC-Hardware eingesetzt,
die ja durchaus fehleranfällig ist, insbesondere die Festplatten.
Das würde mir persönlich Sorgen machen, weil das Gerät ein Single
Point of Failure ist. Wie stehen Sie denn dazu?
Antwort: Ja, aber moderne Festplatten sind auch ziemlich zuverlässig...
Frage: Sie haben doch sicher selbst nicht selten Fälle erlebt, wo auch
"moderne Platten" nach 3 Monaten ausfallen. Wäre es nicht
geschickter gewesen, in erster Linie nicht-mechanische Speicher,
z.B. Flash, zu nutzen?
Antwort: Eine solche Netzwerkkonfiguration legen Sie doch immer redundant
an. Und mit einer preiswerten 20-GB-Festplatte haben Sie auch nie
Speicherplatzprobleme.
Dem entnehme ich sinngemäß: "scheißegal, hauptsache billig in der
Herstellung". Und ein Unternehmen mit 20 Computerarbeitsplätzen, ohne
eigene IT'ler, aber mit redundanten Pfaden will ich wirklich erstmal sehen.
Michael Cordes
11:22:52 +0100:
>> Schließlich gibt es noch Hardwarefirewalls ohne Software. Diese
>> nutzen physikalische Effekte aus. Bspw. genügen zwei Zentimeter
>> Luft, um einen PC vor Netzangriffen zu schützen.
>
>Bedauerlicherweise haben sich Techniken zur Durchtunneling dieser
>Hardwarefirewalls inzwischen am Markt etabliert.
>WLAN.
Störsender
>Laserlink.
Partynebel oder Milchglasscheibe
>Richtfunk.
Kaffeetasse in den Funkstrahl, dann tut die Energie wenigstens noch
was Gutes.
cya
Mithi
Chris Kreidl
Hallo nochmal,
> lu...@iks-jena.de (Lutz Donnerhacke) wrote:
>> Schließlich gibt es noch Hardwarefirewalls ohne Software. Diese
>> nutzen physikalische Effekte aus. Bspw. genügen zwei Zentimeter
>> Luft, um einen PC vor Netzangriffen zu schützen.
>
> Bedauerlicherweise haben sich Techniken zur Durchtunneling dieser
> Hardwarefirewalls inzwischen am Markt etabliert. WLAN. Laserlink.
> Richtfunk.
Moment da stimmt doch was nicht. Du spricht vom Übertragungsmedium und wie
die Daten an die Firewall kommen spielt doch keine Rolle. Wenn du natürlich
meinst das durch die genannten Techniken ein seperater Zugang in ein Netz
geschaffen wird hast du selbstverständlich Recht. Aber dies war schon mit
Modems der Fall die in irgendeinem Eck verkümmern und vergessen werden.
>
> Grüße
> Marc
>
Ebenso
CU {hris :-}
Alexander Schreiber
>Lutz Donnerhacke wrote:
>
>Hallo liebe Leut,
>
>ich trau mich ja fast gar nicht, aber eine Kleinigkeit sehe ich anders.
>
>> Fast alle Hardwarefirewalls basieren auf Software, die nur auf
>> einer speziell ausgewählten Hardware läuft. Die eigentlichen
>> Vorteile dieser speziellen Hardware sind: a) nur gut
>> ausgetestete Geräte mit gut getesteten Treibern können
>> verwendet werden und b) es gibt keine fehleranfällige
>> Festplatte. Der erste Punkt beseitigt mögliche
> ^^^^^^^^^^
>Das finde ich kann so nicht stehen bleiben. Natürlich ist es besser die
>nötige Software nur auf z.B. Diskette zu speichern.
Es gibt ausser Festplatten und Disketten noch weitere geeignete
Speichermedien - zum Beispiel kann man Systemsoftware und Konfiguration
auf einer Flashkarte speichern, was dnan z.B. auch Updates vereinfacht
(und die Versuchung zur Auslieferung von Bananenprodukten erhoeht).
_Gerade_ Diskette waere Bloedsinn, da:
- wieder mechanische anfaelliges Speichermedium,
- die Datensicherheit von Disketten typischerweise eher mies ist,
>Aber bei größeren
>Application Firewalls reicht dort der Platz meistens nicht aus (Proxys
>usw.) und meiner Meinung nach fallen diese auch unter Hardwarefirewalls.
Dinge wie Webcaches oder aehnliches brauchen natuerlich geeignete
bereitgestellten hinreichenden Speicherplatz, das ist klar. Sowas wird
man dann sicherlich in den meisten Faellen mit Festplatte - zumindest
fuer den Cache - bauen.
Man liest sich,
Alex.
--
We're gonna be body guards for teen rock-stars. Wouldn't the cause of freedom
be better served if we killed them instead?
-- Schlock from the ''Schlock Mercenary'' comic strip
Alexander Schreiber
>lu...@iks-jena.de (Lutz Donnerhacke) wrote:
>> Schließlich gibt es noch Hardwarefirewalls ohne Software. Diese
>> nutzen physikalische Effekte aus. Bspw. genügen zwei Zentimeter
>> Luft, um einen PC vor Netzangriffen zu schützen.
>
>Bedauerlicherweise haben sich Techniken zur Durchtunneling dieser
>Hardwarefirewalls inzwischen am Markt etabliert. WLAN. Laserlink.
>Richtfunk.
Dann verkauft man dem Kunden halt ein paar Quadrat(kilo)meter
Aluminiumfolie als Sicherheitsupdate ;-)
Ausserdem kann man daraus so nette Huete gegen die Gedankenkontroll-
laser - die von Ihnen im Orbit aufgestellt wurden - bauen.
SCNR,
Florian Weimer
>>Mag sein, daß es seltener kracht, aber wenn es kracht, ist man auf den
>>Hersteller angewiesen.
>
> ;-) Wo ist man das nicht?
Beim Popel-PC vom nächsten Kistenschieber, ohne RAID und SMP und
anderen ausgefallenen Kram.
>>Man kann nicht einfach eine neue Festplatte aus dem nächsten PC einbauen,
>
> Man kann genausogut neues Flash oder RAM einbauen. Ich sehe den
> Punkt nicht.
Das erfordert, daß entsprechende Austauschhardware vorrätig ist. Klar
sollte man das haben, wenn einem der Dienst, der von der Hardware
erbracht wird, wichtig ist. Aber wie sieht die Realität aus?
>>Ich glaube nicht, daß sich die Codebasis bei dem, was Du unter
>>"Hardwarefirewalls" zusammenfaßt, heute nennenswert kleiner ist als bei
>>den "Softwarefirewalls".
>
> Wenn ich mir den Code so ansehe, dann empfinde ich die Unterschiede ziemlich
> deutlich. Evlt. unterschlägst Du das OS bei Deiner Betrachtung?
Die IOS-Images, die ich bisher sah, waren alles andere als klein.
Daniel Meyer
> > Wenn ich mir den Code so ansehe, dann empfinde ich die Unterschiede ziemlich
> > deutlich. Evlt. unterschlägst Du das OS bei Deiner Betrachtung?
>
> Die IOS-Images, die ich bisher sah, waren alles andere als klein.
IOS != Hardwarefirewall.
Wenn du auf das IOS FeatureSet anspielst, das wuerde ich im Grunde
wieder als Softwarefirewall einstufen, da es auf dem bloated IOS
aufsetzt.
Schau dir ein Pix Image an. Die derzeitge 6.2 Beta ist 1.6 MB gross...
Daniel
--
Whenever, wherever http://www.cyberdelia.de
We're meant to be together ea...@cyberdelia.de
I'll be there and you'll be near
And that's the deal my dear
Felix von Leitner
> Schau dir ein Pix Image an. Die derzeitge 6.2 Beta ist 1.6 MB gross...
ROTFL, in der Größe hat ja ein Linux mit iptables Platz!
Felix von Leitner
> protocol-on-stream-virus-striping,
Wie habe ich mir Virus Striping vorzustellen?
Je ein halber Virus auf einer der beiden redundanten Platten? *bg*
Lutz Donnerhacke
Exakt. Man kann mit Linux ähnliches aufbauen, nur ist die Codebasis von
Linux doch leicht größer (nicht zwangsweise das Kompilat). Ein kompletter
IOS-Source ist etwa so groß wie der des Linux Kerns. Und das ist auch
multiplattform mit vielen Treibern. Dabei kann das IOS doch etwas mehr als
der Linux-Kern, wenn es auch durch fehlende UI-Hardware ausgeglichen wird.
Der PIX Source ist dagegen erheblich kleiner.
Daniel Meyer
> Thus spake Daniel Meyer (ea...@cyberdelia.de):
> > Schau dir ein Pix Image an. Die derzeitge 6.2 Beta ist 1.6 MB gross...
>
> ROTFL, in der Größe hat ja ein Linux mit iptables Platz!
So what?
Es ging erstmal darum zu zeigen das IOS mit FFS nicht als Argument fuer
Hardwarefirewall mit kleiner Codebasis zieht.
Hat dein Linux+IPtables denn dann auch gleich alles dabei fuer:
- SHH zugang von extern
- Application-Level inspection von smtp, http...
- Site2Site VPN
- dynamische VPN-Clients
- Failover
- Authentication für beliebigen Traffic
- rudimentaeres IDS
- content-Filterung von Java/Active-X
- DHCP-Server
...und das ganze auf einer Hardware-Basis die im guenstigsten Fall um
die 400 Euro zu haben ist?
Ich weiss jetzt nicht ob der PDM auch in dem Image mit dabei ist, von
daher fuehre ich das mal nicht als Argument mit an, vor allem weil die
CLI eh besser ist.
Eric Wick
a...@usenet.thangorodrim.de (Alexander Schreiber) wrote:
> Dann verkauft man dem Kunden halt ein paar Quadrat(kilo)meter
> Aluminiumfolie als Sicherheitsupdate ;-)
Und Christo wird für das ordnungsgemässe verpacken angeheuert? Beim
Reichstag hatte diese Abschirmung offenbar auch nicht funktioniert;-)
Gruß
Eric
--
PC Technologie Infopage: Hardware Software Peripherie
LANG=DE: http://www.ew-tech-hh.de : Mail limited 2.5MB
Juergen P. Meier
Aber nur im Vakuum.
Merke: Luft Leitet.
>:-)
Juergen
--
_ _ | Juergen P. Meier
/.._ _ _ /_) /|/| . _ | "This World is about
\_/(// (/(`// / . / |(`/(`/ | to be Destroyed."
=======_/======================== | J...@lrz.fh-muenchen.de
Denis Jedig
> a...@usenet.thangorodrim.de (Alexander Schreiber) wrote:
>
>> Dann verkauft man dem Kunden halt ein paar Quadrat(kilo)meter
>> Aluminiumfolie als Sicherheitsupdate ;-)
>
> Und Christo wird für das ordnungsgemässe verpacken angeheuert? Beim
> Reichstag hatte diese Abschirmung offenbar auch nicht funktioniert;-)
Die Alufolie, die sie dort verwendet hatten, hatte die falsche
Versionsnummer und passte drum auch nicht zu den anderen Komponenten des
Aufbaus.
--
Denis Jedig
Jens Link
> Wie habe ich mir Virus Striping vorzustellen?
> Je ein halber Virus auf einer der beiden redundanten Platten? *bg*
Man Felix! Das bezieht sich auf das entfernen potentiell gefaehrlich
Anhaenge mit den Endungen: gif, jpg[1], txt, pdf. Ungefaehrlich hingegen
sind: exe, zip[2], doc und xls. Eine jpg nach exe umbenannt geht durch.
Eine Datei nach *.qqq umbenennen natuerlich auch.
Muss ich jetzt noch erwaehnen, das ich heute eine Virenwarnung auf den
Tisch bekommen habe, weil sich ein Virus in eine Formularsammlung
eingeschlichen hat?
Jens
Footnotes:
[1] Nicht etwa jpeg!
[2] Und ja, 42.zip wurde auch schon probiert.
--
I just found out that the brain is like a computer.
If that's true, then there really aren't any stupid people.
Just people running Windows.
Joens Peller
Selbstredend. Sorry - ich vergaß....
> Merke: Luft Leitet.
1 KV/mm. Geile Netzwerkkarte..:-)
jp
Klaus Schulze
Wo ist denn Dein Problem. Für ein Unternehmen mit 20 Mitarbeitern
kannst Du die Astaro auf der Furylan Hardware für Euro 1500 bekommen,
und wen Du ein hohes Sicherhaitsbedürfnis hast, stellst Du Dir 2
Dinger davon hin, und bekommst von Astaro auch noch Hot Standby. Wenn
Du proxies auf der FW betreibst, braucht Du nun mal eine Festplatte,
um z. B. den Virencan durchzuführen.
Welche Lösung schlägst Du denn einem Mittelständler vor mit 20
Mitarbeitern, und wo sind denn Deine Kosten, für das ws Astaro in
einer Box leistet.
Klaus
Joens Peller
> /.._ _ _ /_) /|/| . _ | "This World is about
> \_/(// (/(`// / . / |(`/(`/ | to be Destroyed."
> =======_/======================== |
Und da bin ich mit Dir sowieso einer Meinung. Kennwort: Matrix.
Sorry für OT.
Gruß
jp
Stefan Heinecke
> Es ging erstmal darum zu zeigen das IOS mit FFS nicht als Argument fuer
> Hardwarefirewall mit kleiner Codebasis zieht.
>
> Hat dein Linux+IPtables denn dann auch gleich alles dabei fuer:
Nein, braucht man idR auch nicht auf der gleichen Maschine,
ich setz mir das lieber selbst zusammen, was ich brauche.
> - SHH zugang von extern
arg buggy
> - Application-Level inspection von smtp, http...
moechte man nicht
> - Site2Site VPN
> - dynamische VPN-Clients
moechte man nicht
> - Failover
nicht toll, etwas besserer Watchdog
> - Authentication für beliebigen Traffic
moechte man nicht
> - rudimentaeres IDS
hat da nix zu suchen
> - content-Filterung von Java/Active-X
eingeschraenkt bist nicht funktional
> - DHCP-Server
braucht man nicht
> ...und das ganze auf einer Hardware-Basis die im guenstigsten Fall um
> die 400 Euro zu haben ist?
Du unterschlaegst das Du fuer die Updates einen Vertrag brauchst.
Ohne den Du bei der Hardware ziemlich aufgeschmissen bist.
> Ich weiss jetzt nicht ob der PDM auch in dem Image mit dabei ist, von
> daher fuehre ich das mal nicht als Argument mit an, vor allem weil die
> CLI eh besser ist.
Geschmackssache.
Lutz Donnerhacke
>On Tue, 19 Mar 2002 13:10:42 +0100, Daniel Meyer <ea...@cyberdelia.de> wrote:
>> Hat dein Linux+IPtables denn dann auch gleich alles dabei fuer:
>
>Nein, braucht man idR auch nicht auf der gleichen Maschine,
>ich setz mir das lieber selbst zusammen, was ich brauche.
Wo ist das Argument?
>> - SHH zugang von extern
>
>arg buggy
Dito Linux. Und?
>> - Application-Level inspection von smtp, http...
>
>moechte man nicht
Dann schalte es ab. Wenn Du aber kein FTP, H.323 und SQL*Net haben willst
(was man braucht), dann ist es egal. Leider macht die PIX mit ICMP Probleme.
>> - Site2Site VPN
>> - dynamische VPN-Clients
>
>moechte man nicht
Welch ein Argument! Was nimmst Du denn? IPinIP?
>> - Failover
>
>nicht toll, etwas besserer Watchdog
Falsch. Stateful failover ist schon etwas mehr, wenn auch IPSec und einiges
an Managment nicht sauber rüberkommen. Man merkt aber einen Ausfall einer
PIX in dem Fall praktisch wirklich nicht. (Das habe ich ausprobiert.)
>> - Authentication für beliebigen Traffic
>
>moechte man nicht
Welch ein Argument! Was nimmst Du denn? Feste IPs pro Nutzer, die mit
Anmeldung an der Arbeitsstation umziehen?
>> - rudimentaeres IDS
>
>hat da nix zu suchen
Ach. Wozu eine Firewall, wenn da nicht mal Ungewöhnlichkeiten auffallen?
>> - content-Filterung von Java/Active-X
>
>eingeschraenkt bist nicht funktional
Ack. Das URL-Filtering geht aber erstaunlich gut.
>> - DHCP-Server
>
>braucht man nicht
Ach. Du stellst sicher mehrere Server hin, stimmt's? Besonders wenn Du eine
Arbeitsgruppe von vier Leuten anschließen willst. Dafür ist das nämlich da.
>> ...und das ganze auf einer Hardware-Basis die im guenstigsten Fall um
>> die 400 Euro zu haben ist?
>
>Du unterschlaegst das Du fuer die Updates einen Vertrag brauchst.
>Ohne den Du bei der Hardware ziemlich aufgeschmissen bist.
Und? Linux wartet sich selbst.
>> Ich weiss jetzt nicht ob der PDM auch in dem Image mit dabei ist, von
>> daher fuehre ich das mal nicht als Argument mit an, vor allem weil die
>> CLI eh besser ist.
>
>Geschmackssache.
Richtig. Der PDM hat mich angenehm überrascht.
Stefan Heinecke
> Wo ist das Argument?
Das Argument ist: "weniger ist mehr".
> Dann schalte es ab. Wenn Du aber kein FTP, H.323 und SQL*Net haben willst
> (was man braucht), dann ist es egal. Leider macht die PIX mit ICMP Probleme.
Ich mag die PIX nicht, es ist mir einfach zuviel Funktionalität
in einer Box, mag sein das es fuer dich funktioniert, fuer micht
tat es das nicht - da reichte IPFilter. Vor allem kann ich auf
Funktionalitaet verzichten die nicht oder nur eingeschraenkt
funktioniert, oder stark vom verwendetem PIX OS abhaengt.
> Richtig. Der PDM hat mich angenehm überrascht.
Kenne ich nicht, im Gegensatz zu Dir leide ich wohl an Pixose
analog zu FdI#335.
Daniel Meyer
> Dann schalte es ab. Wenn Du aber kein FTP, H.323 und SQL*Net haben willst
> (was man braucht), dann ist es egal. Leider macht die PIX mit ICMP Probleme.
Oha? Ist bei unseren Kunden noch nie negativ aufgefallen, da zickt SMTP
inspection deutlich mehr rum.
> Falsch. Stateful failover ist schon etwas mehr, wenn auch IPSec und einiges
> an Managment nicht sauber rüberkommen. Man merkt aber einen Ausfall einer
> PIX in dem Fall praktisch wirklich nicht. (Das habe ich ausprobiert.)
Dito.
> Welch ein Argument! Was nimmst Du denn? Feste IPs pro Nutzer, die mit
> Anmeldung an der Arbeitsstation umziehen?
Naja :) Das Problem ist halt nur wenn man z.b. SAP o.ae. authentisieren
will, da ist einiges an User-Erziehung noetig ("Du musst erst surfen,
dann SAPen").
> Ach. Du stellst sicher mehrere Server hin, stimmt's? Besonders wenn Du eine
> Arbeitsgruppe von vier Leuten anschließen willst. Dafür ist das nämlich da.
IIRC geht der DHCP-Server eh nur auf den 501/506ern oder?
> Richtig. Der PDM hat mich angenehm überrascht.
Hm, vielleicht sollte ich mal vorurteilsfrei drangehen. Seit dem CSPM
bin ich bei allem was bei Cisco grafisches Firewallmanagement verspricht
zu skeptisch. (und ja, ich weiss das der CSPM mehr ist als reines
Firewallmanagement)
Lutz Donnerhacke
>Hallo Lutz Donnerhacke,
>> Dann schalte es ab. Wenn Du aber kein FTP, H.323 und SQL*Net haben willst
>> (was man braucht), dann ist es egal. Leider macht die PIX mit ICMP Probleme.
>
>Oha? Ist bei unseren Kunden noch nie negativ aufgefallen, da zickt SMTP
>inspection deutlich mehr rum.
Wenn Du den Kunden von den Nachteilen einer PIX überzeugen willst, laß ihn
seinen Exchange hinter dieser (mit "fixup smtp 25") falsch konfigurierten
PIX laufen. Ja, und?
>> Falsch. Stateful failover ist schon etwas mehr, wenn auch IPSec und einiges
>> an Managment nicht sauber rüberkommen. Man merkt aber einen Ausfall einer
>> PIX in dem Fall praktisch wirklich nicht. (Das habe ich ausprobiert.)
>
>Dito.
Wie machst Du das mit IPTables, daß Du "dito" schreiben kannst?
>> Welch ein Argument! Was nimmst Du denn? Feste IPs pro Nutzer, die mit
>> Anmeldung an der Arbeitsstation umziehen?
>
>Naja :) Das Problem ist halt nur wenn man z.b. SAP o.ae. authentisieren
>will, da ist einiges an User-Erziehung noetig ("Du musst erst surfen,
>dann SAPen").
Es ist hilfreich pädagogisch nicht völlig ungeschulte Personen dazu zu
nehmen, der Belegschaft eine Security Policy zu erklären.
>> Ach. Du stellst sicher mehrere Server hin, stimmt's? Besonders wenn Du eine
>> Arbeitsgruppe von vier Leuten anschließen willst. Dafür ist das nämlich da.
>
>IIRC geht der DHCP-Server eh nur auf den 501/506ern oder?
Nein, aber dafür ist er da.
>> Richtig. Der PDM hat mich angenehm überrascht.
>
>Hm, vielleicht sollte ich mal vorurteilsfrei drangehen. Seit dem CSPM
>bin ich bei allem was bei Cisco grafisches Firewallmanagement verspricht
>zu skeptisch. (und ja, ich weiss das der CSPM mehr ist als reines
>Firewallmanagement)
Den CSPM kannst Du getrost in der Pfeife rauchen, das ist Schrott.
Wenn ich AppleTalk reden will, dann konfiguriere ich das extra.
Denis Jedig
>> Merke: Luft Leitet.
>
> 1 KV/mm. Geile Netzwerkkarte..:-)
Na, bei einem Femtometer (10^-15m) sind demnach nur irgendwas an die 10^-9
Volt nötig.
Denis Jedig
> Wo ist denn Dein Problem. Für ein Unternehmen mit 20 Mitarbeitern
> kannst Du die Astaro auf der Furylan Hardware für Euro 1500 bekommen,
> und wen Du ein hohes Sicherhaitsbedürfnis hast, stellst Du Dir 2
> Dinger davon hin, und bekommst von Astaro auch noch Hot Standby.
Hm, das, was ich beschrieben habe, war zum Preis von 3.5 Kilo zu haben. Das
ist preislich eine ganz andere Liga. Im Übrigen habe ich nichts gegen
Astaro, bloss in Bündelung mit den Pyramid-Monstern erscheint mir das alles
ziemlich überflüssig.
> Wenn
> Du proxies auf der FW betreibst, braucht Du nun mal eine Festplatte,
> um z. B. den Virencan durchzuführen.
Mal davon abgesehen, dass sowas dort in meinen Augen nichts zu suchen hat,
kannst du caching proxies, wenn du es denn _wirklich unbedingt_ dort haben
willst, die Objekte auch im RAM halten lassen.
> Welche Lösung schlägst Du denn einem Mittelständler vor mit 20
> Mitarbeitern, und wo sind denn Deine Kosten, für das ws Astaro in
> einer Box leistet.
Du kannst mit durchaus akzeptablen Kosten eine Konfiguration aufbauen, bei
der du sowohl eine höhere Sicherheit erhälst, als auch das Ausfallrisiko
minimierst bzw. die Ausfallfolgen beschränkst, indem du weniger
ausfallfreudige Komponenten als PF einsetzt und Proxies auslagerst.
BTW, müsste die "Astaro Firewall" oder zumindest größere Teile davon nicht
unter GPL stehen? Tut sie es vielleicht?
--
Denis Jedig
Felix von Leitner
> Hardwarefirewall mit kleiner Codebasis zieht.
Es gibt keine "Hardware-Firewalls".
Du hast dich offenbar verlaufen. alt.voodoo-security ist nebenan.
> Hat dein Linux+IPtables denn dann auch gleich alles dabei fuer:
Ja. Und du wirst lachen, größtenteils deutlich funktionaler als bei der
PIX. Aber warum erzähle ich dir das. Du verstehst das ja eh nicht.
> ...und das ganze auf einer Hardware-Basis die im guenstigsten Fall um
> die 400 Euro zu haben ist?
ROTFL, du bist ja wirklich absolut unbeleckt in IT-Fragen.
Vielleicht ist dag° angemessener als Newsgroup-Empfehlung.
Felix von Leitner
> Wo ist denn Dein Problem. Für ein Unternehmen mit 20 Mitarbeitern
> kannst Du die Astaro auf der Furylan Hardware für Euro 1500 bekommen,
Man kann auch einen Müll-PC für kostenlos unter dem Schrank hervorziehen
und darauf einen freien Paketfilter einrichten.
> und wen Du ein hohes Sicherhaitsbedürfnis hast, stellst Du Dir 2
> Dinger davon hin, und bekommst von Astaro auch noch Hot Standby.
ROTFL, Sicherheit durch Hot Standby! Was für ein Konzept!
> Wenn Du proxies auf der FW betreibst, braucht Du nun mal eine
> Festplatte, um z. B. den Virencan durchzuführen.
Deine Äußerungen sind wirklich grotesk.
Daniel Meyer
> Wenn Du den Kunden von den Nachteilen einer PIX überzeugen willst, laß ihn
> seinen Exchange hinter dieser (mit "fixup smtp 25") falsch konfigurierten
> PIX laufen. Ja, und?
Dann schaltet man es ab. Ich bin eher "pro" Pix :)
> >> Falsch. Stateful failover ist schon etwas mehr, wenn auch IPSec und einiges
> >> an Managment nicht sauber rüberkommen. Man merkt aber einen Ausfall einer
> >> PIX in dem Fall praktisch wirklich nicht. (Das habe ich ausprobiert.)
> >
> >Dito.
>
> Wie machst Du das mit IPTables, daß Du "dito" schreiben kannst?
"Dito" wie "Ich habe mit der Pix die gleichen Erfahrungen gemacht"
Daniel Meyer
> Thus spake Daniel Meyer (ea...@cyberdelia.de):
> > Es ging erstmal darum zu zeigen das IOS mit FFS nicht als Argument fuer
> > Hardwarefirewall mit kleiner Codebasis zieht.
>
> Es gibt keine "Hardware-Firewalls".
> Du hast dich offenbar verlaufen. alt.voodoo-security ist nebenan.
Im Kontext gelesen gibt es sie schon.
> > Hat dein Linux+IPtables denn dann auch gleich alles dabei fuer:
> Ja. Und du wirst lachen, größtenteils deutlich funktionaler als bei der
> PIX. Aber warum erzähle ich dir das. Du verstehst das ja eh nicht.
Och, erklaer es mir ruhig, und urteile nicht so pauschal.
> > ...und das ganze auf einer Hardware-Basis die im guenstigsten Fall um
> > die 400 Euro zu haben ist?
>
> ROTFL, du bist ja wirklich absolut unbeleckt in IT-Fragen.
> Vielleicht ist dag° angemessener als Newsgroup-Empfehlung.
Siehe oben. Diskutiere mit mir, urteile nicht pauschal und lass uns das
ganze doch auf einem sachlichen Level halten.
Frank Fiene
> ksch...@aglais.com (Klaus Schulze) wrote:
> [...]
> BTW, müsste die "Astaro Firewall" oder zumindest größere Teile davon
> nicht unter GPL stehen? Tut sie es vielleicht?
Ich habe mir das Ding mal "angeschaut", also von der Web-Site
runtergeladen und installiert.
1.) Die Installation ist recht einfach, das Ding hat halt einen
festen Funktionsumfang, Partitionierung geschieht automatisch, es
werden einige Partitionen angelegt, wo später die Proxies im
changeroot laufen.
2.) Man gibt nach der Installation noch einige Passwörter ein, die
IP-Konfiguration, etc. Das erste Problem trat damit auf, dass
natürlich der Kernel nicht im Source-Code dabei war und ich meine
TokenRing-Karten nicht zum Laufen bringen konnte (für zwei
Testnetze), d.h. es wird nicht jede Hardware unterstützt. Davon
abgesehen wird die Version 2.4.8 des Kernels installiert, very bad.
Die Modul für ip_conntrack_irc ist natürlich drauf. ;-)
3.) Nach dem Neustart kann man sich mit einem Browser anmelden und
die weitere Konfiguration vornehmen (https).
4.) Bei den Definitionen fehlte mir die Gruppe "Clients", es gibt
"Networks", "Network groups", "Protocols", "Protocol groups" und
"Users". Man kann zwar einen Client auch als Netzwerkadresse
eintragen, aber ich denke das ist klar...
Man kann User anlegen, die als Firewall-User abgelegt werden, ich
habe noch nicht geschaut, ob das auch System-User sind. Dort kann man
auch noch festlegen, ob sie gewisse Proxies benutzen dürfen.
5.) Es gibt noch eine User Authentication über Radius und SAM
(WindowsNT). Bei der SAM Authentication kann man eine NT-Domaine
angeben, einen PDC und einen BDC. Dann stellt man noch ein, dass man
SAM benutzen will und das wars. Jetzt müsste man also eine extra
NT-Domaine für die Firewall-User anlegen, ansonsten dürfen ALLE
NT-User in der Firmen-Domain ins Netz. Das verstehe ich nicht,
smb_auth kann das wunderbar und ist nicht alpha oder beta, wie Astaro
behauptet.
6.) Im Linux-Magazin stand, dass eine alte OpenSSH-Version
installiert wird, das habe ich aber bisher nicht überprüft. Ich gehe
mal davon aus, dass nicht die letzten stabilen Versionen der
Softwarepakete installiert sind, wenn schon nur Kernel 2.4.8
installiert ist.
7.) Nach meiner Meinung ist die Astaro Firewall 99% GPL, nur die
Web-Oberfläche nicht.
8.) Die iptables-Chains (ich habe vergessen: Astaro benutzt
netfilter), die erzeugt werden, sehen einigermaßen vernünftig aus.
Man kann allerdings z.B. direkt über die Web-Oberfläche nicht
erkennen, ob man eine letzte deny-all-Regel einfügen muss oder ob das
die Software selber macht. Aber das müsste ja in der Doku stehen, die
ich natürlich nicht gelesen habe, weil ist ja klickibunti.
ff
--
SYNTAGS GmbH, Märkische Str. 237, D-44141 Dortmund, Germany
Security, Cryptography, Networks, Software Development
http://www.syntags.de mailto:Frank...@syntags.de
Lutz Donnerhacke
>Ich habe mir das Ding mal "angeschaut", also von der Web-Site
>runtergeladen und installiert.
Ich habe es mal unfreiwillig debugged. Nein, das will man nicht warten.
Entweder es funktioniert, dann ist es prima. Aber wehe nicht!
Frank Fiene
Felix von Leitner
Du sagtest bereits, daß du keine Ahnung hast.
Du kannst jetzt wieder weggehen.
Einweisung erteilt.