Firewall muß her - Qual der Wahl

#1 Hallo,

ich soll hier in unserer kleinen Firma das Firmennetz und die Serverfarm neu machen. Zum einen is das ja schön, dass endlich mal das alte Gelumpe weg kommt, zum andern steh ich jetzt vor einem Problem:

Eine Firewall soll her. Soweit sogut. Aber welche? Ich hab eben hier im Forum schon ein bisschen die Suchfunktion strapaziert, aber eine Antwort auf meine Fragen hab ich ehrlich gesagt nicht gefunden. Vielleicht könnt Ihr mir ja etwas helfen.
Ich habe gehört, das ein Server der nur als Firewall agieren soll nicht unbedingt ein Windowsbetriebssystem haben soll. Richtig? Wenn ja, welches ist dann besser geeignet: UNIX oder Linux??
Und auf welche Komponenten in so einem Server müsste ich achten (z. b. genügend RAM)?

Gruß
Tropheus

#2 Ich persönlich würde mir als Perimetergerät einen guten Router (Cisco oder evtl. auch Draytek wenn's nicht ganz so teuer sein soll) besorgen. Die halten richtig konfiguriert schonmal eine Menge ab und sind auch ziemlich sicher. Ausserdem sind beide Hersteller ziemlich schnell mit FirmWare Updates bei entdeckten Lücken und beide Marken unterstützen Syslog.

Dann würde ich mir dahinter einen "normalen" PC mit einem Unix (z.B. NetBSD) einrichten der zumindest nochmal filtert und auch eine NIDS laufen hat. Evtl. je nach Inhalt und "Verlockung" des Netzwerkes weitere Instanzen einschalten wie Proxyserver etc. Wenn es aber nur ein "unwichtiges" Netwerk ist wo es ausser ein paar Mails nix zu holen gibt sollte das schon reichen. Werden dort aber auch wichtigere Sachen vernetzt wie Personaldaten, Firmenprojekte die für andere interessant sein könnten würde ich mehr schützen.

Auf den eigentlichen Endgeräten sollte dann selbstverständlich noch ein aktueller Virenscanner und eine PFW (nicht Zonealarm) laufen.

Je nach Bedarf sind auch zentrale Mailserver die vorab schonmal filtern und dann weiterverteilen etc. in Betracht zu ziehen. Aber wenn das Netz von Inhalt absolut "uninteressant" ist reicht evtl. sogar schon ein guter Router da die dort enthaltene FW Angriffe von aussen sicher blockt. Und gegen evtl. reingeladenen Würmer etc. sollte der lokale Virenscanner/PFW schützen.

Das wichtigste ist dann nur die Benutzeraufklärung. Sobald es einigermaßen wichtige daten zu schützen gibt sollte jeder Admin das Buch "Die Kunst der Täuschung" von kevin D. Mitnick gelesen haben und das Personal entsprechend schulen. Heute hacken Profis sich selten über Rechner ins Netz sondern rufen einfach an und bitten um die Daten. Ist einfacher, ungefährlich und klappt auch meistens.

#3

Zitat

Wenn ja, welches ist dann besser geeignet: UNIX oder Linux??

Hihi vielleicht stellen wir erstmal klar das UNIX und Linux keinerlei gemeinsamkeiten haben. Zum einen ist UNIX ein Betriebsystem von SCO (nicht ursprünglich) wobei die Lizenz in der Geschichte schon durch vielerlei Hände und Firmen gegenangen ist und sich so viele unix-derivate entwickelt haben. Zum anderen ist Linux kein Betriebsystem sondern ein Kernel - wobei das gesamte Betriebsystem GNU/Linux heißt und open-source ist während UNIX nicht open-source ist. GNU/Linux hat mit UNIX nur soviel gemeinsam das UNIX der Urspung war - so nennt man unix-derivate posix-systeme, weil sie mit den Bibliotheken konform sind wobei POSIX der UNIX standard ist/war (mehr dazu auf www.unix.org). Auch das angesprochene NetBSD ist kein UNIX sondern ein Betriebsystem was eine ähnliche hierarchie aufweißt und posix-konform ist. Und ganz klar GNU/Linux, oder ein anderes open-source Betriebsystem wie NetBSD - warum sollte man SCO unterstüzen? - Nebenbei sind die meisten posix derivate nicht open-source sondern genau wie bei MS kostenpflichtig und an Lizenzen gebunden so kommt also nur GNU oder BSD in Frage. Ich denke nicht das man auf den Entgeräten auch noch eine PFW laufen lassen sollte das alles sollte beim lokalen Gateway/Router geregelt werden. Ich persönlich würde zu NetBSD tendieren aber solche Systeme sind natürlich nichts für Anfänger. Naja Windows auf gar keinen Fall das ist ja kein vernünftiges Server System ich sage nur "IIS" oder zahlreiche andere Sicherheitslücken. Ich denke mal NetBSD gilt als einer der Sichersten open-source Systeme überhaupt und ich denke mal das es sicherer ist als andere BSD derivate.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 Hallo Tropheus,

ich bin neu hier und hab gerade dein Posting gelesen. Da die Firewall ja professionellen Anforderungen standhalten soll und einigermaßen leicht zu administrieren sein soll, würde ich z.B. die Soho von Watchguard empfehlen. Sie unterstützt u. a. Webblocking, DynDNS und ist als VPN-Gateway aufrüstbar (interessant für Mobile User). Gibt´s so ab 300 Euro. Mal googlen o. unter www.watchguard.com ("Buy now").