Linux als Gateway/Firewall

[Redhorse]

Hallo,

ich habe als Abschlussprojekt folgendes vor:

Ich möchte ein Netzwerk durch private IP-Adressen vor direktem Zugriff von Aussen schützen und in anderer Richtung bestimmte Ports sperren. Zusätzlich soll zu Kontrollzwecken ein Proxy laufen, damit unerwünschte Seiten ggf. gesperrt werden. Fener muss ein DHCP-Server laufen, damit eine dynamische Adressvergabe möglich ist.

Die Mitarbeiter und mein Ausbildungsleiter sind von der Idee begeistert und unterstüzen mich dabei. Nur folgende Frage stellt sich mir dabei: Wie kann ich gegeüber anderen begründen, dass ich keinen Hardware-Router, sondern ein Linux-Gateway mit iptables, Firewall, etc. dazu verwende?

Grüße

[carstenj]

Hi,

ob das als Projekt ausreicht, ist fraglich. Als Begründung fallen mir spontan eigentlich nur die Kosten ein, was natürlich ein nicht zu verachtender Punkt ist. Aber ansonsten würde nicht unbedingt eine Linux-FW nehmen, da z. B.:

- Potentielle andere Sicherheitslücken

- Hardwareprobleme

- Langsam

[Acetylcholin]

[...]

Die Mitarbeiter und mein Ausbildungsleiter sind von der Idee begeistert und unterstüzen mich dabei. Nur folgende Frage stellt sich mir dabei: Wie kann ich gegeüber anderen begründen, dass ich keinen Hardware-Router, sondern ein Linux-Gateway mit iptables, Firewall, etc. dazu verwende?

Grüße

Warum willst du denn das unbedingt so implementieren?

[lordy]

Für mich wären primäre Gründe die Kosten, aber vor allem die Flexibilität.

Du kannst mit einer Linux-Box und IPtables auf Kommandozeile wesentlich mehr machen, als mit dem schnöden Web-Frontend einer fertigen Box.

Sicherheitsprobleme gibt's mit den fertigen Kisten genau so (siehe z.B. Netgear) und langsam ist IPtables nun wirklich nicht

[carstenj]

Hi,

das hängt nicht zuletzt von dem Rechner ab, den man da hinstellt. Ich geh mal davon aus, dass es wahrscheinlich kein Dual Core Pentium 4 mit 2 GB Hauptspeicher sein wird.

Wenn du eine "Box", z. B. PIX, SonicWall etc. da hinstellst, die für nix anderes gemacht wurde als zu Firewallen, ist das ja wohl unbestritten schneller. Abgesehen davon kann man die teilweise auch über Console konfigurieren.

Auf einer Linux Firewall musst du darauf achten, dass der Kernel aktuell ist sowie alle anderen Tools, die darauf laufen. Das macht es dann schon nicht mehr so einfach, denn spätestens bei einem Kernelupdate ist ein Neustart notwendig.

Natürlich hängt das auch von der Unternehmensgröße und den verbundenden Traffic ab, aber ich würde eine Hardwarefirewall schon bevorzugen. Dass es auch da Sicherheitsprobleme gibt, ist klar, aber dafür gibts ja dann auch den Support.

[stone2601]

mal unabhängig vom lösungsweg fände ich das projekt vom umfang her zu wenig...sowas haste mit ipcop in ner stunde eingerichtet... is nur meine meinung ^^

[Redhorse]

Hallo,

danke für die Antworten bisher! IPcop kannte ich bisher nicht, aber wie ich gelesen habe, ist es in der Tat genau das, was ich vorhabe. Es handelt sich in dem Netzwerk nur um 10-15 Rechner von Hilfskräften in unserer Firma, die nach aufgetauchten Sicherheitslücken eine Firewall brauchen. Da diese Hilfskräfte für ihre Arbeit Administrator-Rechte und außerdem teilweise ihre privaten Laptops benötigen, kann ich mit lokalen Einstellungen nichts bewirken. Den Vorzug gegenüber Router müsste ich begründen, ggf. durch weitere Applikationen? (SSH Zugriff auf Daten, VPN, Squid, etc.). Welche Hardware wird denn eurer Meinung für ein Netzwerk in dieser Größenordnung nötig sein? Wie teuer ist ein Hardware-Router in dieser Größe demgegenüber?

Grüße

[carstenj]

Hi,

ich denke genau das herauszufinden gehört zu dem Projekt.

Bei 15 Benutzern muss es schon nix Großes sein. Wenn du alles abwägst, und zu dem Schluss kommst, dass eine IPTables basierte FW das Nonplusultra ist, dann nimm diese.

Ich denke eine Hardwarefirewall wird sich so zwischen 300 - 600 Euro bewegen, wobei das auch von den Anforderungen abhängt. Z. B. kann ja die Geschäftsführung darauf bestehen, dass die Firewall redundant ausgelegt sein soll. Da dürfte es noch etwas teurer werden.

[KlausZettel]

Eine Cisco Pix 501 sollte doch ganz gut in das Szenario passen. Preis 400 -650€, je nachdem ob 10, 50 oder unbegrenzt viele User gleichtzeitig ins Internet sollen. Das könnte man doch z.B. als Vergleichsmasstab nehmen.

[Redhorse]

Vielen Dank, die Produktbeschreibung werde ich mir mal ausführlich durchlesen.

Die Linux-Lösung möchte ich aus dem Grund durchführen, da notwendige Hardware bereits vorhanden ist (da übrig), es als Projekt dienen kann und da weitere Dienste dort laufen können.

[ingh]

Neben ipcop solltest du dir auch fli4l mal ansehen.

Ich fürchte allerdings, dass dein Projekt die erforderliche Komplexität für ein Abschlussprojekt nicht erreicht.

[charmanta]

Wenn verschiedene Lösungsansätze gegeneinander bewertet werden und das ganze mit ner Kosten/Nutzenrechnung versehen wird ist das ein absolut übliches Projekt

[Redhorse]

Hallo,

nochmals Danke für eure Antworten, selbstverständlich nehme ich mir auch die kritischen Bedenken zu Herzen. Die Alternative zu einem Linux-Gateway ist ja die Verwendung eines Hardware Switch. Ist für meine Zwecke nicht notwendig einen managebaren 16-Port L3-Switch zu verwenden, damit die Anfragen aus den privaten 192.168.0.0/24-Netzwerk ins WAN geroutet werden? Es handelt sich um maximal 12 Rechner.

Die Mitarbeiter, die in Zukunft hinter dem Gateway sitzen, sollen die Möglichkeit bekommen über eine sichere Variante auf Ihre Daten zugreifen zu können. Dazu ist ein Linux-Rechner notwendig, der sowohl im WAN als auch im privaten LAN ist. Hier würde ich SSH mit PublicKey-Authentification verwenden. Von hier können die Benutzer via SSH die anderen Rechner im 192.168.0.0/24-Netzwerk erreichen. So muss nur ein zentraler SSH-Zugang gewartet und abgesichert werden. Ist da die Verwendung eines Linux-Systems als Gateway (lassen wir mal openSSH unter Windows aussen vor) nicht unumgänglich?

Grüße

[ingh]

Ist da die Verwendung eines Linux-Systems als Gateway (lassen wir mal openSSH unter Windows aussen vor) nicht unumgänglich?

Das sollst du innerhalb deines Projekts bewerten, um nicht jetzt schon die Evaluation, die (neben der Kosten-Nutzen-Rechnung) für ein Abschlussprojekt essentiell ist, vorwegzunehmen.

Denke dabei auch an das Für und Wider verschiedener Linux-Distributionen, bzw. der "abgespeckten" Lösungen (fli4l, ipcop, ... )

[Redhorse]

Das sollst du innerhalb deines Projekts bewerten, um nicht jetzt schon die Evaluation, die (neben der Kosten-Nutzen-Rechnung) für ein Abschlussprojekt essentiell ist, vorwegzunehmen.

Denke dabei auch an das Für und Wider verschiedener Linux-Distributionen, bzw. der "abgespeckten" Lösungen (fli4l, ipcop, ... )

Okay, so hatte ich es auch vor. Die Hardware (16 Port-L2-Switch, PC-Hardware) ist weitesgehend schon beschafft worden. Das Projekt sollte vor einem Jahr schon durchgeführt werden, jedoch verließ uns kurzfristig der beauftrage Mitarbeiter und es wurde aufgeschoben. Daher würde der finanzielle Aufwand sehr gering sein. Kann vorhandere Hardware in einer Kosten-Nutzen-Rechnung mit 0 € beziffert werden?

[ingh]

Kann vorhandere Hardware in einer Kosten-Nutzen-Rechnung mit 0 € beziffert werden?

Nein; sie hat schließlich einen Wert. Wenn sie gar nicht gebraucht würde, könntet ihr sie ja verkaufen (Flohmarkt, ebay, ... ).

[carstenj]

Hi,

da weitere Dienste dort laufen können.

eben genau das nicht. Du redest von einer Firewall! Es gibt mit Sicherheit Dienste, die sich einen Server teilen können, aber eine Firewall gehört defintiv nicht dazu. Niemals, ohne Ausnahme!

Du solltest dir auch mal das Konzept einer DMZ (Demilitarisierte Zone) anschauen.

[Redhorse]

Hi,

eben genau das nicht. Du redest von einer Firewall! Es gibt mit Sicherheit Dienste, die sich einen Server teilen können, aber eine Firewall gehört defintiv nicht dazu. Niemals, ohne Ausnahme.

Damit war eigentlich der SSH-Zugriff zwecks Zugriff auf die Linux-SSH-Server innerhalb des privaten Netzwerks gemeint. Warum kann das nicht sein?

Du solltest dir auch mal das Konzept einer DMZ (Demilitarisierte Zone) anschauen.

Wenn die DMZ auf dem gleichen System wie die Firewall läuft, dann müsste eine dritte Netzwerkkarte her. Die IP der dritten Netzwerkkarte wäre dann der SSH-Zugriffspunkt, jedoch fehlt dann die gewünschte Bindung in das private Netz?

Was spricht also gegen einen öffentlichen Port 22, wenn hier der Zugriff durch PublicKey-Authentification gesichert ist?