IPCop, m0n0Wall, pfsense etc.

[chr0n0s]

Hallo Gemeinde,

ich suche zur Zeit ein geeignetes Linux/BSD-Sicherheitssystem für ein Unternehmen, da kam mir zuerst IPCop inkl. Add-Ons in den Sinn.

Welche Alternatice gibt es? Oder ist etwas wesentlich besser, mit mehr Features, mehr Add-ons empfehlenswert?

Grundlegende Funktionen sollten sein:

• Firewall
• URL-/Content-Filter
• Proxy
• Traffic-Shaper
• VPN-Unterstützung
• Unterstützung von mind. 3 versch. Netzen
• AV-Scanner
• Spamassains
• L7-Filter
• Dynamic DNS

Denke, dass sollte es soweit beinhalten. Also im Prinzip alles was der IPCop kann ;-)

Danke für eure Unterstützung.

 

[xeno]

Ich kenne nur pfSense, und der kann das alles... bis auf Spamassassin und AV. Was sollen die auf ner Firewall?

 

[bitmuncher]

Wenn es ein Sicherheitssystem sein soll, solltest du dir das mit Linux nochmal überlegen. Es gab in letzter Zeit gehäuft Sicherheitslücken im Kernel, die u.a. iptables betrafen und es ist absehbar, dass sich solche Lücken in Zukunft weiter häufen werden. IPCop ist ja nun nicht unbedingt dafür bekannt schnell mit neuen Releases auf solche Lücken zu reagieren, so dass der Verwaltungsaufwand durch manuelles Updaten ziemlich hoch ist. Ich würde daher eher eine BSD-Lösung empfehlen.

 

[Chromatin]

Ist IPCop eine gute Wahl. Die Leute machen wirklich gute Arbeit.

Grundlegend muss man aber sagen das Antivirus und Antispam System auf einer Firewall erstmal rein gar nichts zu suchen haben, die sollte dediziert vorne weg stehen. Wer auf Nummer sicher gehen will nutzt OpenBSD pf mit CARP in einer Fallback Konfiguration.

Dahinter kann man ein dediziertes Mailsystem setzen, wo alles relevante abgeturnt wird und noch ein Gateway für Traffic, wo du dann einen Proxy laufen hast und diverse QoS und VPN. Auch da ist eine IPCop nicht das schlechteste.

Am Ende kommts auf dein know-how an, womit die Appliance Hersteller ihr Geld verdienen. Wenn Du das alles kannst, kannst Du auf BSD Basis ein state-of-the-art-sicherheitssystem aufbauen, das dich keinen Cent an Linzenzgebuehren kostet und leicht zu warten ist.

Leider investieren viele Unternehmen lieber in teure wohlfühl-Produkte anstatt in echte Kompetenz ihrer Mitarbeiter.

 

[enkore]

Hier benutze ich Endian Community Edition als Firewall. Hat sogar zwei (?) AV-Scanner integriert und kann denke ich auch das alles von der Liste.
Endian bietet auch komplett integrierte Appliances, sprich fertig lauffähige Geräte mit aufeinander abgestimmten und garantiert mit Endian kompatiblen Komponent. Da ist der Funktionsumfang von Endian auch noch etwas erweitert. Ich denke so eine Appliance wäre für ein richtiges Unternehmen schon angemessen, oder?

 

[chr0n0s]

Zunächst vielen Dank an alle für eure Antworten und Unterstützung, dass hilft mir schon einmal.

Okay, dass mit AV und AntiSpam war vielleicht etwas unglücklich.

Also wäre die Lösung folgende eher zu empfehlen:

Router/FW Ethernet 1 -> AV & AntiSpam inkl. Mailserver & extra Gateway für Traffic, VPN etc. -> internes Netz
Router/FW Ethernet 2 -> öffentliches Netz

?

Ich würde daher eher eine BSD-Lösung empfehlen.

Gibt es dort explizit eine, die Du empfehlen kannst? z. Bsp. m0n0wall?

Edit: Mir fällt gerade ein, dass SonicWALL in Ihrer NSA-Serie auch einen AV- & Antispam integriert hatte, allerdings mit Lizenzgebühren und Optional. Wieso sollte in Hersteller für Sicherheitshardware/-software so etwas machen?

Zitat SonicWALL:

Die SonicWALL-Firewall-Appliances auf Basis der TZ Serie sind umfassende Sicherheitsplattformen mit mehreren Schutzebenen. Die TZ-Serie verfügt über kompakte Abmessungen sowie über eine anwenderfreundliche Oberfläche und ist somit für kleine und mittlere Unternehmen ideal geeignet. Die Leistungsfähigkeit ist trotz der geringen Baugröße immens, so dass Benutzer dank mehrerer Schutzebenen inklusive einer integrierten Anti-Virus- und Anti-Spyware-Lösung, comprehensive anti-spam am Gateway sowie Intrusion Prevention in Echtzeit vor verschiedensten Bedrohungen geschützt sind.

Deswegen heißt es ja UTM/Appliances oder? Wozu das alles in einem Gerät, wenn es dort nichts zu suchen hat?

Also, könnte man Geld sparen mit dem Know-How des Mitarbeiters sich eine - vielleicht nicht so komplexe - UTM/Appliances selbst bauen? - "Ja, mehr Services, mehr Angriffsfläche"

 

[bitmuncher]

Gibt es dort explizit eine, die Du empfehlen kannst? z. Bsp. m0n0wall?

Das kommt auf dein Knowhow im Bereich BSD an. Brauchst du einfache Konfigurationstools, bieten sich "vorbereitete" Lösungen wie m0n0wall an. Aber theoretisch kann man das alles auch problemlos selbst umsetzen, denn die verwendeten Technologien sind bei ziemlich jedem BSD eh verfügbar. Ich selbst mag die Einschränkungen von Webinterfaces und sonstigen GUIs einfach nicht und baue mir daher prinzipiell eigene Lösungen zusammen.

 

[chr0n0s]

Das kommt auf dein Knowhow im Bereich BSD an. Brauchst du einfache Konfigurationstools, bieten sich "vorbereitete" Lösungen wie m0n0wall an. Aber theoretisch kann man das alles auch problemlos selbst umsetzen, denn die verwendeten Technologien sind bei ziemlich jedem BSD eh verfügbar. Ich selbst mag die Einschränkungen von Webinterfaces und sonstigen GUIs einfach nicht und baue mir daher prinzipiell eigene Lösungen zusammen.

Danke, im BSD-Bereich fehlt mir zum selbst zusammen bauen der Lösung vermutlich noch Know-How, im Linux-Bereich ginge das schon eher.

Ich werde mal sehen, vielleicht mich noch ein wenig belesen, habe ja für das "Projekt" noch ein wenig Zeit.

 

[Chromatin]

Ich denke so eine Appliance wäre für ein richtiges Unternehmen schon angemessen, oder?

Dann sind im Umkehrschluss die vielen Unternehmen die fähige Admins haben also gar keine "richtigen" Unternehmen?


Es gibt 3 Gründe warum "richtige" Unternehmen solche Wohlfühl-Geräte kaufen:

Der Reihe nach:
1) falsche Leute in Entscheiderpositionen die nicht das know-how haben solche Entscheidungen aus schlichtem Mangel an Fachwissen richtig zu treffen
2) mangelnde Kompetenz der Techniker. Manchmal taugen die Leute einfach nichts, aber viel öfter sehe ich Lernbereitschaft aber zu knapp bemessenes Budget der Unternehmen an dieser Stelle.
- Zeitmangel. Entweder durch mangelnde Kompetenz selbst verursacht (Die admins, die ewig an ihren Systemen basteln "muessen"), oder schichter Personalmangel.


Alle 3 Punkte sind Ursachen massiven Missmanagments - erzeugt durch Leute die kognitiv nicht den ROI eines guten Technikers erfassen können. Üblicherweise sind solche Klugscheisser in BWL Kreisen zu finden, die mit dem Begriff Qualitaet und Nachhaltigkeit nicht viel anfangen koennen.


Natürlich gibt es hochgradig gutes Gerät was gut gebaut und gut bedienbar ist. Aber diese alles-in-allem Geräte gehören idR _nicht_ dazu.

 

[chr0n0s]

@Chromatin

das sind gute Argumente ;-)

Mir persönlich geht es nicht um das viel rumgebastel, sondern eher darum etwas ordentliches zu haben, am liebsten im Selbstbau und dann eben nur die Wartung später noch machen etc.

Wenn es steht und läuft, dann brauch man ja auch nicht mehr viel basteln. Und ein Gerät von der Stange möchte ich nicht haben, daher ja auch meine Frage. Gerne nutze ich auch 2 unabhängig voneinander getrennte Server, dass sollte das kleinste Problem sein.

Fühle mich zwar nicht direkt von Deinem Post angesprochen, wollte es dennoch mal erwähnt haben.

Also, habt vielen Dank für eure Hilfe. Damit kann ich definitiv etwas anfangen.

 

[enkore]

Dann sind im Umkehrschluss die vielen Unternehmen die fähige Admins haben also gar keine "richtigen" Unternehmen?

Oh das meinte ich gar nicht. Ich meinte eher, dass so eine UTM/Appliance für ein Unternehmen eher angemessen ist, als gar kein Schutz.