Angeregt durch das Thema Wie schützt Ihr Euer Kabel LAN Outdoor und der Tatsache das ich in der Garage Netzwerkanschlüsse und an der Haustür eine IP-Kamera habe, Habe ich mir mal ein paar gedanken gemacht wie ich das Netzwerk sicher schützen kann.
Was habe ich bisjetzt getan:
Eine zusätliche Netzwerkkarte in den ESXI Server eingebaut und hieran mein POE-Switch angeschlossen. Am POE-Switch hängen die Unsicheren anwendungen. Die Netzwerkarte wollte ich an eine VM Durchreichen, die dann auch Zugriff auf das vSwitch des ESXI mit dem IPS Server hat.
Nun hab ich einmal Angefangem mit verschiedenen Firewall-Distribution wie pFsense oder ipcop auszuprobieren. Bloß hab ich hier noch keine Optimale Lösung gefunden.
Hat jemand einen Tipp/Empfehlung für mich welche Firewall-Distribution für meinen Anwendungszweck am besten geeignet ist?
Was du mit der Firewall bauen muss, nennt sich in der Fachwelt DMZ ( = Demilitarized Zone ), worin die Netzwerkteilnehmer eingeschränkten Zugriff auf das interne Netz bekommen.
Mit deiner sep. Netzwerkkarte und dem Switch dahinter hast du den ersten Schritt ja bereits richtig gemacht.
Dann schaltest du den Geräte in dem Netzsegment eben nur noch die Ports und/oder Ziel-IPs des internen Netzes frei, wohin die auch wirklich nur hin müssen, z.b. Kamera mit Port x zu internen IP yz, alles andere denn verboten.
Für die Netzwerkanschlüsse in der Gerage dürfte das aber aufweniger werden, damit willst du sicherlich vollen Zugriff aufs interne Netz sowie Internet haben.
Würde sich evtl. eher anbieten, die Anschlüsse abschaltbar zu machen - kleiner Switch dazwichen, der stromlos gemacht wird. Das währe der Weg, den ich gehen würde
Linux-Basiert würde ich dir empfehlen, mal folgende anzusehen:
Das ist dann ja quasi eine Semi DMZ da ja Ports Offen sind. Habe an die DMZ eher immer an eine Zone gegenüber vom WAN gedacht. Auf die Idee eine DMZ für das LAN aufzubauen bin ich nicht gekommen
Die Anschlüsse in der Garage sollen auch keinen vollen Zugriff auf das Netzwerk bekommen. Diese sind für Anschlüsse für IP-Kameras, SPS & Co gedacht. Also auch nur bestimmte Ports.
Die von dir Empfohlenen Linux Varianten werde ich mir mal ansehen, ich denke nicht das des ESXI da irgendwelche Schwierigkeiten macht solange die Software mit der Virtuellen HArdware kein Problem hat.
Ansonsten würde es doch auch ein VLAN fähiger Switch tun, oder nicht?? Allerdings hast du ja bereits ne weitere Netzwerkkarte eingebaut, die dann über wäre
Ein DMZ bezeichnet im Grund den Bereich eines Netzwerkes, der vom Internet aus erreichbar ist und zudem Zugriff aus dem internen Netz besteht, ohne das direkte Zugriff vom Internet aufs internet Netz besteht.
In der DMZ stehen normalerweise Web- oder Mailserver oder sowas in der Richtung.
Gute Firewallsoftware ist in der Lage, 4 Bereiche zu definieren, das externe Netz = Internet, das interne Netz, wo deine PC´s stehen, ein WLan, was evtl. eingeschränkt für Gäste usw. sein kann und eben eine DMZ.
Sollte kein Problem sein, beide Versionen liefen bei mir testweise bereits auf einem Linux-Server als virtuelle Maschinen unter Oracle VirtualBox.
Letztendlich ist eine Hardwarefirewall heute auch nichts anderes mehr, als ein kleiner Server mit meheren Netzwerkkarten und drrauf läuft ein gehärtetes Linuxsystem mit einer entsprechenden Firewall-Applikation, die das Teil administrierbar macht. Dann komt da ein Label von Cisco, Nortel, Netscout oder was weiss ich drauf und kostet einen 5-stelligen Betrag.
Von der c’t gab es vor einiger Zeit mal einen Servervorschlag, wo IPCop in einer virtuellen Maschine drauf lieg, in der zweiten Version haben die dann auch Endrian umgeschwenkt, auch virtuell.
Führen Sie diese Maßnahme nur durch, wenn Sie die Funktion „Exposed Host“ für einen Computer im FRITZ!Box-Heimnetz einrichten möchten:
-Rufen Sie die Benutzeroberfläche der FRITZ!Box auf.
-Klicken Sie auf "Einstellungen" und dann auf "Erweiterte Einstellungen".
"System" > "Ansicht"
-Aktivieren Sie die Expertenansicht und klicken Sie auf "Übernehmen".
"Internet" > "Freigaben" > "Portfreigaben" > "Neue Portfreigabe"
-Wählen Sie im Ausklappmenü "Portfreigabe aktiv für" den Eintrag "Exposed Host".
-Tragen Sie Im Feld "an IP-Adresse" die IP-Adresse des Computers ein, an den alle aus dem Internet eingehenden Verbindungen weitergeleitet werden sollen.
Wichtig:
Eingehende Verbindungen, für deren Zielport eine separate Portfreigabe in der FRITZ!Box eingerichtet ist, werden nicht an den "Exposed Host", sondern an den in der betreffende Portfreigabe ausgewählten Computer weitergeleitet.
-Speichern Sie die Einstellung mit "Übernehmen".
Der Workaround schirmt ja das externe Netzwerk komplett gegenüber dem Heimnetzwerk ab. Ich will ja als eine eigene Zone aufbauen, die kein Zugriff aufs Internet und Heimnetzwerk hat und nur bestimme Anwendungen durchlässt.
Nun mal zu den Empfehlungen.
Habe am Wochenende mal die ganzen Empfehlungen und Tips getesten. Bin aber seitdem Irgendwie bei Sophos hängen geblieben und muss sagen diese gefällt mir ganz gut. Modernes Design (ist aber wohl nicht ausschlaggebend bei einer Firewall), Viele Funktionen und einfach auf dem ESXI einzurichten. Wenn ich mir die ganzen möglichen Funktionen anschau, Bekomme ich fast lust diese als Komplettschutz auch gegenüber dem Internet einzusetzten.
Ich habe mich schon stundenlang mit den oben genannten Firewall Distris beschäftigt und mache dies teilweise auch beruflich. Wenn du auf einer wirklich freien, absolut stabilen Version arbeiten willst, dann nimm PfSense. Sophos (früher Astaro) ist nicht frei, weil auf eine gewisse Anzahl an IP-Adressen beschränkt (glaube es waren 50). Klingt vielleicht viel, kann aber mal zu wenig werden und dann werden einfach die überschüssigen Verbindungen gekickt, würde mir keinen Spaß machen. Abgesehen davon telefoniert das Teil nach Hause, wenn du über die IP Anzahl kommst, bekommst du ein freundliches Mail wo du hingewiesen wirst dir doch eine Bezahlversion zuzulegen. Für mich Gründe das Teil nicht zu verwenden, wenn es doch freie Software gibt wo auch wirklich alles frei und genauso funktioniert.
Wenn du den Schutz für deine Netzwerkdosen noch eine Stufe höher setzen willst, dann kannst du zusätzlich zur Firewall noch Packetfence, ebenfalls frei, verwenden. Das Teil ist ein NAC, ein „Network Access Control“ System, welches nur authorisierten Netzwerkdevices Zugriff erlaubt. Dies kann auf Basis von Mac-Adressen oder Zertifikaten (-> komliziert und aufwendig) geschehen. Hier würde ich eine Kombination aus MAC-Adresse und „Violation Policies“ empfehlen. Ein geeigneter Switch ist für so eine Konfig Voraussetzung, kostet aber nicht die Welt…mehr möchte ich dazu vorerst nicht sagen, das würde den Rahmen sprengen! Man bekommt auf der Homepage von PF sehr viel Infos…
Mit dem Vermerk: Untangle ist ebenfalls nicht ganz frei und bietet deswegen nicht alle Features in der freien Version.
Möchte hier wirklich niemanden zu PfSense überreden, aber es ist und bleibt nun mal die einzige Firewall die absolut frei ist und die meisten Features bietet Auch der IPCop ist toll, bietet aber zum Beispiel keine VLAN Funktionalität und virtualisiert wird dieser im Forum nicht supportet. Beides wird von den IPCop Admins abgeblockt, obwohl es in jedem Enterprise Umfeld üblich ist VLAN’s zu benutzen…über die Virtualisierung könnte man jetz noch diskutieren
Hi,
Wenn ich die Möglichkeit habe eine Community- oder eine kostenfreie Version zu nutzen, dann werde ich das tun.
Es war ja auch nur gedacht um die Auswahl der in Frage kommende Software zu erweitern.
Also die beschränkung von 50 IP Adressen ist schonmal das KO für Sophos. Die 50 IPs habe ich ja jetzt schon fast erreicht.
Also geht es wieder zurück zu pfSense, das hatte ich mir zu beginn Schonmal angeschaut. Das genze macht auch einen sehr guten Endruck und biete viele Möglichkeiten.
Wenn ich schon dabei bin, Überarbeite ich gleich mal das gesamte Netzwerk und werde wohl auch VLANs in Zukunft nutzen. Durch die VLANs komme ich mit den 2 Onboard Gigabit LAN Anschlüssen und kann die MBIT Netzwerkkarte für die WAN Seite nutzen.
Hat noch einer von euch, einen Tipp für ein Empfehlenswertes pfSense Tutorial auf Deutsch? Habe ausser dieses keines gefunden: http://www.nwlab.net/tutorials/pfSense/ Auf Englisch gibt es ja eine Menge.
Edit: Soviel zum Thema die MBIT Netzwerkkarte fürs WAN zu Nutzen. Sobald ich diese direkt der VM zuweise bekomme ich einen Interupt Fehler. Aber nur bei 2 vCPU, bei einer geht das. Die Karte ist ne RealTek 8139 (die hatte ich noch im Schrank). Von pfSense habe ich gerade die 64Bit Verion am Laufen. Da muss wohl doch noch eine Richtige Karte her.
Dankeschön für eure Tipps/Ideen/Ratschläge, das gibt wohl Arbeitsreiche Feiertage =)
Supi wenn sich wieder jemand für PfSense entschieden hat, das bestätigt mich einfach in meinen Überlegungen die ich ebenfalls schon zur Genüge geführt habe. Es ist und bleibt nunmal die einzig freie Version die so gut wie alle Funktionen bietet. Vielleicht da und dort nicht ganz so intuitiv zu konfigurieren ist wie eine andere Firewall, aber sonst wirklich gut. Es gibt übrigens ein recht feines Buch über die PF, aber das ist leider auch Englisch. Deutsche Tut’s gibts leider wirklich nicht sehr viele.
Da kann ich dir ein „Alix-Board“ empfehlen. Läuft auf einer CF-Card, lüfterlos, stromsparend (glaube so 7-10W) und kostet so ohne nachzusehen alles in allem ca. 140€…habe ich bei Bekannten und Freunden im Einsatz, läuft tiptop!
Einzige Einschränkung: Ein Proxy Server mit URL-Filter würde darauf nicht laufen…kommt drauf an ob du sowas brauchst!
Auch der IPCop ist toll, bietet aber zum Beispiel keine VLAN Funktionalität und virtualisiert wird dieser im Forum nicht supportet. Beides wird von den IPCop Admins abgeblockt, obwohl es in jedem Enterprise Umfeld üblich ist VLAN’s zu benutzen…über die Virtualisierung könnte man jetz noch diskutieren 