LL0rd

Der Router hat aber nur 100MBit Ethernet Ports => ich kann da nicht mit 200MBit rangehen.

Meine Werte sind gemessen. Einerseits über die pfsense eigenen Statistik-Methoden, andererseits werden Pakete sowohl vor dem Router als auch hinter dem Router per Switch an einen Server weitergeleitet, der per Snort auf Verdächtiges untersucht wird. Gleichzeitig wird der Traffic gemessen. Der VPN Traffic spielt bei mir eine sehr kleine Rolle. Es geht nicht darum, Standorte per VPN miteinander zu vernetzen, sondern Leuten den Zugriff auf das Netz zu gestatten, wenn diese unterwegs sind. Der Flaschenhals wird da eher die UMTS Verbindung sein und nicht die Performance des Routers.

Hm? Was wäre denn lahm? Und wie kommst du auf 35MB/s 3DES (bzw. VPN) Traffic??

Naja, die Regeln sind eben einfache IP Tables Regeln, die den Zugriff auf bestimmte Ports und ganze Länder anhand von einigen Netzen (ca. 300 Regeln) sperren. Sonst wird der ausgehende Traffic per L7 untersucht, um z.B. P2P Traffic zu sperren oder SSH Traffic nur zu bestimmten Servern zuzulassen. Der VPN Traffic ist wirklich gering. Ein paar E-Mails abrufen und verschicken, SSH Zugriff auf die Server. Also bei dem aktuellen kleinen 500MHz AMD Prozessor schaffe ich 7.5MByte/s problemlos. Deshalb denke ich, dass ich mit 2x1,8GHz Atom CPU und schnellen Netzwerkkarten die rund 25 bzw. 30MB/s durchaus routen kann.

Aber da frage ich mich gerade, wieso die das nicht schaffen. Mit einem D525 Board und zwei 1000 PT Karten @ freebsd bekomme ich den Traffic problemlos rüber.

250MBit, nicht MB. Das Juniper Ding ist aber auch ein Overkill. Und mit 1650€ für das SSG-140-SB außerhalb des Budgets.

Hallo Leute, ich suche derzeit einen neuen Router für das Office und brauche etwas Hilfe dabei. Derzeit liegt hier eine 100/2,5MBit Cable-Leitung und als Router verwende ich derzeit ein alix2d3 mit 500MHz und 256MB RAM, auf dem pfsense läuft. Das Setup funktioniert soweit auch ganz gut, nur wenn viele Verbindungen (so ca.30) mit voller Bandbreite etwas machen, habe ich nen CPU Load von 100% und das System wird instabil. Verbindungen brechen ab, etc. Ab April habe ich zudem 200/15MBit hier. Spätestens da ist der Router wegen seinen 100MBit Ports nicht mehr geeignet. Deshalb suche ich etwas neues mit etwa folgenden Specs: Firewall Pass Through: 250MBit/s Paket Filter IDS / IPS kein WLAN 5 gleichzeitige VPN Verbindungen ins LAN Preislich kann das Gerät bei 400€ liegen. Bis etwa 700€ würde ich noch zahlen, absolute Schmerzgrenze sind 800€. Kann mir jemand da etwas empfehlen?

Hallo Leute, meine Mutter betreibt ihr eigenes Tonstudio, für Ihre Datenbank mit Titeln und Musikvideos benötigt sie derzeit etwa 4TB Netto Speicherplatz, auf Dauer wird es aber eher mehr werden. Die Dateien sollten per DLNA und iTunes (Firefly) für Multimedia Geräte (Fernseher und AVR) bereitstehen. Es reicht der Ausfallschutz für eine Festplatte aus, da die Daten zur Not noch als Original Audio CD vorhanden sind. Jetzt habe ich etwa drei Möglichkeiten dafür: a) Ich nehme ein DRobo FS. Firefly und Fuppes für DLNA/UPnP gibt es als App für das Gerät. Ich nehme ein NAS, z.B. das BlackArmor von Seagate, das auch die Funktionen beherrscht. c) Ich baue einen reinen Fileserver auf Linux / Solaris Basis Was würdet Ihr da nehmen?

Ich weiß nicht, Lancom APs sind z.B. mit Cisco Aironet in meinen Augen Professionelle APs. Und bei dem Lancom 321agn wüsste ich jetzt wirklich nicht, wie man dem Ding beibringen könnte, sich per 802.1x am Netzwerk zu authentifizieren. Eine andere Frage wäre auch, wie weit 802.1x am Switch geht. Angenommen ich habe jetzt ein AP an einem 802.1x gesicherten Port. Ich würde das Ding so einstellen, dass es in einem "unsicheren" VLAN landet. Nun, am AP nutze ich auch 802.1x Authentifizierung und weise so einem User ein VLAN zu. Könnte der User dann aus dem VLAN des Switches ausbrechen?

Ja, aber wie stellt man das in der Praxis an? Wie kann ich denn verhindern, dass jemand an ein AP oder einen Drucker geht, ein Netzwerkkabel abzieht und es an ein Notebook steckt.

Ja, okay, ich kann 802.1x an bestimmten Ports abschalten bzw. MAC Adressen freigeben. Aber was habe ich dadurch erreicht? Ich habe einen sehr hohen Implementierungsaufwand für 802.1x und auf der anderen Seite sehr wenig Sicherheitsgewinn. Was sollte denn jemanden daran hindern, einfach das Kabel eines APs oder Druckers abzuziehen und an einem offenen Switch Port den Zugriff auf das Netzwerk erhalten. Mit dem MAC Schutz sieht es nicht anders aus, denn eine MAC Adresse kann ich absolut ohne Probleme spoofen.

Hallo, ich würde gerne die 802.1x Authentifizierung bei uns im Netzwerk einsetzen. Okay, bei Mac/Windows/Linux Geräten am Switch ist das alles auch kein Problem. Aber wie ist es bei anderen Geräten? Ich habe jetzt z.B. ein Lancom l-321agn Accesspoint und bei diesem habe ich keine Funktion gefunden, wie sich das AP am Switch anmelden könnte. Oder habe ich da einen falschen Denkansatz?

Ich wüsste jetzt nicht, welche Einstellung du genau meinst. Weder bei meinem MBP unter OS X noch an dem iPad/iPhone/iPod konnte ich so etwas finden. Bei meinem WLAN IP Phone gibt so etwas auch nicht.

Hallo, derzeit haben wir drei WLAN APs mit der gleichen SSID auf verschiedenen Kanälen. Und zwar sind das alles ALIX boards mit PFsense als Software. Auch ohne 802.1X Authentifikation an offenen Accesspoints kommt es zu Verbindungsabbrüchen beim Übergang von einem AP zum nächsten. Die Devices suchen sich erst dann einen neuen AP, wenn das Netz weg ist. Das möchte ich jetzt verhindern und auf das IAAP Protokoll umsteigen. Kann mir jemand von euch APs empfehlen, die IAAP unterstützen?

Jain. Der Server, der abgesichert werden soll, ist ein Root Server von Hetzner. Da ich persönlich Hetzner nicht so wirklich traue, möchte ich diesen Root Server absichern. Bei IP-Exchange habe ich momentan zwei Racks gemietet in dem meine eigenen Server untergebracht sind. Im Falle eines Ausfalls soll entweder einer dieser Server die Arbeit übernehmen oder ein EC2 Rechner. Es sollte aber kein Problem sein, bei Hetzner auch ein Rack mit eigenen Maschinen zu mieten. Aber ich weiß nicht, wie ich es schaffen kann, gleiche IP Ranges in verschiedenen RZs nutzen zu können. Ich weiß, dass es Müll ist, DNS Einträge anzupassen und im worst case verschlimmbessert es die Situation. Wie machst du es denn bei deinen Kunden?

Okay, das ist natürlich eine wichtige Frage. Es soll primär ein Webserver abgesichert werden, der statischen Content bereitstellt. Zu den Ausfallzeigen: Wenn der Ausfall eine Minute dauert, dann ist es Ok. Wenn der Ausfall 5 Minuten dauert, dann ist es immer noch okay. Doch bei 10 Minuten sehe ich schon meinen Kopf rollen. Einen aktiven LB habe ich mir auch schon vorgestellt. Allerdings hat man hier genau das gleiche Problem, wie mit den Servern, man verschiebt das Problem einfach auf eine andere Komponente. Denn schließlich macht es keinen Unterschied ob der LB nicht erreichbar ist oder ein Server. Ich verstehe immer noch nicht, wie du es mit dem Cluster und VMotion gemeint hast. Ein ähnliches Feature kenne ich von VirtualBox, es erlaubt mir in Realtime eine virtuelle Maschine auf einen anderen Server zu schieben, ohne dass ein Ausfall entsteht. Allerdings muss die Maschine im gleichen Netz sein, damit das Routing stimmt. Wenn ich jetzt einen virtuellen Server von einem RZ in ein anderes ziehe, dann werde ich das Problem haben, dass es im neuen RZ eine andere IP nach Außen bekommen muss. Hier müsste ich dann trotzdem eine DNS Änderung veranlassen, oder??

Das wird nicht gehen, wenn ein Server oder ein ganzes RZ offline ist. Das müsstest du nochmal genauer erklären. Ich kann zwar ein Cluster über mehrere RZ aufbauen, nur brauche ich ja eine zentrale IP Adresse, auf die von außen zugegriffen werden kann. Es geht mir momentan nicht darum, die Daten auf verschiedenen Servern zu Synchronisieren oder gar ein System Live von einem Ort zu einem anderen zu verschieben. Mein Problem ist, dass ich eine (oder auch mehrere /per DNS LoadBalancing)IP Adresse habe, über die ich man auf den Server zugreift. Ist die offline, geht nichts mehr.

Hallo, angenommen ich möchte einen Server so absichern, dass bei einem Ausfall (egal ob nur der Server oder das ganze RZ offline ist) ein anderer Server in einem anderen RZ die Arbeit übernimmt. Was habe ich da für möglichkeiten? Mein Problem ist stets, dass ich die IP Range eines RZ nicht in dem anderen verwenden kann. Was mir übrig bleibt, wäre eine schnelle DNS Änderung der IP Adresse in den A Records. Oder gibt es da andere Mechanismen?

Also ich persönlich spreche hier von ganz normalen Firewalls. Also IDS/IPS, Deep Packet inspection, Traffic shaping, VPNs, Web Gateway. Honeypots betreibe ich nur experimentell. Ich spreche hier wie gesagt von Alternativen zur Cisco PIX, Astaro, Watchguard Firebox

Also mein Setup ist jetzt 6 Jahre alt, es entwickelte sich immer weiter und weiter, bis man den heutigen Stand erreicht hat. Für die Wartung werden im Schnitt ca. 2 Stunden pro Woche benötigt. Wenn ich eine Marken-Firewall vertreiben soll, so ist es in der Regel die Firebox. Der Preis liegt dabei zwischen 50-70% des Markenproduktes für 3 Jahre inkl. Hardwareaustausch innerhalb von max. 2 Stunden. Es sind aber nur Gateway Lösungen. Du beschreibst hier etwas andere Anforderungen. So etwas kannst du mit normaler Hardware nicht umsetzen. Für solche Anwendungsfälle brauchst du spezielle Hardware, wo alle Funktionen hardwarenahe implementiert sind.

Diese Zielgruppe ist etwas schwieriger. Zwar kann ich hier durchaus größere Umsätze schaffen, allerdings ist der Stress bei der Auftragsabwicklung auch um einiges Höher, als bei kleinen und mittelgroßen Betrieben. Solche Unternehmen haben in der Regel eine Liste mit Herstellern, an die man sich halten muss. Leider sind die Administratoren dieser Firma eines etwas älteren Baujahrs vom Typ KlickiBunti - Ich habe für die Maus bezahlt, also will ich die auch nutzen und das genießen. Aber wie gesagt: Eine Marken-Firewall bei einem mittelständigen Betrieb (10-40 Mitarbeiter) ist in der Regel nicht vernünftig eingerichtet. Mit der Marke wird trügerische Sicherheit verkauft - und das halte ich für Gefährlich.

Definiere Surfen? Bei den Projekten, die ich programmiert habe, bin ich sicher, dass die nicht "böse" sind. Andere wichtige Logins (Banken z.B.) nutze ich entweder vom Mac aus oder über den Hostrechner. Heise / Golem und Foren rufe ich aber über die VM ab, genauso wie meine Mails. Bei den Sicherheitsmaßnahmen geht es mir auch nicht darum, Malware zu analysieren, sondern schlimmeres verhindern, wenn man mal nicht 100% aufpasst und doch den falschen Link anklickt oder die falsche Datei öffnet.

Genau das mache ich momentan auch. Allerdings ist es in einer VM nicht die volle Geschwindigkeit. Sandboxie wäre da eine gute alternative. Allerdings habe ich über Sandboxie keinerlei Infos gefunden, wie das System im Kern funktioniert. Deshalb kann ich auch nur schwer einschätzen, wie das System genau funktioniert und was es alles verhindern kann.

Ich hatte selbst eine kleine PIX Firewall bei mir in der Firma im Einsatz. Aber die ist mir wirklich zu unflexibel geworden und da habe ich die dann durch eine FreeBSD Maschine ersetzt. Also ich muss sagen, dass ich so etwas persönlich noch nicht erlebt habe. Entweder hatten die Kunden bereits eine HW Firewall oder die haben auf meine Empfehlung gehört ohne auch nur nachzufragen. Ich verstehe ganz ehrlich auch nicht, wieso OSS angeblich bei der Konfiguration so teuer ist. Ich habe für alle (meine) Kunden verschiedene Images erstellt und die werden einfach eingespielt. IP Adressen ändern, ein bissl Config anpassen und fertig ist das Ding. Updates werden zentral per Script bei allen eingespielt. In den letzten 3 Jahren hat es immer funktioniert. Die andere Sachen sind die Features. Ich wüsste jetzt nicht, welche Features eine kommerzielle Firewall hat, die nicht per OSS nachgebildet werden können.

Hallo Leute, ich muss ganz ehrlich sagen, dass ich mich in der letzten Zeit vermehrt über die Netzwerke / Firewalls wundere, die ich so sehe. Den größten Stress habe ich mit Proxy Servern, die einfach mal der Meinung sind, die müssten Seiten aus dem Cache ausliefern, statt die vom Server zu laden. In der Regel hängen die Probleme mit einer nicht vorhandenen Konfiguration des Systems zusammen. Man verkauft dem Kunden ein namenhaftes Produkt, stellt es hin und geht davon aus, dass es out of the box läuft und alle Aufgaben perfekt erledigt. Das, was ab und an noch eingestellt wird, ist dass alle angesurften Websites mitgeloggt werden, damit der Cheff weiß, was die Mitarbeiter so treiben. (Illegal afaik) Wenn ich meinen Kunden Firewalls empfehle, dann sind es in aller Regel OpenSource Geschichten. Eine Mini Box mit FreeBSD Kernel und selbst konfigurierten Traffic-Regeln + ein paar Tools, um Angriffe zu erkennen. Oder IPCop bzw. Zeroshell als fertige Gateway Distris. Aber ich frage mich jetzt dann doch schon, was denn der Unterschied zwischen einer PIX, Firebox oder Astaro zu sagen wir mal IPCop ist.