Unterschied bei den Firewalls

[LL0rd]

Hallo Leute,

ich muss ganz ehrlich sagen, dass ich mich in der letzten Zeit vermehrt über die Netzwerke / Firewalls wundere, die ich so sehe.

Den größten Stress habe ich mit Proxy Servern, die einfach mal der Meinung sind, die müssten Seiten aus dem Cache ausliefern, statt die vom Server zu laden. In der Regel hängen die Probleme mit einer nicht vorhandenen Konfiguration des Systems zusammen. Man verkauft dem Kunden ein namenhaftes Produkt, stellt es hin und geht davon aus, dass es out of the box läuft und alle Aufgaben perfekt erledigt. Das, was ab und an noch eingestellt wird, ist dass alle angesurften Websites mitgeloggt werden, damit der Cheff weiß, was die Mitarbeiter so treiben. (Illegal afaik)

Wenn ich meinen Kunden Firewalls empfehle, dann sind es in aller Regel OpenSource Geschichten. Eine Mini Box mit FreeBSD Kernel und selbst konfigurierten Traffic-Regeln + ein paar Tools, um Angriffe zu erkennen. Oder IPCop bzw. Zeroshell als fertige Gateway Distris.

Aber ich frage mich jetzt dann doch schon, was denn der Unterschied zwischen einer PIX, Firebox oder Astaro zu sagen wir mal IPCop ist.

[DocInfra]

Support, Features (Deep Inspection, IDS, Logging etc). Ein Microsoft ISA bzw. Forefront ist auch noch "etwas" mehr als ein Squid.

OSS ist nett für zu Hause, oder wenn man Zeit und Muße hat das in der Firma einzführen und man bezahlten Support in der Hinterhand hat. Für alle anderen gibt es Cisco, Juniper, Microsoft, Astaro etc. Wir werfen OSS in solchen Bereichen bei Kunden raus, wenn sie nicht darauf bestehen das behalten zu wollen. Die, die es behalten wollen, kennen sich dann aber auch meist perfekt damit aus. Wenn der Kunde darauf besteht, dann implementieren wir das auch, wir kennen uns auch damit aus. Aber oft ist es eine Frage von Kosten, Support, Wünschen etc., die dazu führen, dass man mit Cisco, Juniper und Microsoft (das sind die drei mit denen wir am meisten machen), am besten fährt.

Für viele Kunden zählt vor allem der Support. Wenn du da eine selbergebastelte Kiste hinstellst, dann hast du bei dem Kunden einen Fuß in der Tür. Ein möglicher Alternativdienstleister kann das Produkt vielleicht nicht supporten. Der Kunde hat vielleicht keine Lust es selber zu supporten. Und dann gibt es einen Konflikt: Viele Kunden haben keine Lust darauf, dass sich Dienstleister mit sowas festbeißen. Also lieber Standardprodukte nehmen. Da ist der Support aufgrund der guten Verfügbarkeit von Spezialisten auch meist günstiger und schneller zu bekommen.

[LL0rd]

Ich hatte selbst eine kleine PIX Firewall bei mir in der Firma im Einsatz. Aber die ist mir wirklich zu unflexibel geworden und da habe ich die dann durch eine FreeBSD Maschine ersetzt.

Für viele Kunden zählt vor allem der Support.

Also ich muss sagen, dass ich so etwas persönlich noch nicht erlebt habe. Entweder hatten die Kunden bereits eine HW Firewall oder die haben auf meine Empfehlung gehört ohne auch nur nachzufragen.

Ich verstehe ganz ehrlich auch nicht, wieso OSS angeblich bei der Konfiguration so teuer ist. Ich habe für alle (meine) Kunden verschiedene Images erstellt und die werden einfach eingespielt. IP Adressen ändern, ein bissl Config anpassen und fertig ist das Ding. Updates werden zentral per Script bei allen eingespielt. In den letzten 3 Jahren hat es immer funktioniert.

Die andere Sachen sind die Features. Ich wüsste jetzt nicht, welche Features eine kommerzielle Firewall hat, die nicht per OSS nachgebildet werden können.

[DocInfra]

Ich verstehe ganz ehrlich auch nicht, wieso OSS angeblich bei der Konfiguration so teuer ist. Ich habe für alle (meine) Kunden verschiedene Images erstellt und die werden einfach eingespielt. IP Adressen ändern, ein bissl Config anpassen und fertig ist das Ding. Updates werden zentral per Script bei allen eingespielt. In den letzten 3 Jahren hat es immer funktioniert.

Die andere Sachen sind die Features. Ich wüsste jetzt nicht, welche Features eine kommerzielle Firewall hat, die nicht per OSS nachgebildet werden können.

Wenn das für dich reicht, ist es doch okay. Wenn deine Kunden damit leben können und alles läuft, dann ist das doch okay. Aber mit der Nummer brauchst du bei einer Bank, Versicherung, einem größeren Mittelständler oder so nicht ankommen. Wenn du meinst doch, können wir uns gerne mal per ICQ austauschen.

[LL0rd]

Aber mit der Nummer brauchst du bei einer Bank, Versicherung, einem größeren Mittelständler oder so nicht ankommen. Wenn du meinst doch, können wir uns gerne mal per ICQ austauschen.

Diese Zielgruppe ist etwas schwieriger. Zwar kann ich hier durchaus größere Umsätze schaffen, allerdings ist der Stress bei der Auftragsabwicklung auch um einiges Höher, als bei kleinen und mittelgroßen Betrieben.

Solche Unternehmen haben in der Regel eine Liste mit Herstellern, an die man sich halten muss. Leider sind die Administratoren dieser Firma eines etwas älteren Baujahrs vom Typ KlickiBunti - Ich habe für die Maus bezahlt, also will ich die auch nutzen und das genießen.

Aber wie gesagt: Eine Marken-Firewall bei einem mittelständigen Betrieb (10-40 Mitarbeiter) ist in der Regel nicht vernünftig eingerichtet. Mit der Marke wird trügerische Sicherheit verkauft - und das halte ich für Gefährlich.

[DocInfra]

Diese Zielgruppe ist etwas schwieriger. Zwar kann ich hier durchaus größere Umsätze schaffen, allerdings ist der Stress bei der Auftragsabwicklung auch um einiges Höher, als bei kleinen und mittelgroßen Betrieben.

Falsch.

Solche Unternehmen haben in der Regel eine Liste mit Herstellern, an die man sich halten muss. Leider sind die Administratoren dieser Firma eines etwas älteren Baujahrs vom Typ KlickiBunti - Ich habe für die Maus bezahlt, also will ich die auch nutzen und das genießen.

Falsch.

Aber wie gesagt: Eine Marken-Firewall bei einem mittelständigen Betrieb (10-40 Mitarbeiter) ist in der Regel nicht vernünftig eingerichtet. Mit der Marke wird trügerische Sicherheit verkauft - und das halte ich für Gefährlich.

Falsch.

Wie ich sehe kennst du dich nur in deinem limitierten Umfeld aus. Belassen wir es also dabei.

[hades]

Ich hatte selbst eine kleine PIX Firewall bei mir in der Firma im Einsatz. Aber die ist mir wirklich zu unflexibel geworden und da habe ich die dann durch eine FreeBSD Maschine ersetzt.

Wie lange hast Du gebraucht, um beim ersten Mal dieselben PIX-Features mit OSS nachzubilden, inkl. aller benoetigten Schritte?

D.h. es beinhaltet hier nicht nur die Konfiguration der Firewallfunktionen, sondern bei einem selbgebasteltem System auch das hier

- Auswahl und ggfl. Vorbereiten der Hardware

- OS-Installation

- Haerten des Systems

Wenn Du jetzt auch noch den Pflegeaufwand (Arbeitszeit fuer Kernel- und Paketupdates) fuer die naechsten 3 Jahre dazurechnest... und auch den Support fuer die Hardware beruecksichtigst, dann kannst Du mit Sicherheit ein gleichwertiges Hardware-System mit Support eines namhaften Herstellers verkaufen und hast mit weniger Arbeitsaufwand dasselbe Ergebnis.

Wenn Du bei mir mit einer aelteren Hardware ohne Hardware-Support ankommen wuerdest, um diese als Firewall einzusetzen... vergiss es, Zeitbomben braucht keiner.

Bearbeitet 2. Februar 2010 von hades

[hades]

Ich wüsste jetzt nicht, welche Features eine kommerzielle Firewall hat, die nicht per OSS nachgebildet werden können.

Baue mir mal mit OSS ein Firewall-Cluster mit Umschaltzeiten auf die Standby-Unit im Mikrosekunden-Bereich, Uebernahme aller laufenden Sessions auf die Standby-Unit, intergriertem Network IDS sowie einer schleifenfreien Vollvermaschung zu den jeweils vor- und nachgelagerten Netzwerk-Komponenten.

Diese Anforderung koennte Dir z.B. im Provider- und Carrierumfeld gestellt werden.

Bearbeitet 2. Februar 2010 von hades

[LL0rd]

Also mein Setup ist jetzt 6 Jahre alt, es entwickelte sich immer weiter und weiter, bis man den heutigen Stand erreicht hat. Für die Wartung werden im Schnitt ca. 2 Stunden pro Woche benötigt. Wenn ich eine Marken-Firewall vertreiben soll, so ist es in der Regel die Firebox. Der Preis liegt dabei zwischen 50-70% des Markenproduktes für 3 Jahre inkl. Hardwareaustausch innerhalb von max. 2 Stunden. Es sind aber nur Gateway Lösungen.

Baue mir mal mit OSS ein Firewall-Cluster mit Umschaltzeiten auf die Standby-Unit im Mikrosekunden-Bereich, Uebernahme aller laufenden Sessions auf die Standby-Unit, intergriertem Network IDS sowie einer schleifenfreien Vollvermaschung zu den jeweils vor- und nachgelagerten Netzwerk-Komponenten.

Du beschreibst hier etwas andere Anforderungen. So etwas kannst du mit normaler Hardware nicht umsetzen. Für solche Anwendungsfälle brauchst du spezielle Hardware, wo alle Funktionen hardwarenahe implementiert sind.

[Gnork]

Redet man jetzt von einer reinen Firewall oder geht's hier eher um komplette Security Systeme / "Kreisläufe"? Also sowas was bei Cisco z.B. (Zone Based) Firewall + IPS + MARS + IronPort oder so wäre...

Ich denke mal sowas lässt sich nicht einfach "nachbauen"...

...aber vielleicht ja ein Honeypot

[LL0rd]

Also ich persönlich spreche hier von ganz normalen Firewalls.

Also IDS/IPS, Deep Packet inspection, Traffic shaping, VPNs, Web Gateway. Honeypots betreibe ich nur experimentell.

Ich spreche hier wie gesagt von Alternativen zur Cisco PIX, Astaro, Watchguard Firebox

[hades]

@LL0rd:

Du kanntest doch keinen Firewall-Anwendungsfall, der nicht auch mit OSS geloest werden koenne.

Wobei die Aufloesung keine Spezial-Anfertigung ist.

Das kann mit einigen Juniper Firewall Modellen realisiert werden (frueher war diese Juniper-Sparte Netscreen). Deren genutztes Protokoll ist das Netscreen-eigene NSRP.

Man kann viel mit OSS abbilden, aber eben nicht alles.

Naechster Punkt:

Was ist, wenn Deine auf OSS basierende Firewall / Security device ein Problem hat?

Bei OSS musst Du erstmal selbst herausfinden ob es die Hardware oder die Software ist.

Wenn es die OSS ist, dann kannst sofern vorhanden deren kommerziellen Support anrufen.

Wenn kein Support vorhanden ist, dann musst Du selbst in diversen Foren und Communities suchen und damit Deine kostbare, teure Arbeitszeit investieren, die vielleicht woanders besser eingesetzt werden kann.

Bei einer Hardware-Firewall rufst Du (vorausgesetzt es ist ein Servicevertrag vorhanden) einen Ansprechpartner fuer die gesamte Firewall an.

Hier kann es Dir auch nicht passieren, dass ein Ping-Pong zwischen dem Hardware- und Softwaresupport entsteht (viele Menschen sind so, dass sie Fehler erstmal bei anderen sehen/suchen).

[Wodar Hospur]

1) Kann afaik OpenBSD dank pfsync und CARP viel von den hier angesprochenen Enterprise Features.

2) Ist jemand den ich per Supportvertrag in die Zange nehmen kann sicher sehr wichtig. Aber ist dem Kunden wirklich wichtig ob er einen Vertrag mit Cisco wegen dem Support inklusive Reaktionszeiten hat oder mit mir?

3) Außerdem spricht für OSS das gerade kleinere Dinge oder Konfigurationen außerhalb des vom Hersteller gedachten Umfelds nicht mit einer hohen Priorität wenn überhaupt bearbeitet werden.

Während wenn KnowHow/Geld vorhanden ist bei OSS ein Entwickler diese Funktionalität nachbauen könnte, diese Problem beheben.

4) Was auch ein Vorteil sein "könnte" eine selbstgebaute Lösung kann im Notfall bei ZeroDay Lücken selbst gefixt werden. Während bei einer gekauften Lösung die Angaben des Herstellers zu beachten sind und im Notfall sogar auf ein Patch gewartet werden muss.

5) Weiß jemand eigentlich wie aufwendig das Zertifizieren von selbstgebauten Lösungen für bestimmte rechtliche Verträge ist (Basel II...)?

[DocInfra]

2) Ist jemand den ich per Supportvertrag in die Zange nehmen kann sicher sehr wichtig. Aber ist dem Kunden wirklich wichtig ob er einen Vertrag mit Cisco wegen dem Support inklusive Reaktionszeiten hat oder mit mir?

Ja klar. Hinter Juniper, Cisco etc. stehen viel größere Organisationen als bei dir als 1-Mann Unternehmen. Und das ist für den Großteil der Kunden wichtig. Wer etwas anderes behauptet ist weltfremd oder hat nie einen Kunden gesehen.

3) Außerdem spricht für OSS das gerade kleinere Dinge oder Konfigurationen außerhalb des vom Hersteller gedachten Umfelds nicht mit einer hohen Priorität wenn überhaupt bearbeitet werden.

Während wenn KnowHow/Geld vorhanden ist bei OSS ein Entwickler diese Funktionalität nachbauen könnte, diese Problem beheben.

So mancher Featurerequest in OSS ist viele Jahre offen und dann macht es doch keiner. Ich glaube dafür kann ich dir viele Beispiele nennen...

4) Was auch ein Vorteil sein "könnte" eine selbstgebaute Lösung kann im Notfall bei ZeroDay Lücken selbst gefixt werden. Während bei einer gekauften Lösung die Angaben des Herstellers zu beachten sind und im Notfall sogar auf ein Patch gewartet werden muss.

5) Weiß jemand eigentlich wie aufwendig das Zertifizieren von selbstgebauten Lösungen für bestimmte rechtliche Verträge ist (Basel II...)?

Nahezu unmöglich.

[@@@]

Ein Sicherheitssystem auf OSS aufzubauen, bei dem alle SW Komponenten aufeinander abgestimmt sind ist nicht einfach aber auch nicht übermässig schwierig.

Astaro verwendet ja auch z.B. eine eigens angepasste Linux Distribution und auf Juniper Hardware läuft ein angepasstes BSD.

Gerade bei Sicherheitsrelevanten angelegenheiten ist OpenBSD eine Möglichkeit die man in Betracht ziehen sollte, sofern das Know How vorhanden ist. Gerade pf ist in Kombination mit CARP eine Enterprisetaugliche Lösung.

Für den Laien mag eine Hochglanzbroschüre und ein Farbig angemaltes 19 Zoll Gehäuse nett sein, aber das ersetzt m.E. in grossen Unternehmen kein Personal, dass sich detailiert mit der Materie beschäftigt.

Ich setze da kein grosses Vertrauen in eierlegende Securitywollmilchsäue.

Und nur weil ein Produkt von einer Grossen Firma verkauft wird, heisst es noch lange nicht dass es auch sicher ist... Too big to fail funktioniert auch im IT Sektor nur begrenzt.

Im Vergleich zu Fertiglösungen bei denen ich für das Produkt zahle, muss ich bei OSS eher in die Dienstleistung investieren.

Für die Security ist aber immer noch entscheidend ob man eigenes kompetentes Personal hat.

[DocInfra]

Ein Sicherheitssystem auf OSS aufzubauen, bei dem alle SW Komponenten aufeinander abgestimmt sind ist nicht einfach aber auch nicht übermässig schwierig.

Wenn du das sagst...

Astaro verwendet ja auch z.B. eine eigens angepasste Linux Distribution und auf Juniper Hardware läuft ein angepasstes BSD.

Und? Die Antwort hast du dir selber gegeben: Ein angepasstes BSD. Zumal da bei ScreenOS einiges an NetScreen/ Juniper Hirnschmalz drinsteckt.

Gerade bei Sicherheitsrelevanten angelegenheiten ist OpenBSD eine Möglichkeit die man in Betracht ziehen sollte, sofern das Know How vorhanden ist. Gerade pf ist in Kombination mit CARP eine Enterprisetaugliche Lösung.

Wer mag das supporten? Niemand... Oder Leute die zuviel Zeit haben.

Für den Laien mag eine Hochglanzbroschüre und ein Farbig angemaltes 19 Zoll Gehäuse nett sein, aber das ersetzt m.E. in grossen Unternehmen kein Personal, dass sich detailiert mit der Materie beschäftigt.

Falsch. Knowhow ist in jedem Fall notwendig, keine Frage. Aber ich glaube die meisten hier im Thread haben immer noch nicht verstanden, dass es nicht um die technische Umsetzung geht, also ob da ein xBSD, Linux, Windows oder sonst was läuft, sondern um das "Drumherum". Das Unternehmen dahinter, den Support etc.

Ich setze da kein grosses Vertrauen in eierlegende Securitywollmilchsäue.

Du baust dir Storagesysteme auch selber zusammen was? Sind ja nur ein paar Platten...

Und nur weil ein Produkt von einer Grossen Firma verkauft wird, heisst es noch lange nicht dass es auch sicher ist... Too big to fail funktioniert auch im IT Sektor nur begrenzt.

ACK!

Im Vergleich zu Fertiglösungen bei denen ich für das Produkt zahle, muss ich bei OSS eher in die Dienstleistung investieren.

NACK! Dienstleistung für ein ordentliches Konzept, Training und Implementierung zahlst du auch bei Cisco, Juniper, Astaro etc. Vor allem dann, wenn du das Knowhow nicht hast.

Für die Security ist aber immer noch entscheidend ob man eigenes kompetentes Personal hat.

ACK!