OpenSource Firewall Lösungen

Größe: px

Ab Seite anzeigen:

Download "OpenSource Firewall Lösungen"

Gitta Beckenbauer
vor 8 Jahren
Abrufe

1 Ein Vergleich OpenSource Training Webereistr Steinfurt DFN-CERT Workshop 2006

2 OpenSource Training UNIX/Linux Systemadministration seit 1989 Freiberuflicher Dozent und Berater seit 1998 Autor mehrere Bücher und Zeitschriftenartikel Schulungsunternehmen seit 2004

3 Gliederung Vorstellung 1 Vorstellung 2 3 4

4 Single Point of Defense Gehärtetes System Kontrolle des eingehenden und ausgehenden Netzwerkverkehrs Inhaltsüberprüfung (Viren, SPAM, Unternehmensgeheimnisse) Bandbreitenkontrolle Sicherer Zugang von außen (VPN)

5 Warum Open Source? Preis Lizenzmodell Antwortzeiten des Herstellers Geringe Flexibilität

6 ... und kostenlos? Werkzeuge Firewall-Builder ( Shorewall Linux-Distributionen ( ( FreeBSD-Distributionen ( (

org) Shorewall Linux-Distributionen (http://www.

7 Firewall-Builder Vorstellung Werkzeug für eine Standarddistribution. Grafische Erzeugung der Regeln. Lauffähig unter Linux, MacOSX, Win32. Regelerzeugung für Iptables, Ipfilter, PF und Cisco PIX. Drag-n-Drop-Verwaltung der Regeln. Bridge-Funktionalität.

8 Firewall-Regeln in FW-Builder

9 Bridge Funktionalität in FW-Builder

10 Shoreline Firewall Vorstellung Werkzeug für Standarddistributionen. Skriptbasiert, keine grafische Oberfläche. Unterstützung für VPN, QoS und Accounting. Unproblematischer Test neuer Regeln auch aus der Ferne.

11 Shorewall Zonen /etc/shorewall/zones Vorstellung #ZONE DISPLAY COMMENTS net Internet The big bad Internet loc Local Local Network dmz DMZ Demilitarized zone.

12 Shorewall Policies /etc/shorewall/policy Vorstellung #SOURCE DEST POLICY LOG LIMIT:BURST # LEVEL loc net ACCEPT net all DROP info # THE FOLLOWING POLICY MUST BE LAST # all all REJECT info

13 Shorewall Regeln /etc/shorewall/rules Vorstellung #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ # PORT PORT(S) DEST LIMIT GROUP ACCEPT loc fw tcp 22 ACCEPT fw net tcp 53 ACCEPT fw net udp 53 ACCEPT fw net tcp 443 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

ACCEPT loc fw tcp 22 ACCEPT fw net tcp 53 ACCEPT fw net udp 53 ACCEPT

14 Die Distributionen Vorstellung Download in Form einer CD Installation auf einer Festplatte/Compactflash Update-Mechanismus

15 Express Der Klassiker ist der Klassiker unter den Web-basierten Linux-Firewall-Distributionen. Es stellt fast alle benötigten Funktionen zur Verfügung. Kommerzieller Support durch eine Firma möglich.

Es stellt fast alle benötigten Funktionen zur

16 Konfiguration

17 Eigenschaften Einfache Installation SSL-Web-Interface Einfaches Einspielen von Updates Dienste: DHCP-Server NTP-Zeitserver Web- und DNS-Proxy Bandbreitenkontrolle Intrusion Detection mit Snort Dynamic DNS Client VPN mit IPsec und Preshared Keys Status-Anzeigen

und DNS-Proxy Bandbreitenkontrolle Intrusion Detection mit Snort

18 Abstraktion der Netzwerkkarten Für das einfachere Verständnis versieht die Netzwerkkarten mit Farben: red - Internet orange - DMZ green - LAN

19 Basiert auf Vorstellung Da auf aufbaut, sind sowohl Installation als auch Konfiguration ähnlich. enthält daher zu den -Funktionen folgende zusätzliche Funktionen: Updates GPG-signiert. Snort mit Sourcefire-VRT-Regeln. VPNs mit Zertifikaten.

enthält daher zu den -Funktionen folgende zusätzliche

20 Installation Vorstellung

21 Netzwerk-Konfiguration

22 VPN-Konfiguration

23 IDS-Konfiguration

24 Abstraktion der Netzwerkkarten Da auf aufbaut, verwendet dieselbe Abstraktion: red - Internet orange - DMZ green - LAN blue - WLAN

25 Addons Vorstellung Squidguard - ein URLFilter Cop+ - ein ProxyFilter AdvProxy - ein ProxyFilter mit umfangreicher Authentifizierung Copfilter - SMTP/POP/HTTP/FTP SPAM- und Antivirusfilter BlockOutTraffic - filtert auch ausgehenden Verkehr

26 Vorstellung ist ein FreeBSD 6.0 basierende Firewall. Web-Interface mit SSL Zustandsorientierter Paketfilter IPsec VPN und PPTP VPN Bandbreitenregelung Weniger als 6MB

27 Konfiguration

28 Vorstellung Die -Firewall basiert auf der. Sie bietet folgende weiteren Funktionen: Load Balancing Setup Wizard CARP Hochverfügbarkeit gif-ipsec Interface Wireless Funktionen (WPA, HostAP, etc.) Configuration History

29 Konfiguration

30 bieten leicht bedienbare grafische Web-Oberflächen. Updates sind zeitnah verfügbar (teilweise kommerziell). Support erfolgt durch die große Benutzer- und Entwicklergemeinde oder kommerzielle Firmen. VPN, Firewall und Inhaltsfilter stellen die Lösungen vor keine Probleme.

31 Vorstellung Fragen OpenSource Training Webereistr Steinfurt Schulungen direkt vom Autor System und Netzwerk Administration Apache 2.0, Samba, Postfix VPN, Firewall, IDS SELinux

Ähnliche Dokumente

IP-COP The bad packets stop here

LUSC Workshopweekend 2008 IP-COP The bad packets stop here Firewall auf Linuxbasis Zusammenfassung Teil 1 Was ist IP-COP? Warum IP-COP? Hardwarevoraussetzungen Konzept von IP-COP Installation Schritt für