Ein Vergleich OpenSource Training Webereistr. 1 48565 Steinfurt DFN-CERT Workshop 2006
OpenSource Training UNIX/Linux Systemadministration seit 1989 Freiberuflicher Dozent und Berater seit 1998 Autor mehrere Bücher und Zeitschriftenartikel Schulungsunternehmen seit 2004
Gliederung Vorstellung 1 Vorstellung 2 3 4
Single Point of Defense Gehärtetes System Kontrolle des eingehenden und ausgehenden Netzwerkverkehrs Inhaltsüberprüfung (Viren, SPAM, Unternehmensgeheimnisse) Bandbreitenkontrolle Sicherer Zugang von außen (VPN)
Warum Open Source? Preis Lizenzmodell Antwortzeiten des Herstellers Geringe Flexibilität
... und kostenlos? Werkzeuge Firewall-Builder (http://www.fwbuilder.org) Shorewall Linux-Distributionen (http://www.smoothwall.org) (http://www.ipcop.org) FreeBSD-Distributionen (http://www.m0n0.ch) (http://www.pfsense.com)
Firewall-Builder Vorstellung Werkzeug für eine Standarddistribution. Grafische Erzeugung der Regeln. Lauffähig unter Linux, MacOSX, Win32. Regelerzeugung für Iptables, Ipfilter, PF und Cisco PIX. Drag-n-Drop-Verwaltung der Regeln. Bridge-Funktionalität.
Firewall-Regeln in FW-Builder
Bridge Funktionalität in FW-Builder
Shoreline Firewall Vorstellung Werkzeug für Standarddistributionen. Skriptbasiert, keine grafische Oberfläche. Unterstützung für VPN, QoS und Accounting. Unproblematischer Test neuer Regeln auch aus der Ferne.
Shorewall Zonen /etc/shorewall/zones Vorstellung #ZONE DISPLAY COMMENTS net Internet The big bad Internet loc Local Local Network dmz DMZ Demilitarized zone.
Shorewall Policies /etc/shorewall/policy Vorstellung #SOURCE DEST POLICY LOG LIMIT:BURST # LEVEL loc net ACCEPT net all DROP info # THE FOLLOWING POLICY MUST BE LAST # all all REJECT info
Shorewall Regeln /etc/shorewall/rules Vorstellung #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ # PORT PORT(S) DEST LIMIT GROUP ACCEPT loc fw tcp 22 ACCEPT fw net tcp 53 ACCEPT fw net udp 53 ACCEPT fw net tcp 443 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Die Distributionen Vorstellung Download in Form einer CD Installation auf einer Festplatte/Compactflash Update-Mechanismus
Express Der Klassiker ist der Klassiker unter den Web-basierten Linux-Firewall-Distributionen. Es stellt fast alle benötigten Funktionen zur Verfügung. Kommerzieller Support durch eine Firma möglich.
Konfiguration
Eigenschaften Einfache Installation SSL-Web-Interface Einfaches Einspielen von Updates Dienste: DHCP-Server NTP-Zeitserver Web- und DNS-Proxy Bandbreitenkontrolle Intrusion Detection mit Snort Dynamic DNS Client VPN mit IPsec und Preshared Keys Status-Anzeigen
Abstraktion der Netzwerkkarten Für das einfachere Verständnis versieht die Netzwerkkarten mit Farben: red - Internet orange - DMZ green - LAN
Basiert auf Vorstellung Da auf aufbaut, sind sowohl Installation als auch Konfiguration ähnlich. enthält daher zu den -Funktionen folgende zusätzliche Funktionen: Updates GPG-signiert. Snort mit Sourcefire-VRT-Regeln. VPNs mit Zertifikaten.
Installation Vorstellung
Netzwerk-Konfiguration
VPN-Konfiguration
IDS-Konfiguration
Abstraktion der Netzwerkkarten Da auf aufbaut, verwendet dieselbe Abstraktion: red - Internet orange - DMZ green - LAN blue - WLAN
Addons Vorstellung Squidguard - ein URLFilter Cop+ - ein ProxyFilter AdvProxy - ein ProxyFilter mit umfangreicher Authentifizierung Copfilter - SMTP/POP/HTTP/FTP SPAM- und Antivirusfilter BlockOutTraffic - filtert auch ausgehenden Verkehr
Vorstellung ist ein FreeBSD 6.0 basierende Firewall. Web-Interface mit SSL Zustandsorientierter Paketfilter IPsec VPN und PPTP VPN Bandbreitenregelung Weniger als 6MB
Konfiguration
Vorstellung Die -Firewall basiert auf der. Sie bietet folgende weiteren Funktionen: Load Balancing Setup Wizard CARP Hochverfügbarkeit gif-ipsec Interface Wireless Funktionen (WPA, HostAP, etc.) Configuration History
Konfiguration
bieten leicht bedienbare grafische Web-Oberflächen. Updates sind zeitnah verfügbar (teilweise kommerziell). Support erfolgt durch die große Benutzer- und Entwicklergemeinde oder kommerzielle Firmen. VPN, Firewall und Inhaltsfilter stellen die Lösungen vor keine Probleme.
Vorstellung Fragen OpenSource Training Webereistr. 1 48565 Steinfurt Schulungen direkt vom Autor System und Netzwerk Administration Apache 2.0, Samba, Postfix VPN, Firewall, IDS SELinux