View
239
Download
0
Category
Preview:
Citation preview
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
OpenSource Firewall LösungenEin Vergleich
Ralf Spenneberg
OpenSource TrainingRalf Spenneberg
Webereistr. 148565 Steinfurt
DFN-CERT Workshop 2006
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
Ralf SpennebergOpenSource Training Ralf Spenneberg
UNIX/Linux Systemadministration seit 1989Freiberuflicher Dozent und Berater seit 1998Autor mehrere Bücher und ZeitschriftenartikelSchulungsunternehmen seit 2004
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
Gliederung
1 Vorstellung
2 Warum eine Firewall?
3 OpenSource LösungenSmoothwallIPCopM0n0wallPfsense
4 Zusammenfassung
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
Warum eine Firewall?
Single Point of DefenseGehärtetes SystemKontrolle des eingehenden und ausgehendenNetzwerkverkehrsInhaltsüberprüfung (Viren, SPAM,Unternehmensgeheimnisse)BandbreitenkontrolleSicherer Zugang von außen (VPN)
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
Warum Open Source?
PreisLizenzmodellAntwortzeiten des HerstellersGeringe Flexibilität
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
OpenSource Firewall Lösungen... und kostenlos?
WerkzeugeFirewall-Builder (http://www.fwbuilder.org)Shorewall
Linux-DistributionenSmoothwall (http://www.smoothwall.org)IPCop (http://www.ipcop.org)
FreeBSD-DistributionenM0n0wall (http://www.m0n0.ch)Pfsense (http://www.pfsense.com)
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Firewall-Builder
Werkzeug für eine Standarddistribution.Grafische Erzeugung der Regeln.Lauffähig unter Linux, MacOSX, Win32.Regelerzeugung für Iptables, Ipfilter, PF und Cisco PIX.Drag-n-Drop-Verwaltung der Regeln.Bridge-Funktionalität.
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Firewall-Regeln in FW-Builder
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Bridge Funktionalität in FW-Builder
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Shoreline Firewall
Werkzeug für Standarddistributionen.Skriptbasiert, keine grafische Oberfläche.Unterstützung für VPN, QoS und Accounting.Unproblematischer Test neuer Regeln auch aus der Ferne.
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Shorewall Zonen/etc/shorewall/zones
#ZONE DISPLAY COMMENTSnet Internet The big bad Internetloc Local Local Networkdmz DMZ Demilitarized zone.
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Shorewall Policies/etc/shorewall/policy
#SOURCE DEST POLICY LOG LIMIT:BURST# LEVELloc net ACCEPTnet all DROP info
# THE FOLLOWING POLICY MUST BE LAST#all all REJECT info
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Shorewall Regeln/etc/shorewall/rules
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/# PORT PORT(S) DEST LIMIT GROUPACCEPT loc fw tcp 22ACCEPT fw net tcp 53ACCEPT fw net udp 53ACCEPT fw net tcp 443#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Die Distributionen
Download in Form einer CDInstallation auf einer Festplatte/CompactflashUpdate-Mechanismus
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Smoothwall ExpressDer Klassiker
Smoothwall ist der Klassiker unter den Web-basiertenLinux-Firewall-Distributionen.Es stellt fast alle benötigten Funktionen zur Verfügung.Kommerzieller Support durch eine Firma möglich.
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Smoothwall Konfiguration
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Smoothwall Eigenschaften
Einfache InstallationSSL-Web-InterfaceEinfaches Einspielen von UpdatesDienste:
DHCP-ServerNTP-ZeitserverWeb- und DNS-ProxyBandbreitenkontrolleIntrusion Detection mit SnortDynamic DNS Client
VPN mit IPsec und Preshared KeysStatus-Anzeigen
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Abstraktion der Netzwerkkarten
Für das einfachere Verständnis versieht Smoothwall dieNetzwerkkarten mit Farben:
red - Internetorange - DMZgreen - LAN
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
IPCopBasiert auf Smoothwall
Da IPCop auf Smoothwall aufbaut, sind sowohl Installation alsauch Konfiguration ähnlich.IPCop enthält daher zu den Smoothwall-Funktionen folgendezusätzliche Funktionen:
Updates GPG-signiert.Snort mit Sourcefire-VRT-Regeln.VPNs mit Zertifikaten.
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
IPCop Installation
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
IPCop Netzwerk-Konfiguration
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
IPCop VPN-Konfiguration
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
IPCop IDS-Konfiguration
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Abstraktion der Netzwerkkarten
Da IPCop auf Smoothwall aufbaut, verwendet IPCop dieselbeAbstraktion:
red - Internetorange - DMZgreen - LANblue - WLAN
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
IPCop Addons
Squidguard - ein URLFilterCop+ - ein ProxyFilterAdvProxy - ein ProxyFilter mit umfangreicherAuthentifizierungCopfilter - SMTP/POP/HTTP/FTP SPAM- und AntivirusfilterBlockOutTraffic - filtert auch ausgehenden Verkehr
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
M0n0wall
M0n0wall ist ein FreeBSD 6.0 basierende Firewall.Web-Interface mit SSLZustandsorientierter PaketfilterIPsec VPN und PPTP VPNBandbreitenregelungWeniger als 6MB
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
M0n0wall Konfiguration
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Pfsense
Die Pfsense-Firewall basiert auf der M0n0wall. Sie bietetfolgende weiteren Funktionen:
Load BalancingSetup WizardCARP Hochverfügbarkeitgif-IPsec InterfaceWireless Funktionen (WPA, HostAP, etc.)Configuration History
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
SmoothwallIPCopM0n0wallPfsense
Pfsense Konfiguration
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
Zusammenfassung
OpenSource Lösungen bieten leicht bedienbare grafischeWeb-Oberflächen.Updates sind zeitnah verfügbar (teilweise kommerziell).Support erfolgt durch die große Benutzer- undEntwicklergemeinde oder kommerzielle Firmen.VPN, Firewall und Inhaltsfilter stellen die Lösungen vorkeine Probleme.
Ralf Spenneberg OpenSource Firewall Lösungen
VorstellungWarum eine Firewall?
OpenSource LösungenZusammenfassung
Fragen
OpenSource Training Schulungen direkt vom AutorRalf Spenneberg System und Netzwerk Administration
Webereistr. 1 Apache 2.0, Samba, Postfix48565 Steinfurt VPN, Firewall, IDS
SELinux
Ralf Spenneberg OpenSource Firewall Lösungen
Recommended