Project DIY Firewall: dos and donts

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

25.02.2010 - 11:23

IDS = Intrusion Detection System
IPS = Intrusion Prevention System

so gesehen die IDS zeigt dir nur auf da wäre was und die IPS blockts dann

Burschi1620

24/7 Santa Claus

Registered: Apr 2004
Location: Drüber da Donau
Posts: 6792

25.02.2010 - 11:40

Zitat von matiss
@Burschi Klugsch*** :P Gramatik und Rechtschreibefehler darfst dir behalten

is net bös gemeint, mich hat der zweite Teil des Threadtitels nur so an eine Englisch Grammatikfrage erinnern

(Wann do/does/dont?!

)

matiss

Chaos Maestro

Registered: Dec 2007
Location: Vienna
Posts: 736

25.02.2010 - 13:11

@Burschi: Hab ich auch nicht so aufgenommen und war auch von mir nur im Spaß gemeint

Und ja diese Tests sind mir auch noch in Erinnerung

@Neo Klar und logisch, bin nur mit der Abkürzung angestanden. Soweit ich mich jetzt kurz erkundigt habe hätte ich mit snort ja eigentlich schon ein IPS. Weitere die ich jetzt gefunden habe wären Untangle und Lokkit. Gibts da noch andere die man sich unbedingt ansehen sollte?

Jediknight

Big d00d

Registered: Jul 2002
Location: 3xx4
Posts: 206

25.02.2010 - 14:00

würd dir snort empfehlen als IPS. Dieses muss aber, wenn es als IPS verwendet werden soll, im In-Line Modus kompiliert sein.
Untangel und Lokkit sagen mir persönlich nichts.
Mir würde noch Bro als IPS einfallen (aber erst seit der Version 1.5), kann aber davon nur abraten da die Doku dazu sehr sehr bescheiden ist

edit:

Wie willst du die Aufteilung von LAN, DMZ und WAN vornehmen? Einfach alle Dienste (Apache, Firewall,...) auf einer Kisten Installieren? Und mittels IPtables abgrenzen?

Bearbeitet von Jediknight am 25.02.2010, 14:04

matiss

Chaos Maestro

Registered: Dec 2007
Location: Vienna
Posts: 736

25.02.2010 - 15:58

@Jedi: Firewall ist ein eigener Rechner mit 3 Netzwerkkarten, je eine für WAN(1Gbit), LAN(1Gbit) und DMZ(100Mbit). DMZ kommt dann der Web & Co Server direkt dran, LAN geht auf nen Switch.

Marcellus

OC Addicted

Registered: Mar 2005
Location: ~
Posts: 1755

25.02.2010 - 16:03

Wieso nimmst du die 100Mbit karte nicht fürs internet? Ich glaub kaum, das du die gbit karte da brauchst.

deftenski

mit barockfelgen

Registered: May 2002
Location: back home
Posts: 1241

25.02.2010 - 16:04

was zum Teufel hast du fuer eine Anbindung, dass du am WAN Interface 1G brauchst, in der DMZ aber nur 100M?

E: pwnd, grrr

matiss

Chaos Maestro

Registered: Dec 2007
Location: Vienna
Posts: 736

26.02.2010 - 09:29

Ich hab die zwei 1Gbit Karten geschenkt bekommen und kauf mir wenn es mit dem Webserver in der DMZ aktuell wird dann noch eine dritte für die DMZ Seite der Firewall.

@deftenski: chello fibre power ultra

deftenski

mit barockfelgen

Registered: May 2002
Location: back home
Posts: 1241

26.02.2010 - 09:45

also 100M WAN. Ich wuerd wohl die zweite GBit Karte fuer die DMZ nehmen und dann bei bedarf eine dritte fuer das WAN Interface kaufen ..

Gex

Oralapostel

Registered: Jan 2001
Location: Piefkinesien
Posts: 3376

26.02.2010 - 15:55

Ich würd sowas hier nehmen

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12185

26.02.2010 - 16:12

Imho sinnlos, weil nur Fast Ethernet. Da nehme ich lieber einen modernen Router mit embedded Linux, MIPS-CPU und GBit-Switch, den ich dann mit OpenWRT nachrueste.

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3795

26.02.2010 - 16:24

Wir haben in der Firma einige ähnliche Dinger in unseren Messgeräten im Einsatz (IEI Wafer). Sind an sich super, wie von Colo erwähnt bieten sie aber leider kein GBit Ethernet, wen das nicht stört dem kann ich eine klare Kaufempfehlung geben, die Geräte laufen wirklich rockstable (bei heißen 6W Stromverbrauch).

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12673

26.02.2010 - 17:15

Zitat von COLOSSUS
Imho sinnlos, weil nur Fast Ethernet. Da nehme ich lieber einen modernen Router mit embedded Linux, MIPS-CPU und GBit-Switch, den ich dann mit OpenWRT nachrueste.

welchen würdest du da empfehlen, eventuell mit n-wlan ?

find die alix boards auch wirklich toll, leider sind sie halt ned sehr zukunftssicher bzw. brauchst dann erst wieder einen gbit-switch.

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3795

26.02.2010 - 17:17

In einem anderen Thread besprechen wir grad den: http://geizhals.at/a486889.html

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12673

26.02.2010 - 17:34

Zitat von nexus_VI
In einem anderen Thread besprechen wir grad den: http://geizhals.at/a486889.html

ah, fein danke

Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	25.02.2010 - 11:23 IDS = Intrusion Detection System IPS = Intrusion Prevention System so gesehen die IDS zeigt dir nur auf da wäre was und die IPS blockts dann
Burschi1620 24/7 Santa Claus Registered: Apr 2004 Location: Drüber da Donau Posts: 6792	25.02.2010 - 11:40 Zitat von matiss @Burschi Klugsch*** :P Gramatik und Rechtschreibefehler darfst dir behalten is net bös gemeint, mich hat der zweite Teil des Threadtitels nur so an eine Englisch Grammatikfrage erinnern (Wann do/does/dont?! )
matiss Chaos Maestro Registered: Dec 2007 Location: Vienna Posts: 736	25.02.2010 - 13:11 @Burschi: Hab ich auch nicht so aufgenommen und war auch von mir nur im Spaß gemeint Und ja diese Tests sind mir auch noch in Erinnerung @Neo Klar und logisch, bin nur mit der Abkürzung angestanden. Soweit ich mich jetzt kurz erkundigt habe hätte ich mit snort ja eigentlich schon ein IPS. Weitere die ich jetzt gefunden habe wären Untangle und Lokkit. Gibts da noch andere die man sich unbedingt ansehen sollte?
Jediknight Big d00d Registered: Jul 2002 Location: 3xx4 Posts: 206	25.02.2010 - 14:00 würd dir snort empfehlen als IPS. Dieses muss aber, wenn es als IPS verwendet werden soll, im In-Line Modus kompiliert sein. Untangel und Lokkit sagen mir persönlich nichts. Mir würde noch Bro als IPS einfallen (aber erst seit der Version 1.5), kann aber davon nur abraten da die Doku dazu sehr sehr bescheiden ist edit: Wie willst du die Aufteilung von LAN, DMZ und WAN vornehmen? Einfach alle Dienste (Apache, Firewall,...) auf einer Kisten Installieren? Und mittels IPtables abgrenzen? Bearbeitet von Jediknight am 25.02.2010, 14:04
matiss Chaos Maestro Registered: Dec 2007 Location: Vienna Posts: 736	25.02.2010 - 15:58 @Jedi: Firewall ist ein eigener Rechner mit 3 Netzwerkkarten, je eine für WAN(1Gbit), LAN(1Gbit) und DMZ(100Mbit). DMZ kommt dann der Web & Co Server direkt dran, LAN geht auf nen Switch.
Marcellus OC Addicted Registered: Mar 2005 Location: ~ Posts: 1755	25.02.2010 - 16:03 Wieso nimmst du die 100Mbit karte nicht fürs internet? Ich glaub kaum, das du die gbit karte da brauchst.
deftenski mit barockfelgen Registered: May 2002 Location: back home Posts: 1241	25.02.2010 - 16:04 was zum Teufel hast du fuer eine Anbindung, dass du am WAN Interface 1G brauchst, in der DMZ aber nur 100M? E: pwnd, grrr
matiss Chaos Maestro Registered: Dec 2007 Location: Vienna Posts: 736	26.02.2010 - 09:29 Ich hab die zwei 1Gbit Karten geschenkt bekommen und kauf mir wenn es mit dem Webserver in der DMZ aktuell wird dann noch eine dritte für die DMZ Seite der Firewall. @deftenski: chello fibre power ultra
deftenski mit barockfelgen Registered: May 2002 Location: back home Posts: 1241	26.02.2010 - 09:45 also 100M WAN. Ich wuerd wohl die zweite GBit Karte fuer die DMZ nehmen und dann bei bedarf eine dritte fuer das WAN Interface kaufen ..
Gex Oralapostel Registered: Jan 2001 Location: Piefkinesien Posts: 3376	26.02.2010 - 15:55 Ich würd sowas hier nehmen
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12185	26.02.2010 - 16:12 Imho sinnlos, weil nur Fast Ethernet. Da nehme ich lieber einen modernen Router mit embedded Linux, MIPS-CPU und GBit-Switch, den ich dann mit OpenWRT nachrueste.
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3795	26.02.2010 - 16:24 Wir haben in der Firma einige ähnliche Dinger in unseren Messgeräten im Einsatz (IEI Wafer). Sind an sich super, wie von Colo erwähnt bieten sie aber leider kein GBit Ethernet, wen das nicht stört dem kann ich eine klare Kaufempfehlung geben, die Geräte laufen wirklich rockstable (bei heißen 6W Stromverbrauch).
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12673	26.02.2010 - 17:15 Zitat von COLOSSUS Imho sinnlos, weil nur Fast Ethernet. Da nehme ich lieber einen modernen Router mit embedded Linux, MIPS-CPU und GBit-Switch, den ich dann mit OpenWRT nachrueste. welchen würdest du da empfehlen, eventuell mit n-wlan ? find die alix boards auch wirklich toll, leider sind sie halt ned sehr zukunftssicher bzw. brauchst dann erst wieder einen gbit-switch.
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3795	26.02.2010 - 17:17 In einem anderen Thread besprechen wir grad den: http://geizhals.at/a486889.html
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12673	26.02.2010 - 17:34 Zitat von nexus_VI In einem anderen Thread besprechen wir grad den: http://geizhals.at/a486889.html ah, fein danke

Project DIY Firewall: dos and donts

Forum Index > Software > Linux and other OS

Neo-=IuE=-

Burschi1620

matiss

Jediknight

matiss

Marcellus

deftenski

matiss

deftenski

Gex

COLOSSUS

nexus_VI

davebastard

nexus_VI

davebastard