Hallo,

ich brauche mal kurz Empfehlungen für ein neues Firewall-Produkt, das
einige Symantec SGS ersetzen soll. Anforderungsprofil:

- Nicht von Juniper (Netscreens sind bereits die second source in
einer dual-vendor-strategie)
- Nicht von Cisco (man möchte Firewalls und keine aufgebohrten
NAT-Gateways)
- Nicht von Checkpoint (politisch nicht gewollt)
- Kein Produkt Marke "wir nehmen Linux plus Netfilter, stricken ein
hübsches Webinterface drumrum und verkaufen es auf einem Booksize-PC
als Security-Appliance"

Schön wäre
- Proxybasiert, um ein der Symantec ähnliches Paradigma zu haben
- Konfiguration klickbar, aber ohne Windows-Zwang (z.B. ein
Webinterface)
- Regelwerk ohne Reihenfolge der Regeln, es greift die am besten
passende Regel (das ist ungewöhnlich, aber das von der Symantec
bekannte Verhalten)
- Keine Platte im Gerät

Wie taugen die aktuellen Produkte von Fortinet, Secure Computing,
Watchguard und Konsorten? Was sind die anderen "üblichen
Verdächtigen"?

Danke für Eure Tipps.

Grüße
Marc

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Marc Haber schrieb:

> - Kein Produkt Marke "wir nehmen Linux plus Netfilter, stricken ein
> hübsches Webinterface drumrum und verkaufen es auf einem Booksize-PC
> als Security-Appliance"

Du sagst das, als wäre das was schlechtes ;-)

> Schön wäre
> - Proxybasiert, um ein der Symantec ähnliches Paradigma zu haben
> - Konfiguration klickbar, aber ohne Windows-Zwang (z.B. ein
> Webinterface)
> - Regelwerk ohne Reihenfolge der Regeln, es greift die am besten
> passende Regel (das ist ungewöhnlich, aber das von der Symantec
> bekannte Verhalten)

Im Idealfall sollte genau eine Regel greifen, dann ist die Reihenfolge
eigentlich egal. Das erfordert allerdings den Einsatz von Hirnschmalz
bei der Einrichtung des Regelwerks.

> - Keine Platte im Gerät

Dann kriegst du bei einigen Herstellern ein Problem mit den gewünschten
Proxies.

Aber erzähl doch mal ein bisschen mehr: Wieviele User sitzen dahinter?
Für welche Dienster wird Proxy-Funktionalität gewünscht? Web? Pop3?
smtp? Soll ein Virenschutz mit dabei sein? Spamfilter? VPN?

Andreas
--
Offizielles Mitglied von Roland Mösls Killfile

Marc Haber <mh+usenetspam0827*zugschl.us>:
> ich brauche mal kurz Empfehlungen für ein neues Firewall-Produkt, das
> einige Symantec SGS ersetzen soll. Anforderungsprofil:
>
> - Nicht von Juniper (Netscreens sind bereits die second source in
> einer dual-vendor-strategie)
> - Nicht von Cisco (man möchte Firewalls und keine aufgebohrten
> NAT-Gateways)
> - Nicht von Checkpoint (politisch nicht gewollt)
> - Kein Produkt Marke "wir nehmen Linux plus Netfilter, stricken ein
> hübsches Webinterface drumrum und verkaufen es auf einem Booksize-PC
> als Security-Appliance"

Damit hast du die "grosse" Konkurrenz eliminiert. Es gibt aber noch
etliche dutzend Produkte kleinerer Hersteller.

> Schön wäre
> - Proxybasiert, um ein der Symantec ähnliches Paradigma zu haben

Mickeysoft ISA.

> - Konfiguration klickbar, aber ohne Windows-Zwang (z.B. ein
> Webinterface)

Tja.

> - Regelwerk ohne Reihenfolge der Regeln, es greift die am besten
> passende Regel (das ist ungewöhnlich, aber das von der Symantec
> bekannte Verhalten)

Das machte Sun's Sunscreen auch. Damals. Bloed wird es, wenn es "die
am besten passende Regel" nicht gibt, oder wenn die SW eine andere
Vorstellung von "die Regel passt besser" hat, als der Admin.

Ausserdem zeugt dieses Paradigma von fehlenden Algebrakenntnissen der
Entwickler und Admins (Speziell: elementare Logik), welchees fuer ein
hierarchisches, oder sequentiell strukturiertes Regelwerk notwendig
ist (die Regeln sind durch elementare logische Operationen verknuepft).

> - Keine Platte im Gerät

Das wirst du kaum noch finden.

> Wie taugen die aktuellen Produkte von Fortinet, Secure Computing,
> Watchguard und Konsorten? Was sind die anderen "üblichen
> Verdächtigen"?

Die ueblichen Verdaechtigen hast du oben ausgeschlossen. Aber es gibt
viele Spezialisten auf dem Firewall-Markt. Auch hierzulande (Genua
z.B.).

> Danke für Eure Tipps.

Was mir in deiner Anforderung fehlt ist eine Beschreibung, was genau
fuer Traffic drueber fliessen koennen soll, welche Protokolle/Anwendungen
beherrscht werden muessen. Auch das ist ein wichtiges Kriterium.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Andreas Cammin <andreas.cammin*freenet.de>:
> Marc Haber schrieb:
>
>> - Kein Produkt Marke "wir nehmen Linux plus Netfilter, stricken ein
>> hübsches Webinterface drumrum und verkaufen es auf einem Booksize-PC
>> als Security-Appliance"
>
> Du sagst das, als wäre das was schlechtes ;-)

Wenn man oeffentliche TCP Services anbietet (also eine inbound
TCP-accept Regel hat), und die Conntrack-Statemaschine fuer TCP
verwenden will, ist die tolle Linux/Netfilter-firewall trivial
DoS-bar (FIN-Timer-Reset-Ressource-Exhaustion-Attacke).

> Im Idealfall sollte genau eine Regel greifen, dann ist die Reihenfolge
> eigentlich egal. Das erfordert allerdings den Einsatz von Hirnschmalz
> bei der Einrichtung des Regelwerks.

Sequentielle Regelwerke erfordern ein wenig Grundwissen in Algebra
(elementare Logik). Es mag Leute geben, die das nicht koennen. Was die
allerdings in der IT verloren haben, kann und werde ich nie verstehen.

Juergen

Juergen P. Meier schrieb:

> Wenn man oeffentliche TCP Services anbietet (also eine inbound
> TCP-accept Regel hat), und die Conntrack-Statemaschine fuer TCP
> verwenden will, ist die tolle Linux/Netfilter-firewall trivial
> DoS-bar (FIN-Timer-Reset-Ressource-Exhaustion-Attacke).

Wie oft kommt sowas in freier Wildbahn vor?

>> Im Idealfall sollte genau eine Regel greifen, dann ist die Reihenfolge
>> eigentlich egal. Das erfordert allerdings den Einsatz von Hirnschmalz
>> bei der Einrichtung des Regelwerks.
>
> Sequentielle Regelwerke erfordern ein wenig Grundwissen in Algebra
> (elementare Logik). Es mag Leute geben, die das nicht koennen. Was die
> allerdings in der IT verloren haben, kann und werde ich nie verstehen.

Redundante Regeln im Netfilter können manchmal lustige Seiteneffekte
ergeben :-)

Andreas
--
Offizielles Mitglied von Roland Mösls Killfile

Juergen P. Meier schrieb:

>> - Keine Platte im Gerät
>
> Das wirst du kaum noch finden.

Kommt drauf an. Bei bis zu 10 Usern findet man durchaus noch Geräte, die
ohne Festplatte auskommen. Dann dürfen die Clients aber nicht gerade
ständig Riesen-Anhänge per email verschicken bzw. empfangen.

Allerdings hört sich der OP eher so an als bräuchte er ein "grosses
Eisen"...

> Was mir in deiner Anforderung fehlt ist eine Beschreibung, was genau
> fuer Traffic drueber fliessen koennen soll, welche Protokolle/Anwendungen
> beherrscht werden muessen. Auch das ist ein wichtiges Kriterium.

aber sowas von :-P

Andreas
--
Offizielles Mitglied von Roland Mösls Killfile

Andreas Cammin <andreas.cammin*freenet.de> wrote:
>Marc Haber schrieb:
>> - Kein Produkt Marke "wir nehmen Linux plus Netfilter, stricken ein
>> hübsches Webinterface drumrum und verkaufen es auf einem Booksize-PC
>> als Security-Appliance"
>
>Du sagst das, als wäre das was schlechtes ;-)

Das ist insoweit was schlechtes, dass ich Linux plus Netfilter dann
doch lieber selbst machen würde, da weiß ich wenigstens was passiert.
Außerdem gibt's von dieser Produktart viel zu viele Produkte die alle
auf unterschiedliche Weise Scheiße sind. Und eigentlich erwarte ich
von einer Firewall inzwischen auch mehr als das, was Linux plus
Netfilter zu liefern fähig sind (z.B. Connection Tracking für MS-RPC
und SIP/RTP).

>> Schön wäre
>> - Proxybasiert, um ein der Symantec ähnliches Paradigma zu haben
>> - Konfiguration klickbar, aber ohne Windows-Zwang (z.B. ein
>> Webinterface)
>> - Regelwerk ohne Reihenfolge der Regeln, es greift die am besten
>> passende Regel (das ist ungewöhnlich, aber das von der Symantec
>> bekannte Verhalten)
>
>Im Idealfall sollte genau eine Regel greifen, dann ist die Reihenfolge
>eigentlich egal. Das erfordert allerdings den Einsatz von Hirnschmalz
>bei der Einrichtung des Regelwerks.

Und genau das haben die Leute beim Einsatz von Symantec verlernt. Und
ich finde es auch schöner, Konstruktionen wie "das /24 mit Ausnahme
dieses /29" einfach schreiben zu können, ohne das /24 in ein /25, ein
/29, ein /28, ein /27 und ein /26 aufteilen zu müssen.

>Aber erzähl doch mal ein bisschen mehr: Wieviele User sitzen dahinter?

Zwischen zehn und zweihundert.

>Für welche Dienster wird Proxy-Funktionalität gewünscht? Web? Pop3?
>smtp?

Web und SMTP sind Minimum. Ich weiß nicht genau, wie weit die Symantec
gegangen ist, aber so wie ich das sehe, hat die von sich behauptet,
sogar nicht bekannte TCP- und UDP-Dienste so weit wie möglich
ausgepackt und mit neuen Headern, Sequenznummen etc versehen zu haben.

>Soll ein Virenschutz mit dabei sein? Spamfilter? VPN?

Nein, nein und nein.

Grüße
Marc

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Andreas Cammin <andreas.cammin*freenet.de> wrote:
>Juergen P. Meier schrieb:
>> Wenn man oeffentliche TCP Services anbietet (also eine inbound
>> TCP-accept Regel hat), und die Conntrack-Statemaschine fuer TCP
>> verwenden will, ist die tolle Linux/Netfilter-firewall trivial
>> DoS-bar (FIN-Timer-Reset-Ressource-Exhaustion-Attacke).
>
>Wie oft kommt sowas in freier Wildbahn vor?

Mit _dieser_ Argumentation kriegt man jede komplexere Securitymaßnahme
tot.

>>> Im Idealfall sollte genau eine Regel greifen, dann ist die Reihenfolge
>>> eigentlich egal. Das erfordert allerdings den Einsatz von Hirnschmalz
>>> bei der Einrichtung des Regelwerks.
>>
>> Sequentielle Regelwerke erfordern ein wenig Grundwissen in Algebra
>> (elementare Logik). Es mag Leute geben, die das nicht koennen. Was die
>> allerdings in der IT verloren haben, kann und werde ich nie verstehen.
>
>Redundante Regeln im Netfilter können manchmal lustige Seiteneffekte
>ergeben :-)

Erzähl.

Grüße
Marc

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Andreas Cammin <andreas.cammin*freenet.de> wrote:
>Kommt drauf an. Bei bis zu 10 Usern findet man durchaus noch Geräte, die
>ohne Festplatte auskommen.

Die größeren Netscreens haben doch auch keine Platte, oder? Und da
kann man durchaus ein paar hundert User hinterhängen.

>Allerdings hört sich der OP eher so an als bräuchte er ein "grosses
>Eisen"...

Naja, für passende Werte von "großes Eisen", die SGS 5420 ist ja nun
auch nicht grad was richtig großes. Außerdem war sie verhältnismäßig
preisgünstig und wenn die Konfigurationsoberfläche brauchbar gewesen
wäre hätte ich das Produkt sogar gemocht. So bin ich nur heilfroh dass
ich nicht derjenige bin der sich für deren Ablösung stark machen muss.

Grüße
Marc

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Hallo Marc,

vielleicht wäre BorderWare für Dich eine Alternative. Aufgrund eigener
zehnjähriger Erfahrung von mir eine Empfehlung. Allerdings ist das
Lizenzmodell eine kleine Frechheit: Nicht die Anzahl der gleichzeitigen
Verbindungen ist entscheidend, sondern die (Gesamt-)Anzahl der Clients
im LAN!

Deine Funktionsanforderungen werden alle erfüllt, exklusive der letzten.

Gruß val