---

Hej,

Vi har nogle produktionsservere som skal stå i LAN bag en firewall.
Lige nu har hver server direkte adgang til nettet med en offentlig IP.
Vi vil gerne sikre det lidt ved at sætte dem bag en firewall, da flere
af serverne kører services som ingen andre end andre servere som står
ved siden af dem skal have adgang til.

Men hvad skal vi købe?
Skal vi købe en "færdig" firewall fra fx. ciso eller HP?
Eller skal vi købe en server med linux og iptables som kan være
dedikeret firewall?

Info om serverne der skal stå i LANet:

3 stk IIS webservere.
1 stk apache webserver.
2 stk MS SQL servere.
2 stk MySQL servere.
1 stk mailserver.
2 stk ftp filservere.
2 stk SMS gateways (bruger noget http og ssl)
Alle webservere kører også SSL.
Enkelte af serverne skal kunne styres vha. MS Terminal Services og noget
Norton PC Anywhere.

Der vil blive brug for at IP restricte enkelte services.
Vi har p.t. ikke brug for VPN eller lign.

I øjeblikket har vi ingen pålideligt statistik over hvor mange
pakker/tid der kommer til/fra vores servere, men det arbejder vi på.
( går ud fra at det er vigtigere med antallet af pakker frem for mængen
af data )

Mvh
Thomas Damgaard

---

On 2004-03-18, Thomas Damgaard Nielsen <tdn@ircnet.org> wrote:
> Eller skal vi købe en server med linux og iptables som kan være
> dedikeret firewall?

Jeg ville vælge sidstnævnte løsning. Evt. openbsd istedet.
Ingen grund til at købe en server, I har sikkert en gammel maskine
stående som er rigelig hurtig.

Vigtigste ting er dog at maskinen er stabil og netkortene er af god
kvalitet (intel pro 100S eller bedre).

"Fordelen" er, at man selv er i kontrol over hvad ens firewall
skal kunne og men kender dens evt. særheder.

"Problemet" ved en hjemmebygget firewall er dog, at det tager tid.

Alternativt skal I købe en router/firewall af god kvalitet med
et godt konfigurationsinterface, men så koster den også fra 2k og
opefter.

Mvh Thomas, 2720

---

> Alternativt skal I købe en router/firewall af god kvalitet med
> et godt konfigurationsinterface, men så koster den også fra 2k og
> opefter.

Når de har 13 servere så tror jeg ikke +2K betyder det store.

Et alternativ kunne være som Thomas siger en gammel maskine med noget
Linux/*BSD-værk på.

Jeg kan anbefale IPcop hvis du skal bruge en god solid firewall (baseret på
Linux). Skal du derimod bruge QoS, packetfilter osv. så tag et kig på
m0n0wall (baseret på FreeBSD).

Du skriver ikke noget om hvad linie firewall'en skal stå på, hvis det er
noget ~2 mbit så kan en firewall (Zywall 2 eller lign.) til 2000.- sagtens
bruges. Kommer an på om du selv har lyst til at rode med en maskine og om
det skal rackmonteres osv.


--
Mvh

Anders Hansen

---

On 2004-03-18, Anders Hansen <mail@REMOVETHISanders-hansen.dk> wrote:
>> Alternativt skal I købe en router/firewall af god kvalitet med
>> et godt konfigurationsinterface, men så koster den også fra 2k og
>> opefter.
>
> Når de har 13 servere så tror jeg ikke +2K betyder det store.

*GRIN* nej det har du da ret i. Jeg så ikke hvor meget de skulle
have stående.

Jeg formulerede mig lidt kluntet, men jeg mente egentlig, at hvis
man vælger en firewall som "hyldevare", så skal man ikke spare!

Mvh Thomas (der som privat person, selv lige har kastet en billig DLINK
dims tilbage i hovedet på den ven han lånte den ad; gik "ned" med jævne
mellemrum)

---

> Mvh Thomas (der som privat person, selv lige har kastet en billig DLINK
> dims tilbage i hovedet på den ven han lånte den ad; gik "ned" med jævne
> mellemrum)

Hvilken D-Link router?????

Mvh
MadsD

---

On 2004-03-21, MadsD <spam_removemetosendmemail_@madsd.dk> wrote:
>> Mvh Thomas (der som privat person, selv lige har kastet en billig DLINK
>> dims tilbage i hovedet på den ven han lånte den ad; gik "ned" med jævne
>> mellemrum)
>
> Hvilken D-Link router?????

DI-804. Magen til bras skal man altså lede længe efter. Hvis den så bare
kunne holde sig i live så kunne jeg leve med ringe feature set, men det er
desværre for meget forlangt

Thomas

---

Thomas S. Iversen wrote:

> On 2004-03-18, Thomas Damgaard Nielsen <tdn@ircnet.org> wrote:
>
>>Eller skal vi købe en server med linux og iptables som kan være
>>dedikeret firewall?
>
>
> Jeg ville vælge sidstnævnte løsning. Evt. openbsd istedet.

Hvorfor?
(måske åbenlyst, hvis den er bedre til jobbet, mere sikker osv., men det
er mig selv der kommer til at administrere den, og jeg har mere erfaring
med iptables end med pf.)


> Ingen grund til at købe en server, I har sikkert en gammel maskine
> stående som er rigelig hurtig.
>
> Vigtigste ting er dog at maskinen er stabil og netkortene er af god
> kvalitet (intel pro 100S eller bedre).

ok.


> Alternativt skal I købe en router/firewall af god kvalitet med
> et godt konfigurationsinterface, men så koster den også fra 2k og
> opefter.

ok.
Kan du anbefale nogle modeller?
Er det cisco vi skal satse på, hvis vi vælger denne løsningsmodel?

Mvh
Thomas Damgaard

---

On 2004-03-18, Thomas Damgaard Nielsen <tdn@ircnet.org> wrote:
>> Jeg ville vælge sidstnævnte løsning. Evt. openbsd istedet.
>
> Hvorfor?
> (måske åbenlyst, hvis den er bedre til jobbet, mere sikker osv., men det
> er mig selv der kommer til at administrere den, og jeg har mere erfaring
> med iptables end med pf.)

Openbsd er mere lukket i sin udviklingsmodel koblet med det faktum at
Theo Deraadt er lettere paranoid og en habil programmør gør, at jeg
anser Openbsd for at være mere sikker. Men så igen. Vi snakker de sidste
procent på skalaen! Hvis iptables er det du kender, så vælg linux, sikkert
det bedste i dit tilfælde.

> Kan du anbefale nogle modeller?

Ikke konkret nej. De firewalls jeg administrerer er hjemmebyggede. Men at
dømme efter kvaliteten af fabrikanters netværksprodukter, så vil jeg mene at
cisco og zyxel er gode valg. Netscreen har også nogle gode produkter, men
der har jeg kun prøvet personlige firewalls/vpn løsninger til
hjemmekontoret.

Thomas

---

Jeg ville nu kigge på en decideret HW løsning ala Cisco PIX 515 - muligvis
kan en mindre gøre det.

Mvh.
Niels
"Thomas S. Iversen" <zensonic@zensonic.dk> skrev i en meddelelse
news:slrnc5j520.1ev.zensonic@www.zensonic.dk...
> On 2004-03-18, Thomas Damgaard Nielsen <tdn@ircnet.org> wrote:
> >> Jeg ville vælge sidstnævnte løsning. Evt. openbsd istedet.
> >
> > Hvorfor?
> > (måske åbenlyst, hvis den er bedre til jobbet, mere sikker osv., men det
> > er mig selv der kommer til at administrere den, og jeg har mere erfaring
> > med iptables end med pf.)
>
> Openbsd er mere lukket i sin udviklingsmodel koblet med det faktum at
> Theo Deraadt er lettere paranoid og en habil programmør gør, at jeg
> anser Openbsd for at være mere sikker. Men så igen. Vi snakker de sidste
> procent på skalaen! Hvis iptables er det du kender, så vælg linux, sikkert
> det bedste i dit tilfælde.
>
> > Kan du anbefale nogle modeller?
>
> Ikke konkret nej. De firewalls jeg administrerer er hjemmebyggede. Men at
> dømme efter kvaliteten af fabrikanters netværksprodukter, så vil jeg mene
at
> cisco og zyxel er gode valg. Netscreen har også nogle gode produkter, men
> der har jeg kun prøvet personlige firewalls/vpn løsninger til
> hjemmekontoret.
>
> Thomas

---

Niels C. Grønlund wrote:

> Jeg ville nu kigge på en decideret HW løsning ala Cisco PIX 515 - muligvis
> kan en mindre gøre det.

OK.
Lige præcis den har jeg faktisk set lidt på.
Men kan du uddybe dit råd lidt mere?
Vil gerne have nogle argumenter for HW og mod iptables?
Så jeg har noget mere at tage med i mine overvejelser.

Mvh
Thomas Damgaard

---

On 2004-03-18, Thomas Damgaard Nielsen <tdn@ircnet.org> wrote:

> Vil gerne have nogle argumenter for HW og mod iptables?

Nu er HW firewalls jo "bare" en minimaskine samt noget (proporitært) software
samlet i en (smart) æske, velsignet af et (kendt) firma.

Ikke at der er noget i vejen med HW firewalls, slet ikke.

Man får en lukket dims, der kan konfigureres, og som sandsynligvis bare
virker (tm). Designet med ét eneste formål, hardwaren er skræddersyet til
opgaven (oftest passivt kølet => færre mulighed for HW fejl). Oftest
en dyr løsning, hvis penge et er problem

På den anden side er linux/openbsd/iptables/ipf lig med størst mulig
fleksibilitet og billigst. Det er muligt selv at se koden hvis det skulle
komme så vidt. Der er mulighed for at få fingrene ned i skidtet og skræddersy
sin løsning til ens behov.

Mvh Thomas

---

Jeg har valgt en HW løsning ud fra flere kriterier.

Jeg har VPN terminering i den.
Det er et lukket OS.
Den er designet til det ene formål.
Mulighed for redundans (Hvilket vi benytter os af), det virker på den måde
at dør den ene Firewall tager den anden over unden gene for brugerne (De
opdager det slet ikke)
Nem at gå til.
Og jeg har pt. ikke mødt nogen form for begrænsninger i forhold til det vi
bruger den til.
Service kontrakt 24/7/365 i tilfælde af nedbrud. (Hvilket vi ikke har
oplevet)

Men i bund og grund er en Cisco PIX 515 en Pentium maskine med et flashkort
og properitær software.

http://uk.geocities.com/protocol16web/pix515.html




"Thomas S. Iversen" <zensonic@zensonic.dk> skrev i en meddelelse
news:slrnc5jgg9.b1c.zensonic@www.zensonic.dk...
> On 2004-03-18, Thomas Damgaard Nielsen <tdn@ircnet.org> wrote:
>
> > Vil gerne have nogle argumenter for HW og mod iptables?
>
> Nu er HW firewalls jo "bare" en minimaskine samt noget (proporitært)
software
> samlet i en (smart) æske, velsignet af et (kendt) firma.
>
> Ikke at der er noget i vejen med HW firewalls, slet ikke.
>
> Man får en lukket dims, der kan konfigureres, og som sandsynligvis bare
> virker (tm). Designet med ét eneste formål, hardwaren er skræddersyet til
> opgaven (oftest passivt kølet => færre mulighed for HW fejl). Oftest
> en dyr løsning, hvis penge et er problem
>
> På den anden side er linux/openbsd/iptables/ipf lig med størst mulig
> fleksibilitet og billigst. Det er muligt selv at se koden hvis det skulle
> komme så vidt. Der er mulighed for at få fingrene ned i skidtet og
skræddersy
> sin løsning til ens behov.
>
> Mvh Thomas

---

Jeg kan varmt anbefale Borderware firewall server - fantastisk stabil og
med et Windows baseret administrations program.

http://www.borderware.com/products/firewall.php

Nemt at tage backup af og endnu nemmere at opdatere. Har 200 brugere og
en 10-15 servere bag den.

Den kører på en standard PC med understøttede netkort (Med et par intel
eller 3com kort bør der ikke være problemer). Kan se de nu også sælger
den som en færdig 1U model.

Hvis du vil have en færdig box har jeg gode erfaringen med Zyxel's
Zywall's (Har arbejdet med 1/10/50 modellerne) - Cisco's PIX er et
sikkert valg - men mig bekedt lidt mere vanskelig at administrere (Ved
ikke om de har fået lagt et webinterface på IOS'en)

mvh.

Uffe S. Callesen

Thomas Damgaard Nielsen wrote:


> OK.
> Lige præcis den har jeg faktisk set lidt på.
> Men kan du uddybe dit råd lidt mere?
> Vil gerne have nogle argumenter for HW og mod iptables?
> Så jeg har noget mere at tage med i mine overvejelser.

---

On Mon, 29 Mar 2004 12:46:17 +0200, "Uffe S. Callesen"
<anon@anon.local> wrote:

> Jeg kan varmt anbefale Borderware firewall server - fantastisk stabil

Orv, så må meget have ændret sig siden jeg arbejdede med det, for
det var da det mest elendinge, langsomme, ustabile skrammel, jeg
kan mindes at have set blive kaldt en firewall.

> og med et Windows baseret administrations program.

Jo, nøj hvor var det også belastende.

-A