Welche Firewall-Software?

Hallo,

ich möchte gerne von Euch wissen, wie ihr die folgenden Firewall-Produkte im Vergleich seht, insbesondere im Hinblick auf

• Performanz
• Regelsyntax (intuitiv?)
• Features (traffic shaping? stateful inspection?)
• Logging-Format (Reportingtools vorhanden? Benachrichtigungsmöglichkeiten?)

Mir geht es dabei um Produkte wie

• ipfilter
• ipfw{,2}
• pf
• iptables

Falls jemand noch andere kennt, die in diese Klasse passen, immer raus damit. Ich selbst kenne ipfilter recht gut, ipfw und pf leidlich und iptables gar nicht, so daß meine Meinung da nicht unbedingt objektiv ist, und würde mich freuen, von jemandem zu lesen, der zwei oder mehr aus dieser Reihe ein wenig intensiver ausprobiert hat und jene deshalb vergleichen kann.

Gruß,

Malte.

PS: Netzwerkdesign, Personal Firewalls und Application Level Gateways interessieren mich hier nicht, kommerzielle Produkte mit ähnlichem Leistungsumfang wie die genannten sind auch nur mittelinteressant, dürfen aber gerne erwähnt werden.

Hallo!

… du als Ober Guru von FreeBSD, IT-sicherheit, Herausgeber von Doc Valde Sicherheits Future und diversen Homepages (docvalde.net), fragst uns so etwas?

… brauchst du Selbstbestätigung oder willst du uns verarschen?

Gruß Franz

Moin,

ich möchte gerne von Euch wissen, wie ihr die folgenden
Firewall-Produkte im Vergleich seht, insbesondere im Hinblick
auf

• Performanz

Meiner Meinung nach nach Deiner Liste unten von oben nach
unten abnehmend. Je mehr Header, je mehr zu prüfen, je
langsamer.

Welche Header meinst Du?

• Regelsyntax (intuitiv?)

Ja, leider, allzuoft.
Es muss da immer viel auf das jeweilige interne System und die
internen Sicherheitsrichtlinien angepasst werden. Wenn da
allgemeines bekannt wäre könnte man da mal einen „Standard“
implementieren, mir ist da aber leider nix bekannt.

Mir ist aufgefallen, daß sich insbesondere iptables da von den anderen erwähnten unterscheidet - zumindest auf den ersten Blick - und ein Paket wohl durch mehrere Module geschleust werden muss. Es sieht so aus, als müsste ich dort wesentlich mehr Code eingeben als bei den anderen, um denselben Effekt zu erreichen - ist das so oder erliege ich einem Trugschluß? Hat dieser Mehraufwand irgendeinen Nutzen, den die anderen mir nicht bieten?

• Features (traffic shaping? stateful inspection?)

Hat iptables traffic shaping „eingebaut“, wie ipfw2 z.B.?

• Logging-Format (Reportingtools vorhanden?
  Benachrichtigungsmöglichkeiten?)

Naja, das Format ist halt allgemein lesbar (CVS, etc.)
Auswertung meist auf der Logdateiebene, da Tools meist zu viel
an Information einfach weglassen nach dem Motto „brauch ich
nich“…

Hm, für kommerzielle Produkte gibt ja so Dinge wie grafische Tools, die Regelhits zusammenfassen und bei bestimmten Dingen Mails oder SMS verschicken. Für die genannten ist mir sowas nicht bekannt(?)

• ipfilter
• ipfw{,2}
• pf
• iptables

Hmm, mir würden dann noch Hersteller/Produktspezifisches
einfallen (Stichwort Cisco), aber ob das in die „Schicht“
passt…

Klar, an Ciscos PIX hab ich auch gedacht, die bewegt sich bloß schon nicht mehr auf der Ebene, sondern „strebt nach höherem“, was zwar tolle Features bietet, aber auf vergleichbarer Hardware auf Kosten der Performanz geht. Wie ist das mit kommerziellen Produkten wie Netscreen z.B.?

Danke und Gruß,

Malte.

Hi,

• Regelsyntax (intuitiv?)

Ja, leider, allzuoft.
Es muss da immer viel auf das jeweilige interne System und die
internen Sicherheitsrichtlinien angepasst werden. Wenn da
allgemeines bekannt wäre könnte man da mal einen „Standard“
implementieren, mir ist da aber leider nix bekannt.

Mir ist aufgefallen, daß sich insbesondere iptables da von den
anderen erwähnten unterscheidet - zumindest auf den ersten
Blick - und ein Paket wohl durch mehrere Module geschleust
werden muss.

Welche „Module“ im speziellen?

INPUT, FORWARD, OUTPUT und PREROUTING chain. Aber vielleicht täuscht das, ich werd mal beizeiten für jede der erwähnten identische Regelsets bauen und die dann vergleichen. Interessiert mich.

Es sieht so aus, als müsste ich dort wesentlich
mehr Code eingeben als bei den anderen, um denselben Effekt zu
erreichen - ist das so oder erliege ich einem Trugschluß? Hat
dieser Mehraufwand irgendeinen Nutzen, den die anderen mir
nicht bieten?

Naja, bei den Tables werden die „Tabellen“ ja von Hand
gefüttert (sag ich mal so, es geht natürlich auch
automatisiert, ist dann aber meist nicht soooo effektiv). Also
ist es an und für sich mehr Code, ja.
Der Aufwand ist in der Genauigkeit, wenn es Gewissenhaft
gemacht wird.

Hm, ich glaub es macht mehr Sinn, das anhand von konkreten Beispielen zu untersuchen Ich werd dann auf’s Forum zurückkommen, aber wohl mehr im Unix-Brett.

• Logging-Format (Reportingtools vorhanden?
  Benachrichtigungsmöglichkeiten?)

Naja, das Format ist halt allgemein lesbar (CVS, etc.)
Auswertung meist auf der Logdateiebene, da Tools meist zu viel
an Information einfach weglassen nach dem Motto „brauch ich
nich“…

Hm, für kommerzielle Produkte gibt ja so Dinge wie grafische
Tools, die Regelhits zusammenfassen und bei bestimmten Dingen
Mails oder SMS verschicken. Für die genannten ist mir sowas
nicht bekannt(?)

Grafische Tools, ja. Bei einigen Compaq Server Modellen ist
ein Reporting Tool dabei, welches dann per mail oder SMS
(Gateway) signalisieren kann. Leider noch nicht im Einsatz
gesehen.
Die Frage ist WAS da eben signalisiert werden mag.

Eben Mal sehen, vielleicht hat ja jemand anders noch ein paar Erfahrungen damit.

Danke soweit und Gruß,

Malte.

Hallo!

Hi,

[Getrolle]

… brauchst du Selbstbestätigung oder willst du uns
verarschen?

Aber sonst geht’s noch? Kriech doch bitte wieder unter Deinen Stein. Danke.

Opinion (in absence of score file) adjusted,
Gruss vom Frank.

Hi,

Hallo,

[iptables und Module]

Welche „Module“ im speziellen?

INPUT, FORWARD, OUTPUT und PREROUTING chain.

Uh, nein. Es gibt unterschiedliche tabels mit unerschiedlichen Aufgaben: mangle, nat und filter. Mit mangle kann direkt das paket veraendert werden: TOS, TTL, MARK (modifiziert das paket nicht wirklich). In nat kann Einfluss auf das Ziel oder die Herkunft genommen werden (SNAT, DNAT, MASQERADE), und das jeweils vor und nach dem routing. Mit filter wird halt dann gefiltert.

Aber vielleicht täuscht das, ich werd mal beizeiten für
jede der erwähnten identische Regelsets bauen und die dann
vergleichen. Interessiert mich.

Veroeffentlichst Du?

Hm, ich glaub es macht mehr Sinn, das anhand von konkreten
Beispielen zu untersuchen Ich werd dann auf’s Forum
zurückkommen, aber wohl mehr im Unix-Brett.

Was iptables betrifft: darf ich mitspielen?

• Logging-Format (Reportingtools vorhanden?
  Benachrichtigungsmöglichkeiten?)

Eben Mal sehen, vielleicht hat ja jemand anders noch ein
paar Erfahrungen damit.

Ganz praktisch: iptables nutzt die syslog facility. Ein Eintrag sieht z. B. dann so aus:

harbard [out] (unknown): IN=eth0 OUT=ipsec0 SRC=192.168.0.6 DST=66.102.11.99 LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=24905 DF PROTO=TCP SPT=32848 DPT=4444 WINDOW=5840 RES=0x00 SYN URGP=0

Der Text bis zum : ist frei waehlbar und macht das automatische parsing sehr einfach. Der Rest ist ein Auszug aus dem header des pakets, den IMHO jeder, der IP grob kennt, versteht. Die verbosity laesst sich dabei IIRC bis zum kompletten paket hochschrauben.

HTH,
Gruss vom Frank.

Hallo,

Hi,

(quoting neu sortiert)

ich möchte gerne von Euch wissen, wie ihr die folgenden
Firewall-Produkte

Ah, es geht also um paket filter (SCNR).

• ipfilter

Kenn ich nur von dem, was google gerade dazu ausgespuckt hat. Ist ein frontend fuer…

• ipfw{,2}

… oder? Kenn ich uebrigends auch nicht.

• pf

Kenn ich auch nicht.

• iptables

Ah, endlich das richtige OS. Nur dazu kann ich qualifizierte Aussagen machen. iptables ist frontend zum netfilter im kernel.

im Vergleich seht, insbesondere im Hinblick auf

• Performanz

Ein Test: Pakete durch 6000 Regeln gepresst auf einem P133 mit 24MB RAM und einem 2.4.18 reduzierten Durchsatz von 2MBit/s auf etwas ueber 1MBit/s. Das Generieren der Regeln hat ueber eine halbe Stunde gedauert, da die Regeln intern im kernel anders abgelegt werden: beim Einfuegen einer neuen Regel wird die interne Struktur auf ein normales Regelwerk abgebildet, die Regel eingefuegt und das komplette Regelwerk wieder in der kernel geschrieben (saugt).

• Regelsyntax (intuitiv?)

Nach gewisser Eingewoehnung: ja. Beim Vorbeifliegen hab ich auch die Syntax von ipfilter verstanden, ist etwas anders.

• Features

Von der feature list vom netfilter eines (gepatchten) 2.4.20 fuehlte ich mich gerade erschlagen.

(traffic shaping?

Nicht Aufgabe vom netfilter, macht bei Linux der scheduler mit dem frontend iproute.

stateful inspection?)

Ja, jedes paket hat einen Zustand: INVALID (klar, ist kaputt), NEW (es hat ein SYN), ESTABLISHED (gehoert zu einer Verbindung, fuer das SYN, aber noch kein RST durch ist), RELATED (ist zu einer NEW oder ESTABLISHED verwandt: ICMP host unreachable oder FTP data z. B.).

• Logging-Format (Reportingtools vorhanden? :Benachrichtigungsmöglichkeiten?)

Hab ich unten schon mal was geschrieben.

Ich […] würde mich freuen, von jemandem zu lesen, der zwei
oder mehr aus dieser Reihe ein wenig intensiver ausprobiert
hat und jene deshalb vergleichen kann.

Sorry. Ich kann Dir einen crash course iptables geben (vielleicht per mail), dann kannst Du selber vergleichen.

HTH,
Gruss vom Frank.

Hi,

• ipfilter

Kenn ich nur von dem, was google gerade dazu ausgespuckt hat.
Ist ein frontend fuer…

• ipfw{,2}

… oder? Kenn ich uebrigends auch nicht.

Nein, beides sind zwei unterschiedliche Implementierungen eines Paketfilters unter FreeBSD, ipfw ist etwas älter.

• pf

Kenn ich auch nicht.

Der OpenBSD-Paketfilter, mittlerweile auch für andere Systeme erhältlich, IIRC.

• iptables

Ah, endlich das richtige OS.

d’uh?

Nur dazu kann ich qualifizierte
Aussagen machen. iptables ist frontend zum netfilter im
kernel.

im Vergleich seht, insbesondere im Hinblick auf

• Performanz

(dazu später mehr)

(traffic shaping?

Nicht Aufgabe vom netfilter, macht bei Linux der scheduler mit
dem frontend iproute.

…welches mit iptables nichts zu tun hat? Wie ist die Anbindung?

Sorry. Ich kann Dir einen crash course iptables geben
(vielleicht per mail), dann kannst Du selber vergleichen.

Siehe Antwort auf unten.

Gruß,

Malte.

Nochmal hi,

[iptables und Module]

Welche „Module“ im speziellen?

INPUT, FORWARD, OUTPUT und PREROUTING chain.

Uh, nein. Es gibt unterschiedliche tabels mit
unerschiedlichen Aufgaben: mangle, nat und filter. Mit mangle
kann direkt das paket veraendert werden: TOS, TTL, MARK
(modifiziert das paket nicht wirklich). In nat kann Einfluss
auf das Ziel oder die Herkunft genommen werden (SNAT, DNAT,
MASQERADE), und das jeweils vor und nach dem routing. Mit
filter wird halt dann gefiltert.

Okay, das erleuchtet schon ein wenig.

Aber vielleicht täuscht das, ich werd mal beizeiten für
jede der erwähnten identische Regelsets bauen und die dann
vergleichen. Interessiert mich.

Veroeffentlichst Du?

Natürlich. http://m.bsdhackers.org/ -> „publications“

Hm, ich glaub es macht mehr Sinn, das anhand von konkreten
Beispielen zu untersuchen Ich werd dann auf’s Forum
zurückkommen, aber wohl mehr im Unix-Brett.

Was iptables betrifft: darf ich mitspielen?

Ich werde da beizeiten gern off-board auf Dich zurückkommen. Die paar sachlichen Beiträge hier im Thread haben die Frage interessant genug für mich gemacht, das mal näher zu untersuchen - bei früheren Recherchen bin ich jedenfalls nicht über einen Vergleich, wie ich ihn suche, gestoßen. Bis auf iptables bekomme ich das hin, in Sachen Linux bin ich jedoch äußerst unbedarft, habe hier noch nicht mal eins laufen.

• Logging-Format (Reportingtools vorhanden?
  Benachrichtigungsmöglichkeiten?)

Die
verbosity laesst sich dabei IIRC bis zum kompletten paket
hochschrauben.

Little h. hat mich schon auf ein paar Auswertungstools aufmerksam gemacht, auch das werd ich dann berücksichtigen. Gestern war’s nur ein schneller Gedanke, schauen wir mal, ob das was interessantes bei rauskommt, wenn man sich da an einen „ordentlichen“ Test macht.

(Falls jemand davon weiß, daß es sowas schon gibt, wäre ich für entsprechende Links dankbar.)

Gruß,

Malte.

100% deckungsgleich… Grüsse Peter
.

Hi.

… du (…) fragst uns so etwas?

Ich glaube dich hat er nicht gemeint.

lemmy