Hallo,
ich habe zuhause einen alten PC stehn auf dem Smoothwall-Express läuft (Linux-basierende Firewall). Zwei Netzwerkkarten sind installiert, die eine geht zu meinem PC, die andere ans DSL-Modem, und ich würde gerne die Karte die Richtung PC geht durch eine WLAN-Karte ersetzen. Kann man dann überhaupt eine verschlüsselte Verbindung aufbauen? Oder ist dafür ein WLAN-Router, sozusagen als Steuergerät, nötig?
mfG
McStone
Hallo,
Hi,
ich habe zuhause einen alten PC stehn auf dem
Smoothwall-Express läuft (Linux-basierende Firewall).
Die sollte doch IPsec oder eine aehnliche VPN-Abart koennen, oder?
[snip] Kann man dann überhaupt eine verschlüsselte Verbindung
aufbauen? Oder ist dafür ein WLAN-Router, sozusagen als
Steuergerät, nötig?
Nicht unbedingt.
Gruss vom Frank.
Hi Frank,
Die sollte doch IPsec oder eine aehnliche VPN-Abart koennen,
oder?
Sie benutzt iptables (sorry für falsche Ausrücke o.ä. ich benutz’ das Ding erst 2 Tage)
mfG
McStone
hi,
da wlan ja nur den layer 2 abbildet, sollten verschlüsselte verbindungen drübergehen.
grüße
matthias
Hi Frank,
Hallo,
Die sollte doch IPsec oder eine aehnliche VPN-Abart koennen,
oder?Sie benutzt iptables
Hm, gut, aber das hat damit aber eigentlich genau gar nichts zu tun.
(sorry für falsche Ausrücke o.ä. ich benutz’ das Ding erst 2 Tage)
Naja, ich kenn es jetzt nicht direkt, aber das Einrichten von IPsec sollte unabhaengig von der Distribution sein. Denke ich…
Gruss vom Frank.
Hi Frank,
Naja, ich kenn es jetzt nicht direkt, aber das Einrichten von
IPsec sollte unabhaengig von der Distribution sein. Denke
ich…
Das ist halt so ein kleines Problem, Smoothwall ist keine Distrubution im eigentlichen Sinne, sondern wirklich ausschließlich als Firewall konzipiert. Grafische Oberfläche gibts nur indem Sinn, als das man per Browser ins Einstellungsmenü gelangt. Du hast mir aber trotzdem enorm geholfen, dank’ der Begriffe die du genannt hast hatte ich endlich einen Ansatz zum googeln und wusste nach was ich im SW-Forum suchen musste. Bin jetzt schlauer! 
Herzlichen Dank nochmal!
mfG
McStone
Hi Frank,
Hallo,
Das ist halt so ein kleines Problem, Smoothwall ist keine
Distrubution im eigentlichen Sinne, sondern wirklich
ausschließlich als Firewall konzipiert. Grafische Oberfläche
gibts nur indem Sinn, als das man per Browser ins
Einstellungsmenü gelangt.
Eine ‚firewall‘ mit webserver? Herr, schmeiss Hirn!
Gruss vom Frank.
Hi,
Das ist halt so ein kleines Problem, Smoothwall ist keine
Distrubution im eigentlichen Sinne, sondern wirklich
ausschließlich als Firewall konzipiert. Grafische Oberfläche
gibts nur indem Sinn, als das man per Browser ins
Einstellungsmenü gelangt.
Eine ‚firewall‘ mit webserver? Herr, schmeiss Hirn!
Naja, ich würde wetten, Du betreibst auch eine, die Dienste anbietet 
(Kann sich aber ja auch nicht jeder ein out of band management leisten…)
Smoothwall ist letztlich für den eher unbedarften Heimanwender ganz in Ordnung, denke ich.
Die Web GUI lauscht nur intern, und aus diesem bereich sind vermutlich nicht so viele Angriffe zu erwarten. Das ist die altbekannte Grätsche zwischen Komfort und Sicherheit.
Gruß,
Malte.
Hi,
Hallo,
Eine ‚firewall‘ mit webserver? Herr, schmeiss Hirn!
Naja, ich würde wetten, Du betreibst auch eine, die Dienste
anbietet
Klar: ssh. Genaueres konnte ich nicht rausfinden, da jemand den scanner kaputtgespielt hat (Oder habe ich nicht bezahlt?): http://www.alliednetworks.de/security/audit Okay, nach innen machen manche Buechsen auch noch mehr.
Das ist die altbekannte Grätsche zwischen Komfort und Sicherheit.
Ja, klar. Aber das sowas ‚firewall‘ heissen darf… Sollte ich mir vielleicht mal angucken.
Gruss vom Frank.
Hoi,
Eine ‚firewall‘ mit webserver? Herr, schmeiss Hirn!
Naja, ich würde wetten, Du betreibst auch eine, die Dienste
anbietet
Klar: ssh.
WAAAS? Bist Du irre? Für sowas richtet man gefälligst ein seperates Management-Netz ein, und greift dann via Terminalserver auf sensible Komponenten zu!
Genaueres konnte ich nicht rausfinden, da jemand
den scanner kaputtgespielt hat (Oder habe ich nicht bezahlt?):
http://www.alliednetworks.de/security/audit
Mist. Naja, die ganze Website ist leider noch ein Relikt aus einer Zeit, in der ich noch nicht mit an Bord war, und dadurch ziemlich zusammengefrickelt.
Okay, nach innen machen manche Buechsen auch noch mehr.
Siehste. Smoothwall macht per default auch nur nach innen, IIRC. Ich würde sowas auch nicht einsetzen, aber ich bin auch nicht die Zielgruppe dieses Produktes. Du auch nicht, btw.
Das ist die altbekannte Grätsche zwischen Komfort und Sicherheit.
Ja, klar. Aber das sowas ‚firewall‘ heissen darf… Sollte
ich mir vielleicht mal angucken.
Naja, sie trennt Netze… Ich fand Smoothwall (heisst mittlerweile IPcop) damals gar nicht so übel.
Gruß,
Malte.
Hi Malte,
also, wenn ich mal so dem Klang deiner Postings lausche, dann scheinst du ja von Smoothwall nicht so unbedingt begeistert zu sein. Was wäre denn eine bessere Alternative, so in Richtung „aus altem PC mach’ Firewall“? Oder sollte ich mit meinen eher bescheidenen Kenntnissen erstmal hierbei bleiben?
Mir stinken halt diese blöden Software-Firewalls mittlerweile! Ein Bekannter von mir, er studiert „irgendwas mit Computern“ (geht in Richtung IT-Security wenn ich ihn richtig verstanden habe), schwört Stein und Bein auf SW. Er behauptet was besseres würde man für den Preis nicht bekommen und das selbst Uni’s etc. ihre Netze mit SW schützen. Wie weit ist das richtig/falsch/Auslegungssache?
mfG
McStone
Hi,
also, wenn ich mal so dem Klang deiner Postings lausche, dann
scheinst du ja von Smoothwall nicht so unbedingt begeistert zu
sein.
Öhm, Der Frank war da deutlich kritischer als ich
Was wäre denn eine bessere Alternative, so in Richtung
„aus altem PC mach’ Firewall“? Oder sollte ich mit meinen eher
bescheidenen Kenntnissen erstmal hierbei bleiben?
Also, die optimale Lösung wäre ein OpenBSD, auf dem man die Schutzmechanismen von Hand einrichtet, inkl. Firewall, Proxy, IDS, VPN etc… Aber das ist für private Zwecke ein echter Overkill, wenn man nicht aus „akademischem Interesse“ damit rumspielt. Ich finde Smoothwall gar nicht so übel - wobei IPcop wohl „besser“ ist. Da war irgendwas mit Lizenzen oder so, glaub ich… IPcop ist quasi dasselbe wie Smoothwall, wird nur IIRC aktiver weiterentwickelt und supportet.
Mir stinken halt diese blöden Software-Firewalls mittlerweile!
Die sind auch was ganz anderes - jedenfalls kein wirksamer Schutzmechanismus. DIE kann ich wirklich nicht leiden
Ein Bekannter von mir, er studiert „irgendwas mit Computern“
(geht in Richtung IT-Security wenn ich ihn richtig verstanden
habe), schwört Stein und Bein auf SW. Er behauptet was
besseres würde man für den Preis nicht bekommen
Das ist so erstmal nicht richtig. OpenBSD kostet nichts außer dem Download und ist „sicherer“ - aber eben nur, wenn man das Know How dafür hat. Für den Heimanwender ohne große Unix-Ambitionen ist IPcop nicht verkehrt - ich halte davon jedenfalls mehr als von den „Firewalls“, die in DSL-Routern o.ä. eingebaut sind.
und das selbst Uni’s etc. ihre Netze mit SW schützen.
Das hielte ich für grob fahrlässig. Eine Uni ist kein Heimnetzwerk, und da sollte man schon ein bischen mehr Wert auf etwas solides legen. Außerdem ist IPcop für Netzwerke solcher Größenordnung nicht gebaut.
Fazit: Benutz ruhig IPcop. Aber achte darauf, daß Du es ordentlich konfigurierst und regelmäßig updatest. Und bedenke, daß nur IPcop Dich nicht vor allem denkbaren Bösen schützt.
Gruß,
Malte.
PS: Einer Sicherheitslösung geht immer zunächst eine Analyse voraus - welchen Sicherheitsbedarf hast Du, was genau willst Du erreichen. Das geht beim typischen Heimanwender recht schnell, und für das, was ich mal als Dein gewünschstes Sicherheitslevel annehme, gilt das oben gesagte so.
Danke!!
Hi Malte,
Öhm, Der Frank war da deutlich kritischer als ich
Stimmt, sorry.
Fazit: Benutz ruhig IPcop. Aber achte darauf, daß Du es
ordentlich konfigurierst und regelmäßig updatest.
Hab’ ich eben gesaugt und studiere jetzt mal die Foren etc.
Und bedenke, daß nur IPcop Dich nicht vor allem denkbaren Bösen
schützt.
Is’ klar, neben Virenscannern etc. vor allem Brain 1.0 benutzen. Aber mal zum Ursprung meines Postings zurück: kann ich den jetzt da eine verschlüsselte WLAN-Verbindung aufbauen?
Herzlichen Dank für obige Hilfe an dieser Stelle!!
mfG
McStone
Nachtrag! Problem gelöst!
Nochmal Hi,
Aber mal zum Ursprung meines Postings zurück: kann
ich den jetzt da eine verschlüsselte WLAN-Verbindung aufbauen?
Hab’s eben in den Manuals gefunden.
mfG
McStone
BSD als paketfilter (was: WLAN-Verschlüsslung…)
Hi,
Moin,
Also, die optimale Lösung wäre ein OpenBSD, [snip]
Mir wollte jetzt mal jemand erzaehlen, dass irgendeins der BSDs (Free? Open? Net? Weiss nicht mehr, komm da immer durcheinander.) ab ein paar Tausend Verbindungen im connection tracking abkackt. Kannst Du das bestaetigen oder wiederlegen? (Ich ziele mit der Frage nicht auf die Anwendung im Heimbereich.)
Gruss vom Frank.
Mohoin,
Also, die optimale Lösung wäre ein OpenBSD, [snip]
Mir wollte jetzt mal jemand erzaehlen, dass irgendeins der
BSDs (Free? Open? Net? Weiss nicht mehr, komm da immer
durcheinander.) ab ein paar Tausend Verbindungen im connection
tracking abkackt. Kannst Du das bestaetigen oder wiederlegen?
Nein. Aber ich habe irgendwie (=ohne Quelle) im Hinterkopf, daß der OpenBSD-IP-Stack gewisse Hochlast-Probleme hat und/oder hatte. FreeBSD - welches mich weit mehr interessiert - hat diese Probleme nicht. Generell halte ich FreeBSD von den dreien für am ausgereiftesten. Insbesondere die in den nächsten Wochen kommende Version 5.3, das neue -STABLE, hat es wirklich in sich. Rock solid.
extrem nürnberg,
Malte.
[OT] (was: BSD als paketfilter)
Nein. Aber ich habe irgendwie (=ohne Quelle) im Hinterkopf,
daß der OpenBSD-IP-Stack gewisse Hochlast-Probleme hat
und/oder hatte. FreeBSD - welches mich weit mehr interessiert
- hat diese Probleme nicht. Generell halte ich FreeBSD von den
dreien für am ausgereiftesten. Insbesondere die in den
nächsten Wochen kommende Version 5.3, das neue -STABLE, hat es
wirklich in sich. Rock solid.
Notiert.
extrem nürnberg,
Mal fuer die Aussenstehenden: was bedeutet diese (in letzter Zeit haeufig gelesene) Floskel? Ursprung?
Gruss vom Frank.
FreeBSD evangelism (was: [OT] )
Nein. Aber ich habe irgendwie (=ohne Quelle) im Hinterkopf,
daß der OpenBSD-IP-Stack gewisse Hochlast-Probleme hat
und/oder hatte. FreeBSD - welches mich weit mehr interessiert
- hat diese Probleme nicht. Generell halte ich FreeBSD von den
dreien für am ausgereiftesten. Insbesondere die in den
nächsten Wochen kommende Version 5.3, das neue -STABLE, hat es
wirklich in sich. Rock solid.Notiert.
Ein paar auf den Anwendungsfall als Gateway bezogene Nettigkeiten:
saubere Integration von drei verschiedenen Paketfiltern (ipfilter, ipfw2, pf), dadurch weitreichende Interoperabilität und gute Wahlmöglichkeit der dazugehörigen Zusatzfeatures (traffic shaping, accounting et al)
volle Integration von KAME (IPv6, IPsec) - Interoperabilität von KAME und FAST_IPsec ist als „desired feature“ deklariert, kommt also, aber evtl. erst später
GBDE (GEOM Based Disk Encryption) bietet performante Festplattenverschlüsselung auf device Ebene - möglich für alle Filesystembereiche inkl. SWAP (außer /boot)
nativ ACLs auf Dateien und Verzeichnisse
vinum volume manager implementiert RAID-0, -1, -5
jails: vielleicht nicht unbedingt für ein „optimales“ gateway ein interessantes Feature, aber spannend, wenn doch irgendwelche Dienste außer SSH auf einer Maschine laufen sollen
Was halt schön an all dem ist, vor allem im Vergleich zu Linux, ist eben die Tatsache, daß es sich um ein echtes, vollwertiges Betriebssystem handelt - zwar ist alles schon noch modular aufgebaut, so daß Du Dir aussuchen kannst, welches Funktionalitäten du einbaust und welche nicht, aber es kommt eben alles „aus einer Hand“, so ein weitestgehend reibungsloses Zusammenspiel gewährleistet ist. Das macht nicht nur die Installation und Konfiguration angenehmer, sondern auch die Pflege. Es gibt zwar kein brauchbares System für binary updates, aber via cvsup und anschliessendes make world (für das System) und portupgrade (für die Ports) lässt sich solch eine Kiste recht bequem aktuell halten.
extrem nürnberg,
Mal fuer die Aussenstehenden: was bedeutet diese (in letzter
Zeit haeufig gelesene) Floskel? Ursprung?
Übersetzt zu „Ganz, ganz, ganz doll liebe Grüße aus $WOHNORT“, inspiriert durch eine Userin hier im Forum. Aktuell jedoch abgelöst durch „herzliches offenburg“.
offenburgend,
Malte.