Toon posts:

Dedicated firewall voor de serieuze hobbyist

Pagina: 1
Acties:

donderdag 21 mei 2009 18:35

Acties:
  • Trax_Digitizer
  • Registratie: Januari 2002
  • Laatst online: 31-12-2025

Trax_Digitizer

are we there yet?

Topicstarter
Ik draai al jaren een Linux hosting server vanaf thuis. Zeg maar gerust: een uit de hand gelopen hobby. Maar wel een waar ik veel plezier aan beleef :-). Anyway, deze server is eigenlijk het centrale punt van mijn gehele thuisnetwerk. Er draait een iptables firewall op, en met NAT zorg ik voor internettoegang van de overige pc's in het netwerk. Deze server is echter ook mijn NAS en bevat daarom data die ik graag wat beter wil beveiligen. De huidige hardware setup is grofweg als volgt:

code:
1

internet --- modem (sip spoofing) --- server/gateway --- switch --- cliënts


Mijn plan is om een gelaagdheid in mijn netwerk aan te brengen, met een echte DMZ. Naar mijn idee ziet dit er als volgt uit (suggesties/tips zijn van harte welkom):

code:
1
2
3
4

internet --- modem --- firewall 1 ------- firewall 2 --- switch --- cliënts
                           |                                |   
                           |                                |
                   hosting server (DMZ)                    NAS


Voor firewall 1 wil ik een dedicated firewall aanschaffen. Firewall 2 wordt hoogstwaarschijnlijk een Linux systeem met iptables of een openbsd systeem met pf.

In dit topic wil ik eigenlijk verder ingaan op firewall 1. Ik heb namelijk verschillende mogelijkheden bekeken, maar ben er nog niet helemaal uit. Wellicht dat een aantal tips of ervaringen van jullie mij kunnen helpen mijn keuze te maken.

Ik ben een serieuze hobbyist, die beveiliging belangrijk en interessant vindt. Ik hou van kwaliteit, maar niet ten koste van elke prijs. In eerste instantie leek het me leuk (en leerzaam) om een cisco ASA 5505 te kopen, maar deze is toch wel erg aan de prijs en waarschijnlijk bevat zo'n apparaat ook meer opties dan ik daadwerkelijk ga gebruiken. Bovendien lijkt een webinterface me toch wel erg handig. Daarom heb ik met mezelf afgesproken dat het budget wat ik voor deze firewall wil uitgeven zo'n 500 euro is. Het lijkt mij dat je hier een fatsoenlijk apparaat voor moet kunnen kopen met degelijke hardware/software.

Nu heb ik al flink wat websites bekeken, en kwam daar onder andere deze apparaten tegen:
  • 3Com® OfficeConnect® Gigabit VPN Firewall (link) (+/- 300 euro)
  • Netgear FVX538 (link) (+/- 350 euro)
  • Zyxel ZyWALL USG 100 (link) (+/- 560 euro)
  • SonicWall TZ 180 (link) (+/- 400 euro)
Vooral de producten van Zyxel en SonicWall spreken me erg aan, maar dat heeft meer te maken met een onderbuikgevoel dan duidelijke argumenten. Deze fabrikanten hebben ook een flink aantal producten in de prijsklasse rond de 500 euro.

Er zijn echter een aantal dingen die voor mij een beetje wazig blijven. Bij veel van deze apparaten dien je een licentie aan te schaffen voor anti-virus updates, firmware updates, etc. Dit komt (volgens mij) omdat er tegenwoordig veel functionaliteiten worden gecombineerd in een firewall waardoor de veiligheid verder toeneemt. Sonicwall noemt dit UTM (klik). Maar het wordt me niet helemaal duidelijk hoe het nou precies zit met die licenties. Als ik geen licenties aanschaf en alleen het apparaat, kan ik het apparaat dan maar half gebruiken? Het liefst heb ik namelijk geen terugkerende licentiekosten.

Behalve dat ik een minimale throughput wil hebben van zo'n 50 mbit, en een webinterface voor de standaard zaken, heb ik verder geen harde eisen aan het apparaat.

Mijn vraag is eigenlijk redelijk simpel: wat zijn jullie ervaringen met betrekking tot zulke apparaten?

donderdag 21 mei 2009 20:20

Acties:
  • Pinyin
  • Registratie: September 2002
  • Laatst online: 30-06-2025

Pinyin

Interessant topic :)
Jammer dat je de ASA5505 afschrijft als optie; die past prima in je budget:

pricewatch: Cisco ASA 5505 Base

[ Voor 35% gewijzigd door Pinyin op 21-05-2009 20:21 ]

donderdag 21 mei 2009 21:27

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Let dan wel op welke partcode je gebruikt, want van de 5505 zijn er nogal wat smaken:

ASA5505-BUN-K9
- 10 interne users (Aantal interne IP adressen binnen 24 uur)
- 3DES/AES tbv. IPSec VPN (10 tunnels)
- 2 licenties voor 2 concurrent SSL VPN sessies

ASA5505-50-BUN-K9
- 50 interne users (Aantal interne IP adressen binnen 24 uur)
- 3DES/AES tbv. IPSec VPN (10 tunnels)
- 2 licenties voor 2 concurrent SSL VPN sessies

ASA5505-UL-BUN-K9
- Unlimited aantal interne users
- 3DES/AES tbv. IPSec VPN (10 tunnels)
- 2 licenties voor 2 concurrent SSL VPN sessies

ASA5505-SEC-BUN-K9 ASA 5505 Sec Plus Appliance with SW, UL Users, HA, 3DES/AES
- Unlimited aantal interne users
- 3DES/AES tbv. IPSec VPN (25 tunnels)
- 2 licenties voor 2 concurrent SSL VPN sessies
- Active / Standby en DUAL ISP failover

ASA5505-SSL10-K9
- 50 interne users (Aantal interne IP adressen binnen 24 uur)
- 3DES/AES tbv. IPSec VPN (10 tunnels)
- 10 licenties voor 10 concurrent SSL VPN sessies

ASA5505-SSL25-K9
- 50 interne users (Aantal interne IP adressen binnen 24 uur)
- 3DES/AES tbv. IPSec VPN (10 tunnels)
- 25 licenties voor 10 concurrent SSL VPN sessies

Prijzen kan je vinden via Pricewatch Unsorted
( Geen zin om die links toe te voegen :) )

De ASA die drugsbunny aanhaalt betreft de ASA5505-SSL10-K9 bundel (En dat is geen ASA5505 Base)
Vandaar dat de prijzen daarvan rond de 900,- tot 1100,- liggen. ( Die van Salland staat er verkeerd in. )

De ASA5505-BUN-K9, ASA5505-50-BUN-K9 en ASA5505-UL-BUN-K9 liggen binnen je budget.
Let op dat de ASA5505-BUN-K9 maar max. 10 interne users is.
( Wat weinig kan zijn als je als hobbyist bijvoorbeeld wat virtuele machines draait. )

Binnenkort worden ook ASA5505's leverbaar met een Intrusion Prevention Module.
( ASA5505-50-AIP5-K9 en de ASA5505-U-AIP5P-K9 ) Deze hebben signature updates nodig en hier heb je een onderhoudscontract voor nodig. ( Smartnet ) Een andere mogelijkheid is een Botnet filter, wat weer een jaarlijkse licentie is.

UTM is een algemene term.
Afhankelijk van de gevraagde functionaliteit zijn dus sommige licenties éénmalig en sommige periodiek.

Datasheet van de ASA is hier te vinden.
Configuratie guides (zowel CLI als grafisch ) zijn hier te vinden.
Veel voorkomende configuratie voorbeelden staan hier.
Trax_Digitizer schreef op donderdag 21 mei 2009 @ 18:35:
In eerste instantie leek het me leuk (en leerzaam) om een cisco ASA 5505 te kopen, maar deze is toch wel erg aan de prijs en waarschijnlijk bevat zo'n apparaat ook meer opties dan ik daadwerkelijk ga gebruiken. Bovendien lijkt een webinterface me toch wel erg handig.
Een ASA kan je zowel configureren via CLI als via de grafische ASDM.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

donderdag 21 mei 2009 23:35

Acties:
  • Trax_Digitizer
  • Registratie: Januari 2002
  • Laatst online: 31-12-2025

Trax_Digitizer

are we there yet?

Topicstarter
Bedankt voor deze informatie. Werkt verhelderend. Misschien is die Cisco dan toch een optie.

Toch nog een aantal vragen over de Cisco.

Het is me nog niet duidelijk welke licences jaar na jaar terugkomen en welke je eenmalig aan dient te schaffen. En welke mogelijkheden zijn er allemaal? Dat moet toch wel ergens overzichtelijk te vinden zijn lijkt me.

En die 10 users, dat geldt natuurlijk voor elke machine in het gehele netwerk? Dus ook de machines achter de tweede firewall? En ook de Linksys WRT54GL met dd-wrt geconfigureerd als wireless accesspoint?
Als ze allemaal meetellen, zit ik nu op 8 machines (htpc, desktop, nas, server in dmz, firewall 2, laptop vriendin, laptop werk, accesspoint).

vrijdag 22 mei 2009 16:04

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Trax_Digitizer schreef op donderdag 21 mei 2009 @ 23:35:Het is me nog niet duidelijk welke licences jaar na jaar terugkomen en welke je eenmalig aan dient te schaffen. En welke mogelijkheden zijn er allemaal? Dat moet toch wel ergens overzichtelijk te vinden zijn lijkt me.
Een Model Comparison vind je hier. Rode gegevens zijn afhankelijk van extra licenties.
Een ordering guide heb ik helaas nog niet gevonden.
Trax_Digitizer schreef op donderdag 21 mei 2009 @ 23:35:
En die 10 users, dat geldt natuurlijk voor elke machine in het gehele netwerk? Dus ook de machines achter de tweede firewall? En ook de Linksys WRT54GL met dd-wrt geconfigureerd als wireless accesspoint?
Als ze allemaal meetellen, zit ik nu op 8 machines (htpc, desktop, nas, server in dmz, firewall 2, laptop vriendin, laptop werk, accesspoint).
Elk device wat je inside netwerk interfaces benaderd.
( Daarbij wordt gekeken naar het aantal IP adressen in 24 uur.) Kuch... NAT of Proxy O-)
Vandaar dat de 50 user of unlimited user variant misschien handiger is.

Smartnet
Is een onderhoudscontract voor Cisco hardware en moet je periodiek afsluiten. Het geeft recht op:
- Hardware replacement bij defecte hardware (evt.met engineer en 2 uur responstijd die het komt plaatsen)
- Firmware updates
- Mogelijkheid om configuratie vragen te stellen aan Cisco TAC. ( Waar ook weer bepaalde SLA's aan verbonden zijn. We hebben het tenslotte over een profi product. )
- Diepe toegang tot tools en documentatie op de Cisco website.

Zie ook link, link en link. De Technical Services Resource Guide van de laatste link is daarbij ook handig.

Smartnet for IPS services is een apart Smartnet waarmee je updates krijg als je een IPS module in de ASA hebt.

Cisco werkt vaak met bundeltjes. Deze bestaan uit hardware, software en licenties. (Zoals ik eerder heb beschreven.) Je kan overigens software matige en licentie technische zaken altijd upgraden. Zo kan je van een ASA5505-BUN-K9 met de ASA5505-SW-10-UL= licentie een ASA5505-UL-BUN-K9 maken.

Naast onderhoudscontracten heb je:

ASA platform licenties ( éénmalig of in een bundel ):
10, 50, unlimited interne users / IP adressen

ASA "-SEC" platform licenties ( éénmalig of in een bundel ):
Voegt extra performance toe, failover, Dual ISP, IPSec tunnels, VLAN's en VLAN trunks, DMZ, enz.
( Zie tabel 7 uit de datasheet )

ASA SSL VPN licenties ( éénmalig of in een bundel )
Standaard wordt een ASA geleverd met 2 SSL licenties voor twee gelijktijdig / concurrent aantal SSL VPN sessies. (Wat denk ik voldoende moet zijn voor een pro-home-user. :) )

Filter voor Botnets ( periodiek )
Nieuw sinds de zeer recente software release 8.2.

UC Proxy ( éénmalig of in een bundel )
Zorgt ervoor dat Cisco IP telefoons een soort VPN kunnen opzetten met de ASA.
Hier heb je wel een CallManager omgeving voor nodig. ( Vandaar dus niet interessant. )

Security Contexts ( éénmalig of in een bundel )
Dit zijn virtuele firewalls. Alleen beschikbaar op de ASA 5510 en hoger.

Verder heb je voor de ASA5510 en hoger een antivirus / antispam module. ( Met software van Trend Micro. ) Hier hangt ook een complete licentie structuur aan met users en plus licenties en periodieke updates.
( ASA5510 en dus ook niet interessant om uit te leggen. )

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

zaterdag 23 mei 2009 09:44

Acties:
  • riddles
  • Registratie: April 2000
  • Laatst online: 25-02 14:30

riddles

Beetje domme vraag, maar waarom niet gewoon zo:
code:
1
2
3
4

internet --- modem --- firewall ------- switch --- cliënts
                           |              |    
                           |              |
                 hosting server (DMZ)    NAS

Je moet toch wel een redelijke firewall kunnen vinden met 3 interfaces? Dat scheelt je een heleboel kosten aan zowel hardware als stroom. Tuurlijk, in een bedrijfsmatige omgeving met een echt DMZ zou je dit nooit doen, maar voor een thuisomgeving met wat webhosting is dit ook wel genoeg.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq