Welke firewall/proxy te kiezen*

hellie- schreef op dinsdag 23 november 2004 @ 21:40:
... Is het slim om tussen de router en de proxy server nog een hardware Internet Firewall te plaatsen? ...

Nee is niet slim; kost je extra hardware en bovendien is ISA een betere firewall dan zo'n hardware ding

isaserver=firewall en proxy in een, en als het voor een school is kan je heel goedkoop aan licenses komen.

mocht zelfs dat te duur zijn kan je altijd nog squid gebruiken onder linux of squidnt onder windows, das gratis alleen een beetje spartaans in het configgen

* Zwelgje zweert bij isa2004 iig

Titelfix

Brahiewahiewa schreef op dinsdag 23 november 2004 @ 21:46:
[...]
Nee is niet slim; kost je extra hardware en bovendien is ISA een betere firewall dan zo'n hardware ding

Ik vind het anders geen slecht idee. Om bovendien ISA een betere firewall te noemen dan een hardware firewall vind ik al helemaal kort door de bocht, er zijn volgens mij zeker firewalls te vinden die beter zijn dan ISA.

Als ISA geen firewalling moet doen kan ie al zn power gebruiken voor Proxy taken.

Netscreen levert degelijke firewalls de eenvoudig te beheren zijn...

[ Voor 7% gewijzigd door Yalopa op 24-11-2004 19:53 ]

Brahiewahiewa schreef op dinsdag 23 november 2004 @ 21:46:
[...]
Nee is niet slim; kost je extra hardware en bovendien is ISA een betere firewall dan zo'n hardware ding

Ouw! Dat is imho een redelijk foute opmerking. ISA is een applicatie op een netwerk operating system en daarmee is het 'geheel' waarop ISA draait meer dan (alleen) een firewall.

Juist voor een firewall wil je juist zo min mogelijk functionaliteit. Dus per definitie kan firewall logica die op een OS draait dat voor meerdere functionaliteiten ontworpen is nooit beter zijn dan een 'hardware' firewall (uitgaande dat die hardware firewall op een OS draait dat voor een dergelijke appliance ontworpen is). De extra functionaliteit kan alleen maar in de weg komen te zitten (stuk zijn, onnodig veel rekenkracht afsnoepen van het firewall proces etc).

Maar om terug te komen op de echte discussie ben ik het (nog steeds niet ) met je eens. Een firewall is goed, twee is beter. Inherent aan het concept firewall is immers dat je begint met blokkeren en open zet wat je wilt. Met een firewall loop je het risico dat een configuratiefout dus meer open zet dan je eigenlijk wilt. Gebruik je twee (heel verschillende) firewalls, dan moet je dezelfde soort fout twee keer maken. De kans op fouten (die verkeer doorlaten) is dus kleiner.

Otoh, in een situatie met beperkt budget (en vermoedelijk geen surplus aan tijd voor beheer) is een firewall waarschijnlijk toch het handigst. Een server met ISA erop kan dan ook best wel eens een stuk handiger en goedkoper zijn. Zet je het tegen een Cisco PIX van 10K euro waar je je eerst nog weken in moet verdiepen voor je de bediening voldoende snapt, dan is ISA sneller en goedkoper.

Is dit niet wat voor je
http://www.smoothwall.org/

Maarten.O schreef op woensdag 24 november 2004 @ 21:22:
Juist voor een firewall wil je juist zo min mogelijk functionaliteit. Dus per definitie kan firewall logica die op een OS draait dat voor meerdere functionaliteiten ontworpen is nooit beter zijn dan een 'hardware' firewall (uitgaande dat die hardware firewall op een OS draait dat voor een dergelijke appliance ontworpen is). De extra functionaliteit kan alleen maar in de weg komen te zitten (stuk zijn, onnodig veel rekenkracht afsnoepen van het firewall proces etc).

Eerst even over die laatste zin, als er iets niet processor-intensief is dan is het wel het firewallen. Pas als je tientallen VPN-tunnels op gaat zetten dan moet er wat meer gerekend te worden.

Verder is ISA meer dan een firewall en proxy. Het is een open platform waar je applicaties van derden op kunt draaien voor bijvoorbeeld hele specifieke filtering. Hey, laat dat nou net een wens van de OP zijn...

TS: ik ken zo 1-2-3 geen betere optie dan ISA Server. Met name de 2004-versie is een utierst krachtige en toch eenvoudig te beheren firewall en proxyserver. Schaf daarbij een goed filteringpakket aan welke integreert in ISA en je bent het heertje.

Jazzy schreef op woensdag 24 november 2004 @ 21:47:
[...]
Eerst even over die laatste zin, als er iets niet processor-intensief is dan is het wel het firewallen. Pas als je tientallen VPN-tunnels op gaat zetten dan moet er wat meer gerekend te worden.

Dat ben ik met je eens, maar desalniettemin zie ik niet in waarom een screensaver oid processorkracht van mijn firewall moet snoepen.

Verder is ISA meer dan een firewall en proxy. Het is een open platform waar je applicaties van derden op kunt draaien voor bijvoorbeeld hele specifieke filtering. Hey, laat dat nou net een wens van de OP zijn...

En al die prachtige mogelijkheden maken dus ook meteen de achilleshiel van het hele product. Als gezegd: een firewall in de meest elementaire vorm van het woord blokkeert verkeer. Elke regel code die iets anders doet is een potentieel risico.

Maar zoals ik al aangaf is dat meer een fundamentele discussie die niet veel met de situatie van de TS te maken heeft, maar slechts opgeroepen werd door de opmerking van Brahiewahiewa. Als hij had geschreven dat ISA een veelzijdiger firewall is dan het gemiddelde hardware 'ding', dan was ik het met hem (en jou) eens geweest

@TS:

Een Squid proxy met een IPtables firewall (1 pc)

Waarom;

Voordelen
Schaalbaar, betrouwbaar,goedkoop, lage hardware eisen.

Nadelen
Niet zoals met ISA Server in drie klikken een werkende situatie.

Brahiewahiewa schreef op dinsdag 23 november 2004 @ 21:46:
[...]
Nee is niet slim; kost je extra hardware en bovendien is ISA een betere firewall dan zo'n hardware ding

Jij hebt het wel heel veel vertrouwen in ISA.
Maar ik heb liever zo'n hardware "ding" als borderline firewall dan een ISA server. Als je ISA even hapert staat meteen je hele server exposed.

Kan iemand mij uitleggen waarom ISA nou zo geliefd is bij jullie want dat ontgaat mij even.

[ Voor 110% gewijzigd door TAMW op 24-11-2004 22:52 ]

TAMW schreef op woensdag 24 november 2004 @ 22:20:
Kan iemand mij uitleggen waarom ISA nou zo geliefd is bij jullie want dat ontgaat mij even.

De voordelen van ISA zijn al een paar keer genoemd. Kijk anders eens op http://www.microsoft.com/isaserver/ of informeer naar een trial om zelf eens te kunnen kijken. Hier staat nog een mooi lijstje met voordelen en sterke punten: http://www.microsoft.com/...tion/features/default.asp

Oh, een trial kun je hier donwloaden: http://www.microsoft.com/...luation/trial/default.asp en als je het IS niet hebt dan kun je daar ook een trial van krijgen.

Bedankt voor de tips maar ik werk al vanaf msproxy 2.0 met dit type software van MS, dus ook ISA 2000 en 2004 maar een echte goede reden om dit te gebruiken kan ik niet vinden het enige waar in het uitblinkt is naar mijn mening gebruiksgemak.

Naar de MS site wijzen voor "voordelen" is natuurlijk niet echt bevoordelijk voor het objectief beoordelen van de voordelen.

Hoewel ik eerlijk moet zeggen dat ISA 2004 ergens op gaat lijken.

[ Voor 56% gewijzigd door TAMW op 25-11-2004 09:41 ]

http://www.smoothwall.net/products/corporateserver3/

Dit is de betaalde variant van smoothwall, erg gebruiks vriendelijk
en heeft geen zware machine nodig.

Taurec schreef op donderdag 25 november 2004 @ 10:20:
http://www.smoothwall.net/products/corporateserver3/

Dit is de betaalde variant van smoothwall, erg gebruiks vriendelijk
en heeft geen zware machine nodig.

Wel vrij prijzig, in vergelijking met ISA Server. En dan mis je nog je Active Directory-integratie.

ISA 2004 is voor mij ideaal gebleken tot nu toe.

Het is idd zo dat dat er meer mee kan dan poorten afschermen. Maar dat is vaak het probleem met de basic firewalls. De moeite om complexere protocollen aan te sturen.... Om zelfs maar een active FTPsessie over non default poorten te starten is een drama. ISA kan dat prima aan.

AD integratie, prima rapportates... Enne... neem een Cisco firewall: da's ook een filter op een basis os (IOS) misschien kaler, maar het zelfde idee. En die boxen zijn ook gevoelig voor lekken als ik bugtraq moet geloven.

Zeggen dat ISA het walhalla is, is misschien wat overtrokken, maar het is wel de meest werkbare firewall die ik tot nu toe heb meegemaakt (ook al zijn er tot nu toe nog wel wat kleinigheden die ik nog niet heb kunnen achterhalen, maar dat is meer de onervarenheid met isa.)

er zijn nu dus 3 mogelijkheden:
ISA
Hardware firewall
Smoothwall

of.... ASTARO ( Ik ben niet zo'n linux/unix man) Dit schijnt de beste firewall te zijn die er is (ik houd het bij ISA).
Astaro is een linux/unix distributie die compleet is ontworpen (netzoals ISA) om tot op applicatienivo te filteren
zie: http://www.astaro.com/

hellie- schreef op dinsdag 23 november 2004 @ 21:40:

ps. Is het slim om tussen de router en de proxy server nog een hardware Internet Firewall te plaatsen? (bv. 3Com Internet Firewall)


Alle suggesties zijn welkom.

Ja, is wel slim. Ik zou de beveiliging nooit aan alleen ISA over laten maar hier altijd een goede firewall voor zetten. Cisco Pix / Checkpoint device (die zijn er ook redelijk betaalbaar). Wat voor budget heb je beschikbaar voor dit geheel?

Maarten.O slaat voor een deel de spijker op zijn kop.

[ Voor 6% gewijzigd door Bor op 27-11-2004 12:29 ]

Bor_de_Wollef schreef op zaterdag 27 november 2004 @ 12:28:
[...]


Ja, is wel slim. Ik zou de beveiliging nooit aan alleen ISA over laten maar hier altijd een goede firewall voor zetten. Cisco Pix / Checkpoint device (die zijn er ook redelijk betaalbaar). Wat voor budget heb je beschikbaar voor dit geheel?

Maarten.O slaat voor een deel de spijker op zijn kop.

Dan heb je zijn nuancering niet goed gelezen. Het is (veel) te kort door de bocht om een zogenaamde hardwarematige firewall een goede firewall te noemen terwijl je daarmee impliceert dan een ander type firewall slecht zou zijn.

Ben je op de hoogte van de bugs en exploits voor bijvoorbeeld ISA en PIX? Het antwoord zal je wellicht verbazen.

Er is niets mis met een firewall die op generieke hardware draait, mits het OS goed gepatched, geconfigureerd en 'hardened' is. Net als met zo'n softwarefirewall waarvan jij denkt dat het een hardwarefirewall is.

Jazzy schreef op zaterdag 27 november 2004 @ 20:21:
[...]
Dan heb je zijn nuancering niet goed gelezen. Het is (veel) te kort door de bocht om een zogenaamde hardwarematige firewall een goede firewall te noemen terwijl je daarmee impliceert dan een ander type firewall slecht zou zijn.

Ben je op de hoogte van de bugs en exploits voor bijvoorbeeld ISA en PIX? Het antwoord zal je wellicht verbazen.

Er is niets mis met een firewall die op generieke hardware draait, mits het OS goed gepatched, geconfigureerd en 'hardened' is. Net als met zo'n softwarefirewall waarvan jij denkt dat het een hardwarefirewall is.

Ik ben zeker op de hoogte van de bugs en issues van ISA / Pix etc. Bovendien hoor je mij niet zeggen dat een "hardware matige" firewall geen OS draait hoor. Het voordeel is dat een dergelijk OS al gehardened is. Ik heb weinig tot geen vertrouwen in het feit dat TS een OS kan / gaat hardenen en dat ook nog gaat bijhouden. Het nadeel aan bv ISA is dat het op een erg unsecure OS draait (Windows) waarvoor de meeste exploits zijn die er momenteel op "de markt" zijn.

Bor_de_Wollef schreef op zaterdag 27 november 2004 @ 20:29:
Het nadeel aan bv ISA is dat het op een erg unsecure OS draait (Windows) waarvoor de meeste exploits zijn die er momenteel op "de markt" zijn.

Sorry, maar Windows 2000 Server en Server 2003 kun je echt niet 'erg unsecure' noemen. Alles valt of staat met goed beheer maar ik denk dat je in de war bent met bijvoorbeeld Windows 95 of 98. Met dit soort kreten maak je jezelf (voor mij) vrij ongeloofwaardig.

Jazzy schreef op zaterdag 27 november 2004 @ 20:49:
[...]
Sorry, maar Windows 2000 Server en Server 2003 kun je echt niet 'erg unsecure' noemen. Alles valt of staat met goed beheer maar ik denk dat je in de war bent met bijvoorbeeld Windows 95 of 98. Met dit soort kreten maak je jezelf (voor mij) vrij ongeloofwaardig.

Je snapt zelf ook wel dat een Windows 2000 server bv minder secure is dat een gehardened os zoals bv secure platform van checkpoint. Als je dat niet in ziet maak je jezelf nogal ongeloofwaardig (wat een onzin zeg). Het feit blijft gewoon dat er voor Windows echt heel veel exploits te zijn verkrijgen. Daarbij is het hardenen van een OS een taak die goed moet worden bijgehouden en waar naast tijd vooral veel kennis voor nodig is. Gezien de vraag van TS vraag ik mij af of deze het kennisniveau heeft om een hardened OS bij te houden of zelf een OS te hardenen. Een full blown OS als bv Win2k of Win2k3 heeft gewoon meer componenten die je voor een firewall totaal niet nodig hebt of zelfs totaal niet wilt hebben (wat moet je bv op een firewall met een mediaplayer etc). Alle overbodige software is een extra risico. Maar goed, dat is niet de vraag die hier is gesteld. Bovendien kom je nogal "cocksure" over met je "ongeloofwaardig" opmerking, geheel ten onrechte.

Windows 2003 Server + ISA server + extra modules is normaal gesproken vrij duur. Echter een school kan deze software voor een hele lage prijs aanschaffen dus beperken de aanschafkosten zich tot zo ongeveer de prijs van de gebruikte hardware.

Een firewall als Smoothwall (gratis linux firewall) heeft dan ook geen prijsvoordelen ten opzichte van een ISA server. Wel zul je wat minder overhead van je OS hebben en is de gebruikte linux distributie bij Smoothwall (en helemaal bij Astaro (een goede maar niet gratis linux firewall) ) gehardened. Windows 2003 vereist wat dat betreft inderdaad meer aandacht, maar bij alle software systemen ontkom je er niet aan om automatisch je firewall naar patches te laten zoeken en deze te installeren.

Goede hardware firewalls zijn in deze situatie waarschijnlijk duurder dan de ISA server en ook daar zul je moeten patchen. Er is dan ook eigenlijk geen echte reden waarom je niet met de ISA server zou werken.

Maar vergeet ook niet dat een firewall je niet beschermd tegen virussen, spyware of trojans en dat je door de koppeling met het internet wat dat betreft een stuk kwetsbaarder wordt.

Verwijderd schreef op zondag 28 november 2004 @ 02:07:

Maar vergeet ook niet dat een firewall je niet beschermd tegen virussen, spyware of trojans en dat je door de koppeling met het internet wat dat betreft een stuk kwetsbaarder wordt.

De dozen van symantec hebben daar wel plugins voor, deze filteren op evil javascripts en nog meer van de meuk die je niet wil hebben, beetje prijzig thoug maar zeker voor een school interessant. Aangezien het feit dat het onderwijs zelf bedrijfkritisch is. Indien je cursisten netwerk plat ligt door of een virus of een voor leerlingen aantrekkelijke, maar systeembeheer technisch ongewilde site, heb je binnen no time het CvB op je dak en dan kun je als Automatiserings Afdeling wel inpakken.

* McMiGHtY werkt zelf momenteel ook @ school

Brahiewahiewa schreef op dinsdag 23 november 2004 @ 21:46:
[...]
Nee is niet slim; kost je extra hardware en bovendien is ISA een betere firewall dan zo'n hardware ding

Ben een van de weinige in dit topic die het hier wel mee eens is geloof ik.

En die mensen die zeggen over al zijn kracht voor proxy doeleinden ed. Zoveel kracht vergt het ook weer niet.

ISA op een P3 500 met 256mb kan dik 500 gebruikers met gemak aan. Dus met de servers van tegenwoordig moet ISA hier toch totaal geen problemen mee hebben.

Muppet schreef op maandag 29 november 2004 @ 11:39:
[...]


Ben een van de weinige in dit topic die het hier wel mee eens is geloof ik.

Kun je eens uitleggen waarom je het eens bent met het volgende? Interessant namelijk.

bovendien is ISA een betere firewall dan zo'n hardware ding

ISA op een P3 500 met 256mb kan dik 500 gebruikers met gemak aan. Dus met de servers van tegenwoordig moet ISA hier toch totaal geen problemen mee hebben.

Dat hangt er maar helemaal van af wat je de ISA laat doen en hoeveel verkeer hij krijgt te verwerken. 500 users op bv een ISDN lijn zal zeker niet zo'n probleem zijn maar moet het richting de gigabit gaan dan krijg je toch een ander verhaal. Daarnaast hangt het er nog sterk van af wat voor content screening je wilt doen.

[ Voor 51% gewijzigd door Bor op 29-11-2004 17:23 ]

Bor_de_Wollef schreef op maandag 29 november 2004 @ 17:18:
[...]

Kun je eens uitleggen waarom je het eens bent met het volgende? Interessant namelijk.

[...]

De voordelen van ISA Server ten opzichte van een PIX of FireWall-1 zijn al verschillende keren genoemd. Zodra die voordelen voor iemand belangrijk zijn dan zal hij ISA een beter produkt vinden.

Persoonlijk houd ik meer van genuanceerder uitspraken maar ik zie niet in wat er zo raar is aan iemand die het ene produkt beter vind dan het andere.

Zelf gebruik ik een Cisco PIX 515E in combinatie met een ISA Server 2000. Beiden om bepaalde redenen. Als beheerder is de ISA veruit mijn favoriet en dat is met name omdat ik ISA onbeperkt kan laten checken aan de hand van lidmaatschap van een AD groep. Voor de PIX heb ik daar een IAS server voor nodig en dan kan ik nog slechts 1 validatie doen: dus óf kijken of iemand het internet wel op mag óf kijken of iemand via VPN naar binnen mag.

Maar welke nou beter is? Ik zou het niet durven zeggen.

degene die de beste is is diegene die niet vatbaar is voor dat ene bugje in whatever dat die hacker interessant vindt... Morgen is er een belangrijke exploit voor ISA maar overmorgen misschien voor PIX of eender welke andere oplossing.
Daarom likt het me beveiligingstechnisch nooit slecht te zijn meerdere firewalls te gebruiken (bijvoorbeeld een ISA en een PIX) In kritische omgevingen is het imho zelfs een must.
Natuurlijk moet je dus voor jezelf een afweging maken ook in de richting van kosten en beheerbaarheid (2 firewalls is 2 keer configureren, updaten, etc).

Jazzy schreef op maandag 29 november 2004 @ 17:25:
[...]

Als beheerder is de ISA veruit mijn favoriet en dat is met name omdat ik ISA onbeperkt kan laten checken aan de hand van lidmaatschap van een AD groep. Voor de PIX heb ik daar een IAS server voor nodig en dan kan ik nog slechts 1 validatie doen.

Daar zie je de achtergrond van ISA -> proxy en daarbij een MS product. AD integratie bij vrijwel elke leverancier is op dit punt slecht tot nog niet goed ontwikkeld. Zelf zet ik ISA alleen in als proxy (+). Mijn complete beveiliging aan ISA overlaten doe ik niet. Maar ook dat is een persoonlijk iets denk ik. Het risico van een OS based exploit vind ik gewoon vele malen te groot.

De voordelen van ISA Server ten opzichte van een PIX of FireWall-1 zijn al verschillende keren genoemd. Zodra die voordelen voor iemand belangrijk zijn dan zal hij ISA een beter produkt vinden.

Klopt, maar de voordelen de andere kant op ook Behalve de proxy functie en de AD integratie zie ik er eigenlijk niet zo veel namelijk. Ik vind het persoonlijk erg interessant om te horen waarom iemand juist wel of niet voor een product kiest. Daar kunnen we allemaal ons voordeel mee doen. Vandaar mijn vraag.

[ Voor 27% gewijzigd door Bor op 29-11-2004 17:51 ]

Vergeet niet goede documentatie te lezen over het hardenen van de ISA server. Dat wordt in vrijwel elk isa boek vergeten / niet goed behandeld.

Bor_de_Wollef schreef op dinsdag 30 november 2004 @ 08:26:
Vergeet niet goede documentatie te lezen over het hardenen van de ISA server. Dat wordt in vrijwel elk isa boek vergeten / niet goed behandeld.

Goed advies hoor, maar dit staat echt overal beschreven. Voorbeeldje. Microsoft Press: Deploying and Managing Microsoft Internet Security and Acceleration Server 2000, Module 6: Configuring the Firewall begint met het hoofdstuk Securing the Server. Pas daarna komen packet filters en dergelijke aan bod.

Jazzy schreef op dinsdag 30 november 2004 @ 08:57:
[...]
Goed advies hoor, maar dit staat echt overal beschreven. Voorbeeldje. Microsoft Press: Deploying and Managing Microsoft Internet Security and Acceleration Server 2000, Module 6: Configuring the Firewall begint met het hoofdstuk Securing the Server. Pas daarna komen packet filters en dergelijke aan bod.

Inderdaad maar die boeken doen een basis hardening die soms achterhaald is. Op internet zijn echt veel uitgebreidere docs te vinden waar ook een stuk logging in wordt beschreven (hier missen veel boeken nog wel eens de boot). Ik heb hier bv een microsoft boek liggen die vrijwel niets aan hardening beschrijft.

[ Voor 7% gewijzigd door Bor op 30-11-2004 12:09 ]

Ach jah, in mijn geval komt er ook nog eens bij dat ISA2004 certificering straks een onderdeel van MCSE is. Cisco boxen beheren is een totaal nieuw en ander verhaal.

Dat is een belangrijke extra reden voor mij: IOS is mij tot nu toe te complex gebleken om een oplossing in te bouwen. De webinterface van een PIX 501- zoals ik die in het verleden korte tijd heb mogen beheren - was naar mijn gevoel zo flexibel als een looie deur.

Bovendien is het bijhouden van patches op Win2k3 / ISA2k4 een stuk beter te doen dan fixes installeren op IOS... maargoed, ieder zijn keuze he?

Firefox schreef op dinsdag 30 november 2004 @ 15:08:
Ach jah, in mijn geval komt er ook nog eens bij dat ISA2004 certificering straks een onderdeel van MCSE is. Cisco boxen beheren is een totaal nieuw en ander verhaal.

Dat is een belangrijke extra reden voor mij: IOS is mij tot nu toe te complex gebleken om een oplossing in te bouwen. De webinterface van een PIX 501- zoals ik die in het verleden korte tijd heb mogen beheren - was naar mijn gevoel zo flexibel als een looie deur.

Bovendien is het bijhouden van patches op Win2k3 / ISA2k4 een stuk beter te doen dan fixes installeren op IOS... maargoed, ieder zijn keuze he?

Hmm, fixes installeren op een ios is in pricipe maar een paar commando's maar goed. Gelukkig komen er dan ook lang niet zo veel patches voor uit als voor win2k en isa