Wem ein ISA zu frickelig und ein Cisco (incl. Lizenzen) zu teuer ist, sollte sich dringend mal hiermit beschäftigen:



ich bin gerade schwer beeindruckt, was Lancom hier auf die Füße gestellt hat.
Am meißten fasziniert mich die CPU-Last - da ist noch genug "Luft" für ADSL2/VDSL und komplexere Firewall-Regeln.
Die Hardware-Beschleunigung (3DES/AES) scheint die CPU merklich zu entlasten.
Genau an der gleichen Stelle waren vorher Draytek-2600 drinnen - die waren nach 30 Minuten AES128@50kb/s so heiß, daß man die nicht mehr anfassen konnte.

P.S.: Das oben ist nur Testbetrieb an zwei einfachen DSL-Leitungen (ein Business-2000 und ein 6000er, der auf 3000 gedrosselt ist).
Die Teledumm will/kann/möchte hier keine vernünftigen Anschlüsse zur verfügung stellen.

mfg. Thomas

Zitat von »Erdbär«

... aber wofür verwendest du zwei 1500€-Router?

Primär zum (sicheren) Verbinden zweier Standorte mittels VPN.
Weiterhin habe ich vor Redundanz zu schaffen, indem zwei verschiedene Zugänge (vorerst mal Kabel und ADSL2) "zusammengeschaltet" werden - nachdem es dafür kein MLP (=Multi Link Protocol) gibt, werde ich die Strategie noch austüfteln müssen.

Solche "Spielereien" sind mit Standard-Ware einfach nicht realisierbar.
Wie ich bereits schrieb - an der Stelle waren auch schon Drayteks im Einsatz - diese sind aber nur mit der Verschlüsselung bereits überlastet.

mfg, Thomas

Edit:
Bei manchen Firmen gibt's das eigentliche Gerät möglicherweise sogar etwas günstiger.
Blöderweise muß man dann die Lizenzen für jeden einzelnen VPN-Tunnel noch dazu erwerben.

Zitat von »Max_Payne«

So was kann man in wenigen Minuten mit irgendeiner Linux Distri (z.B. Debian) selber stricken, oder fertige Sachen wie IP-Cop verwenden.

Genau tut sich imho ein fast unüberschaubares Feld von Sicherheitslücken auf.
Wenn Herr und Frau Heimwerker mal eben eine FireWall zusammenbastelt, kann dabei nur eine Laien-Bastel-Lösung entstehen.

Zitat

Ein ISA Server wäre mir für solch eine Aufgabe nicht zu "frickelig" sondern schlicht zu unsicher bzw. weniger geeignet.

Ich würde auch niemals einen ISA als Frontend-FW einsetzen wollen. Als Subnetz-Verteiler und Proxy (in einem NTDS-Umfeld) tun die wunderbar ihren Dienst.
BTW: Ich hab' mich hier schon mehrfach über die ASTAROs geärgert. "Zugenagelt" bis zum Abwinken und trotzdem zickt das Teil ständig herum - "security by obscurity" ist einfach der falsche Weg.
Da kämpfe ich dann lieber mit einem ISA.

Zitat

Was auch noch eine Alternative wäre die ich leider bisher nur zweimal in Betrieb genommen habe wäre dies hier:
[*] http://www.watchguard.com --> Firebox SSL

Naja.
AES fehlt, nur 128/168-Bit, ESP hab' ich auch nicht gesehen.
D-Kanal (ISDN) Trigger und ID gibt's sowieso nicht.
... und - last but not least - die VPN-Lizenzen gibt's wieder mal nur gegen Aufpreis.

Zitat

Es wäre mal interessant zu wissen das Firewalltechnisch in der Kiste steckt (IDS, NAT-Regeln usw.).

Das ist alles "well-documented" und sehr präzise einstellbar.
Selbst die Defaults sehen recht brauchbar aus ... bis auf die Packetfilter und Protokoll-Definitionen - die darf man erst mal selber machen.
Ohne grundlegende Kenntnisse des IP-Traffics sollte man die Finger davon lassen - das gilt eigentlich für alle FireWalls.
Im Gegensatz zu Cisco ist aber die Management-Oberfläche wenigstens auch für Normalsterbliche verständlich.

Eine pfiffige Idee ist, den ID-Port nur für das angesprochene Mailrelay und nur für eine kurze Zeit sichtbar zu machen. Ansonsten ist das Ding einfach "tot".

mfg, Thomas