PIX 500 vs. IPCop

[Ultraschall 10]

Hi *,

 

unser Router (eine alte Linux Kiste) in der Firma (ca. 40 Mann) ist langsam in die Jahre gekommen und wir brauchen nun einen neuen. Funktionen wie VPN sind auf dem jetzigen Router nicht installiert und werden demnächst dringend benötigt.

 

Meine Anforderungen an eine Router/Firewall Lösung sind:

 

- VPN Server

- IDS

- IPS

- Taffic Auswertung

- URL Filter

 

Nun habe ich mir ätliche opensource Lösungen angeschaut und finde IPCop eigentlich nicht schlecht. Es deckt meine Anforderungen ab und kostet kein Geld.

 

Auf dem Gebiet Firewall habe ich mich leider noch nicht sehr viel beschäftigt :( aber warum soll ich mir jezt eine teure PIX kaufen wenn ich es mit einer opensource Lösung hinbekomme? Oder seht ihr das anders? Welche Vorteile und Nachteile habe die beiden Lösungen?

 

THX im vorraus!

Ultraschall

[substyle 20]

Der hauptunterschied ist der SUPPORT

 

Wenn bei dem PIX etwas nicht klappt kannst du dich mit Cisco in verbindung setzen,

denen Notfalls die Hammelbeine langziehen, dem Techniker einen Blumenkohl ans Ohr

labern. Beim IPCop bist du der Support.

 

Soll heißen, Netfilter macht eine tolle Firewall, mit Squid etc, kriegt man auch ne gute

Appliance gebaut, aber man muss das auch beherrschen können, also Troubleshooting.

 

subby

[Blacky_24 10]

Wenn man keine Ahnung hat ist jede Lösung mehr oder weniger gleich schlecht, Support hin, Support her.

 

Die IDS-Funktionalitäten der PIX sind rudimentär, URL-Filtering geht nur mit Zusatzprodukten z.B. Websense (wobei Websense dann wieder deutlich mehr macht als reines URL-Filtering), Traffic-Auswertung geht nur mit Zusatzprodukten, z.B. Websense (aber nur dann wenn man den Websense-Server oder einen Websense-Agent in Reihe mit der Firewall schaltet) oder eIQ oder sonstwas.

 

In einem Windows-Umfeld mit Active-Directory könnte man auch mal über den MS ISA-Server nachdenken, der Kollege Grizzly999 behauptet zumindest dass das eine ernst zu nehmende Firewall / VPN-Gateway wäre. Einiges an Funktionen ist dabei, den Rest kann man über (zukaufbare) Plug-Ins nachrüsten.

 

Unterm Strich würde ich meinen: Die PIX ist keine schlechte Firewall, wenn man weiss wie kann man mit der Box fast alles machen, ideal in einem Cisco-Umfeld und mit Admins die von Cisco Ahnung haben. Ansonsten gibt es zig Appliances anderer Anbieter, z.B. von Watchguard oder Juniper-Netscreen die auch nicht schlecht sind. Den ISA hatten wir schon, das ist aber keine Appliance.

 

Ad hoc fällt mir keine kommerzielle Lösung ein die out the Box die geforderten Funktionalitäten hat. Puristen (dazu zähle ich mich zumindest teilweise) präferieren eher eigenständige Systeme mit klar abgegrenzten Rollen und falls erforderlich eine ordentliche DMZ zwischen back-to-back-Firewalls. IPcop ist keine schlechte Sache, out the Box aber auch nicht unbedingt "brauchbar" ja nachdem was gefordert ist. Im Prinzip ist IPcop nur die geschickte Integration ansonsten eigenständiger - und teilweise recht mächtiger / komplexer - Softwaremodule die ursprünglich auch für einen eigenständigen Betrieb gedacht waren. Entsprechend dem englischen Grundsatz: "A fool with a tool is still a fool" bringt einem IPcop auch nur dann was wenn man einerseits profunde Grundlagenkenntnisse im Netzwerk- und Security-Bereich hat und andererseits willens und in der Lage ist, sich in ein derart komplexes System einzuarbeiten - und da permanent am Ball zu bleiben.

 

Gruss

Markus

[grizzly999 11]

Off-Topic:
Anm.: ISA gibt es auch als Appliances von verschiedenen Herstellern
ISA Server Appliances

[fu123 10]

Hi, machs doch, wenn du dich damit auskennst und es dir lieber ist mit Linux anstatt mit Cisco zu arbeiten. Ich würde sagen die tun sich beide nicht wirklich viel.

Wobei es wieder interessant wird ist, wenn du mehrere Standort zentral verwalten möchtest. Da kommt bisher nur Checkpoint richtig mit.

 

Fu

[Wordo 11]

Ein Vorteil bei der PIX waere, dass es einfach nur ne kleine Box ist und fertig. Keine Festplatte die Probleme macht und und und. Fuer deine Geschichte wuerd ne Linuxkiste schon Sinn machen, wobei IPCop glaub ich bisschen veraltete Software einsetzt.

[Ultraschall 10]

Danke für eure Beiträge, besonders Blacky_24!

 

Für die PIX hat die Firma momentan kein Geld und mit Linux kenn ich mich ein wenig aus, so dass ich denke mit IPCop eine gute Firewall in der Firma installieren zu können. Ich denke bei IPCop gilt aber der Spruch "weniger ist mehr"

 

PS: Was ist genua eine Appliances?

[weg5st0 10]

Appliance lässt sich wohl am besten mit: Hard und Software in einem. beschreiben.

 

Also ein Hardwaregerät, auf dem eine Firewall installiert ist.

 

zum Thema ISA ist ernst zu nehmen:

Über die Qualität von Firewall oder anderen Produkten informiert man sich am Besten in den CVE Listen.

CVE Common Vulnerabilities and Exposures : Cryptography History DNS Lookup Port Lookup Port Scan How SSL Works

Hier kannst du nach Produkt suchen.

IPCOP: 2005 - 2 Sicherheitslücken, die aber nur lokale User betreffen

Microsoft ISA Server 2004: Keine Lücke

Cisco PIX: 2005 - 2 Sicherheitslücken (versionsabhängig).

 

Das beste Marketing-Schild ist wohl die Tatsache, daß Microsoft Corporation, Sign In, http://www.microsoftupdate.com und alle weiteren MS-Server hinter einer ISA Firewall stehen. Ich denke das sind beliebte Angriffsziele.... :D

 

ABER: Ich habe Verständnis und mache es nicht anders: Wenn das Produktivnetz schon komplett auf einem Hersteller basiert, dann sollte die Firewall von einem anderen Hersteller sein (Stichwort mehrstufigkeit, etc...).

[Squire 261]

@ultraschall ... wie kommst Du darauf, dass IPCop veraltete Software einsetzt?

 

btw - hier lauft ein Cop, mit AdvancedProxy, URL Filter, ACupsd, Blockout Traffic, OpenVPN :D

[fu123 10]

ABER: Ich habe Verständnis und mache es nicht anders: Wenn das Produktivnetz schon komplett auf einem Hersteller basiert, dann sollte die Firewall von einem anderen Hersteller sein (Stichwort mehrstufigkeit, etc...).

 

 

Das ist oft eine sehr gute Idee. Damit da ein Bruch in der Systemlandschaft ist. Ich habe z.B. auch mal eine Firefox Surflösung für ein LAN integriert, damit der Internetzugang getrennt vom Windows Betriebssystem über eine Terminalserverlösung vonstatten ging. Sozusagen, über den Terminalserver surfen und ansonsten auf der Maschine nur lokal arbeiten. Das spart einem eine Menge arbeit mit sonstigen Viren oder anderen Anwendungen die unbedingt aus dem LAN herauswollen.

 

Fu

[Ultraschall 10]

Und wie kommst du drauf, dass ich es gesagt habe?

 

@ultraschall ... wie kommst Du darauf, dass IPCop veraltete Software einsetzt?

[Squire 261]

Sorry .. Post verwechselt .. war WORDO gemeint

[Ultraschall 10]

kenn ich, das problem mit tausend offenen Fenstern.... ;)

[xymos 10]

hallo,

 

 

sehe dir mal noch vollgende Produkte an :

 

http://www.adamantix.org/

Gibraltar Security Gateways - Home ( als Download verfügbar - ohne Appliance )

Astaro - The Quickest Way to Secure Your Network ( als Download verfügbar - ohne Appliance ) kostet aber...:D

CensorNet - The Open Source Internet Protection Solution

Welcome! - SmoothWall

 

 

ich habe alle mal ausprobiert und habe meine Favorits :cool:

 

-xymos.

[Wordo 11]

Sorry .. Post verwechselt .. war WORDO gemeint

 

 

DistroWatch.com: IPCop Firewall

 

Zum Glueck hab ich geschrieben "glaube"! ;) Dein Glueck das 1.4.11 vor Kurzem erschienen is, das 1.4.10er is ja noch von 2005, deswegen veraltet ... :)