virtuelle firewall

pumba · 24.11.2009, 11:57

hallo!
ich bin studentin und soll dieses semester eine arbeit über virtelle firewalls machen. da ich computertechnisch absolut kein profi bin, hab ich mir gedacht, in diesem forum gibt es sicher den einen oder anderen der mir helfen kann.
was haltet ihr von virtellen firewalls? sind sie zu empfehlen?
im laufe meiner recherche bin ich auf folgendes produkt gestoßen: http://www.underground8.com/de/produ...n_gateway.html
finde es interessant, da es von einer österr. firma kommt.
kennt jemand das produkt bzw. hat es schon getestet?

weiters würde mich noch interessieren, was ihr davon haltet. e-mails intern in der firma scannen vs. extern scannen lassen?

so, das wärs auch schon. ich hoffe, irgendjemand kann mir ein paar infos geben!

RaistlinMajere · 24.11.2009, 15:37

my 2 cents:

war irgendwo klar, daß im zuge der ansteigenden virtualisierungslösungen auch das mal kommt. was ich davon halte? ehrlich gesagt wenig, denn, man mag mich da jetzt vllt. übertrieben konservativ nennen, aber wenn eine FW in einer eigenen virtuellen maschine läuft, ist sie ja deswegen immer noch vom darüber stehenden OS abhängig - das bedeutet eine weitere, mögliche fehler- bzw. angriffsquelle. wer bemüht sich dann schon, die FW selbst anzugreifen, wenn ein angriff auf den darüberstehenden virtualisierungsrechner genauso zum ziel führt und dabei möglicherweise gleich andere, kritische systeme mit in den abgrund reißt?

im sinne einer fehler- bzw. angriffsquellenminimierung würde ich daher ein so kritisches system wie eine firewall nicht virtualisiert laufen lassen, sondern soweit als möglich unabhängig als "echte" maschine und zwar idealerweise allein, ohne irgendwelche anderen dienste (denn jeder dienst, der auf der entsprechenden maschine läuft, bietet weitere möglichkeiten für einen potentiellen angriff).

ich verstehe schon, worin die vorteile von virtualisierung liegen, aber hier wird mMn an der falschen stelle gespart, weil bei dem ganzen prinzip offenbar davon ausgegangen wird, daß das darüberstehende OS bzw. die virtualisierungsSW "eh 100% unangreifbar und fehlerfrei ist" - nur das kann man eben mit absoluter sicherheit nie sagen. daher, wie gesagt: keep it simple, fehler- und angriffsquellen soweit möglich minimieren und das system soweit als möglich unabhängig von anderen systemen machen und genau das wird bei einer virtualisierten lösung, genauso wie bei personal firewalls (da wird ein ähnliches prinzip verfolgt) eben nicht gemacht, weil beide noch von "etwas darüber" abhängen.

zigeina · 24.11.2009, 17:17

bei heise.de gibts von der ct' das homeserver project mit virtualisierten rechnern und einer davon ist die firewall (zwei verschiedene produkte zur auswahl)
natürlich ist das ganze schon ein bischen ****

mit einer dedizierten externen hardware netzwerkschnittstelle und einer zweiten fürs interne netzwerk kommt man eher schon dahin
aber wie gesagt..
da läuft alles auf einem rechner. sind die virtuellen rechner wirklich so gut abgegrenzt??
ich bevorzuge halt die lösung --> hardwaremäßige firewall mit zwei netzwerkkarten und bei problemen --> stecker ziehen

ZombyKillah · 24.11.2009, 20:07

Also zunächst muss ich einmal RaistlinMajere recht geben.
Wenn das Haupt-Betriebssystem eine Sicherheitslücke hat kann auf der Virtuellen Maschine keine Sicherheit gewährleistet werden.

Nun möchte ich auf Einsatzgebiete und den Sinn der Virtuellen Maschinen eingehen:

1. Virtuelle Maschinen, welche nur eine sehr begrenzte Berechtigung auf dem Computer selbst haben
- Heben der Sicherheit
- Der Speicher kann so eingestellt werden, dass Änderungen nach beenden des Virtuellen PC gelöscht werden
- Eine Firewall macht auf einer solchen Virtuellen Maschine keinen Sinn

2. Virtuelle Maschinen, welche zur Aufteilung von Leistungen dienen
So pervers das jetzt klingt ... diese Art der Maschinen findet man meistens in einen Computer-cluster auf mehreren PCs die über Netzwerkverbindungen einen Super-Computer bilden.
Wird aber auch genutzt, um Services auf Rechner gleichzeitig ausführen zu können, die sich sonst gegenseitig blockieren würden (Datenbanksysteme, etc).
- Hebt die Flexibilität der einzelnen Virtuellen Maschinen an
- Wenn eine solche Virtuelle Maschine im Internet Kommerziell genutzt wird, so muss sie über eine Firewall verfügen.
Ob sich diese Firewall auf eine Hardware stützt, oder nur aus einer Softwareauswertung der CPU besteht ist egal.

3. Hardwareunabhängigkeit
Wie dir in Punkt 2 vermutlich bereits aufgefallen ist, rennen z.B.: 20 Virtuelle Maschinen auf 10 Tatsächlichen Computern, welche die Daten redundant auf Ihren Festplatten aufteilen.
Wenn einer der Computer ausfällt, wird die nötige CPU Leistung einfach von den anderen übernommen und die Daten sind auf den anderen Rechner noch vorhanden.
Gleichzeitig kann natürlich eine komplett andere Hardware neu eingebunden werden ... das System, welches für das "zusammenführen" der Computer (Cluster oder Cloud) verantwortlich ist muss die Verwaltung übernehmen, welcher CPU was berechnen kann und gerade dafür Zeit hat.

--------------------------------------------------------------------

Nun eine grundlegende Frage, die ich mir stelle:
Was soll eine virtuelle Firewall sein?
Eine rein auf Software basierende Firewall?
Nein, dass gibt es schon ewig ... daher kann ich mir nicht vorstellen, dass dafür eine Arbeit verlangt wird.

Auf Grund dieser Fragen habe ich mal gegoogelt und festgestellt, dass die Virtuelle Firewall nichts (oder sehr wenig) mit Virtuellen Maschinen zu tun hat ... folglich ist alles was ich oben geschrieben habe Of Topic.
http://www.lrz-muenchen.de/services/...-fw/index.html
http://tu-dresden.de/die_tu_dresden/...rtual_firewall
-> VLAN = Virtuelles LAN
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Erlaubt das Aufbauen eines oder mehrere privater Netzwerke ohne dass die Hardware geändert werden muss.
Zwischen den VLANs befinden sich Firewalls, welche die Regeln bestimmen, wer auf was wann mit welcher Authentifizierung zugreifen darf ....

So hab ich das bis jetzt verstanden ...
Scheiße ... das wird kompliziert ...
Viel Spaß noch beim recherchieren ... wenn du weitere Hinweise brauchst einfach Posten ...

Bin immer glücklich für Verwirrung zu sorgen zu können.

ingomar · 25.11.2009, 11:21

die underground_8 ist eine "SMTP Firewall", also so was wie ein spamfilter/mailproxy.

inhaltlich ist das eine virtuelle maschine (e.g. vmware, xen oder sonstwas) mit einem mailserver drauf, der ein paar checks über eintreffende/ausgehende mails macht (domain, absender, ...).
darüber hinaus sucht ein filter nach mustern, werden mails nach spam sortiert und geflagt sowie auswertungen gefahren.

das hat per se mit firewall im netzwerktechnischen sinn nicht allzu viel zu tun, wobei ja sowieso die frage wäre, was eigentlich genau eine firewall ist.

doch drehen wir die frage um: was ist das thema der arbeit, mal genauer ?

zigeina · 25.11.2009, 19:47

offtopic
thema der arbeit ist
wirf mal einen nicht ganz genauen begriff in ein forum und schau dann was die gurus alles drasu machen

ZombyKillah · 25.11.2009, 21:31

gibts noch was anderes als offtopic?
thema der arbeit könnte auch sein:
wie kann man ein wenig Schleichwerbung in ein Forum Schummeln ...

RaistlinMajere · 26.11.2009, 19:15

Zitat:

Zitat von ZombyKillah

gibts noch was anderes als offtopic?
thema der arbeit könnte auch sein:
wie kann man ein wenig Schleichwerbung in ein Forum Schummeln ...

möglichweise war das der grundgedanke, aber nachdem das produkt bzw. eigentlich dessen zugrunde liegendes prinzip hier so runtergemacht wird, ist das wohl eher eine anti-werbung geworden.

Baron · 26.11.2009, 20:40

na ja so eine arme StudentIN -da müssen doch die "weisen" Herren helfen-das versteht sich doch von selbst...

Die Masche funktioniert immer!

24.11.2009, 11:57	#1
pumba Newbie Registriert seit: 13.11.2009 Beiträge: 1	virtuelle firewall hallo! ich bin studentin und soll dieses semester eine arbeit über virtelle firewalls machen. da ich computertechnisch absolut kein profi bin, hab ich mir gedacht, in diesem forum gibt es sicher den einen oder anderen der mir helfen kann. was haltet ihr von virtellen firewalls? sind sie zu empfehlen? im laufe meiner recherche bin ich auf folgendes produkt gestoßen: http://www.underground8.com/de/produ...n_gateway.html finde es interessant, da es von einer österr. firma kommt. kennt jemand das produkt bzw. hat es schon getestet? weiters würde mich noch interessieren, was ihr davon haltet. e-mails intern in der firma scannen vs. extern scannen lassen? so, das wärs auch schon. ich hoffe, irgendjemand kann mir ein paar infos geben!

24.11.2009, 15:37	#2
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	my 2 cents: war irgendwo klar, daß im zuge der ansteigenden virtualisierungslösungen auch das mal kommt. was ich davon halte? ehrlich gesagt wenig, denn, man mag mich da jetzt vllt. übertrieben konservativ nennen, aber wenn eine FW in einer eigenen virtuellen maschine läuft, ist sie ja deswegen immer noch vom darüber stehenden OS abhängig - das bedeutet eine weitere, mögliche fehler- bzw. angriffsquelle. wer bemüht sich dann schon, die FW selbst anzugreifen, wenn ein angriff auf den darüberstehenden virtualisierungsrechner genauso zum ziel führt und dabei möglicherweise gleich andere, kritische systeme mit in den abgrund reißt? im sinne einer fehler- bzw. angriffsquellenminimierung würde ich daher ein so kritisches system wie eine firewall nicht virtualisiert laufen lassen, sondern soweit als möglich unabhängig als "echte" maschine und zwar idealerweise allein, ohne irgendwelche anderen dienste (denn jeder dienst, der auf der entsprechenden maschine läuft, bietet weitere möglichkeiten für einen potentiellen angriff). ich verstehe schon, worin die vorteile von virtualisierung liegen, aber hier wird mMn an der falschen stelle gespart, weil bei dem ganzen prinzip offenbar davon ausgegangen wird, daß das darüberstehende OS bzw. die virtualisierungsSW "eh 100% unangreifbar und fehlerfrei ist" - nur das kann man eben mit absoluter sicherheit nie sagen. daher, wie gesagt: keep it simple, fehler- und angriffsquellen soweit möglich minimieren und das system soweit als möglich unabhängig von anderen systemen machen und genau das wird bei einer virtualisierten lösung, genauso wie bei personal firewalls (da wird ein ähnliches prinzip verfolgt) eben nicht gemacht, weil beide noch von "etwas darüber" abhängen. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000. Geändert von RaistlinMajere (24.11.2009 um 15:45 Uhr).

24.11.2009, 17:17	#3
zigeina *****troll Registriert seit: 24.03.2003 Ort: wien Alter: 65 Beiträge: 1.701	bei heise.de gibts von der ct' das homeserver project mit virtualisierten rechnern und einer davon ist die firewall (zwei verschiedene produkte zur auswahl) natürlich ist das ganze schon ein bischen **** mit einer dedizierten externen hardware netzwerkschnittstelle und einer zweiten fürs interne netzwerk kommt man eher schon dahin aber wie gesagt.. da läuft alles auf einem rechner. sind die virtuellen rechner wirklich so gut abgegrenzt?? ich bevorzuge halt die lösung --> hardwaremäßige firewall mit zwei netzwerkkarten und bei problemen --> stecker ziehen ____________________________________ .................................. dieser hilfreiche beitrag kostet nichts, außer ein paar bier .................................. Tante Jolesch: „Was ein Mann schöner is wie ein Aff, is ein Luxus!“.

24.11.2009, 20:07	#4
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Also zunächst muss ich einmal RaistlinMajere recht geben. Wenn das Haupt-Betriebssystem eine Sicherheitslücke hat kann auf der Virtuellen Maschine keine Sicherheit gewährleistet werden. Nun möchte ich auf Einsatzgebiete und den Sinn der Virtuellen Maschinen eingehen: 1. Virtuelle Maschinen, welche nur eine sehr begrenzte Berechtigung auf dem Computer selbst haben - Heben der Sicherheit - Der Speicher kann so eingestellt werden, dass Änderungen nach beenden des Virtuellen PC gelöscht werden - Eine Firewall macht auf einer solchen Virtuellen Maschine keinen Sinn 2. Virtuelle Maschinen, welche zur Aufteilung von Leistungen dienen So pervers das jetzt klingt ... diese Art der Maschinen findet man meistens in einen Computer-cluster auf mehreren PCs die über Netzwerkverbindungen einen Super-Computer bilden. Wird aber auch genutzt, um Services auf Rechner gleichzeitig ausführen zu können, die sich sonst gegenseitig blockieren würden (Datenbanksysteme, etc). - Hebt die Flexibilität der einzelnen Virtuellen Maschinen an - Wenn eine solche Virtuelle Maschine im Internet Kommerziell genutzt wird, so muss sie über eine Firewall verfügen. Ob sich diese Firewall auf eine Hardware stützt, oder nur aus einer Softwareauswertung der CPU besteht ist egal. 3. Hardwareunabhängigkeit Wie dir in Punkt 2 vermutlich bereits aufgefallen ist, rennen z.B.: 20 Virtuelle Maschinen auf 10 Tatsächlichen Computern, welche die Daten redundant auf Ihren Festplatten aufteilen. Wenn einer der Computer ausfällt, wird die nötige CPU Leistung einfach von den anderen übernommen und die Daten sind auf den anderen Rechner noch vorhanden. Gleichzeitig kann natürlich eine komplett andere Hardware neu eingebunden werden ... das System, welches für das "zusammenführen" der Computer (Cluster oder Cloud) verantwortlich ist muss die Verwaltung übernehmen, welcher CPU was berechnen kann und gerade dafür Zeit hat. -------------------------------------------------------------------- Nun eine grundlegende Frage, die ich mir stelle: Was soll eine virtuelle Firewall sein? Eine rein auf Software basierende Firewall? Nein, dass gibt es schon ewig ... daher kann ich mir nicht vorstellen, dass dafür eine Arbeit verlangt wird. Auf Grund dieser Fragen habe ich mal gegoogelt und festgestellt, dass die Virtuelle Firewall nichts (oder sehr wenig) mit Virtuellen Maschinen zu tun hat ... folglich ist alles was ich oben geschrieben habe Of Topic. http://www.lrz-muenchen.de/services/...-fw/index.html http://tu-dresden.de/die_tu_dresden/...rtual_firewall -> VLAN = Virtuelles LAN http://de.wikipedia.org/wiki/Virtual_Local_Area_Network Erlaubt das Aufbauen eines oder mehrere privater Netzwerke ohne dass die Hardware geändert werden muss. Zwischen den VLANs befinden sich Firewalls, welche die Regeln bestimmen, wer auf was wann mit welcher Authentifizierung zugreifen darf .... So hab ich das bis jetzt verstanden ... Scheiße ... das wird kompliziert ... Viel Spaß noch beim recherchieren ... wenn du weitere Hinweise brauchst einfach Posten ... Bin immer glücklich für Verwirrung zu sorgen zu können. ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

25.11.2009, 19:47	#6
zigeina *****troll Registriert seit: 24.03.2003 Ort: wien Alter: 65 Beiträge: 1.701	offtopic thema der arbeit ist wirf mal einen nicht ganz genauen begriff in ein forum und schau dann was die gurus alles drasu machen ____________________________________ .................................. dieser hilfreiche beitrag kostet nichts, außer ein paar bier .................................. Tante Jolesch: „Was ein Mann schöner is wie ein Aff, is ein Luxus!“.

25.11.2009, 11:21	#5
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	die underground_8 ist eine "SMTP Firewall", also so was wie ein spamfilter/mailproxy. inhaltlich ist das eine virtuelle maschine (e.g. vmware, xen oder sonstwas) mit einem mailserver drauf, der ein paar checks über eintreffende/ausgehende mails macht (domain, absender, ...). darüber hinaus sucht ein filter nach mustern, werden mails nach spam sortiert und geflagt sowie auswertungen gefahren. das hat per se mit firewall im netzwerktechnischen sinn nicht allzu viel zu tun, wobei ja sowieso die frage wäre, was eigentlich genau eine firewall ist. doch drehen wir die frage um: was ist das thema der arbeit, mal genauer ?

25.11.2009, 21:31	#7
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	gibts noch was anderes als offtopic? thema der arbeit könnte auch sein: wie kann man ein wenig Schleichwerbung in ein Forum Schummeln ... ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

26.11.2009, 20:40	#9
Baron Der Unvergleichliche Registriert seit: 18.07.2002 Ort: Wien- wo sonst? Alter: 66 Beiträge: 10.166 Mein Computer	na ja so eine arme StudentIN -da müssen doch die "weisen" Herren helfen-das versteht sich doch von selbst... Die Masche funktioniert immer!

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln