Root Server Firewall

[Deadwalk3r]

Guten Abend Leute,
ich habe eine Frage und zwar bin ich im besitz eines noch recht kleinen Root Servers.
Dieser ist an mein Netztwerk angeschlossen und wird momentan noch von der standart Firewall des Routers
kontrolliert. Dies ist mir persöhnlich allerdings ein wenig zu unsicher und ich würde gerne etwas besseres in Anspruch
nehmen. Meine Frage ist nun, ob mir einer eine gute Firewall empfehlen kann oder was besser ist.
Sollte ich mich für eine Software oder Hardwarefirewall entscheiden?
Und wie schaut das ganze dan mit den Portfreigaben aus? Weil momentan kann ich nur begrenzt Ports frei geben.

Würde mich über ein paar Antworten freuen.
Danke auch schon mal im Voraus.

LG Marco

 

[Zeroflow]

Hi,

für deinen Einsatzzweck reicht der Home-Router als Firewall aus.

In Summe sind alle Ports zu, außer du machst sie händisch auf bzw. benutzt UPNP.
Weiterführende Funktionen sind z.B im Heimnetzwerk nicht unbedingt notwendig da ein IPS System oder ähnliches notwendig ist.
Und teure Router / Firewalls sind erst bei hohem Durchsatz (mehr als ne normale Internetleitung her gibt) bzw. bei größeren Netzwerken Sinn wenn z.B mehrere Edge-Router verwaltet werden müssen oder ähnliches.

Zuhause müssten eigentlich die paar Ports die man freigeben kann reichen.

Wenn nicht bin ich für Feedback offen, denn für meinen Homeserver und die NAS reicht mein UPC-Router bei längen aus.
Ich kann zwar z.B nicht über Konsole automatisiert etwas verstellen, aber das brauche ich auch nicht.

 

[Deadwalk3r]

Hey cool vielen Dank erst mal für deine Schnelle Antwort.
Allerdings laufen auf dem Root ein paar Server die auch von Usern genutzt werden.
Und was meinst du mit den Portfreigaben genau?
Ich habe bis jtz. alle Spallten im Router die mir zur Verfügung stehen, ausgenutzt und wenn ich jtz noch welche öffnen möchte geht dies leider nicht mehr.

 

[Zeroflow]

Ok.

Wenn dein aktueller Router einfach nicht genug einzustellen ist, dann wäre ein beliebiger anderer Router als Ersatz genug.
Dazu wäre nur die Frage wie dein Internetzugriff läuft bzw. du zuhause den Router ändern kannst.

Eine andere Idee wäre natürlich ganze große PortRanges auf diesen Server weiterzuleiten.

 

[Blutschlumpf]

Erklär mal was genau du da meinst.
Redest du von der Anzahl maximaler NAT-Regeln in deinem DSL-Router oder was meinst du mit den Spalten?

 

[Deadwalk3r]

Also ich lade einfach mal ein Bild hoch damit das ganze evtl. ein wenig verständlicher auch wird.
Und das Problem mit dem Router Tausch ist einfacher gesagt als getan denn wir besitzen die Horizon Box von unitymedia -.-.

 

[thrawnx]

heute abend ist echt was los, der eine will seinen eigenen webspace ddosen, der nächste betreibt ne serverfarm hinter einem unitymedia anschluss, bin gespannt was noch kommt ;D

 

[Deadwalk3r]

Achso also Serverfarm nennt man das also heutzutage

 

[thrawnx]

naja, ich seh mindestens 3 ips, einen ftp, einen webserver, einen ts3 server, locker 4-5 gameserver etc pp.

aber um mal was konstruktives vorzuschlagen, warum benutzt du keine linux box als router/firewall/server für all das?

 

[Raijin]

Allerdings laufen auf dem Root ein paar Server die auch von Usern genutzt werden.
Und was meinst du mit den Portfreigaben genau?

"Ein paar Server" ist gut, bei der Liste... Und eigentlich solltest du wissen was Portfreigaben sind, wenn du davon mehr als ein Dutzend im Router eingestellt hast..

Ich würde dir da offen gestanden zu einem kleinen Linux-Router raten. Am Internet-Router hast du dann prinzipiell nur noch eine Weiterleitung "all" auf diesen Linux-Router/-Firewall und dort richtest du mit iptables, etc. die Firewall-Regeln ein. Damit hast du deutlich mehr Möglichkeiten, den Datenverkehr zu kontrollieren als mit einem Consumer-Router. Der Linux-Rechner kann prinzipiell ein altes Notebook oder sogar ein Raspberry PI sein. Wobei ich bei der Menge an Diensten je nach erwarteter Auslastung wohl eher etwas potentere Hardware als den PI nehmen würde.. Alternativ kämen professionelle Hardware-Firewalls in Frage, aber die sind mit entsprechenden Kosten verbunden.

Allerdings würde ich die Server im Hintergrund gleich in eine DMZ verlegen, damit im Falle eines Falles nicht dein komplettes LAN kompromittiert wird, weil zB der TeamSpeak-Server gehackt wurde. Bei sovielen Diensten ist es nicht einfach, den Überblick zubehalten, und man muss mit entsprechend vielen potentiellen Sicherheitslücken rechnen. In dem Falle würde ich die Linux-Box mit 3 LAN-Schnittstellen ausstatten. LAN1 geht zum Internet-Router, LAN2 ist dein LAN (PCs, Laptops, etc.), LAN3 geht zu den Servern (DMZ).

Das ganze sieht dann so aus wie hier. Bild, rechts oben "einstufige Firewall".

 

[Deadwalk3r]

@ Raijin:
Vielen Dank das hört sich auf jedenfall interessant und besser an als die Lösung die ich momentan habe
was müsste ich den dann bei der Firewall beachten? oder hättest du eine hardwarefirewall die für mich in Frage kähme?
Also wegen dem Geld ist das kein Problem da wir ein Serverkonto haben wo wir admins immer einzahlen um uns dann mal was zu kaufen

 

[rsfb]

richte auf deinem Server eine lokale Firewall und erstelle eine Freigabe aller Ports auf den Server? Regle dann über die lokale Firewall des Systems die Freigaben?

ebenfalls wäre es sinnvoll die doppelten regeln rauszuwerfen. 27016 ist in der Range 27000-27036 enthalten?

 

[Raijin]

Bei Hardware-Firewalls für den Consumerbereich kenne ich mich offen gestanden nicht aus. In der Firma setzen wir Geräte von Watchguard und ads-tec ein. Die kosten zT deutlich 4-stellig und sind meistens für größere Netzwerke gedacht.

Eine Linux-Firewall ist überschaubar. Da läuft ein SSH-Server, den man entweder gar nicht oder nur stark geschützt nach außen freigeben sollte (zB anderer Port + denyhosts). Ansonsten ist das komplette Sicherheitskonzept komplett ausgehebelt sobald die Firewall gehackt wird. Abgesehen davon läuft da natürlich noch die eigentliche Firewall, eine Handvoll Regeln in den iptables. Da steht dann zB drin, dass Port x an Server A weitergeleitet wird, aber nur, wenn die Quelle im LAN ist. Oder Port y, der an Server B geleitet wird, zugelassen für LAN und WAN, und so weiter und so fort.. Verbindungen, die aus der DMZ heraus ins LAN aufgebaut werden, blockiert man im Allgemeinen, um zu verhindern, dass zB der gehackte TeamSpeakServer als Einfallstor ins LAN genutzt wird.

Wie genau man das macht, kann man in etlichen Tutorials nachlesen. Google nach 'linux firewall dmz' und du findest ne Menge. Lies dich ein bischen ins Thema ein, dann kann man die einzelnen Schritte und vor allem die Regeln der Firewall auch nachvollziehen und tippt sie nicht nur stur ab

Ergänzung (16. August 2014)

Hab gerade mal ein bischen bei geizhals.de geschaut:

Netgear Prosecure UTM150 @150€ => klick!

Ich habe das Gerät aber nur kurz überflogen. Es hat einen 4-Port-GBit-Switch, bei dem ein Port als DMZ konfiguriert werden kann. Die 4 WAN-Ports sind eigentlich oversized, 1-2 tun's auch, die kleineren Modelle kosten aber interessanterweise mehr - strange.. Bedenken sollte man, dass je nach Modell/Hersteller laufende Kosten durch Lizenzen entstehen. Wie Netgear das macht, weiß ich nicht.

edit: Also, die Lizenz gilt bei Netgear wohl nur für die Mail- und Virusfunktionen. Reine Firewall/DMZ Funktionalität ist davon also unberührt und es gibt keine weiteren Lizenzkosten

 

[Deadwalk3r]

Okay. nice hört sich auf jeden fall echt gut an.
Dann habe ich noch so eine Frage xD und zwar wie lösen hoster Unternehmen das eigentlich mit ihren IP adressen?
Also das die immer unterschiedliche haben?
Währe sowas auch im kleineren Vormat möglich?

 

[TheCadillacMan]

Dann habe ich noch so eine Frage xD und zwar wie lösen hoster Unternehmen das eigentlich mit ihren IP adressen?
Also das die immer unterschiedliche haben?

Du meinst unterschiedliche IPs für unterschiedliche Dienste/Seiten?
Größere Unternehmen bekommen statt einer einzelnen wechselnden IP üblicherweise einen oder mehrere ganzen IP-Blöcke zugewiesen, die immer gleich bleiben und die sie verwenden können wie sie wollen. Einen /29-Block (6 nutzbare Adressen) gibt's bei entsprechenden Geschäftskunden-Anschlüssen meist automatisch/ohne Aufpreis, größere Blöcke müssen mit einem häufig Nutzungskonzept beantragt und extra bezahlt werden.

Wenn du bei Unitymedia bist, müsstest du mit den Geschäftskunden-Tarifen "Office Internet & Phone 50/100/150" (für die "Office Internet" ohne Phone scheint es das interessanterweise nicht zu geben) eine feste IP bekommen. Zusätzlich kannst du für 9,90 €/Monat 5 weitere feste IPs hinzubuchen. Damit hättest du 6 feste IPs mit auf denen du ohne Portweiterleitung Dienste betreiben kannst (Firewall ist deshalb noch wichtiger, da du nicht mehr durch NAT geschützt bist!). Das kostet dich (nach aktueller Preisliste) dann je nach Geschwindigkeit 40/60/90 €/Monat.

 

[Deadwalk3r]

okay also ich habe die 150K Leitung von Unitymedia das heist also ich könnte für 10€ im Monat noch mal 5 neue Statische IP's bekommen oder geht dies nur mit dem Office Packet?

 

[TheCadillacMan]

Nein, geht so wie ich das verstanden habe nur mit den "Office & Phone"-Paketen.
Bei den Privatkunden-Paketen hab ich keine entsprechende Option gefunden, was auch nicht verwundert, da Unitymedia meines Wissens für Privat-Neukunden eh nur noch DS-Lite schaltet.

 

[Deadwalk3r]

ach so schade XD
trozdem vielen Dank für all die Informationen

Ergänzung (17. August 2014)

Kann mir denn noch einer vielleicht eine andere hardware firewall empfehlen? oder stimmt ihr alle der von Raijin zu?

Ergänzung (17. August 2014)

Dann hätte ich noch eine Frage xD ich weis dies ist dafür das falsche Themengebiert aber ich versuchs trozdem mal.
Hätte einer evtl. Vorschläge für mich welchen Serverschrank ich nehmen sollte?
Ich bin im Besitz dieses Cases: http://www.mindfactory.de/product_info.php/Inter-Tech-IPC-4088-4HE-ohne-Netzteil-Schwarz_819932.html

 

[TheCadillacMan]

Kleiner Nachtrag: Bei dem "Office Internet & Phone 150"-Tarif hättest du halt zusätzlich noch die doppelte Upload-Bandbreite (10 statt 5 Mbit/s), wovon man beim Betreiben von Servern nie genug haben kann.
Ich gehe auch davon aus, dass man dir die Business-Tarife durchaus auch Privatperson verkaufen würde (im Zweifel bei der Hotline nachfragen), die Frage ist halt nur ob du/ihr bereit seit den Aufpreis zu bezahlen. Zumal du zwei Jahre lang nicht davon wegkommst.

Kann mir denn noch einer vielleicht eine andere hardware firewall empfehlen? oder stimmt ihr alle der von Raijin zu?

Ich hab mit dedizierten HW-Firewalls nur begrenzte Erfahrung (hatte nur mal kurz mit irgendwas von Sophos zu tun, die sind aber mit > 600 € wohl außerhalb deines Budgets).
Die von @Raijin sieht ganz ok aus. Die ZyXEL ZyWALL USG40 würde ich evtl. noch in Betracht ziehen, hauptsächlich weil ich über ZyXEL schon viel gutes gehört habe. Mit Netgear hatte allerdings auch noch nie Probleme.

Hätte einer evtl. Vorschläge für mich welchen Serverschrank ich nehmen sollte?

Wie viele HE brauchst du? Welche Tiefe brauchst du und hast du zur Verfügung? Wie viel Budget?
Wenn du nur die 5 HE für den Server und die Firewall brauchst, ist evtl. das LackRack "von" Ikea eine nette Low-Cost-Lösung.

 

[Deadwalk3r]

Also jain sagen wir mal so die Idee mit dem LackRack finde ich jtz nicht soo die Lösung
Da sollten hinterher auch noch ein paar andere dinge hinein.

Ergänzung (17. August 2014)

Und xD ja ich weis ich bin nervig aber kann mir einer sagen, wo ich diese Lüfterhalterung herbekomme:
http://www.pcprobleme-help.de/wp-content/gallery/lian-li-3/lianli-5.jpg