PDA

Bekijk Volledige Versie : Firewall: blackbox of zelf bouwen?



Fury
01/12/05, 11:42
Ik ben op het moment bezig om een nieuwe ruimte in te richten waarbij een aantal webservers beveiligd moeten worden maar ben nog niet helemaal uit de firewall/antivirus/antispam oplossing die ik wil gebruiken.

Ik heb de volgende opties:

- een firewall kopen, denk aan Barracuda, Basewall, NetASQ, etc. Heeft als voordeel dat alles managed is en er een bedrijf achter zit dat voor updates zorgt. Nadeel is echter dat ze vaak duur zijn in verhouding tot de hardware die je krijgt en dat de antivirus oplossing vaak extra kost aangezien je een abo moet afsluiten.

- een opensource firewall gebruiken zoals Endian, of RedWall hier zit ook een antivirus en antispam oplossing ingebouwd.

- alleen een opensourse firewall gebruiken zoals m0n0wall en antivirus/antispam op de servers zelf installeren. Heeft als voordeel dat je een goede firewall hebt, maar het is lastig omdat je dan op alle servers antivirus/antispam moet installeren en bijhouden.

- zelf mbv opensource pakketten zoals IPcop, ClamAV en SpamAssassin een firewall bouwen die ook filtert op spam en virussen.

Persoonlijk gaat mijn voorkeur uit naar een managed oplossing, maar gezien de prijs is dat voorlopig geen optie.

Heeft iemand hier nog een goede toevoeging op? Zelf lijkt dat Endian (http://www.efw.it/) of RedWall (http://www.redwall-firewall.com/) me wel iets, heeft iemand hier ervaring met deze pakketten? Of heeft iemand een goed alternatief?

bvankuik
01/12/05, 16:00
Origineel geplaatst door Fury
(...) Persoonlijk gaat mijn voorkeur uit naar een managed oplossing, maar gezien de prijs is dat voorlopig geen optie. (...)

Uit interesse: bij welke leverancier ben je aan het kijken? De makers zelf of een importeur?

Fury
01/12/05, 20:36
Origineel geplaatst door bvankuik
Uit interesse: bij welke leverancier ben je aan het kijken? De makers zelf of een importeur?

Ik heb contact gehad met verschillende distributeurs / importeurs, als ik zelf een rackmounted P4 neerzet met 1Gb geheugen dan ben ik voor minder dan 1000 euro klaar en kan ik heel behoorlijke linespeeds halen.

Opzich heb je voor 1000 euro ook wel een firewall maar ik ben bang dat je dan vrij snel weer moet upgraden.

Keenondots
01/12/05, 20:42
Linespeed filtering neem ik aan dan? Linespeed VPN encryptie is vaak een ander verhaal en ik heb begrepen dat dat vaak de snelheid is waarmee geadverteerd wordt. M.a.w. die firewalls die 34Mbps doen, halen puur filterend ook wel 100Mbps, maar doen qua VPN encryptie niet meer dan 34Mbps.

Neem twee goedkope Linux machines en met elk 3 netwerkkaart erin kun je een mooie failover setup maken.

bami82
02/12/05, 10:39
Voor antispam zou je misschien assp.sourceforge.net kunnen overwegen, is een gratis opensource spam gateway.

Fury
05/12/05, 12:12
Origineel geplaatst door bami82
Voor antispam zou je misschien assp.sourceforge.net kunnen overwegen, is een gratis opensource spam gateway.

Ziet er interessant uit, het enige jammer is dat deze bij je SMTP server geinstalleerd moet worden.

Dus moet je het weer op iedere server installeren. Het voordeel van een firewall die ook op spam/virussen filtert is dat je dan de antivirus/software slechts op 1 server hoeft te beheren.

Ik ben trouwens erg benieuwd wat voor firewall/antivirus jullie zelf gebruiken!

jinxedworld
05/12/05, 12:18
Ik gebruik spamassassin en ClamAV om alle mail te filteren welke in mijn qmail bakken komt. Ik gebruik geen appliance welke dit filtert voordat het op de servers aankomt.

Fury
05/12/05, 12:20
Origineel geplaatst door jinxedworld
Ik gebruik spamassassin en ClamAV om alle mail te filteren welke in mijn qmail bakken komt. Ik gebruik geen appliance welke dit filtert voordat het op de servers aankomt.

Ok, je hebt dus op alle servers zowel Spamassassin als ClamAV draaien?

jinxedworld
05/12/05, 12:22
Inderdaad, op alle systemen draait dit.

bami82
06/12/05, 06:56
Furry,

assp kan inderdaad bij je smtp geinstalleerd worden maar het is een spam-proxy die het beste op een appart systeem geinstalleerd kan worden. Dus niet op elk systeem installeren.

Fury
06/12/05, 09:35
Origineel geplaatst door bami82
Fury, assp kan inderdaad bij je smtp geinstalleerd worden maar het is een spam-proxy die het beste op een appart systeem geinstalleerd kan worden. Dus niet op elk systeem installeren.

Ik ben van plan om Plesk te gaan gebruiken, dus dat wordt lastig vrees ik.

bami82
06/12/05, 10:10
nogmaals, assp kan je het beste op een apparte server installeren.

Daarnaast kan je zelf natuurlijk zoveel servers erachter hangen als je wil. Je klanten kunnen ook een login op assp krijgen om de eventueel geblockte mails te bekijken.

Een server met assp zou je kunnen vergelijken met die barracuda spam-filter appliance.

Please read:

It has long been clear to me that the best place to stop spam is at an organization's SMTP server. This is true for the following reasons:

1. Most spam has an invalid bounce address, so notifying non-delivery simply bounces to Postmaster, creating even more wasted bandwidth. Failing to notify non-delivery is a problem for false-positives. The SMTP server is the only place where spam can be stopped before entering your system.
2. The only possible feedback for spammers to void an address is from the SMTP server.
3. Spam that passes through your SMTP server into mailboxes incurs cost to your organization: storage, transmission, backup, deletion -- in all these ways spam costs you money. The only way to minimize cost is to reject it at the initial point.

However, mail transport systems are slow to adopt new technology, and spammers are quick and flexible, able to adopt new technology as quickly as it becomes available. Consequently, most SMTP servers are ill equipped to stop spam.

Furthermore, one spam-stopping solution could work with all existing SMTP servers if it was implemented on a second level -- a transparent SMTP filtering proxy. This was my goal for this project.

I wanted a server that accepted connections on port 25, passing the transmission on to the official SMTP server, and relaying its replies back to the SMTP client. But when enough of the message had been transmitted to validate its legitimacy the ASSP server could either pipe the remainder of the message to the official SMTP server or close the connection to the official SMTP server and ignore the remainder of the message.

The Anti-Spam SMTP Proxy (ASSP) Server project is an open source platform-independent SMTP Proxy server which implements whitelists and Bayesian filtering to rid the planet of the blight of unsolicited email (UCE). UCE must be stopped at the SMTP server. Anti-spam tools must be adaptive to new spam and customized for each site's mail patterns. This free, easy-to-use tool works with any mail transport and achieves these goals requiring no operator intervention after the initial setup phase.

bami82
06/12/05, 10:14
ps. dus als je het op een appart systeem zet komt de spam dus niet op jou plesk server aan waardoor het dus de performance van je plesk server niet zal beinvloeden. (Ik heb een klant die 80.000 spams per dag ontving en dat vond mijn mailserver niet zo leuk)

Fury
06/12/05, 10:22
Ah, ok!

Het proces ziet er dan dus zo uit: Internet -> ASSP -> Mail server -> Clients

Klopt het dat het een kwestie is van alle inkomende connecties op poort 25 mbv je firewall rules doorverwijzen naar ASSP? (Waarna ASSP de connectie naar je juiste server maakt om mail te bezorgen)

bvankuik
06/12/05, 11:00
Origineel geplaatst door Fury
Klopt het dat het een kwestie is van alle inkomende connecties op poort 25 mbv je firewall rules doorverwijzen naar ASSP?

De documentatie vermeldt dit:
http://assp.sourceforge.net/fom/cache/11.html

Fury
06/12/05, 11:27
Origineel geplaatst door bvankuik

De documentatie vermeldt dit:
http://assp.sourceforge.net/fom/cache/11.html

Sorry, ik krijg een error als ik op de ASSP site probeer te zoeken.


If ASSP is running on a separate server then there is no need to change your mail transport’s SMTP port, however, you’ll have to arrange your IP addresses and DNS MX records to point to the ASSP server rather than your message transport’s SMTP server

Uit dit verhaal blijkt dat je je MX records aan moet passen, heeft iemand dan een voorbeeld?

Waar ik niet helemaal uit ben is het volgende: ik stel MX 10 -> ASSP , hoe weet ASSP dan op welke server hij de mail moet bezorgen? Ik zou persoonlijk MX 20 -> mailserver er bij zetten, maar kan het op de ASSP site niet vinden.

bvankuik
06/12/05, 11:47
Origineel geplaatst door Fury
ik stel MX 10 -> ASSP , hoe weet ASSP dan op welke server hij de mail moet bezorgen?

Volgens mij kun je dat hier lezen:
http://assp.sourceforge.net/fom/cache/93.html

De tweede configuratie optie heet "SMTP Destination". Hier wordt de MTA lokaal gedraaid op poort 225. In jouw geval laat je die wijzen naar je mailserver, die nog steeds de standaard poort draait.

Het is inderdaad waarschijnlijk een goed idee om MX 20 naar je "gewone" mailserver te laten wijzen. Of nog beter, naar een tweede machine met ASSP die naar een tweede mailserver wijst.

Fury
06/12/05, 11:54
Volgens mij gaat bovenstaand verhaal ervanuit dat je 1 mailserver heb, aangezien ik meerdere mailservers zal draaien zou het dus anders moeten. Iedere Plesk server heeft namelijk z'n eigen mailserver. Vandaar dat poort 25 verhaal ;)

In die config options zie ik ook maar 1 SMTP Destination staan.

bvankuik
06/12/05, 12:21
Origineel geplaatst door Fury
Aangezien ik meerdere mailservers zal draaien zou het dus anders moeten. Iedere Plesk server heeft namelijk z'n eigen mailserver.

OK, wat je hebt is: een aantal MX records die naar verschillende machines wijzen.

Wat jij wilt is: al je MX records naar die ene ASSP bak laten wijzen en vervolgens in ASSP configureren waar de mail heen moet voor welk domein?

Dat lijkt niet te kunnen inderdaad...

froggie
06/12/05, 20:27
Een klant van ons heeft een Barracuda SF 300. Werkt best goed, je hebt er vrijwel geen omkijken naar. We denken er zelf ook over om er een aan te schaffen, simpelweg omdat we geen tijd hebben om ons bezig te houden met het uptodate houden van antispam software op onze mailservers. Het enige nadeel wat ik zie in die dingen is dat het een blackbox oplossing is waarvan je nooit zeker weet wat je in huis hebt (zoek maar eens op "barracuda evil") en de prijs.
Maar over het algemeen is het een goed oplossing.

Fury
06/12/05, 20:33
Origineel geplaatst door froggie
Een klant van ons heeft een Barracuda SF 300.

Ik heb begrepen dat Barracuda gebaseerd is op SpamAssassin.

Persoonlijk was ik wel onder de indruk van NetASQ, maargoed... om te beginnen maar eens een zelfbouw server neerzetten.

Als alles eenmaal loopt is een "blackbox" firewall zeker een optie, ben met je eens dat het wel heel handig is als je naar je security weinig omkijken hebt.

(Al kan dat ook wel een misgaan, heb wel eens een geval meegemaakt waarbij een Netscreen automatisch een update binnenhaalde waar een fout in zat... gevolg: netwerk plat....)

bami82
07/12/05, 06:21
Als we over hardware praten is de barracuda zeker aan te raden alhoewel mijn voorkeur dan naar de HotBrick VPN 6000 uit zou gaan.

Fury
07/12/05, 09:28
Origineel geplaatst door bami82
Als we over hardware praten is de barracuda zeker aan te raden alhoewel mijn voorkeur dan naar de HotBrick VPN 6000 uit zou gaan.

Helemaal mee eens, maar qua budget start ik liever met een zelfbouw oplossing... heb inmiddels al weer meer dan genoeg geld uitgegeven ;)

HotBrick heet tegenwoordig trouwens BaseWall.

bami82
07/12/05, 13:36
Ok, yep hotbrick is aardig duur, dat het basewall is geworden wist ik trouwens nog niet.

Jammer dat assp dan niet helemaal doet wat jij wil. Suc6 verder, ben benieuwd of je een goede oplossing vind.

Ik ken Endian en redwall niet maar een opensource firewall waar antispam inzit lijkt me de beste oplossing.

Fury
21/12/05, 18:02
Inmiddels ben ik er bijna uit, ik denk dat ik die 1U server als smtp gateway ga installeren met daarop ClamAV en Spamassassin.

Hoewel m0n0wall prima werkt als firewall zijn er weer beperkingen zoals het aantal in te stellen netwerken... wellicht dat ik dan toch voor een puur hardwarematige firewall ga.

Hoe zijn jullie ervaringen met bijvoorbeeld zoiets: http://www.basewall.nl/lang/nl/more_info.php?id=2 (Basewall vpn3000)

Haalt 90MB/s linespeed voor standaard dingen, VPN zal ik toch niet gebruiken en is ook nog regelijk betaalbaar ook.

Of hebben jullie andere ideen die tot max 1500 euro kosten?