Du hast dir anscheinend wirklich noch nicht Core Security Force angesehen.
Ne - habe ich tatsächlich nicht.
Du hast dir anscheinend wirklich noch nicht
Normalerweise solltest du über die Möglichkeiten einer OpenBSD Firewall Bescheid wissen, oder?
Nicht wirklich. Hab noch nie ein OpenBSD System "in der Hand gehabt". Nur in abgewandelter Form --> IPSO. Aber da liegt wie ja schon von dir vorausgeschickt eine FW-1 drüber
(wenn nicht, mächtiger als iptables[Standard] oder sogar ner Firewall1 von Checkpoint)
Man darf den Einsatzzweck einer Personal Firewall nicht mit Hardware- /Enterprise Firewalls gleichsetzen. Eine HW-Firewall soll (in den meisten Fällen) gar nicht über Layer-4 hinausgehen*. Die primäre Aufgabe sollte meiner Meinung nach in der zuverlässigen Zustellung bzw. Routing der Pakete und geringer Latenzzeit zwischen Incoming vor der Policy und Outgoing nach der Policy sein**. Und natürlich Filtern der Pakete und ein bisschen NAT. Alle anderen Services die ich
auf einer Firewall anbiete (offene Ports) sind IMHO eine Sicherheitslücke der Firewall selbst (bsp. Proxy, Timeserver, DHCP Server, DNS-Relay). Aber ich schweife ab .......
Worauf ich hinaus will ist, dass beide Produkte absolut ihre Daseinsberechtigung haben - eben auf unterschiedlichen Sektoren.
Eine Firewall ist für mich ein Stück Software, dass eben Pakete nach Source, Destination und Service filtert. Wenn die Firewall für diesen Zweck auf einem Hobel läuft, der auch zig Ports offen hat, da einige Applikationen dahinterhängen, dann ist die Chance die Firewall bzw. die Hardware auf der diesselbe läuft, ebenfalls angreifen zu können um einiges höher. Ist ja auch klar - da wo ich Angriffsfläche anbiete, kann ich prinzipiell auch angreifen.
Ich persönlich habe den Anspruch nicht zu wissen, welche Applikation auf meinem System nach Hause telefoniert bzw. für diesen Zweck reicht mir das MS Feature seit SP2. Für alles andere (Pakete Forwarden, NAT und Firewall) sorgt ein virtueller Linux Server mit IPTables. Das ist kein muss - jede andere Routerfirewall macht das mehr oder minder genau so gut!
Es ist halt nicht so einfach, da wie immer auch ein bisschen "Glaube" dahintersteckt
Ich lese gerne, der Link wäre fein
.
Ist noch auf CD - muss noch einen passenden Webspace finden. Ist aber schon drei Jahre alt. Aber das macht bei diesen Thema nicht viel aus, da es eher um das Prinzip geht - nicht um Herstellerlösungen.
(*) Es gibt Ausnahmen wie beispielsweise FTP, dass aufgrund von Rückwärtsverbindungen von Firewalls erkannt werden muss und auch stateful behandelt werden sollte.
(**) Nicht größer als Zeit bei einem normalen Switch oder Hardware Router.