ComputerBase Menü
Aktuelles

Firewall für zu Hause - Palo Alto

Chibi88

Chibi88

Lt. Commander
Registriert
Dez. 2007
Beiträge
1.302
Hallo,

ich möchte mein Heimnetzwerk mit einer Firewall erweitern. Sollte möglich sein, da meine Connect Box einem Bridge Modus hat.

Auf der Arbeit arbeiten wir viel mit oben genannter Firewall. Leider ist mir dies einfach zu kostspielig und zu teuer, um das zu Hause zu deployen. Gibt es ähnliche Lösungen, die DPI / Layer 7 inspection anbieten? Falls ja, was könntet ihr mir da empfehlen?
 
Was möchtest du denn mit der zusätzlichen Firewall erreichen? Willst du Services aus deinem Heimnetz in der Öffentlichkeit freigeben, oder einfach nur spielen / basteln?
 
  • Gefällt mir
Reaktionen: Chibi88
Eigentlich beides. Als lab, aber auch als richtige Lösung implementieren. Ich möchte eine größere Kontrolle über den Traffic haben. Eventuell würde ich Services freigeben, ist aber nicht geplant. Mit einer NGFW habe ich halt deutlich größere Kontrolle, kann Packets decrypten, hätte bei PAN noch GP, wo ich easy ins Heimnetz käme und kann nach Zero Trust Prinzip nur das freigeben, was ich auch wirklich möchte.
 
Wenn man sich das antun möchte: pfSense, openSense, ipFire, OpenWRT, Sophos. Das sind so die Verdächtigen.
 
  • Gefällt mir
Reaktionen: drago1401 und Chibi88
Naja, ne FB wäre natürlich eine Alternative ;)

Ich bin im dritten Jahr der Ausbildung zum Fachinformatiker und kann so einfach deutlich mein knowledge verbessern.

Packet Tracer ist Mist, da nur Cisco. Gns3 auch, da man für alles ein Image braucht, welches hinter einer Paywall liegt. Ebenso mit eve-ng.
 
Ich werfe mal die Securepoint Black Dwarf mit in den Raum...
 
  • Gefällt mir
Reaktionen: Chibi88
Chibi88 schrieb:
ich möchte mein Heimnetzwerk mit einer Firewall erweitern.
Zum Vergrößern anklicken....
Den Wunsch kann ich aus eigener Erfahrung nachvollziehen. Allerdings würde ich das nicht in so einem Denglisch formulieren.

Chibi88 schrieb:
Auf der Arbeit arbeiten wir viel mit oben genannter Firewall. Leider ist mir dies einfach zu kostspielig und zu teuer, um das zu Hause zu deployen. Gibt es ähnliche Lösungen, die DPI / Layer 7 inspection anbieten? Falls ja, was könntet ihr mir da empfehlen?
Zum Vergrößern anklicken....
Wenn es Dir darum geht 1:1 mit der Plattform zu arbeiten, die Du bei der Arbeit täglich siehst, dann musst Du in einen sehr sauren Apfel beißen und die notwendige Hardware und die Lizenzen kaufen. Je nach Situation kommst Du vielleicht auch zu NFR-Konditionen an das Ganze.

Sollte es Dir um die Grundlagen gehen, dann schau Dir die bereits von @Donnidonis genannten frei verfügbaren NGFW-Lösungen an. Die kannst Du auf Deiner Hardware (Preis vs. Performance) laufen lassen und verfügen über viele moderne Features.
-> Das wäre meine Empfehlung. Schau Dir die Systeme in einer VM an und entscheide dann, was Dir gefällt.

ZTNA/SASE sind Themen, die sich nicht ganz so einfach privat umsetzen lassen. Hängt zum einen an der fehlenden Anforderung, die eine „IT@Home“ so mit sich bringt, und zum anderen an Lizenzen.

Hinweis: wenn Du Deine eigene private Firewall produktiv nutzen willst, dann unterliegst Du ähnlichen Verfügbarkeitsanforderungen wie auf der Arbeit. D.h. am Anfang solltest Du in einer Testumgebung üben und Dir später Gedanken über Redundanzen bzw. Alternativen machen.
 
  • Gefällt mir
Reaktionen: drago1401
Fritzboxen kann man nur noch seltenst in den brigde Mode versetzen.
 
FritzBoxen? Dafür gibt es ZyXEL VMG3006-D70A oder DrayTek Vigor 167.
 
Joe Dalton schrieb:
Hinweis: wenn Du Deine eigene private Firewall produktiv nutzen willst, dann unterliegst Du ähnlichen Verfügbarkeitsanforderungen wie auf der Arbeit.
Zum Vergrößern anklicken....
Nein. Auf Arbeit sind die Anforderungen sehr wahrscheinlich viel schärfer. Wenn man zu Hause mal was "zerbastelt" hat man evtl. ein, zwei Tage mal kein Internet. Mach das mal in ner Firma an der ggf. noch extern veröffentlichte Services hängen oder die Firewall zentrale Routing Instanz ist. Da steigt dir Ratz Fatz dein Chef aufs Dach.

Back to Topic.

Es gibt diverse virtuelle Appliances mit denen du erstmal experimentieren kannst (würden ja schon einige genannt) Setz dir ne VM auf mit der du die täglichen Dinge erledigen kannst (surfen, Mail, etc.) Die hängst du hinter die virtuelle Appliance die dann den Traffic über ein LAN IP maskiert. Auf der virtuellen Appliance kannst du dann mal alle Features testen die dir so in den Sinn kommen.

Wenn du Services blockieren willst, dann denk nicht nur an L7 Inspektion sonder auch an DNS basierte Möglichkeiten z.B. PiHole, OpenDNS oder Adguard Home. AdGuard kannst du z.B. auf die einer OpnSense mitlaufen lassen. Auch Dienste wie IDS/IPS, Reverse Proxy, Proxy (inkl. SSL Decryption), etc. kannst du auslagern. Man kann zwar vieles auf einer Appliance laufen lassen, muss es aber nicht.

Wenn du dann eine Firewall gefunden hast mit der du gut klar kommst, kannste dir nen bissl Hardware besorgen und das Ding dann physikalisch in Betrieb nehmen.

Nochmal was grundsätzliches. Die Prinzipien wie eine Firewall arbeitet ist bei jedem Hersteller nahezu identisch. Klar gibt es immer Unterschiede bei irgendwelchen Fancy Features aber die kann man sich ansehen, wenn man Themen wie L3/4 Firewalling, Nat, VPN, (ggf. noch Routing) erstmal verstanden hat. Bevor das nicht klar ist brauchste mit High Level Features nicht anfangen. Bist ja im 3. Jahr von daher gehe ich davon aus und hoffe, dass die Dinge schon klar sind 👍 Ich will damit nur sagen, versteifen dich nicht zu sehr auf einen Hersteller sondern halte den Geist offen für neues. Palo Alto ist schon ziemlich gut, aber andere Hersteller haben auch gut Dinge im Portfolio.
 
Hammelkopp schrieb:
Nein. Auf Arbeit sind die Anforderungen sehr wahrscheinlich viel schärfer. Wenn man zu Hause mal was "zerbastelt" hat man evtl. ein, zwei Tage mal kein Internet. Mach das mal in ner Firma an der ggf. noch extern veröffentlichte Services hängen oder die Firewall zentrale Routing Instanz ist. Da steigt dir Ratz Fatz dein Chef aufs Dach.
Zum Vergrößern anklicken....
Auch zu Hause wird es unbequem, wenn man komplett offline ist (Stichwore wären: "Frau"/"Freundin", "Home Office"). Abgesehen davon: "Trust me", ich kenne den Unterschied sehr genau.

Aber auch für zu Hause sollte man sich Gedanken machen, was passiert, wenn die Firewall wegbricht. Ich habe z.B. keine Redundanz bei meiner FortiGate. Wenn sie die Hufe hochreißen sollte, werde ich mir ziemlich schnell überlegen müssen, wie ich im Home Office wieder online komme.

Hammelkopp schrieb:
Es gibt diverse virtuelle Appliances mit denen du erstmal experimentieren kannst (würden ja schon einige genannt) Setz dir ne VM auf mit der du die täglichen Dinge erledigen kannst (surfen, Mail, etc.) Die hängst du hinter die virtuelle Appliance die dann den Traffic über ein LAN IP maskiert. Auf der virtuellen Appliance kannst du dann mal alle Features testen die dir so in den Sinn kommen.
Zum Vergrößern anklicken....
Er kann auch seinen eigenen Rechner direkt hinter die Firewall hängen: Da sieht man viel mehr Mist, der nach außen kommunizieren möchte. :-D


Hammelkopp schrieb:
Wenn du dann eine Firewall gefunden hast mit der du gut klar kommst, kannste dir nen bissl Hardware besorgen und das
Ding dann physikalisch in Betrieb nehmen.
Zum Vergrößern anklicken....
Ich würde das Ding inzwischen einfach in einer VM belassen: einfache Sicherungsmöglichkeit und Restore auf einem nahezu beliebigen anderen Host möglich.

Hammelkopp schrieb:
Nochmal was grundsätzliches. Die Prinzipien wie eine Firewall arbeitet ist bei jedem Hersteller nahezu identisch. Klar gibt es immer Unterschiede bei irgendwelchen Fancy Features aber die kann man sich ansehen, wenn man Themen wie L3/4 Firewalling, Nat, VPN, (ggf. noch Routing) erstmal verstanden hat. Bevor das nicht klar ist brauchste mit High Level Features nicht anfangen. Bist ja im 3. Jahr von daher gehe ich davon aus und hoffe, dass die Dinge schon klar sind 👍 Ich will damit nur sagen, versteifen dich nicht zu sehr auf einen Hersteller sondern halte den Geist offen für neues. Palo Alto ist schon ziemlich gut, aber andere Hersteller haben auch gut Dinge im Portfolio.
Zum Vergrößern anklicken....
Sic! Wobei man es noch erweitern kann: moderne Themen (siehe ZTNA/SASE/SD-WAN) sind lediglich erweiterte bzw. verfeinerte Mechaniken, die grundsätzlich schon vorhanden sind. Ohne die Grundlagen ist ein Verständnis und Bewertung dieser Themen kaum sinnvoll möglich.
 
Joe Dalton schrieb:
Auch zu Hause wird es unbequem, wenn man komplett offline ist (Stichwore wären: "Frau"/"Freundin", "Home Office"). Abgesehen davon: "Trust me", ich kenne den Unterschied sehr genau.
Zum Vergrößern anklicken....
Mag ja sein dass du den Unterschied kennst. Deine Einschätzung teile ich trotzdem nicht. Vorgaben für eine Firewall einer Firma mit X Angestellten (und dahinterliegendem Business) mit der zu Hause zu vergleichen passt einfach nicht. Ich hab selbst auch nur eine Firewall laufen. Wenn die im Eimer ist, muss ich halt direkt über die Fritte ins Netz und habe keine Netzunterteilung. Ist dann halt so und geht auch. für ein paar Tage. Als Netzwerker wird einem da schon was einfallen 😉
Joe Dalton schrieb:
Aber auch für zu Hause sollte man sich Gedanken machen, was passiert, wenn die Firewall wegbricht.
Zum Vergrößern anklicken....
Handy-Hotspot, temporäre nen 0815 Router, whatever. Da muss man jetzt nicht so lange überlegen.
Joe Dalton schrieb:
Ich würde das Ding inzwischen einfach in einer VM belassen: einfache Sicherungsmöglichkeit und Restore auf einem nahezu beliebigen anderen Host möglich.
Zum Vergrößern anklicken....
Kann man machen. Kommt halt auf die Leitung drauf an, welche Services man nutzen möchte und ob man einen dementsprechend performanten Host hat. Lasse meine Firewall lieber auf nem kleinen System (nuc ähnlich) laufen. Aus Sicherheitsgründen würde ich auch keine VM direkt ans Internet hängen auf einem Host, auf dem ggf. noch andere Services laufen. Wenn da nix weiter außer der Firewall drauf läuft, kann ich mir den Virtualisierungs-Layer auch sparen. Der Vorteil des Restores ist aber natürlich nicht von der Hand zu weisen.
 
VM werde ich testen, aber produktiv nicht einsetzen. Strom, keine Hardware, mein Rechner hat nur eine NIC, 24/7 Betrieb etc. Da finde ich eine HW Firewall angenehmer. Habe auch wenig Lust einen Server oder weiteres Stück Hardware zu kaufen. Imho muss die Hardware, auf die die VM läuft auch noch abgesichert werden. Korrigiert mich, wenn ich falsch liege, aber ich denke das ist bei einer HW Firewall angenehmer umzusetzen.

Würde mir auch einen Tag oder zwei dafür Zeit nehmen. Wenn alles schief läuft, könnte ich wieder in den Router Modus der Connect Box :)

Die VMs lade ich später Mal runter und schaue mir das an. Danke für den Input soweit. Über die Topologie muss ich mir auch noch Gedanken machen.
 
  • Gefällt mir
Reaktionen: Hammelkopp
Hammelkopp schrieb:
Mag ja sein dass du den Unterschied kennst. Deine Einschätzung teile ich trotzdem nicht.
Zum Vergrößern anklicken....
Musst Du auch nicht.

Hammelkopp schrieb:
Als Netzwerker wird einem da schon was einfallen 😉
Zum Vergrößern anklicken....
Wäre schlimm wenn dem nicht so wäre...

Hammelkopp schrieb:
Handy-Hotspot, temporäre nen 0815 Router, whatever. Da muss man jetzt nicht so lange überlegen.
Zum Vergrößern anklicken....
WIr müssen das vielleicht nicht, andere schon. Insofern schadet es nicht, sich vorher Gedanken zu machen und einen Plan B in der Tasche zu haben.

Hammelkopp schrieb:
Kann man machen. Kommt halt auf die Leitung drauf an, welche Services man nutzen möchte und ob man einen dementsprechend performanten Host hat. Lasse meine Firewall lieber auf nem kleinen System (nuc ähnlich) laufen. Aus Sicherheitsgründen würde ich auch keine VM direkt ans Internet hängen auf einem Host, auf dem ggf. noch andere Services laufen.
Zum Vergrößern anklicken....
Der Betrieb als VM heißt auch nicht zwangsläufig, dass sie a) direkt ans WAN angeschlossen ist oder b) das weitere VMs parallel darauf betrieben werden müssen. Da ging es mir ausschließlich um die "Mobilität" des Systems, wenn die Hardware mal den Geist aufgibt.

Hammelkopp schrieb:
Wenn da nix weiter außer der Firewall drauf läuft, kann ich mir den Virtualisierungs-Layer auch sparen. Der Vorteil des Restores ist aber natürlich nicht von der Hand zu weisen.
Zum Vergrößern anklicken....
Ergänzend noch die Snapsshots, wenn ein Update mal nicht rundläuft...
Ergänzung ()

Chibi88 schrieb:
VM werde ich testen, aber produktiv nicht einsetzen. Strom, keine Hardware, mein Rechner hat nur eine NIC, 24/7 Betrieb etc. Da finde ich eine HW Firewall angenehmer. Habe auch wenig Lust einen Server oder weiteres Stück Hardware zu kaufen. Imho muss die Hardware, auf die die VM läuft auch noch abgesichert werden. Korrigiert mich, wenn ich falsch liege, aber ich denke das ist bei einer HW Firewall angenehmer umzusetzen.
Zum Vergrößern anklicken....
Für den produktiven Betrieb kannst Du Dir etwas NUC-artiges zulegen und dort Proxmox/Vsphere/sonstwas drauf laufen lassen. Je nachdem was Du als "HW Firewall" bezeichnest, steckt dahinter auch nur eine x86-CPU mit mehreren NICs (und einem entsprechenden Stromverbrauch).

Deinen letzten Satz wirst Du bald selbst beurteilen können, wenn Du Dir die unterschiedliche Systeme und ihre Performance angesehen hast.

Chibi88 schrieb:
Würde mir auch einen Tag oder zwei dafür Zeit nehmen. Wenn alles schief läuft, könnte ich wieder in den Router Modus der Connect Box :)
Zum Vergrößern anklicken....
Ein fertiger Plan B schadet nicht.

Chibi88 schrieb:
Die VMs lade ich später Mal runter und schaue mir das an. Danke für den Input soweit. Über die Topologie muss ich mir auch noch Gedanken machen.
Zum Vergrößern anklicken....
Blatt Papier und Bleistift...
 
Zuletzt bearbeitet:
Ich habe noch eine Frage hierzu:

Ich versuche das gerade gedanklich zu ordnen und stoße auf eine Frage:

ConnectBox geht in den Bridge Modus -> public IP vom ISP geht auf das Interface der FW:

Muss ich dann noch eine default route konfigurieren? Falls ja, müsste ich ja den next hop angeben, aber die IP habe ich ja nicht. Die einzige, öffentliche IP, die ich vom ISP bekomme liegt dann ja schon auf dem Interface der FW.
 
Bevor Dich darum kümmerst: Lass die ConnectBox als normalen Router laufen und packe Deine Firewall zum Spielen/Testen dahinter. Im einfachsten Fall macht die FW auch NAT oder, wenn die ConnectBox mit statischen Routen umgehen kann, muss die FW kein NAT machen. So kannst Du Dich erstmal auf das Firewalling an sich konzentrieren und Routing relativ leicht angehen.

...und Deine FW hängt nicht gleich von Anfang an direkt im Internet.

Der Bridgemodus kann warten: Da kommt die öffentliche IP direkt auf die FW und Du brauchst als next hop die Gateway-IP Deines Providers. Evtl. wird die per DHCP verteilt.
 
  • Gefällt mir
Reaktionen: Chibi88
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P
LTE-Anschluss für zu Hause - Kaufberatung
2
Antworten
37
Aufrufe
3.634
Wilhelm14
Wilhelm14
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz