Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
pfSense als firewall OS of iets anders?
17-01-2014, 12:29 door Anoniem, 30 reacties
Ik wil graag een firewall bouwen en die wil ik maken met de volgende componenten:
- Processor: Intel Core i5-4570S (met Vpro technologie)
- Moederbord: Intel DQ87PG
- Geheugen: Corsair XMS 1600MHz, 4GB
- SSD: Intel DC S3500, 120GB
- Netwerkkaart: HP NC365T
- Voeding, CPU koeling, behuizing en dergelijken.
Weet iemand hoe het zit met pfSense en driver support? Ik wil graag een hardware firewall bouwen die zelfs op het gebied van Intels Hardware Security features, zoals Vpro technologie, AES 256bit HDD versleuteling, en alle andere beveiliging die buiten het OS om werken, het internetverkeer beveiligd. Of kan je ook een normaal besturingssysteem gebruiken voor een zelfgebouwde firewall zoals Linux of Windows? Iemand die hier veel vanaf weet die mij kan helpen?
Alvast bedankt,
Daan
- Processor: Intel Core i5-4570S (met Vpro technologie)
- Moederbord: Intel DQ87PG
- Geheugen: Corsair XMS 1600MHz, 4GB
- SSD: Intel DC S3500, 120GB
- Netwerkkaart: HP NC365T
- Voeding, CPU koeling, behuizing en dergelijken.
Weet iemand hoe het zit met pfSense en driver support? Ik wil graag een hardware firewall bouwen die zelfs op het gebied van Intels Hardware Security features, zoals Vpro technologie, AES 256bit HDD versleuteling, en alle andere beveiliging die buiten het OS om werken, het internetverkeer beveiligd. Of kan je ook een normaal besturingssysteem gebruiken voor een zelfgebouwde firewall zoals Linux of Windows? Iemand die hier veel vanaf weet die mij kan helpen?
Alvast bedankt,
Daan
Reacties (30)
17-01-2014, 15:02 door
Preddie
Ik heb ervaring met pfsense, in het verleden heb ik nooit problemen gehad met drivers. Alles werd direct ondersteunt.
Overigens is pfsense zelf geen besturingssysteem maar draait dit op FreeBSD (normaal besturingssysteem)
Ik weet niet wat voor hoeveelheden netwerkverkeer je wilt verwerken en hoeveel IPS regels je van plan was aan te zetten want de specs van jou machine zijn wel aan de hoge kant. Je zou bijv. ook kunnen kiezen om Atom cpu te gebruiken in plaats van die i5. Daar scheelt iets in de prijs en uiteindelijk de stroomrekening omdat deze iets zuiniger zijn, en dit is wel wenselijk voor apparatuur die 24-7-365 gaat draaien....
Overigens is pfsense zelf geen besturingssysteem maar draait dit op FreeBSD (normaal besturingssysteem)
Ik weet niet wat voor hoeveelheden netwerkverkeer je wilt verwerken en hoeveel IPS regels je van plan was aan te zetten want de specs van jou machine zijn wel aan de hoge kant. Je zou bijv. ook kunnen kiezen om Atom cpu te gebruiken in plaats van die i5. Daar scheelt iets in de prijs en uiteindelijk de stroomrekening omdat deze iets zuiniger zijn, en dit is wel wenselijk voor apparatuur die 24-7-365 gaat draaien....
Man man.... vette, way vette overkill. Doodzonde van al die mooie specs. Tis geen Windows. ;-)
Als platform is PFSense een uitstekende (lees: beste) keuze die je gemaakt hebt.
PFSense is eigenlijk FreeBSD helemaal ingericht op netwerken met een mooie webbased UI eroverheen.
(zoals de meeste routers dat zijn gebasseerd op Linux, btw)
Zelfs een Pentium 4 met 512Mb aan ram zou het al dikke overkill zijn. Dus pak die oude pc van de zolder, gooi er extra netwerkkaarten in en je hebt een je hebt een enterprisegrade firewall oplossing.
PS Een firewall heeft wel meerdere nics nodig dan 1.
PS 2 bussnelheid van het meoderbord is belangrijker dan cpu ed.
PS3 Nou ja, tweede beste dan. Eerst is een handtailored OpenBSD firewall. ;-)
Als platform is PFSense een uitstekende (lees: beste) keuze die je gemaakt hebt.
PFSense is eigenlijk FreeBSD helemaal ingericht op netwerken met een mooie webbased UI eroverheen.
(zoals de meeste routers dat zijn gebasseerd op Linux, btw)
Zelfs een Pentium 4 met 512Mb aan ram zou het al dikke overkill zijn. Dus pak die oude pc van de zolder, gooi er extra netwerkkaarten in en je hebt een je hebt een enterprisegrade firewall oplossing.
PS Een firewall heeft wel meerdere nics nodig dan 1.
PS 2 bussnelheid van het meoderbord is belangrijker dan cpu ed.
PS3 Nou ja, tweede beste dan. Eerst is een handtailored OpenBSD firewall. ;-)
Ik heb totaal geen vertrouwen in Intel® vPro™ Technologie.
It can and will be used by the NSA.
It can and will be used by the NSA.
pfSense is het grote gevorkte broertje van m0n0wall, maar indien je de functies niet echt nodig hebt moet je je afvragen of het zeer compacte m0n0wall niet beter te vertrouwen is dan dit goed gesponsorde pfSense project. Wat moet je b.v. met AES 256bit HDD encryptie op een gateway cq firewall; als het goed is word er geen data op dit device opgeslagen...?! Veel SSDs hebben al hardware encryptie onboard. Wellicht dat je beter zelf je Linux / Vuurmuur of FreeBSD / Packetfilter combinatie from scratch kan bouwen? Een IDS moet namelijk ook juist beheerd/aangeleerd worden anders is dit nutteloos om te hebben.
17-01-2014, 17:46 door
ej__
Waarom zou je m0n0wall meer vertrouwen dan pfSense? pfSense is gebaseerd op het state-of-the-art packetfiltering systeem van OpenBSD. psSense draait inderdaad op FreeBSD. Linuxgebaseerde firewalls zijn echt van een andere (mindere!) klasse dan pf. Als je dan echt nog een stapje omhoog wilt, kun je pf rechtstreeks op OpenBSD gaan draaien, maar dan heb je weer geen grafisch interface.
Je verhaal over encryptie raakt kant noch wal.
TS: de specs van deze hardware zijn zwaar overkill, tenzij je gigabits per seconde door diverse interfaces heen gaat sjouwen, zoals andere posters ook opmerken.
Je verhaal over encryptie raakt kant noch wal.
TS: de specs van deze hardware zijn zwaar overkill, tenzij je gigabits per seconde door diverse interfaces heen gaat sjouwen, zoals andere posters ook opmerken.
Op zich heeft 16:08 Anoniem wel een punt; dit is een product van Amerikaanse bodem en moet dus voldoen aan bepaalde 'specificaties' wil het geëxporteerd worden. m0n0wall is een Zwitsers "product. Daarbij is de footprint van pfSense 176 mb tegen 11 mb van m0n0wall; niet alleen veel meer code om eventueel te controleren, ook de extra software die in deze distro is opgenomen zorgt voor een groter aanvalsoppervlak omdat elk extra programma zijn eigen security bugs kan/zal bevatten.
Echter als beginner zelf een een Firewall IDS oplossing bouwen brengt een groot risico van misconfigruatie met zich mee, waarbij pfSense misschien toch weer een veiligere keuze is.
Het encryptie verhaal kan ik niet helemaal volgen want gevoelige config files kunnen ook zo beschermd worden zonder full HD encryptie.
Echter als beginner zelf een een Firewall IDS oplossing bouwen brengt een groot risico van misconfigruatie met zich mee, waarbij pfSense misschien toch weer een veiligere keuze is.
Het encryptie verhaal kan ik niet helemaal volgen want gevoelige config files kunnen ook zo beschermd worden zonder full HD encryptie.
Door ej__: Waarom zou je m0n0wall meer vertrouwen dan pfSense? pfSense is gebaseerd op het state-of-the-art packetfiltering systeem van OpenBSD. psSense draait inderdaad op FreeBSD. Linuxgebaseerde firewalls zijn echt van een andere (mindere!) klasse dan pf. Als je dan echt nog een stapje omhoog wilt, kun je pf rechtstreeks op OpenBSD gaan draaien, maar dan heb je weer geen grafisch interface.
Je verhaal over encryptie raakt kant noch wal.
TS: de specs van deze hardware zijn zwaar overkill, tenzij je gigabits per seconde door diverse interfaces heen gaat sjouwen, zoals andere posters ook opmerken.
Je verhaal over encryptie raakt kant noch wal.
TS: de specs van deze hardware zijn zwaar overkill, tenzij je gigabits per seconde door diverse interfaces heen gaat sjouwen, zoals andere posters ook opmerken.
(POST starter)
Ik weet dat het veel te overkill is maar ik wil graag een hardware firewall bouwen die echt alle indringers buiten de deur houd. In plaats van dit Intel moederbord kan ik ook de "ASUS Q87T" gebruiken die een stuk zuiniger in verbruik lijkt en ook nog eens beschikt over twee LAN, of in dit geval WAN poorten wat voor nog eens extra bandbreedte zorgt. Ook zal ik in het geval van pfSense een SSD/HDD nemen met een opslagcapaciteit van bevoorbeeld 80GB i.p.v. 120GB. Verder lijkt mij dat die Vpro technologie een extra niveau van bescherming levert. Intels Vpro technologie zit helaas alleen bij processoren geïmplementeerd in de klasse i5 en i7 anders had ik idd wel voor een atom gekozen. Eventuele backdoors voor de NSA en soort gelijke instanties vind ik niet erg(ik doe geen rare en/of illegale dingen) mits malware en andere schadelijke dingen er geen gebruik van kunnen maken.
Hoezo moet je meerdere netwerkkaarten gebruiken om een firewall te kunnen bouwen? Ik kan hier tot nu toe nog geen verklaring voor vinden op het internet. Heb je toevallig nog een link die hiernaar verwijst?
Ik weet dat het veel te overkill is maar ik wil graag een hardware firewall bouwen die echt alle indringers buiten de deur houd. In plaats van dit Intel moederbord kan ik ook de "ASUS Q87T" gebruiken die een stuk zuiniger in verbruik lijkt en ook nog eens beschikt over twee LAN, of in dit geval WAN poorten wat voor nog eens extra bandbreedte zorgt. Ook zal ik in het geval van pfSense een SSD/HDD nemen met een opslagcapaciteit van bevoorbeeld 80GB i.p.v. 120GB. Verder lijkt mij dat die Vpro technologie een extra niveau van bescherming levert. Intels Vpro technologie zit helaas alleen bij processoren geïmplementeerd in de klasse i5 en i7 anders had ik idd wel voor een atom gekozen. Eventuele backdoors voor de NSA en soort gelijke instanties vind ik niet erg(ik doe geen rare en/of illegale dingen) mits malware en andere schadelijke dingen er geen gebruik van kunnen maken.
PS Een firewall heeft meerdere nics nodig dan 1
Hoezo moet je meerdere netwerkkaarten gebruiken om een firewall te kunnen bouwen? Ik kan hier tot nu toe nog geen verklaring voor vinden op het internet. Heb je toevallig nog een link die hiernaar verwijst?
Aan POST Starter:
Je firewall heeft meerdere NIC's nodig, omdat 1 nic aan de internet kant hangt en de andere in je eigen veilige en vertrouwde netwerk. Tussen deze twee netwerkkaarten, zogezegd, zit dan je firewall (PfSense bijv.). Die regelt op basis van jouw ingestelde configuratie wat wel of niet van de ene NIC naar de andere mag.
Indringers buiten houden vergt juist veel minder van je systeem, dan als je ze door zou laten.
Hiermee wil ik aangeven dat een indringer die niet verder mag komen dan je internet NIC, ook niet geheel door alle processen wordt verwerkt. Zodoende heb je hier minder voor nodig. (Tenzij je allerlei moeilijke applicatie boobytraps zou willen hebben, maar dat is zonde van jouw energie (configuratie en ook stroom :) )).
succes.
Je firewall heeft meerdere NIC's nodig, omdat 1 nic aan de internet kant hangt en de andere in je eigen veilige en vertrouwde netwerk. Tussen deze twee netwerkkaarten, zogezegd, zit dan je firewall (PfSense bijv.). Die regelt op basis van jouw ingestelde configuratie wat wel of niet van de ene NIC naar de andere mag.
Indringers buiten houden vergt juist veel minder van je systeem, dan als je ze door zou laten.
Hiermee wil ik aangeven dat een indringer die niet verder mag komen dan je internet NIC, ook niet geheel door alle processen wordt verwerkt. Zodoende heb je hier minder voor nodig. (Tenzij je allerlei moeilijke applicatie boobytraps zou willen hebben, maar dat is zonde van jouw energie (configuratie en ook stroom :) )).
succes.
Door Anoniem: (POST starter)
Hoezo moet je meerdere netwerkkaarten gebruiken om een firewall te kunnen bouwen? Ik kan hier tot nu toe nog geen verklaring voor vinden op het internet. Heb je toevallig nog een link die hiernaar verwijst?
PS Een firewall heeft meerdere nics nodig dan 1
Hoezo moet je meerdere netwerkkaarten gebruiken om een firewall te kunnen bouwen? Ik kan hier tot nu toe nog geen verklaring voor vinden op het internet. Heb je toevallig nog een link die hiernaar verwijst?
Ik ben het met je eens. De beste firewall is er ééntje zonder buitenkant interface en zonder verbinding met de boze buitenwereld. Wat bedoel je nou?
17-01-2014, 23:23 door
Sisko
Hoezo moet je meerdere netwerkkaarten gebruiken om een firewall te kunnen bouwen? Ik kan hier tot nu toe nog geen verklaring voor vinden op het internet. Heb je toevallig nog een link die hiernaar verwijst?
WAN -----> ETH0 -----> FIREWALL -----> ETH1 -----> LAN
Ik zou ook geen SSD gebruiken. Ik kan me vergissen, maar volgens mij wordt het zelfs afgeraden door pfSense, omdat het zoveel logt dat het de levensduur van je SSD ernstig kan verkorten.
Met een packet filter en wat proxies op bijvoorbeeld OpenBSD ben je veel flexibeler en veiliger dan al die web gebaseerde "firewalls" die je in een keurslijf proberen te persen.
Je hebt strikt genomen geen 2 NIC's nodig, bijvoorbeeld als de verbinding met Internet elders wordt gemaakt. Het systeem van TS heeft er 2 en het zal redelijk zuinig zijn met dat Intel moederbord.
Een SSD is prima. Verhalen van veel slijtage is tegenwoordig niet meer zo van toepassing. Ook is er sprake is van weinig hergebruik van cellen bij deze toepassing.
De hardware beveiligingsvoorzieningen heb je niet nodig, dus maakt daar geen gebruik van. Het is tamelijk zinloos om de schijf te crypten waar niets van waarde op staat.
Je hebt strikt genomen geen 2 NIC's nodig, bijvoorbeeld als de verbinding met Internet elders wordt gemaakt. Het systeem van TS heeft er 2 en het zal redelijk zuinig zijn met dat Intel moederbord.
Een SSD is prima. Verhalen van veel slijtage is tegenwoordig niet meer zo van toepassing. Ook is er sprake is van weinig hergebruik van cellen bij deze toepassing.
De hardware beveiligingsvoorzieningen heb je niet nodig, dus maakt daar geen gebruik van. Het is tamelijk zinloos om de schijf te crypten waar niets van waarde op staat.
21-01-2014, 15:50 door
Preddie
Door Anoniem: Ik zou ook geen SSD gebruiken. Ik kan me vergissen, maar volgens mij wordt het zelfs afgeraden door pfSense, omdat het zoveel logt dat het de levensduur van je SSD ernstig kan verkorten.
Heb je misschien een linkje naar de informatie hierover. Bij mij is namelijk bekend dat de levensduur van SSD's een stuk groter is als die van HDDs. Echter is het belangrijk dat je altijd onthoud dat je een SSD nooit mag defragmenteren (daar gaat ie stuk van).
Wat betreft de netwerkkaarten (NIC's) zou ik adviseren gebruik te maken van twee netwerkenkaarten om een opstelling te creeren zoals Sisko dat heeft aangegeven.
Naar de firewall optie wil je mogelijk een Snort plugin installeren op je firewall zodat deze ook als IPS kun gebruik, in dit geval is een twee NIC erg handig of misschien wel een must.
Mijn pfsense opstelling beschikt over een gigabit quatro port NIC, één voor WAN, één voor LAN, één voor het beheer en één reserve (staat uitgeschakeld)
Van de poster van: PS Een firewall heeft meerdere nics nodig dan 1
Ok, vertel mij dan eens hoe je een firewall bouwt met 1 NIC (zonder PF en lo redirects)?
Ok, vertel mij dan eens hoe je een firewall bouwt met 1 NIC (zonder PF en lo redirects)?
21-01-2014, 19:25 door
ej__
Een firewall met 1 nic? Dat is helemaal niet moeilijk, mits je manageble switches gebruikt met vlan ondersteuning. Zo'n firewall draait bijvoorbeeld bij mij. No sweat.
root@firewall:~# ifconfig bge0
bge0: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:11:22:33:44:55
priority: 0
media: Ethernet autoselect (1000baseT full-duplex,rxpause)
status: active
inet6 fe80::something%bge0 prefixlen 64 scopeid 0x1
root@firewall:~# ifconfig vlan1
vlan1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:11:22:33:44:55
priority: 0
vlan: 1 parent interface: bge0
groups: vlan
status: active
inet6 fe80::227:19ff:feb0:5d1%vlan1 prefixlen 64 scopeid 0x4
inet 192.168.177.1 netmask 0xffffffc0 broadcast 192.168.177.63
inet6 2001:610:7c5::1 prefixlen 64
root@firewall:~# ifconfig vlan7
vlan7: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:11:22:33:44:55
priority: 0
vlan: 7 parent interface: bge0
groups: vlan egress
status: active
inet6 fe80::something%vlan7 prefixlen 64 scopeid 0x9
inet 192.168.178.2 netmask 0xffffff00 broadcast 192.168.178.255
En dan in pf.conf de interfaces correct benoemen. Werkt als een speer.
root@firewall:~# ifconfig bge0
bge0: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:11:22:33:44:55
priority: 0
media: Ethernet autoselect (1000baseT full-duplex,rxpause)
status: active
inet6 fe80::something%bge0 prefixlen 64 scopeid 0x1
root@firewall:~# ifconfig vlan1
vlan1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:11:22:33:44:55
priority: 0
vlan: 1 parent interface: bge0
groups: vlan
status: active
inet6 fe80::227:19ff:feb0:5d1%vlan1 prefixlen 64 scopeid 0x4
inet 192.168.177.1 netmask 0xffffffc0 broadcast 192.168.177.63
inet6 2001:610:7c5::1 prefixlen 64
root@firewall:~# ifconfig vlan7
vlan7: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:11:22:33:44:55
priority: 0
vlan: 7 parent interface: bge0
groups: vlan egress
status: active
inet6 fe80::something%vlan7 prefixlen 64 scopeid 0x9
inet 192.168.178.2 netmask 0xffffff00 broadcast 192.168.178.255
En dan in pf.conf de interfaces correct benoemen. Werkt als een speer.
(POST starter)
Ik heb nog nooit een firewall/IPS samengesteld dus bezit nog niet over alle kennis over het ombouwen van een oude pc of in dit geval, het bouwen van een firewall met nieuwe onderdelen. Ik kan uit de reacties opmaken dat je de ethernetpoort van het moederbord zelf dus blijkbaar niet kan gebruik als WAN aansluiting. Daar ging ik namelijk vanuit dus vandaar dat ik de reactie van anoniem17-01-2014, 15:16
Ik dank jullie in ieder geval voor alle reacties.
Ik heb nog nooit een firewall/IPS samengesteld dus bezit nog niet over alle kennis over het ombouwen van een oude pc of in dit geval, het bouwen van een firewall met nieuwe onderdelen. Ik kan uit de reacties opmaken dat je de ethernetpoort van het moederbord zelf dus blijkbaar niet kan gebruik als WAN aansluiting. Daar ging ik namelijk vanuit dus vandaar dat ik de reactie van anoniem17-01-2014, 15:16
Man man.... vette, way vette overkill. Doodzonde van al die mooie specs. Tis geen Windows. ;-)
Als platform is PFSense een uitstekende (lees: beste) keuze die je gemaakt hebt.
PFSense is eigenlijk FreeBSD helemaal ingericht op netwerken met een mooie webbased UI eroverheen.
(zoals de meeste routers dat zijn gebasseerd op Linux, btw)
Zelfs een Pentium 4 met 512Mb aan ram zou het al dikke overkill zijn. Dus pak die oude pc van de zolder, gooi er extra netwerkkaarten in en je hebt een je hebt een enterprisegrade firewall oplossing.
PS Een firewall heeft wel meerdere nics nodig dan 1.
PS 2 bussnelheid van het meoderbord is belangrijker dan cpu ed.
PS3 Nou ja, tweede beste dan. Eerst is een handtailored OpenBSD firewall. ;-)
niet helemaal begreep.Als platform is PFSense een uitstekende (lees: beste) keuze die je gemaakt hebt.
PFSense is eigenlijk FreeBSD helemaal ingericht op netwerken met een mooie webbased UI eroverheen.
(zoals de meeste routers dat zijn gebasseerd op Linux, btw)
Zelfs een Pentium 4 met 512Mb aan ram zou het al dikke overkill zijn. Dus pak die oude pc van de zolder, gooi er extra netwerkkaarten in en je hebt een je hebt een enterprisegrade firewall oplossing.
PS Een firewall heeft wel meerdere nics nodig dan 1.
PS 2 bussnelheid van het meoderbord is belangrijker dan cpu ed.
PS3 Nou ja, tweede beste dan. Eerst is een handtailored OpenBSD firewall. ;-)
Ik dank jullie in ieder geval voor alle reacties.
ik zie hier een hoop onzin vermeld worden over pfsense, misschien kan topicstarter beter gewoon bij pfsense op de website kijken en howto's etcetera volgen. Iets als http://www.smallnetbuilder.com/security/security-howto/31433-build-your-own-utm-with-pfsense-part-1 bijvoorbeeld.
Topicstarter weet overduidelijk weinig van firewalls en waarschijnlijk ook van netwerken. 1 NIC met vlans aanraden lijkt mij bijzonder onverstandig. 2 NICS is dus minimaal waarbij de NIC op het moederbord best mag, maar niet alle goedkope NIC op consumentenborden worden goed ondersteund in FreeBSD dus eerst even goed rondkijken en en informeren...
De snelheid van de hardware doet overigens HELEMAAL NIETS voor de veiligheid van de router. Een leuke dualcore atom is voor een snelle kabel of glasvezelverbinding al zat, alhoewel een 500/500 glasvezel misschien wel iets meer kan gebruiken, een core i3 ofzo. Singlecore performance is belangrijker dan veel cores vandaar dat een core i3 beter is dan een simpele core i5.
SSD is iets dat vaker voorbij komt op PfSense forums. In de meeste gevallen hebben SSD niet echt een voordeel, een CF kaart voldoet meestal al wel en anders een simpele laptopschijf.
Zie maar wat je doet, maar haal je informatie van de PfSense website en forums en van howto's en duidelijk niet van mensen op dit forum
Topicstarter weet overduidelijk weinig van firewalls en waarschijnlijk ook van netwerken. 1 NIC met vlans aanraden lijkt mij bijzonder onverstandig. 2 NICS is dus minimaal waarbij de NIC op het moederbord best mag, maar niet alle goedkope NIC op consumentenborden worden goed ondersteund in FreeBSD dus eerst even goed rondkijken en en informeren...
De snelheid van de hardware doet overigens HELEMAAL NIETS voor de veiligheid van de router. Een leuke dualcore atom is voor een snelle kabel of glasvezelverbinding al zat, alhoewel een 500/500 glasvezel misschien wel iets meer kan gebruiken, een core i3 ofzo. Singlecore performance is belangrijker dan veel cores vandaar dat een core i3 beter is dan een simpele core i5.
SSD is iets dat vaker voorbij komt op PfSense forums. In de meeste gevallen hebben SSD niet echt een voordeel, een CF kaart voldoet meestal al wel en anders een simpele laptopschijf.
Zie maar wat je doet, maar haal je informatie van de PfSense website en forums en van howto's en duidelijk niet van mensen op dit forum
Door ej__: Een firewall met 1 nic? Dat is helemaal niet moeilijk, mits je manageble switches gebruikt met vlan ondersteuning. Zo'n firewall draait bijvoorbeeld bij mij. No sweat.
....
En dan in pf.conf de interfaces correct benoemen. Werkt als een speer.
....
En dan in pf.conf de interfaces correct benoemen. Werkt als een speer.
Valsspelert!! ;-) Ik vroeg zonder PF.. :-p
Soortgelijk constructie heb ik ook maar dan via local adapters ge-aliast.
@Poststarter: Ja, je kan op één NIC een firewall maken, maar hier praten PF nerds onder elkaar die weten wat ze doen. Dan is nou eenmaal een hoop mogelijk.
Nu in het nederlands:
Het best wat je kan doen:
-scoor oude pc met netwerkkaart
- zet er een tweede netwerkkaart in
- installer PFSense en ga ermee spelen
- en meer spelen
- en tweaken en tunen
- en voor je het weet heb je voor een paar tientjes een fantastische firewall.
Door Anoniem: Van de poster van: PS Een firewall heeft meerdere nics nodig dan 1
Ok, vertel mij dan eens hoe je een firewall bouwt met 1 NIC (zonder PF en lo redirects)?
Ok, vertel mij dan eens hoe je een firewall bouwt met 1 NIC (zonder PF en lo redirects)?
Firewall on a stick or one-arm firewall deployment
De vraag is vooral wat je door die firewall gaat knallen.
Er is een reden waarom hardware firewalls toch 10 X beter performen dan een Intel pc met PF of IPFW/IPtables. (denk aan de hardware die getailored is voor het firewall OS etc).
Als het je gaat om 1 Gbit er door heen te voeren red je het prima met OpenBSD met PF maar als je op grotere bandbreedte gaat opereren en specfieke rate limiting bijv wilt doorvoeren kan je wel eens tegen bottlenecks aanlopen - spreekt uit ervaring.
Er is een reden waarom hardware firewalls toch 10 X beter performen dan een Intel pc met PF of IPFW/IPtables. (denk aan de hardware die getailored is voor het firewall OS etc).
Als het je gaat om 1 Gbit er door heen te voeren red je het prima met OpenBSD met PF maar als je op grotere bandbreedte gaat opereren en specfieke rate limiting bijv wilt doorvoeren kan je wel eens tegen bottlenecks aanlopen - spreekt uit ervaring.
22-01-2014, 13:03 door
sjonniev
Door Sisko:
WAN -----> ETH0 -----> FIREWALL -----> ETH1 -----> LAN
Hoezo moet je meerdere netwerkkaarten gebruiken om een firewall te kunnen bouwen? Ik kan hier tot nu toe nog geen verklaring voor vinden op het internet. Heb je toevallig nog een link die hiernaar verwijst?
WAN -----> ETH0 -----> FIREWALL -----> ETH1 -----> LAN
Of andersom
WAN -----> ETH1 -----> FIREWALL -----> ETH0 -----> LAN
22-01-2014, 19:31 door
Quetensky
Wat een onzin om zulke hardware te gebruiken! Pak een Intel Atom met een extra NIC (met Intel chip!) erin en klaar. SSD is prima, ik heb de goedkoopste in mijn Untanglebox zitten, 50GB is al meer dan 60% overkill. 2 GB is al meer dan zat. Het enige waar je op moet letten is dus NIC chips van Intel te hebben, die pakken nl vrijwel geen resources tov die brakke Broadcom/Realtek zooi. Als je wilt kan ik je mijn hardwareconfig wel geven.
(POST starter)
Dat zou wel fijn zijn. Ik heb wat veranderingen t.o.v. het vorige idee met de volgende onderdelen:
- Moederbord: ASUS Q87T voor €163,25 bij centralpoint.nl
- NIC: Intel I350-T2 voor €110,00 bij centralpoint.nl
- Processor: Intel Pentium G3420 voor € 57,99 bij mycom.nl
- SSD: Intel 525 series, 30GB MSATA voor € 50,43 bij azerty.nl
Aangezien jij hiermee ervaring hebt vraag ik aan jou wat jij aan-/afraad betreft de bovenstaande specificaties.
Door Fartman: Wat een onzin om zulke hardware te gebruiken! Pak een Intel Atom met een extra NIC (met Intel chip!) erin en klaar. SSD is prima, ik heb de goedkoopste in mijn Untanglebox zitten, 50GB is al meer dan 60% overkill. 2 GB is al meer dan zat. Het enige waar je op moet letten is dus NIC chips van Intel te hebben, die pakken nl vrijwel geen resources tov die brakke Broadcom/Realtek zooi. Als je wilt kan ik je mijn hardwareconfig wel geven.
Dat zou wel fijn zijn. Ik heb wat veranderingen t.o.v. het vorige idee met de volgende onderdelen:
- Moederbord: ASUS Q87T voor €163,25 bij centralpoint.nl
- NIC: Intel I350-T2 voor €110,00 bij centralpoint.nl
- Processor: Intel Pentium G3420 voor € 57,99 bij mycom.nl
- SSD: Intel 525 series, 30GB MSATA voor € 50,43 bij azerty.nl
Aangezien jij hiermee ervaring hebt vraag ik aan jou wat jij aan-/afraad betreft de bovenstaande specificaties.
Als alternatief kun je ook kijken naar de gratis versie van de Sophos UTM: http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx.
Volgens de site de volledig werkende versie, enkel gelimiteerd tot 50 IP's (lijkt me zelfs op verjaardagen geen probleem:))
Je krijgt naast firewalling ook anti-spam, -virus, urlfilters, (ssl)vpn en WiFi hotspot functionaliteit.
Je kunt het prima draaien op je voorgestelde hardware of eerst uitproberen met een kant en klare VM.
Volgens de site de volledig werkende versie, enkel gelimiteerd tot 50 IP's (lijkt me zelfs op verjaardagen geen probleem:))
Je krijgt naast firewalling ook anti-spam, -virus, urlfilters, (ssl)vpn en WiFi hotspot functionaliteit.
Je kunt het prima draaien op je voorgestelde hardware of eerst uitproberen met een kant en klare VM.
Mijn aanbeveling is om via de volgende pagina de juiste hardware te bepalen:
http://www.pfsense.org/hardware/index.html
De onkosten kunnen omlaag.
SSD is overbodig, ik zou persoonlijk kiezen voor Compact Flash SLC oplossing.
Turn-key oplossing al voor €219.
S6
http://www.pfsense.org/hardware/index.html
De onkosten kunnen omlaag.
SSD is overbodig, ik zou persoonlijk kiezen voor Compact Flash SLC oplossing.
Turn-key oplossing al voor €219.
S6
06-02-2014, 18:05 door
Sisko
En TS al vorderingen kunnen maken met je PfSense systeem ?
Heb zelf het systeem ook opgezet en was benieuwd naar je ervaring/bevindingen..
Heb zelf het systeem ook opgezet en was benieuwd naar je ervaring/bevindingen..
Door Sisko: En TS al vorderingen kunnen maken met je PfSense systeem ?
Heb zelf het systeem ook opgezet en was benieuwd naar je ervaring/bevindingen..
Heb zelf het systeem ook opgezet en was benieuwd naar je ervaring/bevindingen..
Op het moment heb ik het plan nog ff uitgesteld omdat ik op het moment ook even wat rustiger aan moet doen met mijn geld en op het moment nog over een router(ASUS RT-N56U) beschik.
Maar ik ben hoe dan ook van plan om dit systeem binnenkort samen te stellen.
Maar jij bent dus als ik het goed begrijp ook op het idee gekomen zo'n pfSense systeem te bouwen? gebruik je nu twee extra NIC's of kan je ook de LAN poort van je moederbord gebruiken?
07-02-2014, 14:42 door
Sisko
Klopt je bracht me op een idee ;-)
Ik heb het systeem opgezet met een oude PowerEdge server die ik nog had staan..
Ik heb als WAN de onboard Gigabit gebruikt en er een extra Gigabit Pci ingestoken voor de Lan kant, dit werkt prima !
Ik heb het systeem opgezet met een oude PowerEdge server die ik nog had staan..
Ik heb als WAN de onboard Gigabit gebruikt en er een extra Gigabit Pci ingestoken voor de Lan kant, dit werkt prima !
Kijk ook eens naar ipfire (www.ipfire.org). Ooit gekozen boven pfsense omdat pfsense mijn wifi kaartje op mijn Alix bordje niet ondersteunde en ipfire wel.
Ik heb nu een Intel d2500 CCE bord, met ipfire. Het Alix bordje was niet snel genoeg meer met de opties die ik nu aan heb staan. O.a. Squid Proxy, Snort, Clamav, Content filtering.
En ja er zijn betere borden met mooie Intel nics, maar het is gewoon een kosten baten analyse ik heb nog niet vastgesteld dat mijn intel bord het niet aan kan (100 Mbit glas).
Ik heb nu een Intel d2500 CCE bord, met ipfire. Het Alix bordje was niet snel genoeg meer met de opties die ik nu aan heb staan. O.a. Squid Proxy, Snort, Clamav, Content filtering.
En ja er zijn betere borden met mooie Intel nics, maar het is gewoon een kosten baten analyse ik heb nog niet vastgesteld dat mijn intel bord het niet aan kan (100 Mbit glas).
Door Anoniem: Ik wil graag een firewall bouwen en die wil ik maken met de volgende componenten:
- Processor: Intel Core i5-4570S (met Vpro technologie)
- Moederbord: Intel DQ87PG
- Geheugen: Corsair XMS 1600MHz, 4GB
- SSD: Intel DC S3500, 120GB
- Netwerkkaart: HP NC365T
- Voeding, CPU koeling, behuizing en dergelijken.
Weet iemand hoe het zit met pfSense en driver support? Ik wil graag een hardware firewall bouwen die zelfs op het gebied van Intels Hardware Security features, zoals Vpro technologie, AES 256bit HDD versleuteling, en alle andere beveiliging die buiten het OS om werken, het internetverkeer beveiligd. Of kan je ook een normaal besturingssysteem gebruiken voor een zelfgebouwde firewall zoals Linux of Windows? Iemand die hier veel vanaf weet die mij kan helpen?
Alvast bedankt,
Daan
- Processor: Intel Core i5-4570S (met Vpro technologie)
- Moederbord: Intel DQ87PG
- Geheugen: Corsair XMS 1600MHz, 4GB
- SSD: Intel DC S3500, 120GB
- Netwerkkaart: HP NC365T
- Voeding, CPU koeling, behuizing en dergelijken.
Weet iemand hoe het zit met pfSense en driver support? Ik wil graag een hardware firewall bouwen die zelfs op het gebied van Intels Hardware Security features, zoals Vpro technologie, AES 256bit HDD versleuteling, en alle andere beveiliging die buiten het OS om werken, het internetverkeer beveiligd. Of kan je ook een normaal besturingssysteem gebruiken voor een zelfgebouwde firewall zoals Linux of Windows? Iemand die hier veel vanaf weet die mij kan helpen?
Alvast bedankt,
Daan
Ikzelf gebruik CentOS als firewall/proxy/router/DNS server op een atom fanless barebone
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.