Linux som ruter

[tyldum]

Ettersom tråden om VLAN begynte å skli ut laget jeg en ny tråd her.

Original tråd: http://forum.hwb.no/index.php?showtopic=426835

 

Her er stor fare for religionskrig, blir du provosert når du leser denne tråden vil jeg anbefale deg å ta et *dypt* åndedrag og en liten timeout.

 

Litt utnom tema men jeg blir litt lei meg når det blir snakk om routere/brannmurer så er det med en gang snakk om en linuxboks. For all del bruk linux der det er hensiktsmessig. Gjerne brannmur

 

Men jeg vil be dere tenke på et par punkter.

- Hva gjør du når den ene disken i maskina krasjer. Mange benytter et speil og er da sikre på den måten.

 

- Skal maskina være å stole på bør du jo ha relativt ny og stabil HW, noe som fort koster noen kroner.

 

- Trusselbildet og feks deep inspection (kontroll av innholdet i pakker) endrer seg hele tiden og må derfor sørge for at du har siste utgave av software.

 

Selv så har jeg jobbet med Netscreen og må si at disse produktene er bare heelt rå. Her får du masse kraft til en billig penge. Oversiktlig brukergrensesnitt og en kapasitet du skal lete lenge etter hos andre. Skulle en boks krasje kan du lett sette inn en ny og laste inn config og være oppe igjen i løpet av maks 15 min.

 

Jeg anser driftsikkerheten som minst like god som en ferdig boks. Linuxruterne mine har hardware RAID og nye strømforsyninger. Etter dette koker det ned til dine behov og din kompetanse. For meg er det naturlig med Linux som ruter fordi jeg har inngående kompetanse på Linux og fordi det passer mitt (ikke-eksisterende)budsjett. Jeg jobber i en kommune hvor hver krone teller, samtidig som det kreves stadig mer av IT.

Jeg trenger 2 rutere, proxyserver og NAT. Uten Linux kunne vi bare ha glemt alt som heter Internett

 

Jeg koster på gamle arbeidstasjoner i underkant av 6000,- for å få dem klar som ruter. Etter det er det forsåvidt bare fantasien som setter grenser for de tekniske mulighetene. For økt sikkerhet benyttes 2 rutere med brannmur, hvor den ene sørger for lastbalanse/redundans mellom 2 internettlinjer, NAT, en DMZ, et limnett, et publikumsnett og har http-proxy. Neste ruter er enklere med kun ruting og brannmur mellom interne nett.

Total kostnad: 12 000,-

Å finne frem en annen utrangert arbeidsstasjon og sette denne opp vil heller ikke ta mer enn 15 minutter.

 

En løsning fullt på høyde med komersielle løsninger. Det er ikke uten grunn at flere og flere av boksene på markedet kjører nettopp Linux, selv om du ikke ser det. Fortinet f.eks er bare en frontend mot den samme teknologien. I tillegg føler jeg økt trygghet fordi Linux ligger der. Linux er velutprøvd og er under strengt oppsyn. Jeg stoler ikke fullt på at en egenutiklet proprietær firmware holder samme kvalitet.

 

Så synes jeg det er greiest å definere brannmuroppsettet for hånd bit for bit. Jeg får full kontroll over hva som tillates og kan filtrere basert på mer enn bare IP-adresser og portnumre.

[StianK]

Jeg er selv konsulent og jobber mest i smb-markedet, kan til tider være enig med dagatle.

 

Kort verson på slutten av dagen:

SMB-markedet i norge er ikke et hensiktsmessig sted å bruke en linux firewall, lokale ressurspersoner kan endre på dette men for flesteparten er det en mindre optimal løsning(for å si det pk).

 

Allt til sin bruk...

 

Det er ikke uten grunn at flere og flere av boksene på markedet kjører nettopp Linux

 

Et os må jo ligge i bunn, og det er dyrt og utvikle et eget os så avangsert som det trenger å være idag. Grunnen til at linux brukes på hardwarebokser er nok mer på grunn av lett tilgjengelig kompetanse og reklamefaktoren enn sikkerheten i oset.

Endret 6. juni 2005 av StianK

[tyldum]

Savner litt mer saft i utsagnene dine. Si gjerne *hvorfor* du finner det uhensiktsmessig.

SMB-markedet har ofte ikke behov for de avanserte løsningene, og finner nok lettere en løsning ut av boksen til en rimelig penge. Kostnadene begynner å løpe fort når du har behov for mer enn en ruter med NAT.

[roac]

Savner litt mer saft i utsagnene dine. Si gjerne *hvorfor* du finner det uhensiktsmessig.

SMB-markedet har ofte ikke behov for de avanserte løsningene, og finner nok lettere en løsning ut av boksen til en rimelig penge. Kostnadene begynner å løpe fort når du har behov for mer enn en ruter med NAT.

Ok, jeg har forsøkt å holde meg unna denne diskusjonen, men her kommer dagens brannfakkel.

 

Jeg personlig ville aldri gått for en Linux firewall. Hvorfor i all vide verden skal jeg ha en brannmur som gjør at jeg må lære meg et helt nytt OS? En såkalt hardwarebrannmur vil da være et bedre alternativ for meg, der jeg uansett bare har grensesnittet å forholde meg til. Dersom jeg trenger mer enn det en hardwarerouter kan gi meg, så har jeg (i likhet med en del andre her i landet) en del kompetanse på Windows-plattformen, og jeg ville da heller valgt noe som er basert på Windows. F eks ISA Server 2004. Det synes da for meg som et bedre alternativ. Dette kan også med fordel gjøres i SMB markedet.

 

Det man da gjør er å ha en enkel hardwarebrannmur av typen "enkel" først, som tar seg av standard portfiltrering, evt med NAT. Bak denne plasserer man ISA Serveren. Med SBS 2003 Premium og Service Pack 1 kan man bruke ISA 2004 i steden for ISA 2000 som følger med SBS 2003 Premium som standard.

 

For meg, som har forsøkt å kikke på diverse Linux-distribusjoner, og gitt opp, er dette en mye bedre løsning. Linux kan sikkert være greit til en del ting, men min erfaring fra de gangene jeg har forsøkt å sette opp Linux & Co (Suse, RedHat, FreeBSD) er at OSene mangler en ting Windwos har: Brukervennlighet.

 

Nå får vi se om det blir reaksjon her

[tyldum]

Brannfakkelen din sloknet, skal se om vi ikke får fyr på den igjen

 

Argumentet for *deg* er at du ikke har interesse av å bygge egen kompetanse på området. Å skylde på mangel av brukervennlighet på nettverksutsyr virker for meg en smule søkt. Og for den del, å være bundet til et GUI er for meg som admin lite 'brukervennlig'. Øyet som ser.

 

Funksjonaliteten i løsningen jeg skisserte er på ingen måte unik, og du kan oppnå det samme med mange alternativer. Poenget mitt er at med å bygge seg kompetanse på Linux kan løse komplekse problemer uten at det koster skjorta og samtidig ha en løsning fullt på høyde med de komersielle.

[Admin'c]

men linux er fortsatt veldig lite brukervennelig selv om det gjør jobben bra =). Spesielt iptables synes jeg er utrolig slitsomt hvis du ikke har regler fra før du bare kan kopiere nedover når du skal forwarde porter etc.

 

Har ikke testet brannmuren til freebsd/openbsd, men har hørt den er mye mye bedre

[Zerge]

Jeg kan bare koste litt kull under det at brannmurene til free/openbsd er meget brukervennlige og enormt funksjonable når alt først er satt opp!

 

For meg handler det kun om viljen til å tilegne seg kunnskaper om et felt. Det tar deg ikke mer enn noen aktive dager med litt lesing og god moral før verdenene til de forskjellige OSene åpner seg. Det finnes så enormt mye god dokumentasjon tilgjengelig på internett at det virker direkte rart at noen kan komme og si at det ene os'et er mer brukervennlig enn det andre. Alt koker ned til det bildet du har laget deg av hva brukervennlighet egentlig skal være.

 

Jeg brukte i sin tid 2 kvelder på å lese meg gjennom de mest relevante kapittlene i håndboken til FreeBSD (http://www.freebsd.org/handbook/) og etter det var resten bare plankekjøring hva gjaldt oppsett og konfigurasjoner av utallige FreeBSD routere/brannmurer/high-end servere.

 

Jeg bruker til vanlig win32 som desktop OS, men for meg er FreeBSD det mest brukervennlige OS'et for det bruksområdet vi snakker om her.

[Torbjørn]

Men bare så det er sagt - linux/bsd er ikke noe man bør ta lett på - dvs lære seg den ene komponenten (iptables) og deretter la den seile sin egen sjø.

 

hvis det blir resultatet, er man sannsynligvis feil mann til jobben.

[roac]

Men bare så det er sagt - linux/bsd er ikke noe man bør ta lett på - dvs lære seg den ene komponenten (iptables) og deretter la den seile sin egen sjø.

Takk. Man må ha god innsikt for å kunne lage en sikker løsning. God innsikt i Linux/BSD/Unix krever mye tid, det er i hvert fall mitt inntrykk.