Posts by aender

    Da wird es keine Lösung geben mit den Netzwerken die da verwendet werden.


    Die Zywall ist gelinde gesagt ein dummer Router mit Firewallfunktion. Die EFW hat einen ordentlichen Linux-Kernel der Netzwerke auch so handelt wie es sich gehört. Und dazu gehört auch, dass man an unterschiedlichen Interfaces nicht überlappende Netze verwenden kann.


    Wäre es denkbar beide zu einem /8 oder /24 zu machen? Zumindest an der Firewall selbst.

    EFW hat SNMP onboard. Muss man nur aktivieren in der GUI unter Services.


    Dein omd / check_mk brauchst du nicht. Jede Monitoring Software kann via SNMP alles auslesen was nötig ist. Nachdem checkmk auf Nagios basiert ist das kein Problem mit SNMP.

    Am einfachsten von der 2.x ein Backup ziehen - Die 3.0 ohne Backup installieren - Und dann per SFTP die einzelnen Files aus dem Backup auf die neue 3.0 kopieren. Da kopiert man dann halt nur die nötigsten Sachen rauf. Firewallrules, OpenVPN Konfig, ... Die Proxys kann man ja selbst konfigurieren.

    Ahso.


    Das ist das komische kommerzielle CITRIX Xen....


    Ich hab hier Cluster mit der OpenSource Version von XEN mit DRBD - da funktioniert das einwandfrei.
    Denke die kommerzielle Version ist hier halt je nach Einwurf von Münzen (EURO) unterschiedlich und bietet nicht alle Features die möglich wären.

    Wo soll das Problem liegen?


    Die VM braucht keine XEN Tools um im laufenden Betrieb auf einen anderen Host geschoben zu werden. Zumindest mache ich das hier einwandfrei.

    Für so etwas wäre eigentlich BLUE gedacht.


    Und selbst wenn du eine Rule machst die 10.10.100.0/24 auf 192.168.1.0/16 verbietet nützt das ja nicht viel. Da kann man am Client einfach eine IP vom anderen Netz eintragen und schon ist das erledigt wenn alles am gleichen Switch hängt.


    Gibt also sinnigerweise nur die Variante mit zwei NIC und zwei Switches oder VLANs

    Wenn du NAT aktivierst machst du folgendes:


    Enable this if you want to hide your network behind the VPN IP address, whenever clients connect out through the tunnel. Incoming connections through the VPN tunnel then will not be able to pass to your local networks.


    Also: ausschalten !

    Quote

    VPN Firewall muss aktiviert sein, da ansonsten der Traffice geblockt wird.


    Das stimmt nicht !!
    Wenn die VPN Firewall deaktiviert ist wird eben genau nichts geblockt.


    Du schreibst: Gerätetyp: TAP
    Ist das auf der Serverseite auch so?


    Normalerweise funktioniert alles mit Defaulteinstellungen einwandfrei. Hab mehrere solche Konfigs mit Defaulteinstellungen die perfekt laufen.

    Findet man auch bei Endian: http://docs.endian.com/proxy.html#pop3


    Hätte ich aber auch nicht dran gedacht. ;-)


    p0f hat nichts mit IDS direkt zu tun. Wollte nur sagen, dass die pfSense auf einer komplett anderen Basis läuft. Anderes OS (BSD) andere Filter (p0f) .... und ohne zusätzliche Installation von Packages gar kein SNORT hat.


    Zu: max-pattern-len 20


    Das bringt Speedmäßig sicher einiges. Allerdings werden Patterns die Snort checkt auf 20 Zeichen gecroppt so wie ich das verstanden hab. Ob das sicherheitstechnisch sinnvoll ist sei mal dahingestellt. Google mal nach: snort max-pattern-len 20
    Da spricht einiges für Performance aber einiges aus sicherheitstechnischen Gründen auch dagegen. Ist nur meine schlichte Meinung.


    Snort ist also sicher nicht der Weisheit letzter Schluss und Suricata ist eine tolle Alternative.


    BTW: Deine Probleme mit VPN kann ich nicht nachvollziehen. Hab bei meinen Kunden viele Endian Firewalls (2.4 bis 3.0) draussen bei denen OpenVPN und IPSec keinerlei Probleme macht. Auch nicht zu anderen Herstellern.

    Also das mit der iPFire glaub ich mal nicht. Das ist eine Firewall die so halb auf der alten Endian 2.2 und der iPCop basiert und halt weiterentwickelt wurde.
    Da läuft genauso Snort drauf das nur einen Thread laufen lassen kann. Mag sein, dass die die Einstellung so machen, dass Snort sich halt die 4GB RAM schnappen darf.


    Und bei pfSense ist mal per Default gar kein IDS dabei. Das kann man höchstens als Package nachinstallieren. Und dann gibt es eben diesen tollen Punkt um die diskutierte Lösung zu aktivieren. Siehe anbei. Und dann mag noch sein, dass pfSense auf BSD basiert und schon ganz einen anderen Filter für die Firewall-Rules verwendet als die Endian. Die verwenden p0f mit dem sich sogar sogenanntes advanced passive OS/network fingerprinting machen lässt. http://lcamtuf.coredump.cx/p0f3/


    Also nicht Äpfel mit Birnen vergleichen ;-)