Was macht pfS sicherer als Firewalls in Kaufgeräten, wie FritzBox und Co?



  • Servus,
    ich habe neulich mit einem Kollegen diskutiert, bei dem Punkt kamen wir aber ins Stocken. Was macht pfS eigentlich sicherer als eine Firewall in einer FritzBox oder einem fertigen Router von Linksys & Co?. Ich meine jetzt nicht den Funktionsumfang, der ist offensichtlich. Ich meine rein beschränkt auf gebotene Angriffsfläche / Angriffspunkte  bzw. deren Abwehr. Viele Arztpraxen mit hochsensiblen Daten sind z.B. mit billiger Hardware am Internet.

    Bin gespannt  ;D

    Grüße



  • Du siehst jeden commit im Code.
    Updates kommen zuverlässig, auf Sicherheitsprobleme wird hingewiesen…



  • Stimmt, das sind wichtige Punkte - Danke! Gibts noch technische Unterschiede, die da mehr Sicherheit bringen?

    Grüße



  • Also ich kann dir nur sagen, warum ich mich für Pfsense entschieden habe…

    Eine Fritzbox z.B. ist zwar ein Rundumsorglos Router der (fast) alles kann, nur halt nichts richtig ;)
    Sie reicht für den normalen Internet User in der Regel vollkommen aus.
    Will man aber mehr machen (Erweiterter VPN, DHCP, DNS Server, Firewall, Multiwan usw.  ) muss man sie entweder Modden, oder es funktioniert einfach damit nicht. Und je nach Anwendung performt die FB auch nicht gerade.

    Ich habe zwar eine FB, aber nur als Voip/Dect Client bzw Anrufmonitor. Für alles andere benutze ich idR. Spezialisten.

    Was mich zu der zweiten Kategorie führt...

    Zyxel, Netgear Draytek u.sw. sind zwar wie die Fritzbox mehr im SOHO Bereich angesiedelt, sind aber gegenüber der FB nicht so Umfangreich und eher als Spezialisten zu bezeichnen.

    Jedoch sind auch diese Geräte, trotz Spezialisten, begrenzt in Ihren Möglichkeiten und/oder Performance.
    Oftmals ist auch der Software Support sehr dürftig. Was zu Sicherheitsproblemen führen kann. https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0006

    Falls jetzt ein Neunmalkluger meint, dass in der Sicherheitswarnung hauptsächlich Ciscorouter betroffen sind… Ja es stimmt auf den Geräten steht Cisco drauf aber Linksys ist drin, ist im Soho Bereich angesiedelt und hat nicht wirklich was mit den richtigen Cisco Geräten gemeinsam.

    Und zu guter Letzt die Business Geräte wie Cisco, Juniper, Checkpoint usw.

    Diese Geräte haben einen sehr guten Funktionsumfang guten Software Support und je nach Budget eine gute Performance :D

    Was mich also im Endeffekt zu Pfsense geführt hat, war der hohe Funktionsumfang (Auf Profiebene) zum kleinen Preis.

    Für große Firmen oder für Leute die Geld zum sch** haben, würde ich aus dem Bauch raus die großen Premium-Hersteller empfehlen.

    Preisbewusste kleinere Firmen oder Technikaffine sind mit Pfsense besser bedient.



  • @rubinho:

    Für große Firmen oder für Leute die Geld zum sch** haben, würde ich aus dem Bauch raus die großen Premium-Hersteller empfehlen.

    Wenn nicht gerade eine grundlegende Funktion fehlt würde ich immer die PFsense nehmen, diese ganze Theater mit den Firmware Updates und dem Geheimnis darum, nein danke da ist mir die PFsense viel lieber.



  • Grundsätzlich würde ich dir Recht geben, jedoch benötigt man bei Konzernlösungen gewisse Sicherheiten in Form von Herstellersupport und da sind Hersteller wie z.B. Cisco etwas breiter aufgestellt als Pfsense.

    Es ist nicht das erste mal in unserem Unternehmen vorgekommen, das Cisco für uns extra das IOS angepasst hatte und das in einem relativ kurzen Zeitraum.


  • Moderator

    Zu den anderen Punkten hier:

    Wir haben gerade Juniper Firewalls rausgeschmissen. Juniper wie Cisco kochen auch nur mit Wasser und man zahlt oft sehr heftig den Firmennamen mit. Beispiel Cisco ASA (die großen): Im Endeffekt Serverhardware von Dell oder HP mit einem billigst angelöteten USB-Stick, auf dem die Software drauf ist. Das ist die tolle Blackbox. Untendrunter werkelt dann ihr eigenes iOS. Bei Juniper ists zum Teil noch lustiger, wenn man beim Booten der großen JunOS Kisten dann das FreeBSD beim starten lesen kann. Dann kommst du mit "CLI" in eine eigens gestaltete Shell im Cisco Stil, der dann im Hintergrund als Wrapper für die ganzen BSD Dienste fungiert. Nasowas!

    Trotzdem zahle ich für die Kisten 5-stellige Hardware Preise und dann noch zusätzlich Dinge wie:

    • Supportverträge (ohne die ich teils keine Updates bekomme! - sehr wichtiges Argument)
    • VPN Lizenzen
    • Lizenzen für virtuelle Instanzen (bspw. Cisco ASA Kontexte)
    • Teilw. Lizenzgebühren für HA Setups

    Da kommt ganz schön was zusammen. Bei unserem neuen Setup ging es um einen großen Datacenter CARP Cluster. Reine Hardware haben wir somit zwischen 5-8k € pro Stück gespart im Gegensatz zu einer gleichwertigen Kiste von Cisco oder Juniper, die auch die entsprechenden Durchsätze garantiert. Momentan krankt unsere Anbindung u.a. auch an der Hardware, die zwar für 1GBit/s ausgelegt ist, dank lahmem Prozessor aber nur ~150MBit/s gewuppt bekommt und dann anfängt Pakete zu droppen. Trotz hohem Preises.

    Für die Kosten die wir eingespart haben, können wir sehr entspannt zum einen Support bei pfSense einkaufen und im Notfall auch ein Feature oder ein verkorkstes Setup direkt an die Jungs delegieren und uns das programmieren/konfigurieren lassen.

    An Features bzw. Ausstattungsmerkmalen, gibt es kaum etwas, was pfSense nicht direkt oder zumindest mit weiteren Paketen leisten kann. Oder um es wie ein Vorredner auszudrücken: Auf Firewall ist pfSense eben spezialisiert.

    Gerade nach dem ganzen NSA Skandal und den Unsicherheiten, in welche Firmen sich die noch überall eingekauft haben, um Sicherheitslücken auszunutzen und Backdoors zu haben, ist inzwischen bei uns auch für die Kunden es ein valides Argument zu sagen, dass wir keine US-Hardware mit potentieller Backdoor da stehen haben.

    Grüße



  • Servus,

    ich kann mich den Ausführungen nur anschließen und diese beim Thema Support noch erweitern:

    Versuche mal für $100 pro Stunde einen wirklichen Spezialisten von einer der oben genannten Firmen ans Telefon, geschweige denn auf eine Problemkiste zu bekommen, der dann auch wirklich was reissen kann…

    Nochmal zurück zum Thema: Warum ist pfSense sicherer?
    Die Frage müsste eigentlich lauten: Warum kann pfSense sicherer sein?

    Weil in den Händen, von jemandem der weis, was er tut, eine pfS Box SEHR sicher zu konfigurieren ist, weil alle Schrauben da sind um das einzustellen. Bei Konsumer Geräten wird der Apple-Modus gefahren: Du musst nix machen, ist alles ganz easy! Du kannst und darfst aber auch nix machen... Im Hochpreis-Segment hängt's dann wieder eher vom Geldbeutel ab, wie sicher es sein darf.

    Bei pfS ist alles, was das Ding kann drin und vom Endbenutzer einstellbar und das für lau.
    Wie man es einstellen will bleibt jedem selbst überlassen.
    Gefällt mir!

    Gruß
    Harry