QNAP und Netgate präsentieren pfSense Virutal Machine Firewall für QNAP NAS

  • Diskussion zum Artikel QNAP und Netgate präsentieren pfSense Virutal Machine Firewall für QNAP NAS:

    Zitat
    Mehr Sicherheit im Netz: QNAP setzt auf pfSense

    München/Deutschland, Taipeh/Taiwan, 21. Juni 2018 – QNAP und Netgate stellen ab sofort die neue Software pfSense Virtual Machine für QNAP NAS-Systeme zur Verfügung. Der NAS-Experte und der weltweit führende Anbieter von Open Source Firewalls und Security Gateways sorgen mit der kostenfreien, leistungsstarken und sicheren Netzwerk-Firewall, Router- und VPN-Lösung für höhere Netzwerksicherheit. Die pfSense Virtual Machine für QNAP NAS steht ab sofort unter https://www.qnap.com/solution/pfsense/de-de/ zum Download bereit.
  • Frage an die Experten: Kann eine Firewall in einer virtuellen Umgebung auf einem QNAP ihre Schutzfunktion bestmöglich entfalten?

  • Das ist eine Glaubensfrage.

    Was man aber sagen kann, so etwas ist besser als nichts. Perfekt ist es wohl kaum, aber gut zu haben.


    Es gibt Experten die sagen, eine Firewall sollte physikalisch vom Server getrennt betrieben werden. Im Hinblick auf Spectre und Meltdown, die gerade eine VM eben überwinden können, macht das Sinn. Ebenso ist es auch eine Sache der Ausfallsicherheit. Liegt alles auf einem Server und der stürzt ab ist alles tot. Ist die Firewall separat läuft die weiter, man kann Fernwartung durchführen, Fehler eingrenzen...


    Anderseits gibt es eben auch die Meinung VM ist gut, erlaubt eine viel leistungsfähigere und flexiblere Lösung.


    Und bei Windows Servern ist es jetzt auch nicht so unüblich in Hyper V so etwas laufen zu lassen.


    Wer im beruflichen oder privaten aber eine NAS auch als Server einsetzt, für den sollte auch diese Lösung der Firewall gut genug sein. Man muss ja auch immer sehen, dass man alles immer noch besser machen kann, aber dadurch wird es auch teurer und komplizierter und hier muss man dann eben abwägen wieviel man sich antun will.


    Auf deine Frage: Bestmöglich kann eine Firewall meiner Meinung nach ihre Schutzfunktion nur in einem physikalisch getrennten System entfalten.

  • Wenn man sich auskennt kann man es schon recht sicher machen. Grundkenntnisse genügen meiner Meinung nach nicht, man sollte zumindest verstehen was "unten drunter" passiert wenn man per Klickibunti z.B. einen vSwitch anlegt etc. Aber, auch für "Nur-Klicker" es ist besser als Nichts ;)

    Der Artikel ist ein wenig schwach. Was wurde an PFSense geändert, bzw. warum soll ich nicht das ISO beim Hersteller herunter laden und in eine VM installieren? Was hebt die QNAP-Version von der "normalen" Version ab? Und warum kann man angeblich PFSense erst seit "jetzt" auf ner QNAP nutzen? Und warum können nur Unternehmen die VM importieren?? ;)

  • Ich hatte mir vor einiger Zeit überlegt ipfire oder pfsense auf einer dedizierten Hardware meinem Heimnetz vorzuschalten. Da das Erstellen von Regeln für die Firewall doch ein wenig mehr Einarbeitung erfordert, hab ich es vorerst aufgegeben. Per VM hat man zumindest eine Basis, auf der man "üben" könnte, ohne vorab direkt in Hardware zu investieren. Von daher würde ich auch zustimmen, besser als nix. ;)

  • Wäre es nicht konsequenter, sich einen kleinen passenden VPN-Router zu kaufen, der eine Firewall mitbringt?


    So teuer sind die nicht, und man löst die beiden relevanten Sicherheitsfragen in einem Schritt.


    Hat jemand das hier umgesetzt? Was kostet das?

  • 'Nen kleinen Mikrotik-Router gibts es für unter 30€ mit vollwertigem RouterOS. Ich habe als "Firewalls" jeweils eine RB3011UiAS-RM und eine RB1100AHx4. Für Test-Setups dann noch einen CSS326-24G-2S+RM.

    Das sollte aber für den "normalen Heimanwender" etwas zu viel sein ;-)



  • Zum testen als VM durchaus interessant.
    Habs derzeit neben Sophos (Syno-VM) auf der QNAP installiert.
    Muß noch ein wenig mit beiden "spielen", ehe ich mich für eine davon entscheide.

  • Frage an die Experten: Kann eine Firewall in einer virtuellen Umgebung auf einem QNAP ihre Schutzfunktion bestmöglich entfalten?

    Am besten ist es sicher wenn du die FW auf einer eigenen Maschine laufen läßt auf der nichts anderes läuft. Gut geeignet ist dafür so etwas wie z.B. ein APU2C4 oder mit einem NIC mehr das APU4B4 Board.


    Ich will es mal so aus drücken. Es ist besser eine Verteidigung gegen Eindringlinge außerhalb eines Organismus durch zu führen als bereits innerhalb eines Körpers.


    Soetwas in einer VM laufen zu lassen ist sicher eine gute Wahl, wenn man sich das mal ansehen will ob das etwas für einen ist.

    Pfsense, IPFire und Opensense sind sicher sehr gut. IP Fire scheint mir von der Bedienung recht angenehm.

  • marisse nehme mal an die Bedienungsanleitungen gibt es nicht in Deutsch?

    Woher hast du denn das benötigte Fachwissen her? :-)

  • Woher hast du denn das benötigte Fachwissen her?

    Das ist mein Job :)

  • marisse  

    Ich würde mich beizeiten über ein paar Tipps freuen oder besser eine Anleitung, wie man pfsense in einer VM vernünftig einrichtet. Ggf. auch als Ergänzung zu Qnaps Tutorial.

  • Habe meine Antwort wohl an falscher Position gepostet - als Kommentar beim Artikel - deshalb...


    In der Firma läuft die Firewall virtuell, allerdings auf eigener Hardware, auf der nur diese Firewall läuft. Firewall und produktive Daten- oder Diensteserver auf einem physischen Gerät mischen wäre nicht das Meine, allenfalls die Firewall dient nur dem internen Schutz sprich Trennung mehrerer interner Bereiche.

    Beim Verwenden der QNAP als Firewall ins Internet wird die QNAP an die vorderste Internetfront gestellt. Allerdings wenn noch eine QNAP untätig herumsteht, wieso nicht. Dann kannst Du noch die Proxy Server App und den Pi Hole Container installieren und dann hast Du eine Security QNAP.

    Wäre es nicht konsequenter, sich einen kleinen passenden VPN-Router zu kaufen, der eine Firewall mitbringt?

    Sehe ich ähnlich. Gibt kleine Firewall Appliances, die für ein paar Euro den Dienst auch tun. Für privat Zwecke muss dies nicht den Umfang von Business Firewalls haben. Ist so für den Privaten auch einfacher zu handhaben. Eine ausgewachsene Firewall ist selbst für den Pro immer wieder eine Herausforderung, wenn man nicht tagtäglich damit zu tun hat.

  • Firewall ist selbst für den Pro immer wieder eine Herausforderung, wenn man nicht tagtäglich damit zu tun hat.

    Habe das bei mir bekannten Admis, die bei größeren Firmen arbeiten, schon mal nachgehakt. Wenn es um Sicherheitsbelange geht, wie zum Beispiels die Einrichtung von Firewalls/VPNs usw., wird diese Leistung bei der Anschaffung der Geräte häufig mit eingekauft. Selbst bei der Ergänzung von Regeln, wird dann gerne über Serviceverträge auf die Experten zurückgegriffen, die sich täglich damit beschäftigen. Das Ganze hat auch einen anderen Vorteil, die Verantwortung wird so an Dritte abgegeben.

  • Na, ob das die Geschäftsleitung interessiert, ob der Datendiebstahl durch den Fehler der internen oder externe IT ermöglicht wurde. Schuld ist trotzdem der Leiter der IT-Abteilung. :) Ich weiß, hat versicherungstechnisch schon noch eine Relevanz.


    Ein Sicherheitsexperte, der dies täglich macht ist viel schneller und weiß auch vorauf er achten muss. Moderne Firewalls habe eine riesige Zahl an Einstellungsmöglichkeiten und gerade bei größeren Firmen sind die Firewallregeln hoch komplex.

  • Frage an die Experten: Kann eine Firewall in einer virtuellen Umgebung auf einem QNAP ihre Schutzfunktion bestmöglich entfalten?


    In einer virtuellen Umgebung: Ja.
    Auf einem QNAP, mit einem proprietären System, das nicht stabil läuft und wer weiß, wieviele Löcher hat? Da kann ich das System auch gleich so ins Netz stellen. Nein danke.

  • Weißt du ob schon mal einer die Qnap Software runter geworfen hat und Proxmox oder meinetwegen eine ESXI rauf gemacht hat ? Dann kann man passende, gut abgehangene VM drauf laufen lassen wie: pfsence, openswitch, Openmediavault usw.

    Wobei die Qnap Hardware auch wiederum nicht ganz ideal ist, im Sinne von:
    # externes Netzteil
    # hakelige, kratzende Festplattenrahmen
    # Softwareraidkontroller
    # riesen Gehäuse, trotz seit Jahren üblichen 2,5" Platten
    # keine passive Kühlung

  • Weißt du ob schon mal einer die Qnap Software runter geworfen hat und Proxmox oder meinetwegen eine ESXI rauf gemacht hat ? D

    Nein, keine Ahnung. Ich weiß auch nicht, warum das jemand tun sollte (außer, es erliegt jemand dem Spieltrieb. Aber auch da gibt es lohnendere Objekte)? Lohnt sich IMHO nicht.

  • In einer virtuellen Umgebung: Ja.
    Auf einem QNAP, mit einem proprietären System, das nicht stabil läuft und wer weiß, wieviele Löcher hat? Da kann ich das System auch gleich so ins Netz stellen. Nein danke.

    Du meinst also VMWare darf man nicht trauen, da proprietär. Verdammt, sag das mal den ganzen Firmen die damit ihre Server betreiben.

    Wieviele Löcher QTS hat? Sag's mir. Ich weiß es nicht. Genauso viele wie Mac OS, Windows, jede proprietäre Firewall, ...


    Zitat von Herbert_1965

    Weißt du ob schon mal einer die Qnap Software runter geworfen hat [..]
    Qnap Hardware [...] nicht ganz ideal ist, im Sinne von

    Warum sollte jemand so bescheuert sein und eine teure QNAP NAS kaufen, wenn er dann das, was die QNAP NAS ausmacht, QTS, runter wirft? Warum kauft dieser sellige Mensch dann nicht einfach ein NAS Gehäuse und installiert einfach das OS seiner Wahl drauf?

    Externes Netzteil: QNAP vertreibt auch NAS mit internem Netzteil, sleber schuld, wenn du eines mit externem kaufst, das dir nicht passt.

    Hakelige, kratzende Festplattenrahmen: Mich kratzen die nicht, find die ziemlich kuschelig.

    Softwareraid: Super sache so ein Hardwareraid, schmiert der Controller ab sind die Daten hinüber, da sie an keinem anderen PC ohne exakt demselben Hardwareraid Controller mehr ausgelesen werden können.

    riesen Gehäuse: Selber Schuld, wenn du dir die falsche NAS kaufst. QNAP hat auch 2.5" Gehäuse im Angebot.

    keine passive Kühlung: Selber Schuld, wenn du dir die falsche NAS kaufst. QNAP hat auch passiv gekühlt NAS im Angebot.

  • UpSpin

    ?? Schlechter Tag gehabt oder einen neuen Schreibstil zu gelegt? Ah ich weiß, falsche Fußballmannschaft hat gewonnen. ;)

    Weißt du ob schon mal einer die Qnap Software runter geworfen hat und Proxmox oder meinetwegen eine ESXI rauf gemacht hat ?

    Für ESX dürfte der Großteil der QNAPs schlichtweg zu schwach sein und zu wenig Arbeitsspeicher haben. Und von den ganzen ARM, Marvell und Realtek CPUs reden wir erst gar nicht. Bin nicht sicher ob es da ein ESX dazu gibt oder je geben wird.

    Aber sinngemäß hat UpSpin schon recht. Für so ein Projekt für zuhause würde ich mir einen Micro-Server von irgend einem Hersteller kaufen. Die meisten haben solche im Programm.