FIREWALL fürs Büro?

Status
Für weitere Antworten geschlossen.

gmfotografie

Benutzer
Mitglied seit
02. Mrz 2015
Beiträge
215
Punkte für Reaktionen
2
Punkte
18
Hallo Leute, wir arbeiten aktuell mit einem Router an dem eine DS918 hängt und 4 Personen arbeiten.

Welche Hardware-Firewall könnt Ihr uns empfehlen?


Danke Euch !
 

DanFu

Benutzer
Mitglied seit
13. Mrz 2016
Beiträge
144
Punkte für Reaktionen
0
Punkte
16

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Die Frage lässt sich so nicht beantworten.
Vermutlich habt ihr jetzt schon irgendeinen Router laufen mit Statefull inspection Firewall.
Die Einfachlösung ist eine Fritzbox.
Alternativ bisher gute Erfahrungen habe ich mit dem Ubiquiti UniFi Security Gateway, USG. Dazu idealer Weise den passenden Switch kaufen.
Der Anschluss wäre dann DSL-Modem Ausgang direkt in Unify Gateway. Nicht aus dem aktuellen Router in das Gateway, denn dann baut ihr eine kaskadierte Firewall, die nur Performance kostet.
4 Personen sind jedenfalls keine Belastung für die Geräte.
 

gmfotografie

Benutzer
Mitglied seit
02. Mrz 2015
Beiträge
215
Punkte für Reaktionen
2
Punkte
18
Danke Dir -
Ja aktuell habe ich einen A1 Telekom Router mit " integrierter" Firewall - wenn man da so nennen darf - da kenn ich mich Zuwenig aus.
Firewall ist aktiviert und nur die Ports freigeschalten die ich benötige.
Auf der DS918 ist ebenso die Firewall aktiv - hier liegen alle Daten.

Aktueller Switch ist der Zyxel GS1900-24E

Ich habe von einer Firma die Empfehlung erhalten einen CISCO ASA 5506-X zu installieren.
Die Installation der FW möchte ich mit einem Netzwerkspezialisten machen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Sicher ist CISCO mit das Mass aller Dinge, aber eine Firewall muss gepflegt werden und dafür jedes mal einen CISCO Spezialisten zu rufen kann ins Geld gehen. Ich halte das für so einen kleinen "Laden" für überzogen, ausser ihr seit durch Spionage durch China oder Nordkorea gefährdet.
Bei der Konfiguration einer Fw kann man einiges falsch machen. Alles was da nicht über ein grafisches Menu einstellbar ist wird für Normalnutzer zum Problem. Man bedenke, dass die ANschaffung einer Software u.U. die Freischaltung bestimmter Ports benötigt. Für jeden dieser Vorgänge muss man dann den teuren CISCO Mann einkaufen.

Eine Fritzbox würde ich schon mal den Telekomroutern vorziehen.
Die Unify Lösung ist auch noch händelbar. Wenn dann noch die Syno vernünftig abgesichert ist sollte das reichen. Die Unify wäre auch noch eine zu empfehlende Lösung, wenn ihr Zugriffe von Aussen nutzen wollt. Dann liesse sich internes Netz und der Zugang zur Syno von Aussen getrennt konfigurieren.
 

Nomad

Benutzer
Mitglied seit
23. Okt 2008
Beiträge
597
Punkte für Reaktionen
0
Punkte
0
Ich frage mal ganz naiv, was stellt ihr potenziell gefährliche Dinge an, um einen extra Firewall zu rechtfertigen?

Alle Ports zurammeln und Verbindungen nur wenn von Innen initiiert. Reicht das nicht als Ausgangsbasis?
 

gmfotografie

Benutzer
Mitglied seit
02. Mrz 2015
Beiträge
215
Punkte für Reaktionen
2
Punkte
18
Freunde, ja alles klar aber mir wurde das von der "Netzwerkfirma" empfohlen ...

Gerne nehmen ich Eure Tipps an und setzte diese auch um.

Ich möchte meine Daten von außen jedenfalls schützen damit keiner das System lahm legt bzw. Viren befördert bzw. meinen Server für anderes benutzt.


Ein hacken von intern ist bei uns nicht zu befürchten nur durch außen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Die "Netzwerkfirma" will natürlich verdienen.
Um es mal ganz klar zu sagen: Wenn ich eine Fw einrichte muss ich sie auch ständig kontrollieren. Nur so werde ich gewahr, dass von Aussen versucht wird einzudringen. Wer soll dieses Auditing durchführen?
In grossen IT Umgebungen wird das gemacht, denn da gibt es geschultes IT-Personal und das schaut auch live auf die Zugangsports.
Noch nicht einmal die zitierte Netzwerkfirma wird dies tun sondern nur von Zeit zu Zeit die Protokolle auswerten, wenn überhaupt, denn das kostet Geld und macht niemand umsonst.
Wenn dann was passiertt ist ist es sowieso zu spät.
Von daher macht so eine oversizete Fw keinen Sinn.
Meine Lösung wäre tatsächlich eine 7590 oder halt Ubiquiti. Letztere insbesondere dann, wenn ihr auch Zugriffe von Aussen durchführt.
Das Komplettpaket Ubiqiti vom Security Gateway über Switch bis zu WLAN ist absolut überzeugend.
Ich sehe eine grössere Gefahr in Trojanern, die durch unbedarfte Anwender innerhalb des LANs installiert werden und die Tür nach Aussen öffnen. Und dagegen hilft keine Firewall!

Der Schutz vor Viren und die Sicherstellung der Integrität von Daten und deren Bereitstellung ist nur durch Datensicherungen auch auf vom System getrennten Medien möglich.
Das ihr dann auch eine USV benötigt sollte klar sein!
 

DanFu

Benutzer
Mitglied seit
13. Mrz 2016
Beiträge
144
Punkte für Reaktionen
0
Punkte
16
Ich stimme NSFH vollkommen zu. Die größte Gefahr kommt IMMER von Innen. Sei es durch Mails oder Browser.

Ich würde an eurer Stelle eine Fritzbox als Router nehmen und bei Bedarf noch eine USG oder Sophos UTM. Diese sind initial recht einfach (Verständnis für die Materie vorausgesetzt) zu implementieren. Und bei Bedarf auch simpel anzupassen. Der Vorteil der UTM ist ein integrierter WebProxy und MailProxy (Sofern ihr intern einen Mailserver betreibt) mit Virenscanner.
Die UTM ist für den Privatbereich auch kostenlos (50 IP's). Ansonsten könnt ihr euch auch Support und Einrichtung einkaufen und dann den Rest selbst machen. Ich habe da einen recht kompetenten Kontakt die günstig sind und auch nicht jeden Telefon und Teamviewer-Support abrechnen.
 

gmfotografie

Benutzer
Mitglied seit
02. Mrz 2015
Beiträge
215
Punkte für Reaktionen
2
Punkte
18
Danke Euch - ich denke dann wirds die Fritzbox.
Mit dem Thema Virensicherheit habe ich mich noch nicht beschäftigt....

(USV ist vorhanden und die Datensicherung passiert mehrfach an verschiedenen Orten)
 

DanFu

Benutzer
Mitglied seit
13. Mrz 2016
Beiträge
144
Punkte für Reaktionen
0
Punkte
16
Gute Entscheidung.

Die FB bringt einen guten Grundschutz mit. Alles andere wird nur teuer und/oder ist zeit-intensiv.
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68

gaulo23

Benutzer
Mitglied seit
30. Mai 2013
Beiträge
978
Punkte für Reaktionen
0
Punkte
36
Ich kann die Produkte von Ubiquiti nur empfehlen. Habe auf Ubiquiti umgerüstet und die Geräte sind einfach der Hammer auch die Bedienung...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Pro Sophos (oder eben auch andere Enterprise-Firewalls) an dieser Stelle, grade wenn ihr ggf. "selbst" noch etwas machen wollt. Nach einer Hardware-Firewall fragen und dann eine Fritzbox nehmen halte ich persönlich eher für fraglich. Vom Bandbreitenthema bzgl. VPN mal ganz abgesehen, ist es auch eher schwierig Dinge wie Site2Site-VPN mit nicht-nur-Fritzboxen zu realisieren. Eine vernünftige Hardware-Firewall hat da wesentlich mehr Möglichkeiten. Zudem ist das Rollout für die VPN-Konfigurationen z.B. über das Sophos Benutzerportal wesentlich einfacher (und verständlicher!) für die Benutzer. Muss aber jeder selbst wissen, wie wichtig einem das Thema "Sicherheit" ist. Countryblocking z.B. unterstützt die Fritzbox so garnicht, kurzum - auch Pakete aus Russland oder China behandelt die Fritzbox wie jedes andere Paket, wobei ich mir ziemlich sicher bin, dass ihr da nicht unbedingt wert drauf legt, dass diese Pakete auch bei euch ankommen... Ebenso ausgehende Regeln werden von der Fritzbox in keinster Weise unterstützt. Falls da Bedarf besteht, kann ich auch behilflich sein.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat