Die Qual der Wahl - Welche Firewall Lösung?

herrtim · 23. Mai 2020

Hallo liebes Forum,

welche Hardware Firewall habt ihr denn im Einsatz? Ich habe aktuell eine Sophos XG auf einer Zotac Box installiert. An sich läuft das auch alles sehr zufriedenstellend, allerdings hat die Zotac Box nur 2 LAN Ports und hier ist mein Problem. Ich hätte gerne min 3 LAN Ports. Deshalb bin ich am überlegen mein Setup umzustellen. Zur Auswahl steht entweder ein neuer Mini PC aus Fernost mit 4 Ports oder die Unifi Dream Machine. Preislich gibt es hierbei keinen Unterschied.
Mein NAS ist über das Internet erreichbar, deshalb möchte ich mich bestmöglich absichern. Die UDM reizt mich an sich etwas mehr als wieder auf Sophos zu gehen, da ich bereits Unifi APs am laufen habe. Sicherheitstechnisch wäre die Sophos Variante aber zu bevorzugen, wobei ich denke, diese ist etwas Oversized.
Was denkt ihr?
Vielen Dank und Grüße!

Tommes · 23. Mai 2020

Ein Thema, was bei mir immer mal wieder aufpoppt, bisher aber noch zu keinen konkreten Ergebnissen geführt hat. Von daher hänge ich mich jetzt einfach mal an diesen Thread dran und hoffe dadurch neue Erkenntnisse zu erlangen. Liebäugeln tu ich bereits seit langem mit einem APU Board, wie aktuell z.B. mit diesem hier https://www.apu-board.de/produkte/apu4d4.html Wirklich brauchen tu ich das zwar nicht, aber mich interessiert das Thema und würde mich gerne mal in die Thematik einarbeiten...

NSFH · 23. Mai 2020

Ich bevorzuge fertige Router-Lösungen, auch wenn diese auf Linux beruhen und man sowas mit einem Billig-PC nachbauen kann. Mir ist das mit dem PC nur zu viel Overhead. Habe lieber etwas gut konfigurierbares in kleinen und stromsparenden Gehäusen.
In Firmen verbaue ich zur Zeit ausnahmslos Draytek Router Typ 2960 mit 2 WAN und 4 LAN Ports. Da hier die updates vom Hersteller laufend kommen und der deutsche Support super funktioniert bin ich damit mehr als zufrieden. Da es für alle BS und Mobiles auch die VPN Clients umsonst dazu gibt, die evtl nachgeschaltete Draytek Hardware wie Switche oder APs zentral via 2960 verwaltbar sind die ideale Zusammenstellung für Fernwartung.

blurrrr · 23. Mai 2020

Die XG nutzt doch keiner, tu mal besser die "UTM", die ist nämlich auch nicht so buggy

Ausserdem ist das vllt sowieso nicht ganz richtig, weil Du hast nicht "zu wenig" LAN-Ports, Du hast einfach keine Ahnung von VLANs... Ich hab eine Sophos (UTM) auf einer ZBOX laufen und dahinter 9 interne Netze (inkl. 3x WLAN) + 2 Uplinks (DSL+Cable) und meine ZBOX hat auch nur genau "2" Ports. Ob das reicht? "Dicke!", also machst Du irgendwas verkehrt.

Aber wenn ich das so lese, biste da vllt auch wirklich ohne Sophos besser dran. Wenn die Grundlagen (wie VLANs) einfach kein Begriff sind (oder man nicht weiss, wie man sie entsprechend einsetzt), dann ist die ZBOX wirklich etwas... "eng", also von daher vllt doch besser die "andere" Ecke" und Du bist Deine Sorgen los

herrtim · 24. Mai 2020

Vielen Dank für deinen Beitrag.

Ich weiß zwar nicht, wie du darauf kommst das mir VLANs angeblich kein Begriff sind, aber es freut mich wenn diese eine Lösung für dich sind.

Ich finde den Einsatz von Zonen für die Netztrennung etwas eleganter und eine Zone erfordert ein eigenes Interface. Außerdem gibt es Einstellungen (Verwaltung Appliance-Zugriff), die sind nur auf Zonenebene möglich. Ob dies im privaten Umfeld wirklich notwendig ist, sei mal dahingestellt.
Zur Zeiten von Sophos XG v17 hatte ich UTM ebenfalls im Einsatz, allerdings läuft v18 um einiges "runder"

blurrrr · 24. Mai 2020

"Zonen" sind in diesem Fall keine "Netze" (bzw. Netz-Gruppen)? Da Ubiquiti primär im Richtfunk/WLAN-Sektor unterwegs ist (abgesehen von diesen Randspielereien wie VoIP-Telefonen und Co.), mittlerweile auch eher kleineren Providern mit entsprechenden Lösungen wie uCRM entgegen kommt und irgendwann diese Edge-Router-Geschichten rausgebracht hat, würde ich das jetzt auch nicht unbedingt mit einer Enterprise-Firewall gleichsetzen. Schriebst Du allerdings auch schon... Wobei man da auch sagen muss, dass die Home-Edition der Sophos schon wirklich einen richtig ordentlich dicken Sack an Funktionalitäten mit sich bringt, welche ich auch nur ungern missen würde. Generell kommt es aber - schlussendlich und sowieso - auf den konkreten Anwendungsfall an. Bei der UTM-Home wirklich vorteilhaft, ist die banale Tatsache, dass die "Software"-Installationsvariante theoretisch auf fast jeder Hardware installiert werden kann (ganz egal ob 2 Ports oder 50 Ports). Ebenso kann man auch leicht migrieren. Bei Deinem angedachten UDM wäre dem erstmal nicht so, da besteht dann grundsätzlich schon mal die Bindung an die entsprechende Hardware. Allerdings ist auch das eher wieder so ein "persönliches" Ding, ich z.B. bevorzuge die Flexibilität dabei (deswegen nutze ich es auch). Fraglich ist daneben natürlich auch, welche Features Du von der Sophos nutzt. Wenn es rein z.B. rein die Firewall ist, steht einer Migration auf ein anderes System natürlich nichts im Wege. Bei Mailsecurity, Webserverprotection und Co. sieht das dann natürlich wieder anders aus (dazu hattest Du leider auch nichts geschrieben).

Wenn die paar Euros aber "mal eben so" aus der Spesenkasse fliessen, würde ich sowieso sagen: MACHEN! Zurückrudern kannst Du dann ja im Bedarfsfall noch immer bzw. ggf. auch mit entsprechendem Routing die Klamotten auch koppeln.

the other · 25. Mai 2020

Moinsen,
hier läuft nun seit knapp 1,5 Jahren ein Apu Board mit pfsense drauf. Bislang zur vollsten Zufriedenheit. Das Einrichten der Regeln bei 2 Zonen, eine mit diversen VLANs, ist ebenfals nach einigen Recherchen gut zu managen. Vorteil für mich: es ist a) rein private Anwendung und b) auch zum Lernen / Hobby gedacht.
Da die pfsense gleich noch VPN, FreeRadius, Firewall, DHCP und DNS übernimmt, habe ich für meine Ziele (a und b) genug "Reserven", um fröhlich auszuprobieren.
Bei dem hier genutzten APU Board sind 3 Interfaces (1 x wan, 2 X lan) vorhanden, die frei konfiguriert werden können. Support gibt es massig. Bei nur etwas mehr Kosten (im Vergleich zu den AVM Topmodellen) wird um ein Vielfaches mehr geboten.
Daher (@ Tommes) an dieser Stelle mein Favorit. In Kombination mit den passenden switches (VLAN-fähig, 802.1x-fähig, Dynamische VLAN Zuteilung) kann man sich dann im homelab für MOnate austoben...

Tommes · 25. Mai 2020

the other schrieb:
Vorteil für mich: es ist a) rein private Anwendung und b) auch zum Lernen / Hobby gedacht...

Dann können wir uns ja schon mal die Hände schütteln, da das auch meiner Intention enspricht. Ich würde auch erstmal ganz klein anfangen und die Firewall an den Exposed Host der Fritzbox hängen. Das hat den Vorteil, das ich in Ruhe erstmal alles ausprobieren und testen kann, ohne das meine Leute hier in irgendeiner Form negartiv beeinflusst werden. Erst später würde ich die Firewall dann so nutzen, wie es sich eigentlich gehört. Dafür bräuchte ich aber noch weiteres Equipment wie DSL-Modem, Switche usw. aber gut...

Welches APU-Board hast du denn oder kannst du empfehlen? Ich denke, das das APU 2E4 - Board mit 16GB mSATA SSD eigentlich reichen sollte. Oder braucht man mehr als 16GB Datenspeicher? Auf meinem RasPi's komm ich i.d.R. auch mit 4 oder 8 GB Datenspeicher aus. Läuft eigentlich PiHole auf einer APU, oder läuft das bei dir über einen RasPi?

Tommes

the other · 25. Mai 2020

Moinsen @tommes,
hier läuft die pfsense auf einem apu2d4 (wenn ich mich recht entsinne) mit 3 NICs. Keine Abweichungen vom Serienmodell was den Speicher angeht (4gb). mSATA SSD hier auch mit 16 gb.
Das alles ist hier bislang auch hinter einer fritzbox im Routerbetrieb, doppeltes nat stört bisher nicht (ja, ich weiß, das ist voll doof mit doppelt nat und ja, nicht best practice, hier aber eben voll wumpe und okay so). pihole klemmt auf dem raspi direkt an der Fritzbox mit unbound, alles aus dem Heimnetz (und VPN) kann daher pihole nutzen (würde auch im Betrieb hinter der pfsense gehen, wird auch eher empfohlen). pihole auf pfsense gibt es afaik bislang nicht, du könntest alternativ das Paket pfblocker für die pfsense nutzen...da gehen die Meinungen aber auseinander...ich will die pfsense aber nicht mit noch mehr Zweitfunktionen belasten, daher bleib ich erst mal bei meiner Kombi. Wenn die Fritzbox stirbt werde ich auch auf den Modem-pfsense-pihole und Heimnetz Betrieb gehen, aber bislang ist es so voll ok, die Telefonie hängt weiter an der fritz vor dem Rest.
Für den Anfang sollte dein setting also super funzen...

Tommes · 26. Mai 2020

Vielen Dank für deine Ausführungen. Das die Konfiguration der pfsense am Exposed Host der Fritzbox nicht zwangsläufig „best practice“ ist, ist mir bekannt und bewusst. Aber ich will ja auch nur spielen... vorerst jedenfalls. Über das, wie das später alles mal aussehen soll, habe ich mir auch bereits Gedanken gemacht und habe da auch schon ziemlich konkrete Vorstellungen. Aber das ist dann doch ein etwas größerer Kostenfaktor und ich wollte erstmal schauen, ob ich und wie ich mit so einer Firewall überhaupt zurecht komme. Schließlich ist das auch alles Neuland für mich und ich muss mich da erstmal reinfuchsen.

Ich denke, ich werde das jetzt doch endlich mal in Angriff nehmen und ein wenig damit rumspielen.

Tommes

the other · 26. Mai 2020

Moinsen,
na dann viel Spass und Erfolg!!

42HAL · 26. Mai 2020

Hallo Tommes,

da Du (auch) spielen möchtest: vielleicht ist ein Mikrotik-Gerät passend, z.B. RB2011 oder RB4011, ggfs. mit WLAN.
Einerseits hast Du viele (8) Ports, andererseits hast Du fast unendliche Möglichkeiten: wann immer ich bisher ein Problem / eine Idee hatte: es gab Möglichkeiten, alles umzusetzen, bei Interesse kann ich Dir eine Auflistung zukommen lassen.
Man muß sich sicherlich 'reinarbeiten, aber dann,,, ;-) -> genau das Richtige für "Spielkinder".
Das Preis / Leistungsverhältnis ist aus meiner Sicht nahezu perfekt.

Gruß

Tommes · 26. Mai 2020

Hab mal eben diesen Artikel zu Mikrotek überflogen und denke, das das nicht ganz meinem Beuteschema entspricht. Auch reicht mein KungFu bei weitem nicht aus um dieses System sinnvoll zu konfigurieren und damit für mich nutzbar zu machen. Trotzdem danke für den Tipp.

Tommes

synonet · 30. Sep 2020

Ich nutze gerne den WatchGuard Firebox

Guter URL-Filter, Spamfilter und das Preis-Leistungs-Verhältnis stimmt einfach

servilianus · 30. Sep 2020

NSFH schrieb:
In Firmen verbaue ich zur Zeit ausnahmslos Draytek Router Typ 2960 mit 2 WAN und 4 LAN Ports. Da hier die updates vom Hersteller laufend kommen und der deutsche Support super funktioniert bin ich damit mehr als zufrieden. Da es für alle BS und Mobiles auch die VPN Clients umsonst dazu gibt, die evtl nachgeschaltete Draytek Hardware wie Switche oder APs zentral via 2960 verwaltbar sind die ideale Zusammenstellung für Fernwartung.

Kann ich nur beipflichten. Ganz toller, schneller Support, von Jungs, die verstehen, über was sie reden. DrayOS auch für Nicht-Administratoren nach kurzer Eingewöhnungszeit leicht einzurichten. Vorsicht hingegen bei Draytek-Modellen, die noch/mit Linux laufen. Die sind da schon etwas komplizierter, aber sind eh die größeren Maschinen. Hatte mich selber mal für Mikrotik interessiert. Ja, Preis-Leistungsverhältnis sicher gut -aber: Finde die Einrichtung wahnsinnig kompliziert bzw. wohl nur etwas für Menschen mit viel Programmier-Kenntnissen (Kommandozeilen-Ebene etc.). Habe z.B. mein Wohnmobil mit einem Draytek-Dual-LTE-Router innerhalb eines Nachmittages zu einem rollenden Büro umgebaut, inkl. fester Lan-Lan-VPN-Kopplung zum Büro-Netzwerk + IP-Telefon fürs Telefonieren übers Büro - klappt einwandfrei und war wirklich nicht schwierig.

rednag · 01. Okt 2020

Ich habe einen Zotac ZBOX PRO Nano hinter der Fritz!Box mit Sophos UTM stehen.
Verwaltet WLAN, Gastnetz und 5 vLANs.

Suche

Die Qual der Wahl - Welche Firewall Lösung?

herrtim

Benutzer

Tommes

Benutzer

NSFH

Benutzer

blurrrr

Benutzer

herrtim

Benutzer

blurrrr

Benutzer

the other

Benutzer

Tommes

Benutzer

the other

Benutzer

Tommes

Benutzer

the other

Benutzer

42HAL

Benutzer

Tommes

Benutzer

synonet

Benutzer

servilianus

Benutzer

rednag

Benutzer

Kaffeautomat