FIREWALL fürs Büro?

[gmfotografie]

Hallo Leute, wir arbeiten aktuell mit einem Router an dem eine DS918 hängt und 4 Personen arbeiten.

Welche Hardware-Firewall könnt Ihr uns empfehlen?


Danke Euch !

 

[DanFu]

Kommt auf deinen Wissenstand an.

Die Wahl liegt zwischen einer FritzBox, openSense oder einer Sophos UTM.

Ich kann dazu folgende Seiten empfehlen
https://www.hardwareluxx.de/community/f101/sophos-utm-sammelthread-955058.html
https://www.hardwareluxx.de/community/f101/hardware-empfehlung-firewall-1115423.html

 

[NSFH]

Die Frage lässt sich so nicht beantworten.
Vermutlich habt ihr jetzt schon irgendeinen Router laufen mit Statefull inspection Firewall.
Die Einfachlösung ist eine Fritzbox.
Alternativ bisher gute Erfahrungen habe ich mit dem Ubiquiti UniFi Security Gateway, USG. Dazu idealer Weise den passenden Switch kaufen.
Der Anschluss wäre dann DSL-Modem Ausgang direkt in Unify Gateway. Nicht aus dem aktuellen Router in das Gateway, denn dann baut ihr eine kaskadierte Firewall, die nur Performance kostet.
4 Personen sind jedenfalls keine Belastung für die Geräte.

 

[gmfotografie]

Danke Dir -
Ja aktuell habe ich einen A1 Telekom Router mit " integrierter" Firewall - wenn man da so nennen darf - da kenn ich mich Zuwenig aus.
Firewall ist aktiviert und nur die Ports freigeschalten die ich benötige.
Auf der DS918 ist ebenso die Firewall aktiv - hier liegen alle Daten.

Aktueller Switch ist der Zyxel GS1900-24E

Ich habe von einer Firma die Empfehlung erhalten einen CISCO ASA 5506-X zu installieren.
Die Installation der FW möchte ich mit einem Netzwerkspezialisten machen.

 

[NSFH]

Sicher ist CISCO mit das Mass aller Dinge, aber eine Firewall muss gepflegt werden und dafür jedes mal einen CISCO Spezialisten zu rufen kann ins Geld gehen. Ich halte das für so einen kleinen "Laden" für überzogen, ausser ihr seit durch Spionage durch China oder Nordkorea gefährdet.
Bei der Konfiguration einer Fw kann man einiges falsch machen. Alles was da nicht über ein grafisches Menu einstellbar ist wird für Normalnutzer zum Problem. Man bedenke, dass die ANschaffung einer Software u.U. die Freischaltung bestimmter Ports benötigt. Für jeden dieser Vorgänge muss man dann den teuren CISCO Mann einkaufen.

Eine Fritzbox würde ich schon mal den Telekomroutern vorziehen.
Die Unify Lösung ist auch noch händelbar. Wenn dann noch die Syno vernünftig abgesichert ist sollte das reichen. Die Unify wäre auch noch eine zu empfehlende Lösung, wenn ihr Zugriffe von Aussen nutzen wollt. Dann liesse sich internes Netz und der Zugang zur Syno von Aussen getrennt konfigurieren.

 

[Nomad]

Ich frage mal ganz naiv, was stellt ihr potenziell gefährliche Dinge an, um einen extra Firewall zu rechtfertigen?

Alle Ports zurammeln und Verbindungen nur wenn von Innen initiiert. Reicht das nicht als Ausgangsbasis?

 

[gmfotografie]

Freunde, ja alles klar aber mir wurde das von der "Netzwerkfirma" empfohlen ...

Gerne nehmen ich Eure Tipps an und setzte diese auch um.

Ich möchte meine Daten von außen jedenfalls schützen damit keiner das System lahm legt bzw. Viren befördert bzw. meinen Server für anderes benutzt.


Ein hacken von intern ist bei uns nicht zu befürchten nur durch außen.

 

[NSFH]

Die "Netzwerkfirma" will natürlich verdienen.
Um es mal ganz klar zu sagen: Wenn ich eine Fw einrichte muss ich sie auch ständig kontrollieren. Nur so werde ich gewahr, dass von Aussen versucht wird einzudringen. Wer soll dieses Auditing durchführen?
In grossen IT Umgebungen wird das gemacht, denn da gibt es geschultes IT-Personal und das schaut auch live auf die Zugangsports.
Noch nicht einmal die zitierte Netzwerkfirma wird dies tun sondern nur von Zeit zu Zeit die Protokolle auswerten, wenn überhaupt, denn das kostet Geld und macht niemand umsonst.
Wenn dann was passiertt ist ist es sowieso zu spät.
Von daher macht so eine oversizete Fw keinen Sinn.
Meine Lösung wäre tatsächlich eine 7590 oder halt Ubiquiti. Letztere insbesondere dann, wenn ihr auch Zugriffe von Aussen durchführt.
Das Komplettpaket Ubiqiti vom Security Gateway über Switch bis zu WLAN ist absolut überzeugend.
Ich sehe eine grössere Gefahr in Trojanern, die durch unbedarfte Anwender innerhalb des LANs installiert werden und die Tür nach Aussen öffnen. Und dagegen hilft keine Firewall!

Der Schutz vor Viren und die Sicherstellung der Integrität von Daten und deren Bereitstellung ist nur durch Datensicherungen auch auf vom System getrennten Medien möglich.
Das ihr dann auch eine USV benötigt sollte klar sein!

 

[DanFu]

Ich stimme NSFH vollkommen zu. Die größte Gefahr kommt IMMER von Innen. Sei es durch Mails oder Browser.

Ich würde an eurer Stelle eine Fritzbox als Router nehmen und bei Bedarf noch eine USG oder Sophos UTM. Diese sind initial recht einfach (Verständnis für die Materie vorausgesetzt) zu implementieren. Und bei Bedarf auch simpel anzupassen. Der Vorteil der UTM ist ein integrierter WebProxy und MailProxy (Sofern ihr intern einen Mailserver betreibt) mit Virenscanner.
Die UTM ist für den Privatbereich auch kostenlos (50 IP's). Ansonsten könnt ihr euch auch Support und Einrichtung einkaufen und dann den Rest selbst machen. Ich habe da einen recht kompetenten Kontakt die günstig sind und auch nicht jeden Telefon und Teamviewer-Support abrechnen.

 

[gmfotografie]

Danke Euch - ich denke dann wirds die Fritzbox.
Mit dem Thema Virensicherheit habe ich mich noch nicht beschäftigt....

(USV ist vorhanden und die Datensicherung passiert mehrfach an verschiedenen Orten)

 

[DanFu]

Gute Entscheidung.

Die FB bringt einen guten Grundschutz mit. Alles andere wird nur teuer und/oder ist zeit-intensiv.

 

[blinddark]

Wenn es eine Sophos Firewall werden sollte, ich habe noch eine XG 105 zu verkaufen.. Bis zu 50 Geräte kann man hier sogar kostenlos verwalten. Anfragen gern per PN oder hier:
http://www.synology-forum.de/showthread.html?92006-Sophos-Firewall&p=760339#post760339

 

[gaulo23]

Ich kann die Produkte von Ubiquiti nur empfehlen. Habe auf Ubiquiti umgerüstet und die Geräte sind einfach der Hammer auch die Bedienung...

 

[blurrrr]

Pro Sophos (oder eben auch andere Enterprise-Firewalls) an dieser Stelle, grade wenn ihr ggf. "selbst" noch etwas machen wollt. Nach einer Hardware-Firewall fragen und dann eine Fritzbox nehmen halte ich persönlich eher für fraglich. Vom Bandbreitenthema bzgl. VPN mal ganz abgesehen, ist es auch eher schwierig Dinge wie Site2Site-VPN mit nicht-nur-Fritzboxen zu realisieren. Eine vernünftige Hardware-Firewall hat da wesentlich mehr Möglichkeiten. Zudem ist das Rollout für die VPN-Konfigurationen z.B. über das Sophos Benutzerportal wesentlich einfacher (und verständlicher!) für die Benutzer. Muss aber jeder selbst wissen, wie wichtig einem das Thema "Sicherheit" ist. Countryblocking z.B. unterstützt die Fritzbox so garnicht, kurzum - auch Pakete aus Russland oder China behandelt die Fritzbox wie jedes andere Paket, wobei ich mir ziemlich sicher bin, dass ihr da nicht unbedingt wert drauf legt, dass diese Pakete auch bei euch ankommen... Ebenso ausgehende Regeln werden von der Fritzbox in keinster Weise unterstützt. Falls da Bedarf besteht, kann ich auch behilflich sein.