Synology RT6600ax und Firewall

[fishrain66]

Hallo, mal eine Frage in die Runde: Hat jemand Erfahrungen mit der integrierten Firewall auf dem RT6600ax ? Taugt die was ?

Wir müssen unser Praxisnetzwerk mit einer professionellen Hardware-Firewall schützen. Bis jetzt ist das Gateway zur Außenwelt eine Fritz!Box mit nur rudimentären Firewall-Features (kaum konfiguirierbar) die laut Aussagen der kassenärztlichen Vereinigung NICHT ausreichend sind.

Somit stellt sich uns jetzt die Frage Austausch der FritzBox gegen Modem + pfSense-Appliance. Oder ein WLAN-Router mit integrierter Firewall.

Beim googeln nach WLAN-Router mit integrierter Firewall steht die RT6600ax ganz oben.

Kann mir jemand seine Erfahrungen berichten?

 

[Jim_OS]

Auch wenn ich die Synology Router nicht weiter kenne würde ich mich nicht darauf verlassen was mir Google als Suchergebnis zum Thema "Firewall Router" liefert.

Wenn Du schon eine Aussage der Kassenärztlichen Vereinigung kennst wirst Du ja vermutlich auch schon wissen das sich die Vorgaben auch nach der Praxisgröße (Anzahl der MA, vorhandene Geräte usw.) richtet. Auch ist es ja eigentlich so das man bei einer (Arzt)Praxis irgendeinen IT-Dienstleister hat der sich a) mit ggf. spezifischen Gegenbenheiten bei (Arzt)Praxen auskennt und b) der sich dann auch um die benötigte und passende Hardware kümmert. D.h. dieser IT-Dienstleister sollte dann auch der erste Ansprechpartner sein.

Die Kassenärztliche (Bundes)Vereinigung gibt bzgl. dem Thema Sicherheit und hier im Speziellen dem Thema Firewall, nur Empfehlungen die allerdings auch schon ein paar Jahre alt sind (2021), sodass es die darin genannten Empfehlungen - wie z.B. eine Zyxel USG 40 Firewall - schon gar nicht mehr (wirklich) gibt. Eine neuere Version ist mir auch nicht bekannt.

Lange Rede kurzer Sinn: Wende Dich an den IT-Dienstleiter der die Praxis betreut und falls es den - warum auch immer - ggf. gar nicht geben sollte such Dir einen passenden. Der kann Dich dann bei dem Thema zu der Praxis passende Firewall beraten, Dir diese besorgen und installieren und sollte am Ende auch seinen Kopf dafür hinhalten was er dann empfohlen und umgesetzt hat.

VG Jim

 

[metalworker]

Grüße ,

also ich würde empfehlen holen die da jemanden ran der Ahnung davon hat.
Es ist ja nicht damit getan ne gute Firewall zu installieren , du musst die auch richtig einrichten können.

 

[fishrain66]

mit unseren Dienstleistern bin ich im regen Austausch ...vielen Dank für die bestimmt gut gemeinten Hinweise!

Nichtsdestotrotz interessieren mich die Erfahrungen die vielleicht hier schon mit der integrierten Firewall vom RT6600ax bestehen...hab hier im Forum nicht viel gefunden zu dem Thema....daher meine Frage

In einer Testumgebung mit virtualiserter pfSense konnte ich mich schon mal eingehend mit dieser beschäftigen. Mich interessiert nur ob die integrierte Firewall (RT6600ax) damit vergleichbar ist...

 

[metalworker]

nee das kannst nicht im ansantz miteinander vergleichen .

Ich würde im Profi umfeld auch nicht auf so ein Gerät setzten.

Wenn es was eher einfaches sein soll .Das einen Router von Lancom .
Alternativ dann eine "echte" Firewall . Da musst aber mit deinem IT Dienstleister reden was er da kann.

Ich selbst setzte OPNsense ein . Privat wie auch Geschäftlich . Ist nen feines System.
Hab aber schon einige Lehrgänge und Zertifizrierungen von anderen Herstellern vorher gemacht.


Man kann da echt viel falsch machen.


Was vielleicht noch ginge , wenn du es unbedingt selbst machen willst , und da die Erfahrung nicht hast. Dann ein System von Sophos .
Das nimmt dich schon ordentlich an die Hand .

 

[ctrlaltdelete]

Was ich bisher hier im Forum über den Router gelesen habe würde bei mir keine Kaufempfehlung auslösen.
Ich würde da eher auf pfSense oder OPNsense setzen.

 

[metalworker]

Und dann wirklich mit nem Dienstleister der Ahnung hat , nicht so nen Kraut und Wiesen Kistenschubser .

IT Security ist wirklich kein einfaches Pflaster . Gerade auch im Health Bereich. Bitte Unterschätze das Thema nicht.


Aktuell ist da viel los , und wenn da mal was passiert . Dann drehen die dir erstmal den Hintern auf Links um zu prüfen ob du alles richtig gemacht hast.

 

[fishrain66]

Zunächst mal: ich will hier nix selber machen...ich informiere mich nur gern vorab und möchte bescheid wissen ..bevor mir der Dienstleister irgendwas aufschwatzt.

Man muss es mal so sehen: es kann nur besser werden - 90 % der Arztpraxen in Deutschlan haben eine Fritzbox als Gateway ...das wars dann sicherheitstechnisch. Ein richtig konfigurierte Firewall auf dem RT6600ax wäre ja dann im Vgl. zur FB schon ein Fortschritt...

Ich denke aber noch besser wäre z.B ein ALLNET-Modem (oder Draytek Vigor) im Bridge-Modus und dahinter eine pfSense-Appliance (z.B. Netgate 1100)...die natürlich vom Dienstleister (gähn) für 120 €/Stunde konfiguriert wird

 

[Jim_OS]

Für einen IT Dienstleister ist der Std.-Satz ziemlich normal und im Health oder Security Bereich kenne ich da noch ganz andere, sprich höhere Stundensätze.

VG Jim

 

[metalworker]

Ich war früher selbst bei nem Dienstleister angestellt und hatten auch einige Praxen übernommen .
Das stimmt was da manche gemacht haben war gruselig.
Einfache Fritte , Datensicherung nur einfach per USB , und die Laufwerke lagen aufm Serverschrank drauf.
Rötgnen Netz gar nicht gesichert und direkt mit im normalen Lan drin .

Geht ja dann weiter Netztrennung und co .
Das kostet erstmal geht das stimmt .

Aber das wollten dann die Ärtze oft nicht ausgeben . Wir haben dann einige wieder abgewiesen.
Da man erstmal einige Euros Investieren musste um das alles auf nen sicheren Stand zu bringen .

 

[Heimi75]

Ich kenne mich natürlich mit den Vorschriften für Arztpraxen überhaupt nicht aus und schließe mich meinen Vorrednern an, dass man am besten mit dem IT-Dienstleister in Kontakt tritt. Ich persönlich nutze den RT6600 und auch die darauf vorhandene Firewall sowie die Pakete Safe Access und Threat Prevention sehr intensiv. Ich muss sagen, dass man sich damit sehr gut abschirmen kann. Man kann mittels Safe Access genau einstellen, welches Gerät was darf oder empfangen kann im Internetverkehr. Eine eigentliche Firewall wiegt das wohl in dem Sinne nicht auf, aber es stellt sich natürlichimmer die Frage, was muss wie geschützt werden.

 

[fishrain66]

@Heimi75

Danke für die Info - du bist der erste, der hier konktret auf meine eigentliche Fragestellung eingeht: Erfahrungen mit der Firewall vom rt6600 - der Router scheint wohl nicht so verbreitet zu sein...und als Hardware-Firewall-Ersatz erst recht nicht....

@metalworker

Du hast völlig recht...mit einer pfSense ist die integrierte Firewall vom RT6600ax wahrscheinlich nicht vergleichbar...bei der Sense lassen sich ja zig verschiedene Protokoll filtern und der traffic entsprechend steuern ...Frage ist halt immer ...ist das alles notwendig. Klüger ist man immer erst danach ...wenn man mal gehackt wurde. Vielleicht reichen ja sogar die rudimentären Sicherheitsfunktionen auf der Fritz!Box aus...läuft bei uns seit über 10 Jahren einwandfrei...aber es geht halt um sensible Patientendaten...und einmal gehackt dann ist natürlich Land unter

daher wird's wahrscheinlich doch die pfSense ...

 

[metalworker]

also die Funktionen der Fritte reichen da nicht wirklich aus.

Es geht vorallem darum nur das raus und rein zu lassen was wirklich benötigt wird.

Bei einer richtigen Firewall arbeitest ja so , das erstmal alles verboten ist . Und du dann nur das auf machst , was unbedingt notwendig ist.

Als beispiel mal bei mir in der Firma . Ich habe verschiedene VLANs, die können gar nicht untereinander direkt reden.
Da werden nur die genutzten Dienste geroutet.

Dann hat nach Außen nur der Zugang , der sich an der Firewall angemeldet hat.
Dann gibts noch Content Filter . Da werden schon die meisten Dienste weggefiltert.


Es ist z.b. so . Wenn sich nen einfacher User was einfängt, was z.b. ne Ranswomware nachladen will . Dann geht das nicht . Da sein Client gar keine Rechte hat diese Seiten aufzurufen.


Bei GEräten wie der Fritte oder der Synology ist es halt andersrum. Da darf erstmal jeder alles .Und du musst dann erstmal veruschen alles zu zu machen.

 

[Heimi75]

@metalworker: kann man mit dem RT6600 und dem im SRM enthaltenen Safe Access Paket alles auch. Man kann bis zu 5 Netzwerke einrichten und diese bis auf das letzte Gerät in der Firewall definieren. Klappt bei mir sehr gut. Ich habe die Anzahl unerwünschter Anfragen auf praktisch null reduziert, dank der Firewall des Routers. Ein Netzwerk ist unser IOT-Netzwerk, da habe ich teilweise sogar die Geräte untereinander abgeschottet und nach außen sowieso. War schon interessant, wie gewisse Geräte, obwohl ich sie nicht dafür eingerichtet hatte, dauernd mit Google oder Amazon Kontakt aufnehmen wollten… Dank Safe Access habe ich das bemerkt. Also für mich reicht der Router punkto Firewall völlig aus und ich bin eher jemand von der extremeren Sorte, was Sicherheit anbelangt. Aber das ist, wie alles, eine individuelle Sache.

 

[metalworker]

Kannst da jetzt auch sagen das neue Geräte und Nutzer keinen Zugang haben ?
Das ging bis vor 2 Jahren noch nicht .

Hat sich wohl ganz schön weiter entwickelt

 

[Heimi75]

Nutzer das wüsste ich nicht, müsste ich über Safe Access mal probieren. Aber Du kannst alle Geräte per se verbieten und nur bestimmte zulassen. Dann sind eigentlich alle neuen Geräte, da ja nicht zugelassen, so wie ich es verstehe, automatisch verboten.

 

[fishrain66]

wie hast du den rt6600 ans Modem angeschlossen? VLAN tag im Modem eingestellt und im Bridge modus an den WAN-Port des rt6600.....oder kann man die VLAN ID auch am RT6600 einstellen ???

 

[Heimi75]

RT6600 ist über den Bridge-Modus ans Modem meines ISP angebunden. Ich will die Konfiguration so haben: ISP-Modem leitet „nur“ Internet weiter, alles andere wird ausschliesslich am RT6600 gemacht.
Früher habe ich alles am ISP-Modem eingestellt. Bei gefühlt jedem zweiten Update hat es mir alles “zerschossen“, und ich musste es wieder einstellen, bzw. Konfigurationssicherung drüber laufen lassen. Mail betreffend Update gab es natürlich nie, also musste ich es jeweils (natürlich häufig im dümmsten Moment) herausfinden, das nichts mehr ging… Schlüsselerlebnis für mich war, dass ein Service-Mitarbeiter mal beiläufig (sicher ohne böse Absicht) mir gegenüber erwähnte, dass ich sehr interessante Konfigurationen und Geräte habe, die müsse er sich bei Gelegenheit mal anschauen. Da war es Zeit für mehr Sicherheit, die ich in der Hand habe, nicht mein ISP. Ist einfach eine zusätzliche Sicherheit. Die Software meines ISP-Modems findet sehr genau heraus, welches Gerät da bei ihm drangehängt und teilweise sogar, welchen Softwarestand es hat... Jetzt sehen sie noch genau ein Gerät, den RT6600. Mehr nicht. Alles andere wird dort eingestellt, inklusive die verschiedenen Netzwerke mit den entsprechenden VLANs.
Es ist kann alles sehr genau eingestellt werden.
Beispiel an unseren Einstellungen am RT6600: Mein Sohn hat ein eigenes Netzwerk bekommen, auch auf VLAN-Basis, da ich ja nur eine Leitung habe, die sich im Haus verteilt. Er hat keinerlei Geräte auf dem Netzwerk meiner Frau und mir gesehen oder anwählen können, bis auf unseren gemeinsamen Netzwerkdrucker. Hat perfekt funktioniert.
Dazu haben wir ein eigenes Netzwerk für meine Frau und ich (unsere PC’s und unsere Synologys), eines für Gäste, komplett isoliert von den übrigen, eines für IOT und noch eines für Überwachungskameras. Ich habe drei verschiedene Kameramarken, hat sich halt so ergeben. Im Kameranetzwerk habe ich es so eingestellt, dass die Marken sich untereinander nicht sehen und sie dürfen auch nicht nach draußen. Kameras, deren Marken eine eigene App haben, “telefonieren“ auch sehr, sehr gerne und häufig nach draußen, sonst würde die App ja nicht gehen. Will ich aber nicht, bei mir macht alles die Surveillance Station.
All das und noch mehr ist am RT6600 einstellbar! Der Router wird meiner persönlichen Meinung nach unterschätzt.

 

[fishrain66]

Ich hab den VLAN Tag (meist VLAN ID 7) gemeint, mit welchem die VDSL-Daten versehen sind...das wird entweder vom Modem oder vom Router bewerkstelligt. Wenn du ein Modem von deinem ISP Provider hast dann wird das Modem das wohl automatisch machen und du muss nicht viel konfigurieren.

Ich hab ein ALLNET Modem und da muss im Bridge-Modus der VLAN Tag 7 definiert werden ...damit der nachgeschaltete Router die VSDL-Daten verarbeiten kann. Mich hat nur interessiert ob der TR6600ax die Möglichkeit hat den WAN-Port mit diesem VLAN Tag zu konfigurieren . Auf der pfsense geht das ....

 

[Heimi75]

Bei mir ist das nicht nötig, aber gemäss diesem Artikel kann er das.