geestrider
Goto Top

Aufbau Netzwerk Kleinunternehmen

Hallo zusammen,

ich würde gerne mal eure Meinungen/Einschätzung zu folgendem Thema Wissen. Ich plane gerade das "Netzwerk" einer kleinen Firma die einen Online Shop betreibt insgesamt etwa 20 Mitarbeiter hat, wovon die meisten allerdings nur im Lager die Ware packen. Effektiv sind unregelmäßig (2-3mal die Woche) 2-3 User vor Ort mit Notebook die normale Bürotätigkeiten ausführen (Office usw.), in Deutschland verteilt arbeiten noch ein paar Grafiker oder Außendienstmitarbeiter alle besitzen ein Firmengerät. Alle Notebookuser bis auf die Grafiker (etwa 8-10 Stück) arbeiten mit dem Onlineshop System Shopware. Es steht ein Umzug bevor in eine größere Lagerhalle mit kleinem Bürobereich indem 3x "PC-Arbeitsplätze", 1x Office-Drucker, 1x Etikettendrucker, sowie etwa 10-15 Scanner (iPods, von Shopware zur Verfügung gestellt) untergebracht werden müssen. Aktuell wird im alten Lager eine Fritzbox genutzt, sowie ein unmanaged Switch und 3 Access Points, diese Hardware wird dort bestehen bleiben. Es existiert ein alter ausgemusterter PC als "Server" auf dem allerdings nur Datev läuft, auf kurz oder lang soll dieser "Server" abgeschaltete und Datev Online gehostet werden (wenn möglich). Die WLAN Infrastruktur ist vor Ort das einzige was sehr wichtig ist, da die Ware gescannt und im Shop hinterlegt/abgerufen wird, sowie die dazugehörigen Bestellungen. Die Scanner haben eine App von Shopware um darauf zuzugreifen. VPN Zugriff für 2-3 User müsste auf den "Server" zwecks Datev laufen (aktuell via Wireguard in der Fritzbox konfiguriert) Telefonie/Telefonanlage ist nicht wichtig, da über Handys telefoniert wird. Ebenfalls soll Microsoft 365 zur Nutzung von Teams, Sharepoint und Onedrive eingeführt werden.

Grundsätzlich hadere ich mit dem Thema Firewall und wie sinnvoll diese in dem Umfang ist.

Was ist eure Einschätzung zu diesem Konstrukt ? Es wurde erneut ein VDSL Anschluss mit 100Mbit gebucht inkl. Fritzbox 7590, nun stellt sich die Frage ob man die Fritzbox als reines Modem nutzt, dahinter eine Firewall (CheckPoint, Fortigate, o.ä.) dann einen 24 Port Switch POE Managed mit definierten VLAN's und dann eben dort die AP's, Notebooks, Drucker dran hängt. Man müsste dann mmN aber auch alle Deutschlandweitarbeitenden MA einen VPN Client verpassen und diese ebenfalls durch das Firmennetz auf den Shop lassen ?!

Wenn es einfach gehandhabt wird könnte man weiterhin Fritzbox -> Unmanaged Switch -> Drucker, AP's, Notebooks im selben Netz laufen lassen.

Grundsätzlich wenn das Budget stimmt sollte man denke ich immer zu der Firewall greifen, aber ist es in diesem Umfang zwingend erforderlich ?

Liebe Grüße face-smile

Content-ID: 72032573080

Url: https://administrator.de/contentid/72032573080

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

maretz
maretz 14.09.2023 um 16:54:33 Uhr
Goto Top
Moin,

nun - ob eine Firewall sinnvoll ist oder nicht hängt in erster Linie davon ab ob derjenige der die einrichtet weiss was er/sie da macht. Wenn man die nur auf "any/any" stellt is das nix anderes als nen Lufterwärmer...

Die nächste Frage die sich stellt: Wieviel Erfahrung hast du damit? Welches Level hat das ganze? Ist das nen "Freundschaftsdienst" oder verkaufst du es als Dienstleister? In beiden Fällen: Welche Ausfallzeit ist da erlaubt? (Ich kenne Lager da brauchst du nach 20 Min nich mehr ankommen - wenn da 20 min. verloren gehen weiss keiner mehr was wo ist und was bereits raus ist und was nicht...). Hast du dagegen nen Lager zB. für Ferrari-Rennsport-Motoren und nur soviele Leute weil die Dinger schwer sind ist es ja einfach, da haust du nich ganz soviele am Tag raus...

Übrigens: Eine Fritzbox als reines Modem nutzen würde bei mir bereits dafür sorgen das dein Angebot direkt in die Tonne geht. Du solltest durchaus wissen das es reine Modems gibt - und du dann eben nicht mit doppeltem NAT zu kämpfen hast,...
chiefteddy
chiefteddy 14.09.2023 um 17:28:37 Uhr
Goto Top
VPN für externen Zugang zum Firmen-LAN ist doch in heutiger Zeit ein MUSS und kein KANN!

Und dann richtet sich die Firewall-HW nach der notwendigen Leistung für die gleichzeitigen VPN-Tunnel (100MB DSL? für einen Firmenanschluss mit Home-Office soll ich jetzt lachen oder weinen?)

Shop = persönl. Daten der Kunden = DSGVO = Firewall zwingend.

Jürgen
maretz
maretz 14.09.2023 um 18:09:01 Uhr
Goto Top
Das mit dem Remote habe ich überlesen - da natürlich vpn...

Firewall würde ich dagegen dabei bleiben -> nur wenn derjengie der davor sitzt auch weiss was er/sie macht (ansonsten ggf. jemanden holen DER das weiss). Eine Firewall die eh alles durchlässt ist dagegen ziemlich nutzlos und schafft nur eine "Pseudosicherheit" das der Kunde glaubt man is ja jetzt sicher...
Visucius
Visucius 14.09.2023 aktualisiert um 18:13:09 Uhr
Goto Top
Bin ja schon baff, dass man nen Onlineshop-System lokal auf ner 100/50er Leitung laufen hat aber Datev in die Cloud schiebt 😉

Wahrscheinlich erkenne ich aber nur wieder mal die Genialität dieses Konzepts nicht!
Th0mKa
Th0mKa 14.09.2023 um 18:13:15 Uhr
Goto Top
Zitat von @chiefteddy:
Shop = persönl. Daten der Kunden = DSGVO = Firewall zwingend.

Laut Beschreibung der Umgebung läuft der Shop nicht im lokale Netz.

/Thomas
Visucius
Visucius 14.09.2023 um 18:18:05 Uhr
Goto Top
Laut Beschreibung der Umgebung läuft der Shop nicht im lokale Netz.
Ich lese das andersda …
aber auch alle Deutschlandweitarbeitenden MA einen VPN Client verpassen und diese ebenfalls durch das Firmennetz auf den Shop lassen ?!
Th0mKa
Th0mKa 14.09.2023 um 18:24:25 Uhr
Goto Top
Zitat von @Visucius:
Ich lese das andersda …
aber auch alle Deutschlandweitarbeitenden MA einen VPN Client verpassen und diese ebenfalls durch das Firmennetz auf den Shop lassen ?!

Ich lese da
Die WLAN Infrastruktur ist vor Ort das einzige was sehr wichtig ist
Und wenn der Shop vor Ort aber nicht "sehr wichtig" ist weiß ich auch nicht.

Die Clients sollen wohl über das Firmennetz getunnelt werden statt direkt auf den Shop zu gehen. Vielleicht hat das Admin Intrerface des Shops ja Filterrmöglichkeiten, dann ergibt das durchaus Sinn.
Visucius
Visucius 14.09.2023 aktualisiert um 18:34:45 Uhr
Goto Top
Mein Gott, wenn da nichts vor Ort ist, frage ich mich was Ihr da mit einer Firewall (die Stateful in der Fritze ist Euch ja offensichtlich zu wenig) schützen möchtet?!

Offenbar ist ja nicht mal die VPN-Leistung das Limit?!
GeestRider
GeestRider 14.09.2023 um 18:42:33 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @chiefteddy:
Shop = persönl. Daten der Kunden = DSGVO = Firewall zwingend.

Laut Beschreibung der Umgebung läuft der Shop nicht im lokale Netz.

/Thomas

Richtig, der Shop läuft nicht im lokalen Netz. Er wird von Shopware gehostet. Und genau wie du beschrieben hast war die Idee die Clients die verteilt in DE arbeiten nicht direkt vom X-Beliebigen ggf. sogar öffentlichen Netzen auf das Shopsystem zugreifen, sondern via VPN durch das Firmennetz tunneln und dann auf das Shopsystem lässt.
GeestRider
GeestRider 14.09.2023 aktualisiert um 18:45:19 Uhr
Goto Top
Zitat von @maretz:

Das mit dem Remote habe ich überlesen - da natürlich vpn...

Firewall würde ich dagegen dabei bleiben -> nur wenn derjengie der davor sitzt auch weiss was er/sie macht (ansonsten ggf. jemanden holen DER das weiss). Eine Firewall die eh alles durchlässt ist dagegen ziemlich nutzlos und schafft nur eine "Pseudosicherheit" das der Kunde glaubt man is ja jetzt sicher...

Das steht völlig außer Frage das eine Any-Any Firewall völliger Blödsinn ist, sowie hinstellen und laufen lassen und nicht warten..
maretz
maretz 14.09.2023 um 20:04:23 Uhr
Goto Top
Nun - dann ist immer noch die Frage wie gut DU dich damit auskennst. Und auch WAS für eine Firewall? Nehmen wir nen einfachen Fall: Hau da ne kleine VM mit Linux hin und iptables (oder wie auch immer das mittlerweile heisst) drauf. Jetzt von innen nach aussen u.a. Port 80 + 443 freigegeben, fertig... bis zum Punkt wo du nen Trojaner hast der seinen Command-Server darüber zieht,... Du kannst natürlich ne "grosse" FW nehmen - die is aber eben wieder Preislich ne andere Klasse...

Von daher wäre für die Beantwortung eben ein komplettes Konzept nötig. Das gute ist: Es ist ja scheinbar DEIN Kunde, du musst das also bewerten und begründen...
nachgefragt
nachgefragt 15.09.2023 um 07:28:04 Uhr
Goto Top
Moin.
Die Frage hatte ich Anfang des Jahres auch mal gestellt, vielleicht gibt es hier nochmal Input für dich.
KMU ohne Firewall
kpunkt
kpunkt 15.09.2023 um 07:39:33 Uhr
Goto Top
Zitat von @GeestRider

Grundsätzlich wenn das Budget stimmt sollte man denke ich immer zu der Firewall greifen, aber ist es in diesem Umfang zwingend erforderlich ?

Da sollen Leute übers Netz auf das LAN zugreifen können. Ist die Frage wirklich ernst gemeint? Ich kenn jetzt Shopware nicht, aber auf diesen 3 PC-Arbeitsplätzen werden ja wohl nicht nur unwichtige Daten drauf sein. Auch wenn DATEV in der Cloud hängt, werden da wohl auch sensible Daten vor Ort verarbeitet werden.


Nuja...stöpselt man halt hinter der Fritzbox noch eine Firewall/VPN Gateway dran.
Kann man mit Fertigprodukt machen oder einen PC mit entsprechender Software drauf.
Früher(TM) gabs ja so fertiggestrickte Linux-Distris genau für den Zweck.
Man kann ja dann die VPN für die entfernten User auch gerne per web based Portal oder so machen. Selberbasteln oder auch da schauen, ob das ein Fertiganbieter schon drin hat.
Muss man halt keinen VPN-Client verteilen.

Ich würd die Fritzbox durch ein Modem ersetzen, ist aber kein Muss. Hat man halt mit der Fritzbox noch ein schnelles Gast-(W)Lan.

Insgesamt würd ich da in ein vernünftiges WLAN investieren, da es ja doch essentiell zu sein scheint. Aus dem Bauch heraus irgendwas Ubiquiti Unify AP. Aber da hab ich so gar keine Erfahrung, wie die sich so machen.

Liegt aber, wie @maretz es schon gesagt hat, eigentlich an deinem Können, wie du das umsetzt.
crazy69
crazy69 16.09.2023 um 14:22:41 Uhr
Goto Top
Hi,

wenn die Fritzbox für Telefonie noch benötigt wird, würde ich ne OPNsense hinter die Fritzbox als exposed host stellen, damit terminieren deine Verbindungen aus dem Internet kommend schon mal auf der OPNsense. Die OPNsense würde ich auch für VPN nutzen, sprich Wireguard darauf aktivieren. Darüber kannst Du dann auch per Regelwerk definieren, wohin die VPN-User dürfen. Für die OPNsense würde ich mir ne entsprechende Hardware zulegen, z.B. Protectli (oder kostengünstig ein China Klon). Die packen dann auch einige VPN-Verbindungen parallel.

Was Du dahinter machst, sprich verschiedene VLANs, würde ich auch ein wenig davon abhängig machen, wie es da zukünftig weiter geht. Wird mit weiterem Wachstum gerechnet, würde ich gleich zu VLAN-Separierung raten...und mal ehrlich, VLAN-fähige Switche gibt es ja schon günstig. Und je "schärfer" man das Regelwerk gleich zu Beginn macht, umso leichter ist das Leben später.
Kommen z.B. mal Automatisierungen und/oder IOT dazu, würde ich allerspätestens dann VLANs einführen.

Die Fritzbox vor der Firewall bei Bedarf noch gegen Modem (z.B. Draytek) tauschen.

Braucht ihr Support bei Firewall, dann ggf. anderes Produkt/ Hersteller.

Soweit mal meine Gedanken dazu face-smile

Hoffe, das hilft etwas.


VG
crazy69