Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wozu braucht man eigentlich eine Hardware Firewall?

Mitglied: thomasreischer

thomasreischer (Level 2) - Jetzt verbinden

24.09.2015 um 23:50 Uhr, 6573 Aufrufe, 34 Kommentare, 3 Danke

Hallo,

habe mich schon immer gefragt warum man eigentlich eine dedizierte Hardware Firewall braucht.. Es ist doch schon eine im Router und dann auch noch in den einzelnen Windows PC's implementiert?
34 Antworten
Mitglied: GuentherH
25.09.2015 um 00:10 Uhr
Es ist doch schon eine im Router

Im Router ist ein Router und sonst gar nichts

Was du meinst ist eine Appliance, eine Komination aus Router und Firewall und meistens auch noch ein Switch.

LG Günther
Bitte warten ..
Mitglied: thomasreischer
25.09.2015 um 00:38 Uhr
Naja ein Router hat ja eine "klassische" Firewall-Funktion, er blockiert also nicht-autorisierte anfragen aus dem Internet und die meisten aktuellen Router haben auch eine VPN Funktion integriert. Ein AV ist natürlich meistens nicht dabei aber den hat man ja auf den einzelnen Clients installiert.

Mir ergibt sich der Sinn einfach nicht ganz - sorry
Bitte warten ..
Mitglied: 108012
25.09.2015 um 00:43 Uhr
Hallo,

habe mich schon immer gefragt warum man eigentlich eine dedizierte
Hardware Firewall braucht..
Wer sagt das denn? Derjenige der den Bedarf hat braucht eine und wer den Bedarf hat
deckt Ihn dann auch dementsprechend und dabei spielt es keine "Geige" ob das nun
ein Router ist der "nur" SPI/NAT macht, eine Firewall, eine UTM Appliance oder gar
eine NG Firewall die Applikation´s basierend arbeitet.

Es ist doch schon eine im Router
Das ist in der Regel und je nach Hersteller und Modell immer nur eine rudimentäre
Firewall bis hin zu einer recht guten bzw. besseren als in "normalen" Routern.

und dann auch noch in den einzelnen Windows PC's implementiert?
Die ist eigentlich für den LAN Bereich gedacht denn da soll ja auch niemand
von überall auf alles zugreifen können!

- Ein Router routet Datenpakete von einem Netzwerk in ein oder mehrere Netzwerke.
- Eine Firewall trennt ein Netzwerk von einem oder mehreren Netzwerken.
- Ein Gateway ist ein Netzwerk-Knoten, der als Eingang zu einem anderen Netzwerk
fungiert in denen unterschiedliche Protokolle und Dienste zum Einsatz kommen
die im WAN und LAN Bereich benötigt werden und/oder angeboten werden müssen/können.

Das die Grenzen heute aber immer mehr und mehr verschwimmen da es auch Router
gibt die Firewallregeln setzen können und Firewalls die mit erweitertem Routingprotokollen
auf warten können ist eine ganz andere Sache.

auch ohne Gruß
Dobby
Bitte warten ..
Mitglied: Pjordorf
25.09.2015 um 01:38 Uhr
Hallo,

Zitat von thomasreischer:
Es ist doch schon eine im Router
Nein, normalerweise nicht. Ein Router Routet. Eine Firewall trennt Netze. Eine UTM oder NG.... Nur nicht immer davon ausgehen das ein Speedport oder FritzBox oder HorstBox oder NetGear/D-Link/Zyxel usw. DSL Router der Stabdard sein. Es gibt bereiche wo ein Speedport oder fritzBox sehr wohl sinn machen und reichen. Es gibt aber auch Einsatzszenarien wo eine FritzBox nicht nur überfordert - sondern gar falsch am Platze sei. Stell die vor eine Fritzbox müsste das Tor ins Internet alleine nur für die Webseite von Aldi herhalten. Keine 5 Minuten würde das Teil überleben und keiner könnte die Aldi Angebote sehen....

und dann auch noch in den einzelnen Windows PC's implementiert?
Sicherheit besteht aus mehr als einer komponente. Am Beispiel TOR (The Onion Router - Zwiebelschalen) ist es gut dargestellt.

Gruß,
Peter
Bitte warten ..
Mitglied: Anulu1
25.09.2015 um 07:59 Uhr
Du kannst mit einer Hardwarefirewall z.B. mehrere Netze voneinander Trennen. Wenn du eine Appliance wählst benötigst du mehrere Netze in der Appliance. Ich finde mit der Hardwarefirewall kann ich alles viel einfacher voneinander abtrennen.
Bitte warten ..
Mitglied: aqui
25.09.2015, aktualisiert um 08:53 Uhr
Die meisten billigen Consumer Plastik Router haben keine SPI Firewall sondern was bei denen als "Firewall" bezeichnet ist, ist meisten nur der NAT Prozess, der quasi als Firewall wirkt aber keine wirkliche ist. Viele packen dann noch ein paar statische Accesslisten drauf und fertig ist die das was diese Anbieter solcher HW dann als "Firewall" bezeichnen und auf was Laien so wie du leichtgläubig reinfallen.
Daher rührt auch sicher deine Frage...
Eine Firewall die ihren Namen verdient ist einen stateful Firewall und kann auch sonst noch mehr als reines Firewalling.
Ist ja oben schon alles dazu gesagt und findet man übrigens auch auf Tante Google und Wikipedia !
Bitte warten ..
Mitglied: thomasreischer
25.09.2015 um 09:55 Uhr
Naja jede halbwegs aktuelle Fritzbox hat eine SPI Firewall. So viel weiß sogar ich als "Laie"
Bitte warten ..
Mitglied: 108012
25.09.2015 um 11:50 Uhr
Naja jede halbwegs aktuelle Fritzbox hat eine SPI Firewall. So viel weiß sogar ich als "Laie"
Und was kannst Du daran einstellen? Oder welche Regeln kann man damit setzen.

Was ist denn SPI? Das ist Netfilter und die Regeln für Netfilter in einem MikroTik Router
sind genau zwei 4 Zeilen lang! So und das soll nun eine Firewall sein wie IPCop, ZeroShell,
IPFire oder pfSense wo ich mehrere hundert Firewallregeln eingeben kann? Oder gar eine
Palo Alto bei der ich mehrere tausend Firewallregeln eingeben kann, die dann noch mittels
eines ASIC/FPGA in Sekunden abgearbeitet werden?

Ein Fiat Uno hat auch vier Räder, ein Lenkrad und einen Motor, genau wie der
Mercedes 600 S AMG, gar kein Thema, nur in welchem Auto möchtest Du sitzen
wenn es zu einem Unfall kommt!

Gruß
Dobby
Bitte warten ..
Mitglied: AndiEoh
25.09.2015 um 15:25 Uhr
Hallo,

die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing. Nahezu jede Firewall läuft als Software auf einem Stück Hardware. Die Unterscheidung wird üblicherweise daran festgemacht wie das Ganze verkauft wird, also als Bundle mit abgestimmter Hardware und vorgefertigter Software oder als installierbare Software. Wenn man also Hardware Firewall sagt meint man ein optimal abgestimmtes Gesamtpacket, bei Software Firewall geht man von zusammengeschustertem Flickwerk aus.
Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe, das Ergebnis ist technisch betrachtet dasselbe.

Gruß

Andi
Bitte warten ..
Mitglied: FA-jka
25.09.2015, aktualisiert um 16:36 Uhr
Vergleich' es mit einem Türsteher:

Ein Router lässt niemanden Neues rein, der nicht von einem Stammgast mitgebracht wird.

Eine Firewall macht sich die Mühe, guckt jeden neuen Besucher an, prüft ob der in den Club reindarf (Vorstrafenregister, Ausweiskopie, passender "Dresscode", Anweisung vom Clubbesitzer usw.) und schreibt für den Clubbesitzer ggf. auch eine Excel-Tabelle.

Das zum Einen.

Zum Anderen holen die meisten Firewall-Türsteher auch gerne mal einen Stammgast per VPN-Tunnel vom Flughafen ab (natürlich in der gepanzerten Limousine) und funktionieren auch gerne auch mal als Vermittler, wenn die Presse oder die Hells Angels (oder beide) vor der Tür stehen.

Wenn Du es auf diese Ebene reduzierst, gibt es übrigens keine Hardware-Firewalls (auf jeder Hardware läuft letztendlich eine Software). Das wesentliche Differnzierungsmerkmal ist meiner Meinung nach die Abgrenzung über (physikalische) mechanische Netzwerkschnittstellen.

Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen oder gar als Programm auf dem Hostsystem läuft (schauder!) wird zwar als Softwarefirewall bezeichnet, ich persönlich würde das aber nicht als Sicherheitslösung betrachten. Im Gegenteil - wenn der Anwender denkt, dass er von diesem Müll beschützt wird, handelt er u.U. nicht so umsichtig wie in dem Bewusstsein, dass er gerade nackig auf dem Marktplatz steht
Bitte warten ..
Mitglied: 108012
25.09.2015 um 19:00 Uhr
die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing.
Ganz im Gegenteil, bei einer Software Firewall wie zum Beispiel pfSense muss ich mir die
richtige und passende Hardware erst dazu suchen und dann habe ich meist keine richtigen
Hausnummern mit denn ich arbeiten kann oder an denen ich mich orientieren kann.

Bei einer Hardware Firewall bekomme ich eine Hardware und eine Software dazu die voll
und ganz auf die Belange des Kunden abgestimmt sind und die Software dazu ist natürlich
auch an die Hardware angepasst und 100% kompatibel.

Da scheitert nichts an der Treiberunterstützung und/oder man findet nicht die geeignete
Hardware zu der Software.

Nahezu jede Firewall läuft als Software auf einem Stück Hardware.
Das ist schon richtig nur wenn ich eine pfSense oder ähnliches auf einem Intel
Xeon E3-1286v3 System installieren, weiß ich natürlich das AES-NI Unterstützung
mit an Board ist und das ich Hardwareunterstützung für das VPN habe. Nur wenn
ich eine Hardwarefirewall kaufe und dann und dort ein Chip von Exar, Comtech oder
Cavium drinnen ist, weiß ich auch in etwa, dass ich einen Nummerngenerator habe
der xyz Schlüssel in xyz Sekunden schafft oder wie viele VPN Tunnel ich aufsetzen
kann bzw. mit was für einem Durchsatz ich rechnen kann.

Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne
das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe,
das Ergebnis ist technisch betrachtet dasselbe.
Stimmt aber nicht ganz, denn wenn Mercedes ein Auto baut und zulässt dann kann die
Zulassung für die ganze Serie gelten, wenn Du nun aber nur ein Auto zusammenbaust
und zwar selber, dann muss es jedes mal wieder neu zur Straßenzulassung gebracht
werden und jeder Rahmen bei jeder Neuanfertigung muss erneut überprüft werden.
Mercedes stellt sicher das sie in Serie gleichbleibende Qualität liefern und gut ist es.

Sagen wir mal bei Euch wird im Netzwerk eingebrochen und die Versicherung soll nun einen
Schaden begleichen weil Eure Kundenkonditionen kopiert worden und nun alle Kunden nach
und nach verschwinden und Euch verlassen, was sagst Du denn der Versicherung?
Ich habe eine super Firewall und alle anderen finden die auch super. Nur daran kann
die Versicherung nichts feststellen und das Prüfen auf Fehler dauert dann ewig und
kostet Unsummen. Und nun kommt jemand auf die Idee und sagt sich bei der Versicherung
wenn wir (die Versicherung) zahlen sollen und zwar in Höhe von xyz € dann muss die Firewall
mindestens ICSAs 2 geprüft worden sein! So und wenn jemand nun so eine Firewall kauft,
und dort wird eingebrochen muss nur noch schnell die Konfiguration und die Firmwareversion
überprüft werden, fertig! Deswegen gibt es Hardware Firewalls die in Serie gefertigt werden
wie das Auto bei Mercedes und geprüft werden.

Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen
Diese Firewalls können aber dynamisch mit der Unternehmensgröße mitwachsen.
Und wenn die Hardware mit dem Host OS kompatibel ist und sich "durchreichen"
lässt kann man sie auch schnell erweitern oder aufrüsten.

oder gar als Programm auf dem Hostsystem läuft (schauder!)
Also die interne OS Firewall von von MacOS ist eigentlich ganz gut finde ich,
aber die kleinen zusätzlichen Programm Waterroof und Little Snitch finde ich
eine gute Ergänzung dazu, zum einen als Frontend und zum anderen als Erweiterung.

wird zwar als Softwarefirewall bezeichnet, ich persönlich würde das aber
nicht als Sicherheitslösung betrachten.
Die Windows interne OS Firewall ist auch nur ein Stück Software, soll aber auch nur
für die Zugriffe im LAN schützen und nicht aus dem WAN oder zumindest nur rudimentär.

Gruß
Dobby
Bitte warten ..
Mitglied: FA-jka
26.09.2015 um 09:54 Uhr
Zitat von 108012:
Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen
Diese Firewalls können aber dynamisch mit der Unternehmensgröße mitwachsen.

...aber da sie keinen Schutz bieten, kann man auch genau so gut darauf verzichten.

Eine Firewall, die auf der gleichen Hardware wie die zu schützende Ressource läuft, ist genau so wie "ein bisschen schwanger" und somit Ressourcenverschwendung.

Das fängt schon damit an, dass bei einer virtualisierten Firewall alle Server auf dem Host von einer externen DOS-Attacke betroffen sind und hört damit auf, dass der Angreifer bei StackOverflows Teile des Hostsystems (oder gar anderer Gäste) in die Finger bekommen könnte.

Der einzige Vorteil von virtualisierten Firewalls oder Softwarefirewalls ist aus meiner Sicht, dass das irgendwan einmal meine Kunden werden


In Anbetracht der Tatsache, dass eine gute(!) Hardwarefirewall keine 200 Euro kostet, erübrigt sich jede weitere Diskussion.
Bitte warten ..
Mitglied: thomasreischer
26.09.2015 um 11:55 Uhr
Welche firewall könntest du mir empfehlen für ~20 Arbeitsplätze mit einer 50k Anbindung und ca 100gb traffic pro Monat?
Bitte warten ..
Mitglied: aqui
26.09.2015 um 12:54 Uhr
50 kBit/s Anbindung ?? Wo gibt es denn sowas heutzutage noch ??
Egal...diese Firewall erfüllt alle deine Anforderungen:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: FA-jka
26.09.2015 um 13:16 Uhr
Die Hardware: http://www.amazon.de/ALIX-2D13-ALIX-Bundle-Board-Engines/dp/B004ZPXOYK

Darauf dann ein IPCop: http://www.ipcop.org/

Ich denke, das ist für den SB-Bereich mehr als ausreichend.
Bitte warten ..
Mitglied: Dani
26.09.2015, aktualisiert um 13:17 Uhr
@aqui,
er meinte sicherlich mit 50k = 50.000kBit/s. Ansonsten wären die 100GB Traffic kaum zu schaffen oder?


Gruß,
Dani
Bitte warten ..
Mitglied: aqui
26.09.2015, aktualisiert um 13:38 Uhr
Darauf dann ein IPCop: http://www.ipcop.org/
Igitt... besser lieber nicht IPCop wenn man an der Konfig nicht verzweifeln will.
Nimm lieber eine pfSense. Das erleichtert das Leben ungemein !
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Und dann auch kein 2D13 mehr das wäre Blödsinn, sondern gleich ein APU1D was nur unwesentlich teurer ist:
http://www.pcengines.ch/apu1d.htm

@Dani
OK, dann so oder so das APU1D mit Gig Interfaces.
Bitte warten ..
Mitglied: 108012
26.09.2015 um 15:24 Uhr
Hallo,

..aber da sie keinen Schutz bieten, kann man auch genau so gut darauf verzichten.
Lanner FW-8895 & FW- 8896 Hypervisor drauf und dann Deine Firewall VM, fertig.
Nebenbei kann man auch andere Router in eine VM setzen. Da laufen keine zu
schützenden Systeme drauf.

Der einzige Vorteil von virtualisierten Firewalls oder Softwarefirewalls
pfSense, ZeroShell, Endian, Sophos, Untangle, OPNSense, IPCop, SmoothWall,
und IPFire sind alle samt Softwarefirewalls! Ich glaube wir reden hier an einander
vorbei und Du meinst die integrierten Firewalls von den OSen.

Welche firewall könntest du mir empfehlen für ~20 Arbeitsplätze mit einer 50k
Anbindung und ca 100gb traffic pro Monat?
Welchen Durchsatz brauchst Du?
Welche Dienste werden angeboten?
Was ist mit VPN und vor allem dem Durchsatz?

Netgear FVS336Gv3
Juniper SSG Serie
Zyxel USG Serie

pfSense auf APU, SG-2440, SG-4860 oder SG-8860
pfSense, Endian oder Untangle auf Supermicro 2x58 Boards

Gruß
Dobby
Bitte warten ..
Mitglied: thomasreischer
26.09.2015 um 16:32 Uhr
Wir haben noch einen alten HP Proliant g5 bei uns rumstehen.. Werde wohl eher da PfSense installieren
Bitte warten ..
Mitglied: FA-jka
26.09.2015 um 19:21 Uhr
besser lieber nicht IPCop wenn man an der Konfig nicht verzweifeln will

Vielleicht haben wir einfach nur eine abweichende Intuition

Ich glaube wir reden hier an einander vorbei und Du meinst die integrierten Firewalls von den OSen.

Nein. Ich meine diejenigen Firewalls, die sich (Hardware-)Ressourcen mit Dingen teilen, die sie eigentlich beschützen sollten.

Dazu zähle ich zum einen die integrierten Firewalls der Betriebssysteme und zum Anderen z.B. Firewalls, die parallel zu den (virtualisierten) Servern in einer eigenen Hyper-V VM auf der gleichen Hardware laufen.
Bitte warten ..
Mitglied: aqui
27.09.2015 um 16:18 Uhr
Vielleicht haben wir einfach nur eine abweichende Intuition
Vermutloch aber wer einmal das Setup eines IPCop gesehen hat und die Alternative kennt kann sich eigentlich nicht irren...
Wir haben noch einen alten HP Proliant g5 bei uns rumstehen.. Werde wohl eher da PfSense installieren
Auf alle Fälle der richtige Weg ! (Wenn man nicht so auf die Stromkosten sehen muss )
Bitte warten ..
Mitglied: AndiEoh
28.09.2015 um 10:20 Uhr
Zitat von 108012:

die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing.
Ganz im Gegenteil, bei einer Software Firewall wie zum Beispiel pfSense muss ich mir die
richtige und passende Hardware erst dazu suchen und dann habe ich meist keine richtigen
Hausnummern mit denn ich arbeiten kann oder an denen ich mich orientieren kann.

Bei einer Hardware Firewall bekomme ich eine Hardware und eine Software dazu die voll
und ganz auf die Belange des Kunden abgestimmt sind und die Software dazu ist natürlich
auch an die Hardware angepasst und 100% kompatibel.

Da scheitert nichts an der Treiberunterstützung und/oder man findet nicht die geeignete
Hardware zu der Software.

Steht bei mir fast genauso in den nächsten Sätzen: Als "Hardware" Firewall wird ein Gesamtpacket betrachtet, bei "Software" Firewall muss man sich um Teile des Stacks selbst kümmern. Technisch gibt es trotzdem keine echte Unterscheidung.

Nahezu jede Firewall läuft als Software auf einem Stück Hardware.
Das ist schon richtig nur wenn ich eine pfSense oder ähnliches auf einem Intel
Xeon E3-1286v3 System installieren, weiß ich natürlich das AES-NI Unterstützung
mit an Board ist und das ich Hardwareunterstützung für das VPN habe. Nur wenn
ich eine Hardwarefirewall kaufe und dann und dort ein Chip von Exar, Comtech oder
Cavium drinnen ist, weiß ich auch in etwa, dass ich einen Nummerngenerator habe
der xyz Schlüssel in xyz Sekunden schafft oder wie viele VPN Tunnel ich aufsetzen
kann bzw. mit was für einem Durchsatz ich rechnen kann.

Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne
das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe,
das Ergebnis ist technisch betrachtet dasselbe.
Stimmt aber nicht ganz, denn wenn Mercedes ein Auto baut und zulässt dann kann die
Zulassung für die ganze Serie gelten, wenn Du nun aber nur ein Auto zusammenbaust
und zwar selber, dann muss es jedes mal wieder neu zur Straßenzulassung gebracht
werden und jeder Rahmen bei jeder Neuanfertigung muss erneut überprüft werden.
Mercedes stellt sicher das sie in Serie gleichbleibende Qualität liefern und gut ist es.

Technisch betrachtet ist es dasselbe wenn ich die selben Komponenten mit dem selben Werkzeug und der selben Fertigkeit zusammenbaue, Zertifizierungen etc. sind eine andere Baustelle.

Sagen wir mal bei Euch wird im Netzwerk eingebrochen und die Versicherung soll nun einen
Schaden begleichen weil Eure Kundenkonditionen kopiert worden und nun alle Kunden nach
und nach verschwinden und Euch verlassen, was sagst Du denn der Versicherung?
Ich habe eine super Firewall und alle anderen finden die auch super. Nur daran kann
die Versicherung nichts feststellen und das Prüfen auf Fehler dauert dann ewig und
kostet Unsummen. Und nun kommt jemand auf die Idee und sagt sich bei der Versicherung
wenn wir (die Versicherung) zahlen sollen und zwar in Höhe von xyz € dann muss die Firewall
mindestens ICSAs 2 geprüft worden sein! So und wenn jemand nun so eine Firewall kauft,
und dort wird eingebrochen muss nur noch schnell die Konfiguration und die Firmwareversion
überprüft werden, fertig! Deswegen gibt es Hardware Firewalls die in Serie gefertigt werden
wie das Auto bei Mercedes und geprüft werden.

Meist ist es weniger das "praktische" prüfen sondern ein abwälzen von Verantwortung. Man bezahlt eine Menge Geld dafür das ein anderer in manchen Fällen die Veranwortung übernimmt bzw. die Versicherung zahlt. Aber natürlich sollte man diesen Fall auch genau betrachten, da das Interesse der Geschäftsführung meist auch nicht technischer Natur ist sondern monetärer

Gruß

Andi
Bitte warten ..
Mitglied: Digi-Quick
28.09.2015, aktualisiert um 19:27 Uhr
Es gibt folgende Firewall Arten

- PF (Paketfilter / Portfilter) - läuft auf den meisten SoHo NAT Routern
Auswertung von Quell-und Ziel-IP sowie des Netzwerkportes
Das einzige was man heir Konfigurieren kann, ist eine Portweiterleitung - und ggf. einen "Exposed Host" aka "Pseudo DMZ"

- SPI (stateful Packet Inspection) - läuft auf den "besseren" Routern / VPN Gateways, id.R. in Kombination mit einer PF Firewall als Hybrid Firewall.
Auswertung des Dateiheaders
Filerung auf Anwendungsprotollebene (Http, FTP etc.)

- DPI (Deep Packet Inspection) - benötigt dedizierte Hardware, da hiefür Rechenleistung erforderlich ist
- Analyse der kompletten Datenpakete

Der Unterschied von den in den Routern/Gateways intergrierten Firewalls und den dedizierten Firewall Appliances liegt im Konfigurationsumfang und -Aufwand.
Bei Unilever arbeitet ein 5 Mann Team nur an den Firewall Regeln und der Überwachung derselben inkl. 24 h Bereitschaft für Europa, in Amerika und Asien nochmal das gleiche.

"Proxy Firewalls" sind im Prinzip Proxys, die zusätzlich auf Firewalls laufen (i.d.R. eher SPI oder DPI) und den Client auf Anwendungsprotokollebene vom Netzwerk trennen und als Zwischenspeicher fungieren

Die sogenannten Personal Firewalls auf den zu schützenden Rechnern sind nur noch "Schlangenöl"!
Wenn die Aktiv werden, ist der Einbruch ins Netz bereits vollzogen!
Bitte warten ..
Mitglied: thomasreischer
28.09.2015 um 19:23 Uhr
ENDLICH, dachte schon jemand wie Du kommt nie.. Besten Dank
Bitte warten ..
Mitglied: thomasreischer
28.09.2015 um 19:29 Uhr
Kannst du mir das mit den Firewall Regeln nochmal genauer erläutern? Wozu müssen die 24/7 angepasst werden?
Wird bei professionellen Firewalls grundsätzlich der gesamte Traffic geblockt und nur der "gewhitelistete" darf passieren?
Bitte warten ..
Mitglied: Pjordorf
28.09.2015 um 20:06 Uhr
Hallo,

Zitat von thomasreischer:
Wozu müssen die 24/7 angepasst werden?
Weil der Mensch sehr erfinderisch ist. Wer sagt denn das die 2 Ziffern 2 immer 4 ergeben muss? Andere Rechenoperationen liefern auch eine 4 als Ergebnis. Und oftmals zählt nicht nur das Ergebnis, sondern auch der Weg zum Ergebnis. Natürlich haben Großkonzerne wie Unilever einfach den Anziehungseffekt ("Wird schon keiner merken" "Mal schauen was ich da abgreifen kann"). Ob das jetzt als Silvesterscherz oder tatsächlicher Angriff seitens der Marsmenschen zu werten ist, ist unerheblich. Der Pförtner hat das Tor zu zuhalten..... Und je Erfahrener und Erfinderischer der Mensch wird, umso mehr an Technik wird eingesetzt um das für ihn zu übernehmen (Oder kannst du 43.345.453.763,756 Milliarden Rechenschritte pro Sekunden machen. Erst mit den Computer wird dies machbar. Sozusagen Er ist sein eigner Feind

Wird bei professionellen Firewalls grundsätzlich der gesamte Traffic geblockt
Wäre schlimm wenn dies nicht wäre und dann bräuchte es auch keine Firewalls, selbst eine Frittenschleuder wäre dann Verschwendung. Was glaubst du was VW alles gemacht hat um zu verhindern das deren Information irgendwie an Firewalls etc. vorkam?

Gruß,
Peter
Bitte warten ..
Mitglied: Digi-Quick
28.09.2015, aktualisiert um 22:56 Uhr
Prinzipiell gilt: Eine Firewall soll alles Blocken was nicht erlaubt ist.
Bei den meisten Firewalls ist entweder standardmässig von drinnen nach draussen alles erlaubt und von draussen nach drinnen alles gesperrt oder bereits durch einfache leichte Regeln definiert

Je nach Sicherheitsbedürfnis verlässt man sich auf Standardmässig vorkonfigurierte Firewalls, kauft Firewall Appliances mit regelmässigen Updates (Abo-Modell) oder überwacht und konfiguriert das Ganze selbst!
Unternehmen wie Unilever können halt nicht darauf warten, bis der Hersteller einer Firewall Appliance aktualisierte Firewall Regeln per Update liefert, ein Angrifffszenario muss sofort erkannt werden (über diverse vordefinierte Trigger), dann muss geschaut werden, was passiert da gerade und warum und entsprechende Gegenmaßnahmen durchgeführt werden - im Extremfall wird die komplette Verbindung nach aussen gekappt.


Anmerkung:
vor ein paar Jahren hatte einer meiner Lieferanten mal alle sogenannten "SoHo" Router Modelle die er im Lager hatte mitgenommen und einem Penetration Test unterziehen lassen von einem Bekannten der als Profi Pen-Tester arbeitet. Dem Guten war jeweils nur die Public-IP Adresse des Routers bekannt. Keiner hatte mehr als 10 Minuten standgehalten.

Daher: Unter einer soliden SPI Firewall sollte man gar nicht anfangen.
Über die SPI FW der Fritzboxen erlaube ich mir mal kein Urteil, denke aber daß die relativ schnell an ihre Grenzen kommen (Stichworte sind hier z.B. DoS, dDoS Angriffe).

Netgear ProSafe Serie, Juniper SSG Serie, Zyxel USG Serie sind hier sicherlich etwas besser (Professionelle Geräte).

Danach kommen halt dedizierte DPI Firewalls mit richtig Rechenleistung.
Bitte warten ..
Mitglied: thomasreischer
29.09.2015 um 08:40 Uhr
Okay und wie funktioniert der Spam-Schutz?
Werden E-Mails die in das "Spam-Muster" passen schlichtweg nicht durchgelassen? Lässt sich dieses Spam-Muster auch konfigurieren? (bspw. bei der Netgear ProSafe Serie)
Ich frage, weil wir viele Privat-Kunden haben, die gerne mal durch die Spam-Prüfung rasseln und wir diese dann immer manuell whitelisten müssen.
Bitte warten ..
Mitglied: thomasreischer
29.09.2015 um 08:42 Uhr
Außerdem frage ich mich wie die Firewall Malware/Viren erkennen kann.
Viele Viren setzen sich ja aus mehreren Dateien zusammen und erfüllen erst dann ihren Zweck.
Wie will die Firewall an den einzelnen Datenpaketen erkennen dass es sich um einen Virus handelt?
Bitte warten ..
Mitglied: thomasreischer
29.09.2015 um 09:27 Uhr
Und was genau passiert sobald ein Angreifer die Firewall "durchbrochen" hat?

Damit hat er ja letztenendes immer noch keinen Zugriff auf beispielsweise einen Win Server 2012 R2, oder?
Bitte warten ..
Mitglied: TlBERlUS
29.09.2015 um 09:55 Uhr
Zitat von thomasreischer:

Okay und wie funktioniert der Spam-Schutz?
Werden E-Mails die in das "Spam-Muster" passen schlichtweg nicht durchgelassen? Lässt sich dieses Spam-Muster auch konfigurieren? (bspw. bei der Netgear ProSafe Serie)
Ich frage, weil wir viele Privat-Kunden haben, die gerne mal durch die Spam-Prüfung rasseln und wir diese dann immer manuell whitelisten müssen.

https://www.google.de/?gws_rd=ssl#q=firewall+spam+filter
https://www.google.de/?gws_rd=ssl#q=firewall+malware
https://www.google.de/?gws_rd=ssl#q=firewall+attack+methods

Sicher das du Admin bist?
Bitte warten ..
Der Kommentar von thomasreischer wurde vom Moderator kontext am 29.09.15 ausgeblendet!
Der Kommentar von TlBERlUS wurde vom Moderator kontext am 29.09.15 ausgeblendet!
Mitglied: FA-jka
29.09.2015 um 10:55 Uhr
Naja, sagen wir es mal so: Wer um der Aufmerksamkeit Willen klugscheißt, wird relativ zeitnah erwischt.

Und genau das ist der Grund, warum ich mich aus dieser Diskussion heraushalten. Meine IPCops laufen und der Rest interessiert mich nicht
Bitte warten ..
Mitglied: 108012
29.09.2015 um 12:33 Uhr
Und was genau passiert sobald ein Angreifer die Firewall "durchbrochen" hat?
Pick Pick Pick ein Loch in die "Wand", Neuen Benutzer anlegen, Rootkit installieren, StealthKit installieren,
RootKit auf den neuen Benutzer "verlinken", Logfiles kürzen, ab nach Hause und in drei Monaten kommt
er wieder.

Gruß
Dobby
Bitte warten ..
Mitglied: kontext
29.09.2015, aktualisiert um 13:38 Uhr
Hallo thomasreischer,

bitte lese dir die Regeln durch und befolge Sie - die Regeln sind ja nicht zum Spaß da.
Solche Kraftausdrücke werden hier nicht geduldet und werden ausnahmslos gelöscht - wie in deinem Fall.
Das nächste Mal entsorge ich gleich die ganze Frage - ohne Wenn und Aber.

Wir sind hier alle Erwachsen und können uns auch hoffentlich wie Erwachsene aufführen.
Wie auch in diesem Thread erwähnt, hättest du dir die Rückfragerei erspart, wenn du ein wenig mehr Text (Einleitung | Hauptteil | Schluss) geschrieben hättest.

So long - Thread wurde bereinigt.

Gruß
kontext (mod)
Bitte warten ..
Ähnliche Inhalte
Off Topic
Wo isser eigentlich abgeblieben?
Frage von rubbermanOff Topic17 Kommentare

Es ist mir ja schon eine Weile aufgefallen, und auch immer mal wieder bewusst geworden. Nun lese ich aber ...

Sicherheit

Wie funktioniert ein Angriff aus dem Internet eigentlich? Und wie schützt eine Firewall davor?

Frage von thomasreischerSicherheit8 Kommentare

Hallo, ACHTUNG: Das Folgende ist eine Anfängerfrage - wenn Du also keine Geduld hast und Anfänger generell verachtest, empfehle ...

Humor (lol)

Wer braucht ne Äpp?

gelöst Frage von Penny.CilinHumor (lol)2 Kommentare

Habe heute folgenden Spruch gehört: Ein Depp braucht für jeden Sch** 'ne Äpp Gruss Penny

Datenschutz

Microsoft: Welche Daten werden eigentlich gesammelt?

Information von FrankDatenschutz21 Kommentare

Da ich in einigen Diskussionen auf unserer Seite feststellen musste, dass die wenigsten Admins oder ITPros wirklich wissen, was ...

Neue Wissensbeiträge
Humor (lol)
Preisvertipper
Information von Dilbert-MD vor 7 StundenHumor (lol)6 Kommentare

Moin! weil heute Freitag ist, zeige ich Euch den Preisvertipper der Woche: vergesst den Acer Predator 21x, der ist ...

Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 1 TagWindows Update2 Kommentare

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 2 TagenBackup1 Kommentar

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 4 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Heiß diskutierte Inhalte
Windows Update
WSUS - erforderlich Updates
Frage von emeriksWindows Update24 Kommentare

Hi, ein gängiges Verfahren, welche Updates man am WSUS-Server genehmigen soll und welche nicht, beruft sich darauf, dass man ...

Netzwerkgrundlagen
Neue Serverumgebung von 0 aufbauen
Frage von JacareNetzwerkgrundlagen20 Kommentare

Hallo zusammen, ich bin noch nicht lange hier und weiß nicht, ob meine Frage daher etwas ungewöhnlich ist. Ich ...

Off Topic
Installationskosten Verkabelung
Frage von Xaero1982Off Topic14 Kommentare

Moin Zusammen, ich bräuchte mal ein paar Meinungen, weil ich mir da gerade echt nicht ganz sicher bin. Ich ...

LAN, WAN, Wireless
Ich möchte mein Heimnetz umbauen. Welches ist die beste Variante?
Frage von s.burgerLAN, WAN, Wireless13 Kommentare

Schönen guten Tag liebe Admin-Community, ich wollte schon seit geraumer Zeit mein Heimnetzwerk etwas aufräumen und wollte euch um ...