madonischer
Goto Top

Die richtige Firewall für unser kleines Unternehmen

Guten Morgen die Damen und Herren

ich habe in den letzten Tagen sehr viel über verschiedene Lösungen gelesen und versucht zu verstehen. Leider mit dem Ergebnis, dass ich sehr verunsichert bin.

Zur Situation: Wir sind ein kleines Unternehmen mit 10 Mitarbeitern. Ich habe aktuell die Aufgabe unsere Technik ein wenig auf Vordermann zu bringen. So steigen wir z.B. von einem Server 2003 auf mehrere aktuelle Windows 2012 R2 Server um.

In diesem Zusammenhang wollen wir das Netzwerk von aussen nun auch per Firewall absichern, was bis heute noch nicht der Fall ist. Der einzige Schutz ist aktuell ein Router von ZyXel.

Anforderungen:
- einfache Verwaltung
- schnell / sicher
- aufgeräumtes GUI
- Regelverwaltung

Zur Auswahl haben ich uns ausgeschaut:

Sophos SG 115
SonicWALL TZ 215
ZyXEL ZyWALL USG 100

Die Sophos scheint von den reinen Leistungs- und Durchsatzdaten die mit der höchsten Performance.

Aktuell soll wirklich nur die Firewall-Funktion genutzt werden. Eine "pfSense-Lösung" kommt aktuell nicht in Frage, wenn ich möchte ein Gerät kaufen, anstecken und in Betrieb nehmen. Kein gebastel, keine Installationen. Klar Konfigurieren muss ich.

Man findet viele Informationen im Internet und mein aktueller Eindruck ist, dass sich in dieser Preisklasse und bei unseren geringen Anforderungen die Geräte nicht viel schenken, sondern in etwa auf gleicher Höhe sind.

Aktuell tendiere ich zu der Sophos SG 115 in Kombination mit der Essential Firewall von Sophos.

Warum diese? Hat gemäss den Herstellerangaben scheinbar die beste Hardware, ist ausbaufähig und der Hersteller macht vom gesamten Internetauftritt auf mich den besten Eindruck.

Viele liebe Grüsse
M

Content-ID: 258301

Url: https://administrator.de/contentid/258301

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

wiesi200
wiesi200 22.12.2014 aktualisiert um 10:59:53 Uhr
Goto Top
Hallo,

grundsätzlich kann man auch pfSense von ein paar firmen als kpl. lösung kaufen.
Wobei die Tatsache das man die Firmware auf ne ne SD Karte spielen muss hat nicht's mit Bestellösung zu tun. Auch bei den "Fertigen" Lösungen muss man gelegentlich Updates einspielen.

Was mir auch noch gut gefällt ist Gateprotect. da die für Laien sehr einfach einzurichten sind.
java667
java667 22.12.2014 aktualisiert um 10:59:57 Uhr
Goto Top
Guten Morgen,

ich kann dir nur über die Sophos ne Empfehlung aussprechen, einfach aus dem Grund weil ich die andere nicht kenne (nicht damit gearbeitet). Aufgrund deines Textes vermute ich aber mal, das deine Aufgaben in der Firma nicht primär im IT-Bereich liegen. Daher würde ich dir dringend empfehlen, die Konfiguration von einem Profi machen zu lassen. Die Sophos lässt sich zwar vergleichsweise leicht konfigurieren, trotzdem sollte man wissen was man tut. Das gleiche gilt auch für einen Server.

Daher meine Empfehlung: Die Sophos ist ne gute Sache, wenn IT aber nicht dein Job ist, suche dir bitte einen Profi der euch wenigstens Unterstützt.

Gruss,
Java
aqui
Lösung aqui 22.12.2014, aktualisiert am 01.02.2015 um 17:06:28 Uhr
Goto Top
Wenn du etwas Budget sparen willst:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das kann z.B. auch auf einer 1HE Server Plattform laufen. Bei deiner Unternehmensgröße reicht das allemal...auch auf einem ALIX Board.
transocean
transocean 22.12.2014 aktualisiert um 11:00:03 Uhr
Goto Top
Moin,

wenn ihr schon einen Zyxel Router verwendet, dann bleib doch bei Zyxel.
Ich habe hier aktuell gerade eine USG 50 im Einsatz mit Kaspersky AntiVir, AntiSPAM und Inhaltsfilter.
Die ist auch für ungelernte IT'ler einfach zu konfigurieren.

Gruß,

Uwe
madonischer
madonischer 22.12.2014 um 11:12:56 Uhr
Goto Top
Vielen Dank für die Antworten.

Ja die IT ist nicht meine Hauptaufgabe, später werden wir natürlich profesionelle Unterstützung bei der gesamten Umsetzung haben.

Die Person die später aktiv (es geht vorallem die die Verantwortung) umsetzten wird rät auch zu einer Lösung wie Sophos.

Bevor wir aber etwas kaufen / in Auftrag geben werden möchte ich mich selbst auch schlau machen, da ich auch rein aus persönlichen "Weiterbildungsgründen" sehr interessiert innerhalb des ganzen Themas bin.

So werde ich auch den ganzen Einrichtungsprozess aktiv begleiten um mir einfach grundlegenedes Wissen aufzubauen. Ist denke ich nie schlecht.

Bei Sophos würden wir erstmal die "Essential Firewall", welche kostenfrei ist nutzen (http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi ..). Ich frage mich eben ob diese kostenfreie Version wirklich ausreichend ist.

Mein Eindruck ist auch, dass mit wachsenden Anforderungen die Sophos einfach geupdated werden kann.

Alleine aus "Forscher und Bastel-Gründen" würde ich natürlich super gerne eine pfsense zusammenbauen und konfigurieren, aber wie bereits geschrieben habe ich ganz andere Aufgaben in diesem Unternehmen und würde es daher in meiner Privatzeit in Angriff nehmen (natürlich auch hier mit der Unterstützung des Profis).

Vielen Dank nochmal für die Unterstützung.
killtec
killtec 22.12.2014 um 11:55:38 Uhr
Goto Top
HI,
du weißt schon, dass die kostenfreie Version für den Heimgebrauch ist und nicht für die betriebliche Nutzung??
Ich werfe noch mal eine Cisco ASA5505 in den Raum. Ist jedoch etwas komplexer.

Gruß
Kuemmel
Kuemmel 22.12.2014 um 12:05:32 Uhr
Goto Top
Moin,
ich werfe mal die FORTIGATE in den Raum: http://www.fortinet.com/products/fortigate/

Gruß
Kümmel
Kuemmel
Kuemmel 22.12.2014 um 12:07:43 Uhr
Goto Top
Zitat von @killtec:

HI,
du weißt schon, dass die kostenfreie Version für den Heimgebrauch ist und nicht für die betriebliche Nutzung??
Ich werfe noch mal eine Cisco ASA5505 in den Raum. Ist jedoch etwas komplexer.

Gruß

Er hat nicht die Home Edition von SOPHOS verlinkt sondern die Essential und diese darf meines Wissens nach sehrwohl kommerziell genutzt werden.

Gruß
Kümmel
killtec
killtec 22.12.2014 um 12:19:38 Uhr
Goto Top
Hi@Kuemmel,
in dem Link ist jedoch folgender Text:

/Zitat:
Der nächste Schritt ist einfach:

Ein Klick genügt und Sie können unsere Sophos UTM Home Use Firewall innerhalb von Minuten downloaden. Nach nur wenigen Schritten können Sie selbst erleben, wie wirksam unsere Software Ihr Netzwerk zu Hause schützt.

Kostenfreie Firewall für Heimnutzer downloaden
/Zitat Ende

Gruß
Phalanx82
Phalanx82 22.12.2014 um 12:34:53 Uhr
Goto Top
Hallo,

bevor Du voreilig etwas kaufst, schau Dir mal SecurePoint(.de) an.
Deutsches Produkt. Super Support, ebenfalls in Deutsch. Die sitzen in Lüneburg.
Updates gibts regelmäßig, 2x AV Scanner des HTTP Traffics und HTTPS (falls gewünscht) mit Forward
Zertifikaten. Deutsche Oberfläche. IPSec, OpenSSL, L2TP oder PPTP VPN. LDAP Anbindung mit Kerberos Auth.
AntiSpam Filterung, kostenloser DynDNS Service vorhanden (auch IPv6).

Für deine Größe würde die BlackDwarf (mit oder ohne WiFi) genau ausreichen. Die Appliance bekommst Du
UVP für ~830€ inkl. 3 Jahre Subscription, sprich Support + Updates für die SecurePoint und die AV Scanner.

Ich hab mir auch eine Blackdwarf für daheim geholt, nachdem ich ehwig versucht habe auf einem Alix Board meine
Spohos (ehemals Astaro) drauf zu bügeln. pFSense kannte ich auch schon von früher. Habe ich auch aufgesetzt aber
konnte mich nie so richtig mit dem Ding anfreunden, zumal es die Gui nur auf Englisch gibt. Dazu gibts von SecurePoint
mittlerweile div. Videos von ehemaligen Webinaren auf Youtube über die Einrichtung der Appliance.

Ich kann SecurePoint uneingeschrenkt empfehlen.
keine-ahnung
keine-ahnung 22.12.2014 um 13:02:07 Uhr
Goto Top
Moin,

ob es in einer so kleinen Umgebung wirklich eine UTM-LösungSinn macht hängt IMHO von der Art des "Unternehmens" ab. Eventuell macht es ja auch die firewall eines vernünftigen VPN-(WLAN-)Routers in Verbindung mit einer zentral zu administrierenden Antimalware-Lösung im LAN ...??

LG, Thomas
DerWoWusste
DerWoWusste 22.12.2014 aktualisiert um 14:07:12 Uhr
Goto Top
Hi.

Mal sehen...
In diesem Zusammenhang wollen wir das Netzwerk von aussen nun auch per Firewall absichern
...
Anforderungen: ...Regelverwaltung
Ihr habt also Regeln nötig, die eingehenden Verkehr regeln? Besteht denn dieser Verkehr bereits und ist derzeit mit Portfreigabe geregelt, oder wie darf man sich das vorstellen? Du schreibst ja
...per Firewall absichern, was bis heute noch nicht der Fall ist. Der einzige Schutz ist aktuell ein Router von ZyXel.
Also habt Ihr in der Zyxel die Firewall abgeschaltet? Das glaube ich kaum.

Somit vermute ich mal, dass Eure Anforderungen minimal sind, in etwa so:
"Von außen soll nichts erreichbar sein" und "von innen darf auf allen Ports nach außen kommuniziert werden"
Korrigier mich, wenn das nicht so ist. Denn wenn es so ist, kann das jeder Router in Grundeinstellung.
Kuemmel
Kuemmel 22.12.2014 um 14:10:43 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin,

ob es in einer so kleinen Umgebung wirklich eine UTM-LösungSinn macht hängt IMHO von der Art des
"Unternehmens" ab. Eventuell macht es ja auch die firewall eines vernünftigen VPN-(WLAN-)Routers in Verbindung mit
einer zentral zu administrierenden Antimalware-Lösung im LAN ...??

LG, Thomas

So sehe ich das auch. Einfach einen vernünftigen LANCOM-Router mit integrierter Firewall dahingestellt und fertig ist die Sache.

Gruß
Kümmel
madonischer
madonischer 22.12.2014 um 18:55:37 Uhr
Goto Top
Guten Abend

herzlichen Dank für die vielen Antworten. Ich muss als erstes einen Fehler gestehen: Ich habe vergessen wie wichtig es ist die gesamte Situation inkl. der genauen Anforderungen zu beschreiben. Dies habe ich wie ich nun ehrlicher Weise zugeben muss nur schlampig getan. I'm sorry.

Zitat von @DerWoWusste:

Hi.

Mal sehen...
> In diesem Zusammenhang wollen wir das Netzwerk von aussen nun auch per Firewall absichern
...
> Anforderungen: ...Regelverwaltung
Ihr habt also Regeln nötig, die eingehenden Verkehr regeln? Besteht denn dieser Verkehr bereits und ist derzeit mit
Portfreigabe geregelt, oder wie darf man sich das vorstellen? Du schreibst ja
> ...per Firewall absichern, was bis heute noch nicht der Fall ist. Der einzige Schutz ist aktuell ein Router von ZyXel.
Also habt Ihr in der Zyxel die Firewall abgeschaltet? Das glaube ich kaum.

Somit vermute ich mal, dass Eure Anforderungen minimal sind, in etwa so:
"Von außen soll nichts erreichbar sein" und "von innen darf auf allen Ports nach außen kommuniziert
werden"
Korrigier mich, wenn das nicht so ist. Denn wenn es so ist, kann das jeder Router in Grundeinstellung.

Die aktuelle Situation ist, naja sagen wir mal so, suboptimal:
- veralteter Server
- lediglich ein Router natürlich inkl. eingeschalteter Firewall zwischen Internet und Netzwerk
- eine im worst-case (in meinen Augen) nur schwer herstellbare Datensicherung ohne richtigen Sicherungsplan
- kein Zugriff für die Mitarbeiter auf bestimmte Programme von aussen
- kein einheitlicher Vireschutz (jeder kocht hier seine eigene Suppe)
- es macht generell praktisch jeder was er möchte. Sei es private Spiele auf den Firmenlaptops aus zweifelhafter Quelle zu installieren, bis hin zu dem Verdacht, dass Filesharingtools über die geschäftliche Internetleitung genutz werden

In diesem gesamten Zusammenhang, vorallem aus Serverkapazitätsgründen haben wir entschlossen all das anzugehen.

Es soll später über die Firewall geregelt werden was nach aussen und auch nach innen kommt. Dementsprechend auch Content-/WebFilter (klar ich kann auch mit einem einfachen Router bestimmte Ports / URLs blocken)

Zudem soll ein sicherer Zugang für die Aussendiensttätigkeit vorhanden sein.

Ausbaustufe irgendwann evtl. eine echte DMZ für den, teilweise öffentlichen Zugriff von aussen auf bestimmte Dienste innerhalb unseres Intranets.


Um nun langsam aber sicher in die richtige Richtung zu steuern haben wir uns entschlossen neue Server anzuschaffen, einen einheitlichen, zentral verwalteteten Virenschutz einzusetzen und eine Firewall anzuschaffen.

Als Budget für die "Firewall" haben wir uns bis zu 800.- gesetzt. Nun stelle ich aber fest, dass die meisten scheinbar mit "Abos" arbeiten - je nach Anforderungen bucht man zusätzliche Pakete hinzu. Okay machen wir genauso, nicht schlimm.


Ich habe mir die Black Dwarf UTM Firewall angeschaut, die mir in diesem Thread empfohlen wurde. Auf den ersten Blick hört es sich für mich nach dem an was ich suche. Und das für einen Preis von ca. 400.- inkl. Feature-Abo für ein Jahr. Was mich hier ein wenig stört ist, dass ich vorhin mit Securepoint telefoniert habe und mir direkt zu der nächst grösseren Variante inkl. teuerem Abo geraten wurde.

Wir haben aktuell gerade mal eine DSL 16.000er Leitung mit max. 8 Mitarbeitern (zur gleichen Zeit) und 2 Servern die bis auf die Windowsupdates eh nichts im Internet zu suchen haben. Wieso sollte da die Black Dwarf nicht ausreichen? Verstand ich nicht ganz. Klar - die grössere Variante inkl. Abo kostet ein Vielfaches der Black Dwarf.

Was ich zudem in den Spezifikationen bei diversen Anbietern nicht klar erkennen kann ist, ob der Zwerg nun tatsächlich über 1gb Ports verfügt oder nicht. Laut Herstellerseite ja.

Alternativ gibt es die Zywall USG 60 im Bundle für knapp 475.- ink. Abo für ein Jahr.
http://www.brack.ch/zyxel-zywall-usg-60-utm-bundle-295683

Bei beiden hätten wir zudem einen AV auf "Gatewayebene" wenn ich das richtig verstehe.

Länger als 12 Monate würde ich eh keinen Vertrag aktuell abschliessen. Wenn wir nach 12 Monaten merken passt nicht zu unseren Anforderungen bzw. kann die Welt in 12 Monaten ganz anderst aussehen - ok dann schaut man sich eben nach weiteren Alternativen um.

So ich habe nun hoffentlich keine wichtige Information vergessen.

Vielen Dank nochmal für alles.

Liebe Grüsse
Kuemmel
Kuemmel 22.12.2014 aktualisiert um 20:20:03 Uhr
Goto Top
Alternativ kann ich dir wie gesagt eine FORTIGATE ans Herz legen. Einfach mal den Vertrieb kontaktieren oder einen lokalen in deiner Nähe. Die finden meiner Meinung nach immer sehr gute Produkte dem Anwendungsfall entsprechend. Ist relativ leicht zu handhaben.

Gruß
Kümmel
keine-ahnung
Lösung keine-ahnung 22.12.2014, aktualisiert am 05.01.2015 um 13:35:55 Uhr
Goto Top
Moin nochmal,
- kein einheitlicher Vireschutz (jeder kocht hier seine eigene Suppe)
- es macht generell praktisch jeder was er möchte. Sei es private Spiele auf den Firmenlaptops aus zweifelhafter Quelle zu installieren, bis hin zu dem Verdacht, dass Filesharingtools über die geschäftliche Internetleitung genutz werden
ihr habt zunächst mal ein gravierendes Disziplinproblem --> ist Eure Firma irgendein Demokratiespielplatz oder gibt es da auch Jemanden, der was zu sagen hat?
Um nun langsam aber sicher in die richtige Richtung zu steuern haben wir uns entschlossen neue Server anzuschaffen, einen einheitlichen, zentral verwalteteten Virenschutz einzusetzen und eine Firewall anzuschaffen.
Du willst aber eine UTM-firewall anschaffen. Und dazu noch einen Virenschutz??

Mein Vorschlag für Euch paar Hanseln:

1. Disziplinierung
2. Disziplinierung
3. Disziplinierung
4. vernünftiger VPN-Router mit stateful-inspection-firewall
5. vernünftige Schutzsoftware mit Gerätezugriffssteuerung
6. GPO nutzen

und freuen face-smile.

LG, Thomas
Alchimedes
Alchimedes 23.12.2014 aktualisiert um 00:11:25 Uhr
Goto Top
Hallo ,

bei 10 Leuten ? hast Du keinen Aufwand, Nimm Dir ne Magnia oder aehnliches , konfiguriere Sie und gut.
Bei den paar Leuten tausende euro raus zu hauen ??

Wenn Du richtig eier in der Hose hast schnappst Du dir nen Linksysrouter oder aehnliches haust Du Dir da nen ddwrt,openwrt oder noch besser nen open BSD drauf.

Nutze jetzt die Moeglichkeit !

Gruss
killtec
killtec 23.12.2014 um 08:14:25 Uhr
Goto Top
Hi,
mir fällt da noch eine Appliance ein. Panda Gate Defender. Wenn du einen Panda Händler in der Nähe hast, kontaktiere ihn mal. Du kannst einen Gate-Defender 4 Wochen kostenlos testen!

Gruß
Androxin
Androxin 23.12.2014 aktualisiert um 10:58:16 Uhr
Goto Top
Zitat von @madonischer:


Zur Situation: Wir sind ein kleines Unternehmen mit 10 Mitarbeitern. Ich habe aktuell die Aufgabe unsere Technik ein wenig auf
Vordermann zu bringen. So steigen wir z.B. von einem Server 2003 auf mehrere aktuelle Windows 2012 R2 Server um.


Anforderungen:
- einfache Verwaltung
- schnell / sicher
- aufgeräumtes GUI
- Regelverwaltung

Aktuell soll wirklich nur die Firewall-Funktion genutzt werden. Eine "pfSense-Lösung" kommt aktuell nicht in Frage,
wenn ich möchte ein Gerät kaufen, anstecken und in Betrieb nehmen. Kein gebastel, keine Installationen. Klar
Konfigurieren muss ich.


Hi,

ich habe vor nicht all zu langer Zeit ein ähnliches Szenario in die Realität umgesetzt und dabei auf pfSense gesetzt.
Das einzige was damals in Richtung "gefriggel" ging war die Konfiguration einer IP über die serielle Schnittstelle, damit man überhaupt auf das Webinterface zugreifen kann. Da dieses Vorgehen aber durchaus üblich ist und problemlos (auch ohne Anleitung) über die Bühne ging, sehe ich das nicht als Nachteil.
Alles weitere war Plug and Play. Strom an, Netzwerkkabel einstöpseln, ein paar Klicks im Webinterface schon schon lief die Kiste inkl. der benötigten Portweiterleitungen. Vom Auspacken bis zur Fertigstellung der Konfiguration/Inbetriebnahme habe ich ca. 45 Minuten benötigt ohne, dass ich vorher jemals mit pfSense zutun hatte.
Eine Bedienungsanleitung oder die Hilfe der Community war dafür nicht erforderlich.

Anschließend konnten ebenfalls relativ problemlos ein Loadbalancing zwischen zwei DSL Anschlüssen und ein Punkt zu Punk OpenVPN Tunnel eingerichtet werden.
Bis jetzt bin ich mit dem Gerät sehr zufrieden.
aqui
aqui 23.12.2014 um 16:34:39 Uhr
Goto Top
Eine "pfSense-Lösung" kommt aktuell nicht in Frage, wenn ich möchte ein Gerät kaufen, anstecken und in Betrieb nehmen.
Für Leute die keinen Schraubendreher halten können kann man die pfSense als Komplettsystem fix und fertig kaufen zurm einfach reinstecken und Konfigurieren:
http://varia-store.com/Systeme-mit-Software/pfSense:::223_271.html
Kommt man auch eigentlich von selber drauf wenn man mal sucht...?!
sk
Lösung sk 24.12.2014, aktualisiert am 05.01.2015 um 13:34:34 Uhr
Goto Top
Zitat von @madonischer:

Die aktuelle Situation ist, naja sagen wir mal so, suboptimal:
- veralteter Server
- lediglich ein Router natürlich inkl. eingeschalteter Firewall zwischen Internet und Netzwerk
- eine im worst-case (in meinen Augen) nur schwer herstellbare Datensicherung ohne richtigen Sicherungsplan
- kein Zugriff für die Mitarbeiter auf bestimmte Programme von aussen
- kein einheitlicher Vireschutz (jeder kocht hier seine eigene Suppe)
- es macht generell praktisch jeder was er möchte. Sei es private Spiele auf den Firmenlaptops aus zweifelhafter Quelle zu
installieren, bis hin zu dem Verdacht, dass Filesharingtools über die geschäftliche Internetleitung genutz werden

In diesem gesamten Zusammenhang, vorallem aus Serverkapazitätsgründen haben wir entschlossen all das anzugehen.

Es soll später über die Firewall geregelt werden was nach aussen und auch nach innen kommt. Dementsprechend auch
Content-/WebFilter (klar ich kann auch mit einem einfachen Router bestimmte Ports / URLs blocken)

Zudem soll ein sicherer Zugang für die Aussendiensttätigkeit vorhanden sein.

Ausbaustufe irgendwann evtl. eine echte DMZ für den, teilweise öffentlichen Zugriff von aussen auf bestimmte Dienste
innerhalb unseres Intranets.

Also ich empfinde es als äußerst positiv, dass Du/Ihr mehrere "Baustellen" identifiziert habt. Das zeigt mir, dass Ihr ernsthaft am analysieren seid. Bezogen auf die Firewall fand ich insbesondere Deine Erwägungen zur "echten DMZ" sehr löblich. Offenkundig wurde verstanden, dass es nicht damit getan ist, eine Box mit dem Aufdruck "Firewall" zu kaufen, sondern dass es diesbezüglich eines Infragestellens der aktuellen Kommunikationswege und der Entwicklung und Umsetzung eines an den individuellen Schutzzielen ausgerichteten Konzeptes bedarf. Eine Firewall ist bestenfalls ein Teilelement eines mehrstufigen Schutzkonzeptes! Zu dessen Entwicklung und Implementierung holt Ihr Euch im Idealfall einen guten Consultant ins Boot. Das Problem ist nur, einen wirklich kompetenten Externen zu finden, wenn man selbst keine Ahnung hat. Im Grunde geht dies nur, wenn man 3-4 Partner ein Grobkonzept entwickeln oder zumindest ein umfangreiches Beratungsangebot erstellen lässt und darauf achtet, welche Fragen diese einem selbst stellen. Es gibt z.B. gewisse "Best Practices" beim Design. Nach der "reinen Lehre" ist es z.B. so, dass es generell keine direkte Kommunikation zwischen inside und outside gibt. Und zwar nicht nur von outside nach inside sondern auch von inside nach outside nicht! Jegliche Kommunikation hat eigentlich über spezielle dual homed Application Layer Gateways in der DMZ zu erfolgen. Dieser Aufbau lässt sich in der Praxis leider selten zu 100% umsetzen. Einerseits aus funktionalen Gründen und andererseits häufig auch aus Budgetgründen. Gleichwohl sollte der Berater solche Dinge ansprechen und mit Euch diskutieren. Spätestens wenn Ihr jemanden eingekauft habt, der Euch ohne Murren irgendwelche "Portforwardings" (allein bei dem Wort bekomme ich Kopfschmerzen) nach Inside einrichtet, ohne Euch vorher über die Gefahren und die Alternativen beraten zu haben, sollte Dir klar sein, dass Ihr einen Amateur eingekauft habt. Davon gibt es leider viele.


Zitat von @madonischer:

Als Budget für die "Firewall" haben wir uns bis zu 800.- gesetzt. Nun stelle ich aber fest, dass die meisten
scheinbar mit "Abos" arbeiten - je nach Anforderungen bucht man zusätzliche Pakete hinzu.
Okay machen wir genauso, nicht schlimm.

Ich habe mir die Black Dwarf UTM Firewall angeschaut ...

Alternativ gibt es die Zywall USG 60 im Bundle für knapp 475.- ink. Abo für ein Jahr.
http://www.brack.ch/zyxel-zywall-usg-60-utm-bundle-295683
Bei beiden hätten wir zudem einen AV auf "Gatewayebene" wenn ich das richtig verstehe.

Länger als 12 Monate würde ich eh keinen Vertrag aktuell abschliessen. Wenn wir nach 12 Monaten merken passt nicht zu
unseren Anforderungen bzw. kann die Welt in 12 Monaten ganz anderst aussehen - ok dann schaut man sich eben nach weiteren
Alternativen um.

Ich hab in den letzten Jahren viele Systeme auf die eigenen Projektanforderungen hin vergleichend evaluiert und teilweise auch implementiert und/oder administriert. Beginnend bei Cisco, über Juniper, Stonesoft, Astaro/Sophos etc. bis hin zu kostenlosen Alternativen wie pfSense, Monowall und IPCop. Alle hatten unterschiedliche Stärken und Schwächen. Teilweise differierte auch der Funktionsumfang signifikant. Selbst wenn die gleichen Features im Datenblatt stehen, kann sich dahinter im Detail ein ganz anderer Funktionsumfang verbergen. Von Anspekten wie Usability usw. mal ganz abgesehen. Wobei ich zugeben muss, dass zwischen einzelnen Tests teilweise Jahre lagen, so dass vor meinem geistigen Auge alte Versionsstände mit "frischen" Produkten konkurrieren. Auch war es teilweise schwer, die Funktionsunterschiede zwischen den Modellen des gleichen Herstellers herauszubekommen oder auch nur die Lizenzmodelle im Einzelnen zu durchschauen. Deshalb werde ich mich auch nicht zu Produkten äußern, die ich nicht regelmäßig in Gebrauch habe.

Je nach benötigtem Funktionsumfang und Budget habe ich mich derzeit im Wesentlichen auf folgende Produkte eingeschossen (in Reihenfolge der Einsatzhäufigkeit):
- ZyXEL ZyWALL/USG
- Dell/Sonicwall NSA und SRA
- Fortinet Fortigate
- Mikrotik RouterOS

Von allen Vier könnte ich seitenweise haarsträubende Geschichten, aber auch einiges Positives erzählen. Für eine Empfehlung für den einen oder anderen Hersteller bzw. das eine oder andere Produkt, kommt es halt sehr auf die konkreten Anforderungen an. Am ehesten abraten würde ich von Fortinet. Da sitzt bei mir die Verbitterung über die diesbezüglichen Negativerfahrungen doch ziemlich tief.
Für den Einsatz bei KMU mit begrenztem Budget und Präferenz zur Selbstadministration empfiehlt sich von den Genannten m.E. am ehesten die USG-Serie von ZyXEL. Diese Geräte haben einen vergleichsweise hohen Funktionsumfang, sind aber dennoch einfach zu administrieren und bieten die geringsten TCO (aufgrund z.B. kostenloser Firmwareupdates und kostenlosem deutschsprachigem Support per e-Mail). Auf der Negativliste stehen insbesondere die unter Sicherheitsgesichtspunkten sehr bedenkliche Defaultkonfiguration und der Umstand, dass die meisten sogenannten zertifizierten Reseller kaum mehr Ahnung von der Materie haben, als die Poweruser und Fritzbox-Fanboys.
Zu den hier bisher genannten Modellen USG100 und USG60 einige Anmerkungen von mir:
1) Die USG100 ist uralt, schnarchlangsam und daher zu Recht end of life. Also Finder weg! Der Nachfolger ist die USG110.
2) Die USG60 könnte für das vorliegende Vorhaben eine gute Wahl sein. Jedoch will ich einige Nachteile (neben den offensichtlichen, die man leicht dem Datenblatt entnehmen kann) gegenüber den größeren USGs nicht verschweigen:
- kein Device-HA
- keine SSL-Inspection
- nur 2 Jahre Standardgarantie (ab USG110 aufwärts: 5 Jahre Garantie incl. 5 Jahre NBD Vorabaustausch bei Registrierung im Kaufpreis inklusive)
Für die USG60 spricht in diesem Szenario eventuell, dass sie silent ist. Alle größeren Modelle haben mindestens einen Lüfter.


Gruß
sk
itdienstleister
Lösung itdienstleister 29.12.2014, aktualisiert am 05.01.2015 um 13:34:39 Uhr
Goto Top
Wenn die Zyxel ZyWall noch im Rennen ist, dann nimm doch eine ZyWall USG 60 statt der ZyWall USG 100.
Die 60er ist das neuere Modell, mit besseren Leistungsdaten (Durchsatz) etc.
Kann auch als WLAN-AP (ZyWall USG 60W) und als WLAN-Controller für weitere APs dienen.

http://www.zyxel.com/de/de/products_services/usg60w_60_40w_40.shtml?t=p

Grüße, FFK
madonischer
madonischer 19.02.2015 um 19:42:55 Uhr
Goto Top
Guten Abend die Damen und die Herren

vielen Dank für die zahlreichen Antworten, eventuell ist nun das Ergebnis auch dem ein oder anderen hilfreich, daher die etwas verspätetet abschliessende Antwort.

Entscheidung = pFsense

In Einzelteilen bestellt und innerhalb von 10 Minuten selbst zusammengebaut.

Install per Null-Modemkabel

Konfiguration von Putty (die Richtige) war etwas tricky, denn ich musste ein wenig mit den Einstellungen herumprobieren - teilweise wurden die Eingaben per Tastatur nicht richtig umgesetzt. Wobei ich nun auch nicht mehr zu 100% sagen kann was genau der "Fehler" war.

Installation hat dann reibungslos geklappt

Einrichtung steht noch aus.

Liebe Grüsse
aqui
aqui 19.02.2015 aktualisiert um 21:20:30 Uhr
Goto Top
Entscheidung = pFsense
Eine gute Wahl !
Install per Null-Modemkabel
Ooops...wie macht man das ??
Der normale Netzwerk Mensch flasht sich ein Image auf CF oder SD Karte, steckt es aufs Mainboard und macht die Installation per WebGUI mit gemütlichen Mausklicks ?!
Bist du Masochist oder warum nimmst du das Terminal ?! Reicht eigentlich wenn man damit die Interface Zuordnung macht und zum Troubleshooting.
Konfiguration von Putty (die Richtige) war etwas tricky,
Deshalb steht im Tutorial auch TeraTerm:
http://ttssh2.sourceforge.jp/index.html.en
Das ist für Terminal Laien besser und einfacher zu handeln ! Gerade was Baudrate und Termi Parameter anbetrifft ! Und Probleme mit dem Zeichensatz wie du es hattest gibts da auch nicht !
WICHTIG: Immer Flow Control sowohl in HW als auch SW abschalten !!