Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Diskussion zur Sinnhaftigkeit von Firewalls bei SOHO

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

03.06.2019 um 08:37 Uhr, 1521 Aufrufe, 26 Kommentare

Moin,

was Schönes für den Montagmorgen worüber ich mich gerade aufgeregt habe.

Ganz konkret habe ich gerade die Betreung einer IT eines kleinen Kunden (5 MA) übernommen.
Die haben eine Firewall welche aber genau wie hier beschriben eingerichtet ist.


Es geht mir nicht um die grundlegende Sinnhaftigkeit von Firewalls.
Es geht bei SOHOs um den Zugewinn an Sicherheit in Verhältniss zu Störungen im Betrieb und den Kosten.

Bei vielen SOHOs die ich so sehe ist die Firewall wenig optimal konfiguriert.
1. Ausgehende Ports gesperrt
Sehr viele unfreundliche Programme nutzen inzwischen https ausgehend.
Eine Port-Sperre bringt hier kaum zusätzliche Sicherheit, stört aber Diense wie z.B. Adobe CC.

2. IDS/IPS/AV Proxy für http, smtp, imap und pop
Bringt kaum etwas, da inzwischen fast alles verschlüsselt ist.

3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops

Fast irgendwo wird der Proxy auch für verschlüsselte Verbindungen verwendet.
Dazu müsste man ja "nur" die passenden Zertifikate auf den Clients installieren.
Aber irgendwie macht das keiner.
Eine Programme nutzen SSL-Pinning und funktionieren dann nicht mehr.

4. IDS/IPS auf der WAN Seite hinter einer Fritz!Box
Da könnte man jetzt lange disktuieren, aber hier gibt es einen Sicherheitsgewinn

5. White-Listing von Webseiten
Das wäre das Beste, aber die meisten wollen nun mal Google und die Suchergebniss sehen.
Also sehr aufwendig.

6. VPN

Keine Frage. Wer VPN nutzt braucht das.

7. Portweiterleitungen
Aus irgendeinen Grund nutzen einige Kunden das VPN nicht und richten Portweiterleitungen auf interne Geräte ein.
RDP Server und PCs sowie Webinterface von NAS und anderen Gerätenm.

8. Störungen
Jedes Geräte kann Störungen und Supportbedarf generieren.
Neulich hatte ich bei einem Kunden dass er nicht nach "Nudel" suchen konnte.
Die Firewall hat das Suchergebnis nicht angezeigt, da auch ein Penis dabei war.


Also:
Bring es etwas: Ja
Bringt es so viel wie die Hersteller versprechen wenn es so eingerichtet ist: Nein
Lohnt es sich: Dass muss der Kunde entscheiden

Viele Grüße

Stefan
26 Antworten
Mitglied: certifiedit.net
03.06.2019 um 08:50 Uhr
Hallo Stefan,

wer alleine das Grundrauschen kennt und bereits effizient Ports auf bestimmte IPs oder Länder freigibt hat bereits einen wesentlichen Sicherheitsgewinn. Abgesehen davon ist 5 MA eben nicht 5MA. Der eine ist Chef, der sich aus H4 befreit hat und kurz darüber schwebt + 4x 450€ Jobber, der andere ist Chef und entwickelt das nächste "Big thing", wenn vielleicht auch etwas unter dem Radar und hat einen Geisteskapitalwert von mehreren Millionen € auf der IT-Infrastruktur und dann gibt es noch Ärzte (ganz interessantes Thema, wie ich letztens mit "meinem" durchgesprochen hab...aber andere Sache).

ZU den Punkten:

Ausgehende Ports sind genauso zu sperren, wie eingehende, man muss aber beide einmal definieren und ggf. pflegen. Ein Any-Any in irgendeine Richtung macht es natürlich, doof.

Proxy für Web macht Sinn - oder auch nicht, ebenfalls whitelisting. Für SMTP ist die UTM (Bei mir i.d.R Sophos) _immer_ der Proxy, sprich, Sie nimmt an, prüft und gibt dann ggf. an den Exchange/Mailserver dahinter frei.

Fritzbox? Ich häng meine UTMs, wo es geht, direkt hinter ein Modem.

Wenn das Netz schlampig geplant, oder fortgeführt wurde liegt das nicht am Produkt. Du kannst ein Messer zum bereiten eines herrlichen Essens oder für viel Blödsinn einsetzen.

Störungen kannst du mit allem haben. Wie viele Kunden bereits über die Windows-Firewall gestolpert sind und erstmal die UTM verdammten. Aber man kann sich auch über das Klingeln des Sicherheitsgurtes aufregen.

In Summe macht es sicherlich Sinn eine UTM zu haben, schon aus Haftungsgründen, wenn man sich aktuelle Versicherungsunterlagen gewissenhaft vor Augen führt. DSGVO inkonformer Datenabfluss ist dabei noch gar nicht angesprochen.

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: SeaStorm
03.06.2019 um 08:55 Uhr
Zitat von StefanKittel:

Moin,
Morgen
was Schönes für den Montagmorgen worüber ich mich gerade aufgeregt habe.
Bringt doch nix sich aufzuregen
Ganz konkret habe ich gerade die Betreung einer IT eines kleinen Kunden (5 MA) übernommen.
Die haben eine Firewall welche aber genau wie hier beschriben eingerichtet ist.


Es geht mir nicht um die grundlegende Sinnhaftigkeit von Firewalls.
Es geht bei SOHOs um den Zugewinn an Sicherheit in Verhältniss zu Störungen im Betrieb und den Kosten.

Bei vielen SOHOs die ich so sehe ist die Firewall wenig optimal konfiguriert.
1. Ausgehende Ports gesperrt
Sehr viele unfreundliche Programme nutzen inzwischen https ausgehend.
Eine Port-Sperre bringt hier kaum zusätzliche Sicherheit, stört aber Diense wie z.B. Adobe CC.
Wenn es richtig gemacht wird, ist das absolut Sinnvoll. Custom High ports sperren und dann entsprechend der Nutzung nur auf die benötigten Destinations zulassen.
Allerdings besteht natürlich das Problem mit verschlüsselten Verbindungen über 443. Wenn man SSL Traffic aufbricht kann man da reingucken und entsprechend kontrollieren.

2. IDS/IPS/AV Proxy für http, smtp, imap und pop
Bringt kaum etwas, da inzwischen fast alles verschlüsselt ist.
Diese Systeme sind logischerweise nur dann Sinnvoll, wenn SSL Inspection auch genutzt wird.


3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops

Fast irgendwo wird der Proxy auch für verschlüsselte Verbindungen verwendet.
Dazu müsste man ja "nur" die passenden Zertifikate auf den Clients installieren.
Aber irgendwie macht das keiner.
Bei SOHO ist das mangelndes Wissen/Kompetenz/Manpower für den zu erwartenden Supportaufwand

4. IDS/IPS auf der WAN Seite hinter einer Fritz!Box
Da könnte man jetzt lange disktuieren, aber hier gibt es einen Sicherheitsgewinn
Verstehe ich nicht
5. White-Listing von Webseiten
Das wäre das Beste, aber die meisten wollen nun mal Google und die Suchergebniss sehen.
Völliger Unfug. Whitelisting funktioniert in der Realität nicht. Deshalb guckt man sich pauschal den Traffic an und filtert die Websites entsprechend ihrer Kategorien, Blacklists etc.

7. Portweiterleitungen
Aus irgendeinen Grund nutzen einige Kunden das VPN nicht und richten Portweiterleitungen auf interne Geräte ein.
Bequemlichkeit der Nutzer. mimimi VPN zu kompliziert mimimi

8. Störungen
Jedes Geräte kann Störungen und Supportbedarf generieren.
Neulich hatte ich bei einem Kunden dass er nicht nach "Nudel" suchen konnte.
Die Firewall hat das Suchergebnis nicht angezeigt, da auch ein Penis dabei war.
Ich verstehe einfach nicht warum Geschäfte immer so ein Problem mit Nacktheit haben. Da wird schon mal jede Website gesperrt, die den String *Sex* enthält. Völliger Schwachsinn. Wenn man so einen Blödsinn implementiert muss man halt auch damit rechnen das man großflächig "gute" Webseiten abschießt

Also:
Bring es etwas: Ja
Bringt es so viel wie die Hersteller versprechen wenn es so eingerichtet ist: Nein
Annähernd schon. Allerdings fraglich ob ein SOHO wirklich IDS, IPS etc benötigt oder Sinnvoll umsetzen kann.
Lohnt es sich: Dass muss der Kunde entscheiden
Nein, bitte nicht. Das ist wie mit den Backups. Das lohnt sich so lange nicht, bis es sich gelohnt hätte.
Bitte warten ..
Mitglied: St-Andreas
03.06.2019 um 09:25 Uhr
Moin,

das grundlegende Problem das Du hier ansprichst: Lohnt es sich eine Funktion zu kaufen die man dann nicht nutzt (en kann) weil man sie nicht beherrscht.

Eine Firewall mit erweiterten Funktionen (NG-Firewall, UTM etc) ist nichts was man irgendwo hinstellt, einen Assistenten laufen lässt und gut ist. Solche Geräte machen nur Sinn, wenn man sie sinnvoll einrichtet und dauerhaft wartet. Das können die Kunden in der Regel nicht selber leisten und ein Wartungsvertrag wird auch nur selten angeboten, noch seltener ein sinnvoller Wartungsvertrag.

Ob es sich lohnt ein solches Gerät zu betreiben ist eine rein kaufmännische Geschichte, hier wieder das alte Spiel von Kosten-Nutzen-Risikoabwägung, sprich: Springt im Worst-Case die Versicherung ein und wenn ja, akzeptiert die das der Kunde eine Fritzbox hatte und Windows Defender, oder erwartet die Versicherung mehr?
Und dann noch wichtig: Kann die Versicherung alle, auch die nicht wirtschaftlich sofort zu messenden, Schäden ausgleichen?

Bekommt der Erotikfotograf nochmal einen Auftrag wenn im Dorf bekannt wird das seine Bilder von einem Hacker in der Facebook-Dorfgruppe gepostet wurden?

Ergo: Ob so ein Gerät sinnvoll ist oder nicht muss der Kunde nach vernünftiger Beratung entscheiden, vor allem muss der Kunde die Kosten für Anschaffung und laufende Kosten kennen. Die meisten Geräte die wir sehen und wo sich Firmen über solche Geräte aufregen sind schlichte Beratungsfehlleistungen.
Bitte warten ..
Mitglied: Lochkartenstanzer
03.06.2019 um 09:26 Uhr
Moin,

das mit den Firewalls für SoHo sehe ih genauso wie bei z.B. Sicherheitsgadgetsfeatures für's Auto:

Sicherheitsgurte nutzen nur dann etwas, wenn man sie richtig benutzt, z.B. keine dicken Jacken anzieht, sie nciht zu locker läßt, auf korrekte Wartung achte.

Oder ABS und ESP nutzen nur dann etwas, wenn man nicht im vertrauen darauf riskanter fährt.

Freisprecheinrichtungen nutzen nur dann etwas, wenn man sie gar nicht benutzt(!), denn Telefongespräche während der Fahrt lenken immer ab, egal ob mit oder ohne Freisprechanlage.

u.s.w.

Also:

Der Sicherheitsgewinn von Firewalls egal ob SoHo oder Enterprise hängt immer davon ab, ob die Leute das auch sinnvoll nutzen (können) oder nicht. Auf jeden fall ist Sicherheit imemr ein Zusatzaufwand, der vielen Leuten (leider) lästig ist.

Ich empfehle immer zumindest eine rudimentäre Firewall.

lks
Bitte warten ..
Mitglied: Looser27
03.06.2019, aktualisiert um 10:07 Uhr
3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops
Fast irgendwo wird der Proxy auch für verschlüsselte Verbindungen verwendet.
Dazu müsste man ja "nur" die passenden Zertifikate auf den Clients installieren.
Aber irgendwie macht das keiner.
Eine Programme nutzen SSL-Pinning und funktionieren dann nicht mehr.

Von mir nur eine kurze Anmerkung hierzu. Wir hatten das eine Zeit lang genau so installiert. Das Problem ist hierbei, dass sämtliches Online-Banking ebenfalls von der UTM aufgebrochen und untersucht wird. Das ist nicht gewünscht und somit habe ich das wieder deaktiviert.

Seit dem läuft ein feiner eingestellter Application Filter, der die unerwünschten HTTPS Inhalte blockiert.
Bitte warten ..
Mitglied: ukulele-7
03.06.2019 um 10:14 Uhr
Zitat von certifiedit.net:

Ausgehende Ports sind genauso zu sperren, wie eingehende, man muss aber beide einmal definieren und ggf. pflegen. Ein Any-Any in irgendeine Richtung macht es natürlich, doof.

Ich habe grundsätzlich alle ausgehenden Ports erlaubt und finde das getue darum etwas merkwürdig. Wenn unsere Außendienstler mal beim Kunden sitzen müssen die oft erst unseren VPN Port entsperren und ich muss mir dann das Argument anhören das 5-stellige Ports ja grundsätzlich "böse" sind. Würde nicht eine Schadsoftware grundsätzlich eher einen "gewöhnlichen" Port wählen um sich unauffällig zu verbinden? Eine Sperre aufgrund des Ports macht doch nur Sinn um einen ganz bestimmten, seriösen aber unerwünschten Dienst zu unterbinden. Aber was hat das mit Sicherheit zu tun?

Vielleicht fehlt mir hier auch die Erfahrung, ich betreue halt ein Netzwerk, nicht 100. Entgeht mir hier was?
Bitte warten ..
Mitglied: Lochkartenstanzer
03.06.2019, aktualisiert um 10:23 Uhr
Zitat von ukulele-7:

Wenn unsere Außendienstler mal beim Kunden sitzen müssen die oft erst unseren VPN Port entsperren und ich muss mir dann das Argument anhören das 5-stellige Ports ja grundsätzlich "böse" sind.

Wieso müssen Eure Außendienstler überhaupt Internet beim Kunden schnorren? Ich als "Kunde" würde mir da ernsthaft Gedanken machen, wenn ein Lieferant da sich einfach in mein Netz hängen will.

Für Außendienstler gibt es LTE-Module im Laptop oder ein WLAN-AP im Mobiltelefon.

lks

PS: Dafür habe ich (und meine Kunden) natürlich ein Gastnetz, das nicht ganz so restriktiv ist.
Bitte warten ..
Mitglied: Looser27
03.06.2019 um 10:30 Uhr
Wieso müssen Eure Außendienstler überhaupt Internet beim Kunden schnorren? Ich als "Kunde" würde mir da ernsthaft Gedanken machen, wenn ein Lieferant da sich einfach in mein Netz hängen will.

Wenn die baulichen Gegebenheiten, wie bei uns, eine LTE-Verbindung nicht stabil zustande kommen lassen, sind manche froh, wenn man ein Gäste-WLAN anbieten kann (gibt es bei uns aber auch erst seit ein paar Wochen).
Bitte warten ..
Mitglied: Lochkartenstanzer
03.06.2019 um 10:39 Uhr
Zitat von Looser27:

Wieso müssen Eure Außendienstler überhaupt Internet beim Kunden schnorren? Ich als "Kunde" würde mir da ernsthaft Gedanken machen, wenn ein Lieferant da sich einfach in mein Netz hängen will.

Wenn die baulichen Gegebenheiten, wie bei uns, eine LTE-Verbindung nicht stabil zustande kommen lassen, sind manche froh, wenn man ein Gäste-WLAN anbieten kann (gibt es bei uns aber auch erst seit ein paar Wochen).

Wenn kein mobiles Internet da ist, so ist das halt Schicksal (oder der falsche Provider). GästeWLAN ist ja ok. Aber daß man für Gäste an der Firewall rumschrasuben muß ist ein Unding. Gäste (außer der IT-Dienstleister, der im LAN nach dem Rechten schauen muß) haben im normalen LAN nichts zu suchen. Und der "Gast" hat nicht über die Sinnhaftigkeit der Firewall-Regeln des Gastgebers zu urteilen.

lks
Bitte warten ..
Mitglied: Looser27
03.06.2019, aktualisiert um 10:43 Uhr
Und der "Gast" hat nicht über die Sinnhaftigkeit der Firewall-Regeln des Gastgebers zu urteilen.

Alles schon erlebt..... *g* Aber am Ende des Tages bestimmt dann doch die IT darüber, was erlaubt wird und was nicht...mit Rückendeckung der GF.
Bitte warten ..
Mitglied: Looser27
03.06.2019 um 10:45 Uhr
Back to topic: Um all das realisieren zu können, bedarf es nunmal einer gescheiten Firewall. Eine Fritzbox ist für Zuhause.....nicht für's Büro.
Und für Leute, die von Zuhause arbeiten, gibts VPN (auch inkl. Telefonie). Schließlich will ich nicht die privaten Netzwerke der MA auch noch verantworten müssen.....
Bitte warten ..
Mitglied: St-Andreas
03.06.2019 um 11:04 Uhr
Zitat von Lochkartenstanzer:

Moin,

das mit den Firewalls für SoHo sehe ih genauso wie bei z.B. Sicherheitsgadgetsfeatures für's Auto:

Sicherheitsgurte nutzen nur dann etwas, wenn man sie richtig benutzt, z.B. keine dicken Jacken anzieht, sie nciht zu locker läßt, auf korrekte Wartung achte.
[...]

lks

Aus eigener Erfahrung kann ich Dir sagen: Das mit der dicken Jacke ist falsch. Mir hat ein Sicherheitsgurt mit dickster Winterjacke das Leben gerettet.
Bitte warten ..
Mitglied: Dani
03.06.2019 um 11:46 Uhr
Moin,
1. Ausgehende Ports gesperrt
Sehr viele unfreundliche Programme nutzen inzwischen https ausgehend.
Eine Port-Sperre bringt hier kaum zusätzliche Sicherheit, stört aber Diense wie z.B. Adobe CC.
Sicherheit fängt meiner Meinung aber genau da an. Viele machen sich immer Sorgen um Angriffe direkt aus dem Internet. Durch aus berechtigt, aber auch im LAN sollte die Regel "Was nicht explizit erlaubt ist, ist verboten" gelten. Das selbe übrignes auch für IP-Adressen. Gerade heute mit dem Malware Varianten eigentlich unverzichtbar. Bezüglich Programme wie Adobe CC gibt es bei verschiedenen Herstellern sogenannte Application Detection. Somit werden über eine entsprechende Regel die Anwendung erlaubt, unabhängig von den Ziel IP-Adressen. Das ist einfach den Trend der CDN geschuldet und anders auch nicht mehr administrierbar.

3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops
Eine Programme nutzen SSL-Pinning und funktionieren dann nicht mehr.
Die Anzahl der Programme ist aktuell überschaubar. Wobei wir inzwischen nach und nach wo es möglich ist, auf VPN zurückgreifen.

5. White-Listing von Webseiten
Das ist ein komplexes Thema. Wir wenden dies ausschließlich auf senible Bereiche an, die 1-2-3-4-5 erreichen müssen.

7. Portweiterleitungen
Aus irgendeinen Grund nutzen einige Kunden das VPN nicht und richten Portweiterleitungen auf interne Geräte ein.
RDP Server und PCs sowie Webinterface von NAS und anderen Gerätenm.
Kann man machen... unter bestimmten Voraussetzungen. Ich vermute aber das ist dort nicht gegeben . NoGo!


Gruß,
Dani
Bitte warten ..
Mitglied: StefanKittel
06.06.2019, aktualisiert um 07:08 Uhr
Moin,

ich komme mal auf 3. IDS/IPS/AV Proxy für https zurück.
Das sehe ich bei SOHO als primären, wenn nicht gar einzigen, Funktionspunkt.

1. unnötig weil nicht mehr genutzt
2. unnötig weil nicht mehr genutzt
4. naja
5. bei SOHO nicht umsetzbar
6. Wenn eingesetzt, dann firewall, sonst nicht.

Da inzwischen 99% des gesamten Traffics, auch Trojaner ausgehend, https ist, sehe ich einen https Proxy als primären, wenn nicht einzigen, Funktionspunkt einer Firewall.

Ich habe aber inzwischen mehrere Programme gehabt, die damit nicht mehr funktionieren.
Dazu gehören Onlinebanking-Programme, Datev, 1-2 medizinische Programme und relativ viele Webseiten mit SSL-Pinning.
Also kann man diesen Punkt eigentlich auch vergessen.

Dann bleibt nichts mehr übrig für eine Firewall.
Wichtig: Wir sprechen hier immer nur von SOHO ohne eigenen ITler.


Warum dann nicht eine OPNsense mit xDSL-Modem oder NAT-Kaskade wenn "notwendig"?
VPN kann die auch, Updates gibt es dafür.

Stefan
Bitte warten ..
Mitglied: certifiedit.net
06.06.2019 um 07:09 Uhr
Was setzt du denn für Appliances ein?
Bitte warten ..
Mitglied: StefanKittel
06.06.2019, aktualisiert um 07:25 Uhr
Zitat von certifiedit.net:
Was setzt du denn für Appliances ein?
Primär SecurePoint und Gateprotect (inzwischen ja R+S).
Die sind damit auch glücklich und das bleibt so.

Aber
"Ganz konkret habe ich gerade die Betreung einer IT eines kleinen Kunden (5 MA) übernommen.
Die haben eine Firewall welche aber genau wie hier beschriben eingerichtet ist."
Da bleibt mir eigentlich nur die Empfehlung die Firewall nicht kostenpflichtig zu verlängern, da der Nutzen ziemlich gering ist.
Sie schützt aktuell ja nicht mal beim surfen und VPN wird nicht genutzt. Was bleibt da noch übrig.

Stefan

PS: Ich finde es prima von Euch, dass bisher kein Hate-Kommentare dabei sind!
Bitte warten ..
Mitglied: ukulele-7
06.06.2019 um 07:40 Uhr
Also ich gebe zu ich nutze (eigene IT) Portweiterleitung für ActiveSync und einen kleinen FTP. Ich bin noch ganz glücklich über Country Blocking von Sophos.
Bitte warten ..
Mitglied: Looser27
06.06.2019 um 09:01 Uhr
Warum dann nicht eine OPNsense mit xDSL-Modem oder NAT-Kaskade wenn "notwendig"?
VPN kann die auch, Updates gibt es dafür.

Halte ich für die Sinnvollste Alternative bei vernünftigen Kosten. Die Wartung kannst Du per VPN machen und die Teile laufen und laufen und laufen.....

Ob Du jetzt OPNSense oder pfSense nimmst, ist Geschmackssache.
Bitte warten ..
Mitglied: certifiedit.net
06.06.2019 um 09:18 Uhr
Nun, wie ich bereits oft festgestellt habe ist es insbesondere bei deren Vertrieb als "Volksfirewall" so, dass die Leute sich bisher nur mit Fritzboxen umgaben und nun bessere Verkaufsmöglichkeiten sehen - aber effektiv wenig Ahnung von IT-Sec und Firewalling haben. Ist ja kein Problem, aber dann sollte man auch keine IT-Sicherheit verkaufen. Das ist demnach keine Frage nach (SoHo) Sicherheit, sondern nach "richtiger Betreuer".

Wie wir wissen setze ich als Sophos Partner zu fast 80% auf Sophos (paar Mikrotik, paar Forti). U.a ist es mir mindestens zwei mal als Systemhaus 2nd Level bewusst passiert; wenn meine Fragen zur Basic "Schnellhandhabung" mit Nichtaussagen quittiert werden, dann ist die Sache auch schon klar.

Dementsprechend würde ich mir nicht um die Grundlage Gedanken machen, die Firewall absichern ist bei mir immer mit auf den Grundübernahmejobs. Klar, weil auch jeder die Sache etwas anders sieht, ich sag nur obiges "von Innen nach aussen ist alles offen". Würde ich bei mir nicht so dulden, auch wenn oben wohl ein Grund dafür gegeben ist.

Christian

PS: Weshalb erwartest du denn Hate Kommentare?
Bitte warten ..
Mitglied: Looser27
06.06.2019 um 09:29 Uhr
Die Fritzbox hat ja im privaten Umfeld durchaus ihre Berechtigung. Für min. 80% der Haushalte reicht diese auch völlig aus, weil sie eben einfach einzurichten ist (exemplarisch mal das Prozedere von 1&1 genannt, welches die Box nach Eingabe eines Codes vollständig grundeinrichtet inkl. Telefonie).
Die Kunden der Fritzbox wollen sich aber auch nicht mit IT-Security und deren Feinheiten beschäftigen (Gründe sind vielfältig).

OPNSense & Co. halte ich nicht für die neue "Volksfirewall", da man sich hier schon sehr mit der Materie auseinandersetzen muss, zumal einige Fritzbox-Features (VOIP, DECT, WLAN) auf einem APU-Board zumindest zusätzlich verbaut werden müssen (WLAN) oder gar nicht verfügbar sind (VOIP, DECT).
Hier kommt dann noch weiteres Equipment ins Spiel, welches auch noch administriert werden muss.

Wer aber auf der Suche nach einer ALL-IN-ONE Lösung ist, wird zumindest bei den Produkten von Unifi fündig. Die sehe ich in dem Zusammenhang eher als "Volksfirewall".
Bitte warten ..
Mitglied: StefanKittel
06.06.2019 um 09:38 Uhr
Zitat von certifiedit.net:
PS: Weshalb erwartest du denn Hate Kommentare?
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren

Ich freue mich einfach, dass wir hier so konstruktiv Gedanken austauschen können...
Bitte warten ..
Mitglied: Lochkartenstanzer
06.06.2019 um 09:53 Uhr
Zitat von StefanKittel:

Zitat von certifiedit.net:
PS: Weshalb erwartest du denn Hate Kommentare?
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren

Naja, ich würde das nicht gerade als Hate-Kommentar bezeichnen. Er ist nur sehr direkt mit seinen Aussagen. Die meisten nehmen seine meist zwar sachlichen, aber durchaus "undiplomatischen" Antworten zu persönlich.

lks
Bitte warten ..
Mitglied: certifiedit.net
06.06.2019 um 10:26 Uhr
Zitat von StefanKittel:

Zitat von certifiedit.net:
PS: Weshalb erwartest du denn Hate Kommentare?
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren

Ich freue mich einfach, dass wir hier so konstruktiv Gedanken austauschen können...

Sehe dies nicht als Hass Kommentar.
Bitte warten ..
Mitglied: certifiedit.net
06.06.2019 um 10:28 Uhr
Zitat von Looser27:

Die Fritzbox hat ja im privaten Umfeld durchaus ihre Berechtigung. Für min. 80% der Haushalte reicht diese auch völlig aus, weil sie eben einfach einzurichten ist (exemplarisch mal das Prozedere von 1&1 genannt, welches die Box nach Eingabe eines Codes vollständig grundeinrichtet inkl. Telefonie).

Im Privaten ohne Frage!

Die Kunden der Fritzbox wollen sich aber auch nicht mit IT-Security und deren Feinheiten beschäftigen (Gründe sind vielfältig).

Ist auch irgendwie OK.

OPNSense & Co. halte ich nicht für die neue "Volksfirewall", da man sich hier schon sehr mit der Materie auseinandersetzen muss, zumal einige Fritzbox-Features (VOIP, DECT, WLAN) auf einem APU-Board zumindest zusätzlich verbaut werden müssen (WLAN) oder gar nicht verfügbar sind (VOIP, DECT).

Davon habe ich nicht gesprochen, aber bspw SecurePoint ist ein wenig in diese Krätsche gesprungen.

Hier kommt dann noch weiteres Equipment ins Spiel, welches auch noch administriert werden muss.

Das ist immer so, aber bei IT-Equipment kritischer.

Wer aber auf der Suche nach einer ALL-IN-ONE Lösung ist, wird zumindest bei den Produkten von Unifi fündig. Die sehe ich in dem Zusammenhang eher als "Volksfirewall".

Nunja, je nach dem, oder eine Volksvercloudung?
Bitte warten ..
Mitglied: StefanKittel
06.06.2019 um 10:30 Uhr
Zitat von Lochkartenstanzer:
Zitat von StefanKittel:
Zitat von certifiedit.net:
PS: Weshalb erwartest du denn Hate Kommentare?
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren
Naja, ich würde das nicht gerade als Hate-Kommentar bezeichnen. Er ist nur sehr direkt mit seinen Aussagen. Die meisten nehmen seine meist zwar sachlichen, aber durchaus "undiplomatischen" Antworten zu persönlich.
Ja, ungeschickt formuliert. Aber es gibt hier immer mal wieder Themen die totgetreten werden weil das halt so ist...
Bitte warten ..
Mitglied: Looser27
06.06.2019 um 11:27 Uhr
Nunja, je nach dem, oder eine Volksvercloudung?

Nicht unbedingt. Bei mir läuft der Controller virtualisiert auf einem Intel NUC, weil ich nämlich genau keine Cloud möchte.
Bitte warten ..
Ähnliche Inhalte
E-Mail
Outlook OST-Problem - Neue Diskussion
Frage von YannoschE-Mail5 Kommentare

Guten Morgen liebe Community, zu meinem Thema gibt es schon etliche Threats - ich möchte allerdings gerne eine neue ...

TK-Netze & Geräte
Soho L3 Managed Switch
Frage von ElmaroTK-Netze & Geräte3 Kommentare

Hi. Ich suche einen SoHo Layer 3 Switch, der nicht ganz so teuer ist. Brauche ca 8 Ports. Wichtig ...

Batch & Shell

Gleichzeitiges Ausführen vieler Batche (Diskussion)

Frage von klausphBatch & Shell2 Kommentare

Guten Tag allerseits vielleicht interessiert das den einen oder anderen ;-) auch ist das thema vielleicht schon mal angerissen ...

Backup

Wo installiert man Veeam bei SoHo?

Frage von EDVMan27Backup17 Kommentare

Hallo, nachdem ich die neue Veeam CE bei mir getestet habe, wollte ich es einmal bei einem Kunden testen. ...

Neue Wissensbeiträge
Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 1 StundeWindows 105 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 19 StundenWindows 104 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Viren und Trojaner

Entschlüsselungs-Tool für aktuelle GandCrab-Version verfügbar

Information von MrCount vor 23 StundenViren und Trojaner

Für alle Betroffenen gibt es offenbar ein Tool zur Entschlüsselung. Dann wird wohl die nächste version von GandCrap nicht ...

LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 4 TagenLAN, WAN, Wireless3 Kommentare

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Heiß diskutierte Inhalte
Viren und Trojaner
Gefahr - Risiko zwischen doc xls und docx xlsx
Frage von Asker06Viren und Trojaner33 Kommentare

Guten Tag, ich wollte wissen ob die .doc und .xls datein viel gefährlicher sind als .docx und .xlsx?? Ich ...

Sicherheit
Wie sichert (verschlüsselt) ihr eure Passwörter ?
gelöst Frage von decehakanSicherheit20 Kommentare

Hallo Admins, Mittlerweile hat man für jeden Dienst seine Zugangsdaten, sei es Amazon, Bank, FB, etc , vor allem ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk17 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...

Netzwerkmanagement
VLAN zwischen HP Switchen
gelöst Frage von SykoNFNetzwerkmanagement15 Kommentare

Moin Moin, ich versuche eine ganz einfachen Aufbau von VLAN zu erreichen. Ich habe zwei Switche, HP 1920-48G und ...