surfer12
Goto Top

Firewall für kleines Firmennetzwerk

Hallo zusammen,

mein Name ist Thomas und bin schon länger stiller Mitleser. Angemeldet habe ich mich aus allgemeinem Interesse an IT-Themen und weil ich beruflich als Elektrotechniker in der Sicherheitsbranche (Alarmanlagen, Videoüberwachung etc.) immer wieder bzw. immer mehr Berührungspunkte mit IT und Netzwerktechnik habe.

In meiner Firma gibt es folgende Infrastruktur:

- Fritzbox 7490 am 50.000 DSL-Anschluß
- NAS von Synology für Zugriff auf gemeinsame Daten und zur Datensicherung für Auftragsbearbeitung etc.
- D-Link SmartSwitch 24Port, läuft auf Defaulteinstellung
- 2 PC´s mit WIN 10Pro, werden für Büroarbeiten genutzt
- 1 PC mit WIN 10Pro, zur Steuerung diverser Maschinen
- Ubiquiti AP für WLAN
- Zugriff von außen mache ich bis jetzt über VPN mit myFritz

Nun aber zur eigentlichen Fragestellung. Im meinem Umfeld habe ich schon des Öfteren gehört, daß es Versuche gab in Firmennetze einzudringen. Mal mehr, mal weniger erfolgreich. Um nicht selbst auch zum Opfer von was oder wem auch immer zu werden, möchte ich mein Netzwerk natürlich so gut wie möglich schützen. Den ein oder anderen IT-ler habe ich zu dem Thema schon mal interviewt, war aber immer so zwischen Tür und Angel. Als Empfehlung kam dann immer der Tipp, ne Hardwarefirewall einzusetzen.

Habe zu dem Thema auch schon mal Google bemüht, bin aber leider nicht so fit, um das richtige Gerät zu finden.

Daher meine Bitte an die Experten, mir die ein oder andere Produktempfehlung zu geben. Einfache Konfiguration und eine deutsche Oberfläche wären natürlich super.

Hätte auch jemanden, der mich bei der Konfiguration unterstützen könnte.

Eventuell habt Ihr auch noch ein Tipps zur allgemeinen Netzwerksicherheit, Router, Switch etc.


Vielen Dank vorab!!

Gruß
Thomas

Content-ID: 629292

Url: https://administrator.de/forum/firewall-fuer-kleines-firmennetzwerk-629292.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

certifiedit.net
certifiedit.net 07.12.2020 um 18:06:43 Uhr
Goto Top
Daher meine Bitte an die Experten, mir die ein oder andere Produktempfehlung zu geben. Einfache Konfiguration und eine deutsche Oberfläche wären natürlich super.

OK

Hätte auch jemanden, der mich bei der Konfiguration unterstützen könnte.

Brauchst du, oder hättest du und warum empfiehlt er dann nicht das, was er am besten kann?

Beste Grüße,

Christian
certifiedit.net
ChriBo
ChriBo 07.12.2020 um 18:09:11 Uhr
Goto Top
Hi,
daß es Versuche gab in Firmennetze einzudringen. Mal mehr, mal weniger erfolgreich ...
Als Empfehlung kam dann immer der Tipp, ne Hardwarefirewall einzusetzen ...
Naja.

Hast du außer dem VP mit myFritz noch andere Zugänge (Server oä. über Porforwarding etc.) eingerichtet ? Oder wird dies benötigt ?
Benötigst du einen anderen VPN Zugang ?

Wenn du beides mit "Nein" beantwortest brauchst du meiner Meinung nach keine extra Hardware Firewall.

Die größte Gefahr geht z.B. durch E-Mails Anhänge mit Schadcode aus die dann Software auf deinem PC nachlädt und so einem Angreifer Zugriff auf dein Netzwerk erlaubt.
Davor kann eine einfache Firewall nicht schützen und ein verbesserter Schutz im Vergleich zu der Fritzbox ist auch nicht für 2 Euro fuffzig zu erhalten. Das Teure ist weniger die Hardware, sondern eher eine verünftige Einrichtung und Wartung.
"Einfache Konfiguration" ist nicht, ma muß genau wisse was man macht und wovor man dann geschützt (oder auch nicht) ist.

Gruß
CH
certifiedit.net
certifiedit.net 07.12.2020 um 18:12:13 Uhr
Goto Top
Wenn du beides mit "Nein" beantwortest brauchst du meiner Meinung nach keine extra Hardware Firewall.


HW Firewall, ja, aber eine UTM bezeichnen auch 9 von 10 als Firewall und die filtert weitaus mehr und ist _auch dann_ angebracht.

Davor kann eine einfache Firewall nicht schützen und ein verbesserter Schutz im Vergleich zu der Fritzbox ist auch nicht für 2 Euro fuffzig zu erhalten. Das Teure ist weniger die Hardware, sondern eher eine verünftige Einrichtung und Wartung.

damit hast du Recht

"Einfache Konfiguration" ist nicht, ma muß genau wisse was man macht und wovor man dann geschützt (oder auch nicht) ist.

und eben auch: der, der einrichtet sollte nicht nur mal den Namen gehört haben bzw entsprechend tief im Wissen drin sein.
Surfer12
Surfer12 07.12.2020 um 18:36:20 Uhr
Goto Top
Hallo,

Danke schon mal für die Rückmeldungen. Außer dem VPN mit myFritz wird kein Zugang benötigt. Den jetzigen VPN nutze ich für meine Alarmanlage und für den Fernzugriff auf das NAS. Der IT-ler meines Vertrauens der uns mit WIN und Co. betreut ist laut eigener Aussage nicht so tief drin in der Firewall-Thematik. Bei Ihm selbst machts wiederum ein Kollege der sich drauf spezialisiert hat. Habe jetzt auch keine Vorstellung davon, wie aufwändig die Konfig so einer Firewall ist. Mir geht es im Prinzip darum, das man Kleinigkeiten auch mal selbst anpassen kann. Finde ich nervig, wenn man auch für Kleinigkeiten immer jemandem nachlaufen muß.

Gruß Thomas
maretz
maretz 07.12.2020 um 18:39:17 Uhr
Goto Top
Moin,

an sich sind da 2 wichtige Punke:
a) Die Firewall schützt nur dann wenn du die auch wirklich einrichten kannst UND guckst was da passiert.

b) Viel wichtiger: Die meisten Angriffe sind heute nicht an die direkte IT gerichtet - viel zu umständlich, selbst ne blöde Fritte erlaubt ja schon (ohne Port-Forwarding) nicht viel. Angriffe werden (wenn die nich sehr zielgerichtet sind) eher auf die Personen am Rechner gemacht. Mail-Attachments, Fake-Loginseiten,... Da hilft eine normale Firewall natürlich herzlich wenig weil der Datenverkehr selbst ja zugelassen ist (z.B. vom Client auf die Server). Das es jetzt nen Crypto-Trojaner ist interessiert eine 08/15-FW erst mal überhaupt nicht.

Daher würde ich eben generell so ein Netz anschauen und nicht nur ne Firewall reinhängen und glauben das is sicher... Die wird erst dann wirklich interessant wenn du z.B. irgendwelche Forwardings (DMZ z.B.) benötigst... Ansonsten ist die zwar schön, aber eigentlich nur sehr begrenzt hilfreich... Meist wird die in der Grössenordnung nämlich dann eingerichtet und dümpelt so vor sich hin ohne das jemand überhaupt guckt was da passiert...
Surfer12
Surfer12 07.12.2020 um 18:46:24 Uhr
Goto Top
Ok,

verstehe. Weil ich keine Ports aufmachen wollte, habe ich den Zugriff von außen ja über VPN gemacht. Werde eventuell noch ein paar Außenkameras für das Betriebgelände installieren. Das läßt sich ja aber relativ leicht über ein seperates VLAN lösen. Und sonst gibt es wie schon gesagt außer dem DSL-Anschluß selber keine Verbindung nach draußen. Den AP müsste ich vielleicht noch in seperates VLAN packen, hab ich aber bis jetzt nicht gemacht, weil die FBritzbox je keine VLANS verwalten kann. Gibt es da einen Tipp für eine Routeralternative bei der ich auch mit VPN arbeiten kann?
Surfer12
Surfer12 07.12.2020 um 18:56:19 Uhr
Goto Top
Ach ja,

zu den Kosten. Sicherheit kostet immer etwas, mehr Sicherheit kostet etwas mehr. Versuche ich meinen Kunden auch so zu erklären. Daher bin ich auch nicht davon ausgegangen, die Firewall für ein paar Euro zu bekommen. Ist ja alles immer noch günstiger , als wenn der Betrieb ne ganze Zeit steht und man z.B. nicht mehr arbeiten kann, oder wichtige Daten verloren gehen.
Hubert.N
Hubert.N 07.12.2020 um 20:10:30 Uhr
Goto Top
Moin

ein professionelles Gateway kann Dir einiges an Mehrwert bieten. Beispielsweise können dann Geräte z.B. den Zugriff auf bekannte Botnet-IPs unterbinden. Dafür müssen sich die Geräte aber natürlich regelmäßig aktualisieren, was was zwangsläufig mit laufenden Kosten verbunden ist.
Da aber angeblich >ein Drittel aller PCs mit einem Botnet verseucht sind, kann man da schon mal drüber nachdenken....

Was für mich auch immer gegen die Fritte spricht, ist die katastrophale Rechenleistung und die damit einhergehende niedrige Bandbreite im Tunnel.

Gibt es da einen Tipp für eine Routeralternative bei der ich auch mit VPN arbeiten kann?

Wir setzen momentan bei unseren Kunden auf Clavister. https://www.clavister.com/products/ngfw/
Ist ein schwedischer Hersteller.

Gruß
radiogugu
radiogugu 08.12.2020 aktualisiert um 15:28:31 Uhr
Goto Top
Zitat von @Surfer12:

Gibt es da einen Tipp für eine Routeralternative bei der ich auch mit VPN arbeiten kann?

Hallo.

Hier gibt es hunderte Alternativen. Aber alle sind mit Aufwand zu konfigurieren und nicht mal eben gewartet. Alles oben schon mehrfach erwähnt.

Wie @certifiedit.net schon erwähnte ist ein UTM Gerät von beispielsweise Sophos wahrscheinlich das Produkt, was am ehesten zu den Anforderungen passt. Hier wäre dann auch eine Art Spam Gateway vorhanden, was die bösen Anhänge und Links etwas im Griff halten kann.

100 % wirst du nie ein Netzwerk absichern können, denn offline ist halt keine Option mehr face-smile

Gruß
Radiogugu
Surfer12
Surfer12 08.12.2020 um 17:19:41 Uhr
Goto Top
Danke erstmal an alle die sich zum Thema geäußert haben. Werde mal schauen, wie ich mit dem Thema weiter komme. Heute hat sich eventuell durch Zufall einer neuer Kontakt in dieser Richtung ergeben.

Gruß Thomas