Firewall für kleines Firmennetzwerk

Mitglied: Surfer12

Surfer12 (Level 1) - Jetzt verbinden

07.12.2020, aktualisiert 15.12.2020, 1415 Aufrufe, 10 Kommentare, 1 Danke

Hallo zusammen,

mein Name ist Thomas und bin schon länger stiller Mitleser. Angemeldet habe ich mich aus allgemeinem Interesse an IT-Themen und weil ich beruflich als Elektrotechniker in der Sicherheitsbranche (Alarmanlagen, Videoüberwachung etc.) immer wieder bzw. immer mehr Berührungspunkte mit IT und Netzwerktechnik habe.

In meiner Firma gibt es folgende Infrastruktur:

- Fritzbox 7490 am 50.000 DSL-Anschluß
- NAS von Synology für Zugriff auf gemeinsame Daten und zur Datensicherung für Auftragsbearbeitung etc.
- D-Link SmartSwitch 24Port, läuft auf Defaulteinstellung
- 2 PC´s mit WIN 10Pro, werden für Büroarbeiten genutzt
- 1 PC mit WIN 10Pro, zur Steuerung diverser Maschinen
- Ubiquiti AP für WLAN
- Zugriff von außen mache ich bis jetzt über VPN mit myFritz

Nun aber zur eigentlichen Fragestellung. Im meinem Umfeld habe ich schon des Öfteren gehört, daß es Versuche gab in Firmennetze einzudringen. Mal mehr, mal weniger erfolgreich. Um nicht selbst auch zum Opfer von was oder wem auch immer zu werden, möchte ich mein Netzwerk natürlich so gut wie möglich schützen. Den ein oder anderen IT-ler habe ich zu dem Thema schon mal interviewt, war aber immer so zwischen Tür und Angel. Als Empfehlung kam dann immer der Tipp, ne Hardwarefirewall einzusetzen.

Habe zu dem Thema auch schon mal Google bemüht, bin aber leider nicht so fit, um das richtige Gerät zu finden.

Daher meine Bitte an die Experten, mir die ein oder andere Produktempfehlung zu geben. Einfache Konfiguration und eine deutsche Oberfläche wären natürlich super.

Hätte auch jemanden, der mich bei der Konfiguration unterstützen könnte.

Eventuell habt Ihr auch noch ein Tipps zur allgemeinen Netzwerksicherheit, Router, Switch etc.


Vielen Dank vorab!!

Gruß
Thomas
Mitglied: certifiedit.net
07.12.2020 um 18:06 Uhr
Daher meine Bitte an die Experten, mir die ein oder andere Produktempfehlung zu geben. Einfache Konfiguration und eine deutsche Oberfläche wären natürlich super.

OK

Hätte auch jemanden, der mich bei der Konfiguration unterstützen könnte.

Brauchst du, oder hättest du und warum empfiehlt er dann nicht das, was er am besten kann?

Beste Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: ChriBo
07.12.2020 um 18:09 Uhr
Hi,
daß es Versuche gab in Firmennetze einzudringen. Mal mehr, mal weniger erfolgreich ...
Als Empfehlung kam dann immer der Tipp, ne Hardwarefirewall einzusetzen ...
Naja.

Hast du außer dem VP mit myFritz noch andere Zugänge (Server oä. über Porforwarding etc.) eingerichtet ? Oder wird dies benötigt ?
Benötigst du einen anderen VPN Zugang ?

Wenn du beides mit "Nein" beantwortest brauchst du meiner Meinung nach keine extra Hardware Firewall.

Die größte Gefahr geht z.B. durch E-Mails Anhänge mit Schadcode aus die dann Software auf deinem PC nachlädt und so einem Angreifer Zugriff auf dein Netzwerk erlaubt.
Davor kann eine einfache Firewall nicht schützen und ein verbesserter Schutz im Vergleich zu der Fritzbox ist auch nicht für 2 Euro fuffzig zu erhalten. Das Teure ist weniger die Hardware, sondern eher eine verünftige Einrichtung und Wartung.
"Einfache Konfiguration" ist nicht, ma muß genau wisse was man macht und wovor man dann geschützt (oder auch nicht) ist.

Gruß
CH
Bitte warten ..
Mitglied: certifiedit.net
07.12.2020 um 18:12 Uhr
Wenn du beides mit "Nein" beantwortest brauchst du meiner Meinung nach keine extra Hardware Firewall.


HW Firewall, ja, aber eine UTM bezeichnen auch 9 von 10 als Firewall und die filtert weitaus mehr und ist _auch dann_ angebracht.

Davor kann eine einfache Firewall nicht schützen und ein verbesserter Schutz im Vergleich zu der Fritzbox ist auch nicht für 2 Euro fuffzig zu erhalten. Das Teure ist weniger die Hardware, sondern eher eine verünftige Einrichtung und Wartung.

damit hast du Recht

"Einfache Konfiguration" ist nicht, ma muß genau wisse was man macht und wovor man dann geschützt (oder auch nicht) ist.

und eben auch: der, der einrichtet sollte nicht nur mal den Namen gehört haben bzw entsprechend tief im Wissen drin sein.
Bitte warten ..
Mitglied: Surfer12
07.12.2020 um 18:36 Uhr
Hallo,

Danke schon mal für die Rückmeldungen. Außer dem VPN mit myFritz wird kein Zugang benötigt. Den jetzigen VPN nutze ich für meine Alarmanlage und für den Fernzugriff auf das NAS. Der IT-ler meines Vertrauens der uns mit WIN und Co. betreut ist laut eigener Aussage nicht so tief drin in der Firewall-Thematik. Bei Ihm selbst machts wiederum ein Kollege der sich drauf spezialisiert hat. Habe jetzt auch keine Vorstellung davon, wie aufwändig die Konfig so einer Firewall ist. Mir geht es im Prinzip darum, das man Kleinigkeiten auch mal selbst anpassen kann. Finde ich nervig, wenn man auch für Kleinigkeiten immer jemandem nachlaufen muß.

Gruß Thomas
Bitte warten ..
Mitglied: maretz
07.12.2020 um 18:39 Uhr
Moin,

an sich sind da 2 wichtige Punke:
a) Die Firewall schützt nur dann wenn du die auch wirklich einrichten kannst UND guckst was da passiert.

b) Viel wichtiger: Die meisten Angriffe sind heute nicht an die direkte IT gerichtet - viel zu umständlich, selbst ne blöde Fritte erlaubt ja schon (ohne Port-Forwarding) nicht viel. Angriffe werden (wenn die nich sehr zielgerichtet sind) eher auf die Personen am Rechner gemacht. Mail-Attachments, Fake-Loginseiten,... Da hilft eine normale Firewall natürlich herzlich wenig weil der Datenverkehr selbst ja zugelassen ist (z.B. vom Client auf die Server). Das es jetzt nen Crypto-Trojaner ist interessiert eine 08/15-FW erst mal überhaupt nicht.

Daher würde ich eben generell so ein Netz anschauen und nicht nur ne Firewall reinhängen und glauben das is sicher... Die wird erst dann wirklich interessant wenn du z.B. irgendwelche Forwardings (DMZ z.B.) benötigst... Ansonsten ist die zwar schön, aber eigentlich nur sehr begrenzt hilfreich... Meist wird die in der Grössenordnung nämlich dann eingerichtet und dümpelt so vor sich hin ohne das jemand überhaupt guckt was da passiert...
Bitte warten ..
Mitglied: Surfer12
07.12.2020 um 18:46 Uhr
Ok,

verstehe. Weil ich keine Ports aufmachen wollte, habe ich den Zugriff von außen ja über VPN gemacht. Werde eventuell noch ein paar Außenkameras für das Betriebgelände installieren. Das läßt sich ja aber relativ leicht über ein seperates VLAN lösen. Und sonst gibt es wie schon gesagt außer dem DSL-Anschluß selber keine Verbindung nach draußen. Den AP müsste ich vielleicht noch in seperates VLAN packen, hab ich aber bis jetzt nicht gemacht, weil die FBritzbox je keine VLANS verwalten kann. Gibt es da einen Tipp für eine Routeralternative bei der ich auch mit VPN arbeiten kann?
Bitte warten ..
Mitglied: Surfer12
07.12.2020 um 18:56 Uhr
Ach ja,

zu den Kosten. Sicherheit kostet immer etwas, mehr Sicherheit kostet etwas mehr. Versuche ich meinen Kunden auch so zu erklären. Daher bin ich auch nicht davon ausgegangen, die Firewall für ein paar Euro zu bekommen. Ist ja alles immer noch günstiger , als wenn der Betrieb ne ganze Zeit steht und man z.B. nicht mehr arbeiten kann, oder wichtige Daten verloren gehen.
Bitte warten ..
Mitglied: Hubert.N
07.12.2020 um 20:10 Uhr
Moin

ein professionelles Gateway kann Dir einiges an Mehrwert bieten. Beispielsweise können dann Geräte z.B. den Zugriff auf bekannte Botnet-IPs unterbinden. Dafür müssen sich die Geräte aber natürlich regelmäßig aktualisieren, was was zwangsläufig mit laufenden Kosten verbunden ist.
Da aber angeblich >ein Drittel aller PCs mit einem Botnet verseucht sind, kann man da schon mal drüber nachdenken....

Was für mich auch immer gegen die Fritte spricht, ist die katastrophale Rechenleistung und die damit einhergehende niedrige Bandbreite im Tunnel.

Gibt es da einen Tipp für eine Routeralternative bei der ich auch mit VPN arbeiten kann?

Wir setzen momentan bei unseren Kunden auf Clavister. https://www.clavister.com/products/ngfw/
Ist ein schwedischer Hersteller.

Gruß
Bitte warten ..
Mitglied: radiogugu
08.12.2020, aktualisiert um 15:28 Uhr
Zitat von @Surfer12:

Gibt es da einen Tipp für eine Routeralternative bei der ich auch mit VPN arbeiten kann?

Hallo.

Hier gibt es hunderte Alternativen. Aber alle sind mit Aufwand zu konfigurieren und nicht mal eben gewartet. Alles oben schon mehrfach erwähnt.

Wie @certifiedit.net schon erwähnte ist ein UTM Gerät von beispielsweise Sophos wahrscheinlich das Produkt, was am ehesten zu den Anforderungen passt. Hier wäre dann auch eine Art Spam Gateway vorhanden, was die bösen Anhänge und Links etwas im Griff halten kann.

100 % wirst du nie ein Netzwerk absichern können, denn offline ist halt keine Option mehr :) face-smile

Gruß
Radiogugu
Bitte warten ..
Mitglied: Surfer12
08.12.2020 um 17:19 Uhr
Danke erstmal an alle die sich zum Thema geäußert haben. Werde mal schauen, wie ich mit dem Thema weiter komme. Heute hat sich eventuell durch Zufall einer neuer Kontakt in dieser Richtung ergeben.

Gruß Thomas
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 7 StundenAllgemeinOff Topic28 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Microsoft
Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm
gelöst RandonDudeVor 1 TagFrageMicrosoft16 Kommentare

Hallo zusammen, ich bin Hobby-Admin für einen Versicherungsmakler. Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, ...

Windows 10
Dokumentenanzeige auf 2.Bildschirm
gelöst Rico.lehmann93Vor 1 TagFrageWindows 107 Kommentare

Hey Leute, ein Kunde von uns sucht eine Möglichkeit Mietverträge dem Kunden auf einem Bildschirm anzeigen zu lassen. Auf dem Bildschirm soll aber wirklich ...

Windows Server
Igel + Terminalserver + VoIP + Softphone
Asgard-LokiVor 1 TagFrageWindows Server13 Kommentare

Gude Kolleginnen und Kollegen, ich habe da mal eine Frage zu einem Thema was für mich relativ neu ist. Wir wollen unsere Telefonie gerne ...

Batch & Shell
Wieso funktioniert das nicht?
gelöst Hundy132Vor 1 TagFrageBatch & Shell10 Kommentare

Hallo Freunde, kann mir irgendjemand sagen wieso meine Batch datei nicht funktioniert? So sieht Sie aus: Hier soll ein ein vorgegebenes Passwort Eingegeben werden ...

Windows Server
Zwei Netzwerkkarten im Server
gelöst Big.TurboladerVor 1 TagFrageWindows Server4 Kommentare

Hallo allerseits, ich habe ein Windows Server 2016 in einer VM erstellt um mein Wissen zu erweitern. Doch jetzt hänge ich an einem Problem ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 19 StundenFrageServer-Hardware12 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Router & Routing
Probleme mit VPN Verbindung über shrewsoft
martenkVor 1 TagFrageRouter & Routing22 Kommentare

Hallo Gemeinschaft, habe ein Problem mit der o.g. Verbindung die Verbindung wird aufgebaut und ich kann auch den entfernten Rechner anpingen unter ipconfig sehe ...