9
Hardware-Firewall - NGFW - UTM für Privatgebrauch
Hallo liebe Community,
seit mehreren Wochen beschäftige ich mich nun schon mit dem Thema Hardware-Firewall, ausgelöst durch Begriffe wie UTM / NGFW / Layer-7-DPI.
Neben den ganzen Anbietern wie Sophos, Netgate, Checkpoint, Cisco und den freien Software-Paketen von PFSense / OPNSense bin ich ich inzwischen maximal verwirrt und hoffe, dass ihr mir eine vernünftige Richtung vorgeben könnt.
Vorhandene Hardware:
Was möchte ich haben:
Für die VDSL-Verbindung kann ein SFP-Modem genutzt werden oder die FritzBox weiterhin.
Preisrahmen: 300 Euro plus/minus, jährliche Kosten sollten im Rahmen bleiben, für mich heißt das unter 50 Euro.
Was möchte ich wissen?
Mein Niveau ist technisch versiert, ich weiß, dass „sudo“ mehr ist als ein Fanta4-Mitglied und kann auch mit Docker umgehen. Hat aber alles Grenzen.
Vielen Dank für eure Einschätzung.
Matthias.
seit mehreren Wochen beschäftige ich mich nun schon mit dem Thema Hardware-Firewall, ausgelöst durch Begriffe wie UTM / NGFW / Layer-7-DPI.
Neben den ganzen Anbietern wie Sophos, Netgate, Checkpoint, Cisco und den freien Software-Paketen von PFSense / OPNSense bin ich ich inzwischen maximal verwirrt und hoffe, dass ihr mir eine vernünftige Richtung vorgeben könnt.
Vorhandene Hardware:
- Fritz Box: Mir ist klar, dass die aus Sicht IT-Sicherheit nur rudimentär ausgestattet ist
- Mikrotik-Geräte (hac2, wac): Extrem schwer zu konfigurieren, aber nicht unmöglich
Was möchte ich haben:
- Eine beruhigende Absicherung meines Netzwerks, insbesondere eine Trennung von Laptops/Tablets zu IoT-Geräten
- Schutz des HTTPS-Datenstroms
- VPN-Zugriff und VPN-Site2Site mit FritzBoxen
- Optional: Integration von PiHole oder eines vergleichbares Dienstes
Für die VDSL-Verbindung kann ein SFP-Modem genutzt werden oder die FritzBox weiterhin.
Preisrahmen: 300 Euro plus/minus, jährliche Kosten sollten im Rahmen bleiben, für mich heißt das unter 50 Euro.
Was möchte ich wissen?
- Ist mein Wunsch für private Zwecke richtig oder überzogen? Ist die FritzBox sicherer als ihre reduzierten Einstellungen vermuten lassen?
- Welche Hardware ist geeignet? Das Angebot reicht von Spezialroutern, über NUC-ähnliche Mini-PCs mit teils viel Rechenpower?
- UTM wird oft auch mit Antiviren-Software verbunden. Kann es diese ersetzen für Laptops? Wie sieht es mit Tablet/Smartphone aus?
Mein Niveau ist technisch versiert, ich weiß, dass „sudo“ mehr ist als ein Fanta4-Mitglied und kann auch mit Docker umgehen. Hat aber alles Grenzen.
Vielen Dank für eure Einschätzung.
Matthias.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 658821
Url: https://administrator.de/contentid/658821
Printed on: April 26, 2024 at 08:04 o'clock
9 Comments
Latest comment
Moin,
für den Hausgebrauch sind UTMs der Overkilll, sowohl vom Preis als auch vom Funktionsumfang her.
Als Standart Setup gilt für mich: Fritte (Ohne Internetfreigaben/exposed Hosts/Portforwarding/Upnp etc). + PiHole + AV auf die Clients und ggfs noch (einen) managebare(n) Switch(e) zwecks VLAN nach gusto und/oder Gelbdbeutel.
lg,
Slainte
für den Hausgebrauch sind UTMs der Overkilll, sowohl vom Preis als auch vom Funktionsumfang her.
Als Standart Setup gilt für mich: Fritte (Ohne Internetfreigaben/exposed Hosts/Portforwarding/Upnp etc). + PiHole + AV auf die Clients und ggfs noch (einen) managebare(n) Switch(e) zwecks VLAN nach gusto und/oder Gelbdbeutel.
Schutz des HTTPS-Datenstroms
Was bedeutet das? Wer schützt denn den Schützer? :Dlg,
Slainte
Hallo Matthias,
um wie viele IPs wird es ungefähr in deinem Heimgebrauch gehen?
Ich nutze sehr gern die Sophos UTM/XG home für den Heimgebrauch, dort bekommst du ziemlich viel für kostenlos.
Die Limitierung liegt aber auf 50IPs
Viele Grüße
Leo
um wie viele IPs wird es ungefähr in deinem Heimgebrauch gehen?
Ich nutze sehr gern die Sophos UTM/XG home für den Heimgebrauch, dort bekommst du ziemlich viel für kostenlos.
Die Limitierung liegt aber auf 50IPs
Viele Grüße
Leo
Die Sophos-Geräte habe ich gesehen, die XG-Firewalls kommen sicher in den engeren Kreis.
Bei den 50 IPs wird es schwieriger. Heißt das, dass nicht mehr als 50 Geräte eine IP-Adresse beziehen können oder dass ich maximal 50 Geräte unter den Schutz stellen darf. Ich weiß, das klingt überzogen, aber die kommen recht schnell zustande:
- 4 Laptops
- 2 Tablets
- 2 Smartphones
- 2 SmartTV
- 2 TV-Zuspieler
- 2 Konsolen
- 4 SmartSpeaker
- Staubsauger, Hue-Bridge, NAS, Neatmo-Geräte, Spiegel, 2xHarmonyHub
Wenn ich die ganzen IoT-Gerät separat von dem 50er Kontingent handhaben kann, wäre das für mich in Ordnung.
Bzgl des HTTPS-Datenstroms: Nach meinem Verständnis wird heute die Mehrzahl der Kommunikation mit dem Internet über SSL abgewickelt, jeder Browser warnt mich ja fröhlich, wenn eine Seite kein gültiges Zertifikat vorliegt.
Hier, so nach meiner bisherigen Recherche, können moderne Firewalls den Datenstrom auf Gefahren...ich sag mal scannen / untersuchen. Wenn das nur ein Marketing-Märchen ist, dann habe ich damit alles andere als ein Problem.
Bei den 50 IPs wird es schwieriger. Heißt das, dass nicht mehr als 50 Geräte eine IP-Adresse beziehen können oder dass ich maximal 50 Geräte unter den Schutz stellen darf. Ich weiß, das klingt überzogen, aber die kommen recht schnell zustande:
- 4 Laptops
- 2 Tablets
- 2 Smartphones
- 2 SmartTV
- 2 TV-Zuspieler
- 2 Konsolen
- 4 SmartSpeaker
- Staubsauger, Hue-Bridge, NAS, Neatmo-Geräte, Spiegel, 2xHarmonyHub
Wenn ich die ganzen IoT-Gerät separat von dem 50er Kontingent handhaben kann, wäre das für mich in Ordnung.
Bzgl des HTTPS-Datenstroms: Nach meinem Verständnis wird heute die Mehrzahl der Kommunikation mit dem Internet über SSL abgewickelt, jeder Browser warnt mich ja fröhlich, wenn eine Seite kein gültiges Zertifikat vorliegt.
Hier, so nach meiner bisherigen Recherche, können moderne Firewalls den Datenstrom auf Gefahren...ich sag mal scannen / untersuchen. Wenn das nur ein Marketing-Märchen ist, dann habe ich damit alles andere als ein Problem.
Extrem schwer zu konfigurieren, aber nicht unmöglich
Wie immer eine relative Aussage die nichts besagt. Für andere ist das kinderleicht... Eins fehlte noch in deiner Liste:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hat ein einfaches Klicki Bunti Interface !
Ja, die Lösungen für PFSense bzw. OPNSense auch in Verbindung mit den PC Engine Geräten wäre möglich. Habe auch bei Netgate entsprechende PFSense-Geräte gesehen, die aber nunmehr splitten zwischen freier Software und bezahlter Software.
(Ich habe echt versucht, meine Hausaufgaben zu machen, bevor ich eine so allgemeine Frage stelle.)
Wenn ihr, als Community, hier klar die Aussage vertretet: OPNSense ist beherrschbar und bringt einen Mehrwert, Dienste wie Netflix / IPTV / Streaming sind ebenfalls weiterhin gut möglich, dann gehe ich den Aufwand.
Bin aber auch bereit, ein paar Euro mehr auszugeben für eine Standard-nahe Lösung.
Das sind die Punkte an denen ich hänge. Hänge zwischen Lizenzmodellen, Marketingaussagen und irgendwie recht kleiner Modellauswahl, wenn es nicht in einem Rack hängt.
(Ich habe echt versucht, meine Hausaufgaben zu machen, bevor ich eine so allgemeine Frage stelle.)
Wenn ihr, als Community, hier klar die Aussage vertretet: OPNSense ist beherrschbar und bringt einen Mehrwert, Dienste wie Netflix / IPTV / Streaming sind ebenfalls weiterhin gut möglich, dann gehe ich den Aufwand.
Bin aber auch bereit, ein paar Euro mehr auszugeben für eine Standard-nahe Lösung.
Das sind die Punkte an denen ich hänge. Hänge zwischen Lizenzmodellen, Marketingaussagen und irgendwie recht kleiner Modellauswahl, wenn es nicht in einem Rack hängt.
Ich habe bei mir jetzt eine OPSense auf einem APU- Board laufen und nutze Mikrotik APs mit MSSID in verschiedenen VLANs am laufen. Ich nutze das auch zur Trennung meiner Clients, Smarthome bzw. IoT- Devices. Außerdem noch ein separates VLAN für IPTV Streams und Gäste.
IPTV über IGMP- Proxy habe ich noch nicht richtig am laufen und bin ich noch dabei.
Den WebProxy mit SSL- Inspektion habe ich auch eingerichtet, aber bei den FireTVs etc. deaktiviert. Netflix und Co. läuft bei mir einwandfrei.
Wichtig war für mich auch die ReverseProxy Funktionalität, die ich für externen Zugriff auf Synology DSM, HomeAssistant etc. nutze.
Außerdem ist der Zugriff per GeoBlocking- Liste nur aus Deutschland möglich.
IPTV über IGMP- Proxy habe ich noch nicht richtig am laufen und bin ich noch dabei.
Den WebProxy mit SSL- Inspektion habe ich auch eingerichtet, aber bei den FireTVs etc. deaktiviert. Netflix und Co. läuft bei mir einwandfrei.
Wichtig war für mich auch die ReverseProxy Funktionalität, die ich für externen Zugriff auf Synology DSM, HomeAssistant etc. nutze.
Außerdem ist der Zugriff per GeoBlocking- Liste nur aus Deutschland möglich.
Ich hatte einen Test mit VDSL am Mikrotik sowie Einwahl über ein SFP-VDSL2-Modem an einem Telekomanschluss.
Ich war 6 Minuten online und konnte sehen, dass die ersten Anmeldeversuche mit „root“-Benutzer im Log standen.
Konntest Du in Deinem Aufbau erkennen, dass Angriffe erfolgten und hoffentlich erfolgreich abgewehrt wurden?
Ich war 6 Minuten online und konnte sehen, dass die ersten Anmeldeversuche mit „root“-Benutzer im Log standen.
Konntest Du in Deinem Aufbau erkennen, dass Angriffe erfolgten und hoffentlich erfolgreich abgewehrt wurden?
Ich war 6 Minuten online und konnte sehen, dass die ersten Anmeldeversuche mit „root“-Benutzer im Log standen.
Normal passiert das an JEDEM Internet Anschluss innerhalb von 10 bis 30 Sekunden und dann mindestens im Halbminuten Takt.Das ist heute doch üblicher Standard.
Verstehe, also war es kein „grober Fehler“ von mir sondern traurige Wahrheit.