Hardware-Firewall - NGFW - UTM für Privatgebrauch

Mitglied: LordVoodoo

LordVoodoo (Level 1) - Jetzt verbinden

04.03.2021 um 11:50 Uhr, 842 Aufrufe, 9 Kommentare

Hallo liebe Community,

seit mehreren Wochen beschäftige ich mich nun schon mit dem Thema Hardware-Firewall, ausgelöst durch Begriffe wie UTM / NGFW / Layer-7-DPI.
Neben den ganzen Anbietern wie Sophos, Netgate, Checkpoint, Cisco und den freien Software-Paketen von PFSense / OPNSense bin ich ich inzwischen maximal verwirrt und hoffe, dass ihr mir eine vernünftige Richtung vorgeben könnt.

Vorhandene Hardware:
  • Fritz Box: Mir ist klar, dass die aus Sicht IT-Sicherheit nur rudimentär ausgestattet ist
  • Mikrotik-Geräte (hac2, wac): Extrem schwer zu konfigurieren, aber nicht unmöglich

Was möchte ich haben:
  • Eine beruhigende Absicherung meines Netzwerks, insbesondere eine Trennung von Laptops/Tablets zu IoT-Geräten
  • Schutz des HTTPS-Datenstroms
  • VPN-Zugriff und VPN-Site2Site mit FritzBoxen
  • Optional: Integration von PiHole oder eines vergleichbares Dienstes

Für die VDSL-Verbindung kann ein SFP-Modem genutzt werden oder die FritzBox weiterhin.

Preisrahmen: 300 Euro plus/minus, jährliche Kosten sollten im Rahmen bleiben, für mich heißt das unter 50 Euro.

Was möchte ich wissen?
  • Ist mein Wunsch für private Zwecke richtig oder überzogen? Ist die FritzBox sicherer als ihre reduzierten Einstellungen vermuten lassen?
  • Welche Hardware ist geeignet? Das Angebot reicht von Spezialroutern, über NUC-ähnliche Mini-PCs mit teils viel Rechenpower?
  • UTM wird oft auch mit Antiviren-Software verbunden. Kann es diese ersetzen für Laptops? Wie sieht es mit Tablet/Smartphone aus?

Mein Niveau ist technisch versiert, ich weiß, dass „sudo“ mehr ist als ein Fanta4-Mitglied und kann auch mit Docker umgehen. Hat aber alles Grenzen.

Vielen Dank für eure Einschätzung.
Matthias.
Mitglied: SlainteMhath
04.03.2021 um 12:40 Uhr
Moin,

für den Hausgebrauch sind UTMs der Overkilll, sowohl vom Preis als auch vom Funktionsumfang her.

Als Standart Setup gilt für mich: Fritte (Ohne Internetfreigaben/exposed Hosts/Portforwarding/Upnp etc). + PiHole + AV auf die Clients und ggfs noch (einen) managebare(n) Switch(e) zwecks VLAN nach gusto und/oder Gelbdbeutel.

Schutz des HTTPS-Datenstroms
Was bedeutet das? Wer schützt denn den Schützer? :D

lg,
Slainte
Bitte warten ..
Mitglied: Leo-le
04.03.2021 um 12:59 Uhr
Hallo Matthias,

um wie viele IPs wird es ungefähr in deinem Heimgebrauch gehen?
Ich nutze sehr gern die Sophos UTM/XG home für den Heimgebrauch, dort bekommst du ziemlich viel für kostenlos.
Die Limitierung liegt aber auf 50IPs


Viele Grüße
Leo
Bitte warten ..
Mitglied: LordVoodoo
04.03.2021 um 13:12 Uhr
Die Sophos-Geräte habe ich gesehen, die XG-Firewalls kommen sicher in den engeren Kreis.

Bei den 50 IPs wird es schwieriger. Heißt das, dass nicht mehr als 50 Geräte eine IP-Adresse beziehen können oder dass ich maximal 50 Geräte unter den Schutz stellen darf. Ich weiß, das klingt überzogen, aber die kommen recht schnell zustande:

- 4 Laptops
- 2 Tablets
- 2 Smartphones
- 2 SmartTV
- 2 TV-Zuspieler
- 2 Konsolen
- 4 SmartSpeaker
- Staubsauger, Hue-Bridge, NAS, Neatmo-Geräte, Spiegel, 2xHarmonyHub

Wenn ich die ganzen IoT-Gerät separat von dem 50er Kontingent handhaben kann, wäre das für mich in Ordnung.

Bzgl des HTTPS-Datenstroms: Nach meinem Verständnis wird heute die Mehrzahl der Kommunikation mit dem Internet über SSL abgewickelt, jeder Browser warnt mich ja fröhlich, wenn eine Seite kein gültiges Zertifikat vorliegt.
Hier, so nach meiner bisherigen Recherche, können moderne Firewalls den Datenstrom auf Gefahren...ich sag mal scannen / untersuchen. Wenn das nur ein Marketing-Märchen ist, dann habe ich damit alles andere als ein Problem. ;-) face-wink
Bitte warten ..
Mitglied: aqui
04.03.2021 um 13:25 Uhr
Extrem schwer zu konfigurieren, aber nicht unmöglich
Wie immer eine relative Aussage die nichts besagt. Für andere ist das kinderleicht... ;-) face-wink
Eins fehlte noch in deiner Liste:
https://administrator.de/tutorial/preiswerte-vpn-fähige-firewall-ei ...
Hat ein einfaches Klicki Bunti Interface ! :-D face-big-smile
Bitte warten ..
Mitglied: LordVoodoo
04.03.2021 um 13:36 Uhr
Ja, die Lösungen für PFSense bzw. OPNSense auch in Verbindung mit den PC Engine Geräten wäre möglich. Habe auch bei Netgate entsprechende PFSense-Geräte gesehen, die aber nunmehr splitten zwischen freier Software und bezahlter Software.
(Ich habe echt versucht, meine Hausaufgaben zu machen, bevor ich eine so allgemeine Frage stelle.)

Wenn ihr, als Community, hier klar die Aussage vertretet: OPNSense ist beherrschbar und bringt einen Mehrwert, Dienste wie Netflix / IPTV / Streaming sind ebenfalls weiterhin gut möglich, dann gehe ich den Aufwand.
Bin aber auch bereit, ein paar Euro mehr auszugeben für eine Standard-nahe Lösung.

Das sind die Punkte an denen ich hänge. Hänge zwischen Lizenzmodellen, Marketingaussagen und irgendwie recht kleiner Modellauswahl, wenn es nicht in einem Rack hängt.
Bitte warten ..
Mitglied: Banana.Joe
04.03.2021 um 13:53 Uhr
Ich habe bei mir jetzt eine OPSense auf einem APU- Board laufen und nutze Mikrotik APs mit MSSID in verschiedenen VLANs am laufen. Ich nutze das auch zur Trennung meiner Clients, Smarthome bzw. IoT- Devices. Außerdem noch ein separates VLAN für IPTV Streams und Gäste.

IPTV über IGMP- Proxy habe ich noch nicht richtig am laufen und bin ich noch dabei.

Den WebProxy mit SSL- Inspektion habe ich auch eingerichtet, aber bei den FireTVs etc. deaktiviert. Netflix und Co. läuft bei mir einwandfrei.

Wichtig war für mich auch die ReverseProxy Funktionalität, die ich für externen Zugriff auf Synology DSM, HomeAssistant etc. nutze.
Außerdem ist der Zugriff per GeoBlocking- Liste nur aus Deutschland möglich.
Bitte warten ..
Mitglied: LordVoodoo
04.03.2021 um 15:30 Uhr
Ich hatte einen Test mit VDSL am Mikrotik sowie Einwahl über ein SFP-VDSL2-Modem an einem Telekomanschluss.

Ich war 6 Minuten online und konnte sehen, dass die ersten Anmeldeversuche mit „root“-Benutzer im Log standen.

Konntest Du in Deinem Aufbau erkennen, dass Angriffe erfolgten und hoffentlich erfolgreich abgewehrt wurden?
Bitte warten ..
Mitglied: aqui
08.03.2021 um 13:12 Uhr
Ich war 6 Minuten online und konnte sehen, dass die ersten Anmeldeversuche mit „root“-Benutzer im Log standen.
Normal passiert das an JEDEM Internet Anschluss innerhalb von 10 bis 30 Sekunden und dann mindestens im Halbminuten Takt.
Das ist heute doch üblicher Standard.
Bitte warten ..
Mitglied: LordVoodoo
08.03.2021 um 13:16 Uhr
Verstehe, also war es kein „grober Fehler“ von mir sondern traurige Wahrheit.
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 20 StundenTippErkennung und -Abwehr4 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 15 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...