Kleine Hardware Firewalllösung gesucht
Hallo zusammen,
ich suche momentan eine Hardware Firewall für ein kleines Netzwerk, arbeiten 4 Personen aber höchstens nur 2 zeitgleich. Als Modem möchte ich weiterhin die vorhandene FritzBox nutzen.
Welche Vorschläge habt ihr?
Ich habe mir so ein Preisbereich bis 100€, wenn es nicht anders geht auch 200€, vorgestellt. Muss nichts hochprofessionelles sein, nur möchte ich nicht den vorhandenen Windows Server einfach so hinter der FritzBox stehen haben.
Gruß Lukas
ich suche momentan eine Hardware Firewall für ein kleines Netzwerk, arbeiten 4 Personen aber höchstens nur 2 zeitgleich. Als Modem möchte ich weiterhin die vorhandene FritzBox nutzen.
Welche Vorschläge habt ihr?
Ich habe mir so ein Preisbereich bis 100€, wenn es nicht anders geht auch 200€, vorgestellt. Muss nichts hochprofessionelles sein, nur möchte ich nicht den vorhandenen Windows Server einfach so hinter der FritzBox stehen haben.
Gruß Lukas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1906480818
Url: https://administrator.de/forum/kleine-hardware-firewallloesung-gesucht-1906480818.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
32 Kommentare
Neuester Kommentar
Hi,
Was hast Du denn für einen Internetanschluss (xDSL, Gf, Kabel oder ...)? Aber die FritzBox wirst Du bei dem angesetzten Budget auch schlecht ersetzen können.
Gruß
cykes
Zitat von @lukas0209:
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
undIch will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
Zitat von @lukas0209:
Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. [...]
Da kannst Du noch 100 Firewalls o.ä. dazwischenhängen, den Port 443 für das SSTP-VPN wirst Du auch darin durchleiten müssen. Die Sicherheit kannst Du nur erhöhen, wenn das VPN nicht am Server sondern am Gateway terminiert wird. Wenn das SSTP gehackt wird, ist der Bösewicht auch gleich komfortabel auf dem Server.Ja verständlich, aber es ist mit dem SSTP-VPN von dem Windows Server eingerichtet und funktioniert auch gut. [...]
Was hast Du denn für einen Internetanschluss (xDSL, Gf, Kabel oder ...)? Aber die FritzBox wirst Du bei dem angesetzten Budget auch schlecht ersetzen können.
Gruß
cykes
Zitat von @lukas0209:
Zitat von @Looser27:
Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
Entschuldigung, das habe ich voll vergessen zu sagen. Es ist nur der Port 443 geöffnet für die SSTP-VPN.Solange Du über den Server keine aktiven Dienste nach aussen anbietest(z.B. Webseiten) ist das problemlos möglich über die Fritzbox.
dann hilft dir aber ja keine firewall wenn du den port eh weiterleiten würdest, oder? Denn du hast ja vermutlich ein VPN eingerichtet (wobei ich da überlegen würde - das kann die Fritte ja auch direkt).
Die Frage wäre dann eher: Was willst du mit ner Firewall? Wenn ich den Rahmen und den Preis den du dir vorstellst so angucke - dann steht die eh auf "any/any-allow" oder die Logs werden nicht geprüft (weil das ja Wartungskosten verursacht - und sei es eben nur deine Zeit). Wenn du die aber nur hinstellst und glaubst dann is da irgendwas sicher - nein, ist es nicht. Die muss halt auch geprüft, angepasst usw. werden...
Moin,
die "Firewall", die Du suchst, gibt es ab 10€ in jedem Baumarkt. Einfach kaufen, anschließen und "Firewall" draufschreiben. Denn ob Du nun die Portweiterleitung nur durch die Fritte machst oder etwas anderes noch dazwischenklemmst, was auch nichts anderes macht ist unerheblich. Nur dann, wenn Du von innen nach außen auch noch den Traffic regulierst und zusätzlich den VPN-Verkehr von dem Server wegholst, ist eine zusätzliche Firewall sinnvoll.
lks
die "Firewall", die Du suchst, gibt es ab 10€ in jedem Baumarkt. Einfach kaufen, anschließen und "Firewall" draufschreiben. Denn ob Du nun die Portweiterleitung nur durch die Fritte machst oder etwas anderes noch dazwischenklemmst, was auch nichts anderes macht ist unerheblich. Nur dann, wenn Du von innen nach außen auch noch den Traffic regulierst und zusätzlich den VPN-Verkehr von dem Server wegholst, ist eine zusätzliche Firewall sinnvoll.
lks
Hi,
die Sicherheit ist auch noch aus einem anderen Gesichtspunkt aktuell nicht bzw. nur halbherzig umgesetzt. So, wie Du die Struktur bisher beschrieben hast, läuft das SSTP-VPN ja nicht exklusiv auf dem 2016er Server.
Meine Vermutung aus Deiner Beschriebung: Der Server macht auch noch AD, DNS, Fileserver usw. - auch wenn die Dienste nach außen hin nicht sichtbar sind, ist die Gefahr umso größer, je mehr Dienste auf dem VPN-Server laufen. Wenn überhaupt läuft das RRAS/SSTP-VPN auf eine komplett separaten VM oder Blech.
Und ja, Sicherheit ist manchmal (um nicht zu sagen immer) unbequem und wirft meist Kosten auf. Ein (separater) VPN-Server, wie auch eine Firewall ist niemals Plug&Play, damit muss man sich auseinandersetzen und ein Konzept entwickeln. Das schließt natürlich auch Unbequemlichkeit für die Benutzer mit ein (ggf. Drittanbietersoftware).
Gruß
cykes
die Sicherheit ist auch noch aus einem anderen Gesichtspunkt aktuell nicht bzw. nur halbherzig umgesetzt. So, wie Du die Struktur bisher beschrieben hast, läuft das SSTP-VPN ja nicht exklusiv auf dem 2016er Server.
Meine Vermutung aus Deiner Beschriebung: Der Server macht auch noch AD, DNS, Fileserver usw. - auch wenn die Dienste nach außen hin nicht sichtbar sind, ist die Gefahr umso größer, je mehr Dienste auf dem VPN-Server laufen. Wenn überhaupt läuft das RRAS/SSTP-VPN auf eine komplett separaten VM oder Blech.
Und ja, Sicherheit ist manchmal (um nicht zu sagen immer) unbequem und wirft meist Kosten auf. Ein (separater) VPN-Server, wie auch eine Firewall ist niemals Plug&Play, damit muss man sich auseinandersetzen und ein Konzept entwickeln. Das schließt natürlich auch Unbequemlichkeit für die Benutzer mit ein (ggf. Drittanbietersoftware).
Gruß
cykes
Diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
auf einem APU3 Board erfüllt alle deine Forderungen.
https://www.varia-store.com/de/produkt/265585-apu3d2-bundle-board-netzte ...
Alternativen findest du hier wovon es auch baugleiche Angebote bei den üblichen Versendern gibt.
Etwas preiswerter wäre z.B. ein Mikrotik RB3011 allerdings ist da die Lernkurve geringfügig steiler.
https://www.ipu-system.de/produkte/ipu450.html
Mikrotik supportet zudem das Microsoft proprietäre SSTP VPN Protokoll: https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Davon kann man aber nur abraten, denn das supporten ausschliesslich nur Windows Maschinen. Viel sinnvoller ist es das universellere IKEv2 oder L2TP zu verwenden.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Dafür reicht sogar ein Raspberry Pi:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
auf einem APU3 Board erfüllt alle deine Forderungen.
https://www.varia-store.com/de/produkt/265585-apu3d2-bundle-board-netzte ...
Alternativen findest du hier wovon es auch baugleiche Angebote bei den üblichen Versendern gibt.
Etwas preiswerter wäre z.B. ein Mikrotik RB3011 allerdings ist da die Lernkurve geringfügig steiler.
https://www.ipu-system.de/produkte/ipu450.html
Mikrotik supportet zudem das Microsoft proprietäre SSTP VPN Protokoll: https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Davon kann man aber nur abraten, denn das supporten ausschliesslich nur Windows Maschinen. Viel sinnvoller ist es das universellere IKEv2 oder L2TP zu verwenden.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Dafür reicht sogar ein Raspberry Pi:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Zitat von @lukas0209:
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
Ich will erreichen das der Server einen höheren Schutz hat, weil es ist ja bekannt das Windows Server nicht die sichersten Server sind.
Solche Aussagen find ich immer interessant. Woher kommt die Weisheit?
Klar ist ein Windows Server unsicher, wenn man ihn aktiv so konfiguriert, das jeder drauf kommt.
Das liegt hauptsächlich daran, das er aufgrund der einfachen Oberfläche von jedem bedient werden kann, der nicht weiß was er tut.
Auch das SSTP das du hier nutzt kann man durchaus so konfigurieren, das es sicher ist, aber halt nicht so.
Der VPN Server und die interne Struktur müssen auf getrennte Maschinen, dazwischen öffnet man nur die Ports die mindestens zum funktionalen Betrieb nötig sind.
Das macht nur kaum einer mit Windows weil die Lizenz allein schon mehr kostet als eine kleine pfSense oder opnSense Kiste.
Es wäre aber denkbar, den DC/File/DHCP... Server auf einer VM und den VPN Server auf einer getrennten VM zu betreiben, beide in verschiedenen VLANs und per Firewall getrennt. Allerdings wird das dann wohl auch die Kapazität der Fritte überschreiten.
Ich betreibe hier eine pfSense in einer VM die auf einem dedizierten Hyper-V Server mit getrennt zugeteilten Netzwerkports liegt, theoretisch würde das für dich auch hinhauen, was aber dann eine extra VM für SSTP auch wieder ad absurdum führen würde, weil die pfSense das ja selber kann.
Klar ... für 2 Personen und ner 40/8er Internetanbindung.
Genau mein Humor! 😂
Kommt immer darauf an, welches Ziel erreicht werden soll.
lks
PS: Manchmal tut es auch ein L3-Switch, auf den man Firewall draufschreibt.
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz. Das könnte aber erreicht werden. Ich biete zweihundert Euro und Prozentuale Beteiligung demjenigen, der mir so ein Programm schreibt. Darum ist es eigentlich egal wie viele Firewalls man einsetzt, welche man installiert oder wie viele externe Vorstufen man einbaut. Solange es keine passende Software gibt, ist man machtlos. Also unsinnig drüber nachzudenken.
MfG. PC Chaos
MfG. PC Chaos
keine Firewall der Welt bietet hundert prozentige Schutz.
Die Firewall an sich schon, die ist wasserdicht.Problemfaktor ist immer nur der Mensch der sie konfiguriert. Wie gut ist also immer von dessen Kenntinissen abhängig. Es ist ja naiv zu denken das eine Maschine per se selber weiß was sicher ist und was nicht. Weisst du als Admin Profi ja auch selber....
Doch soweit kann man denken, wenn man bedenkt der Mensch ist ein ###, auf Schäden getuned und wiederholt sich in seiner dumm Dreistigkeit endlos, wenn man ihn nicht aufhält. Soweit kann auch ein Computer denken. KI. Oder wenn man geistig intellektuell fähig ist, den ganzen Eventualitäten vorausschauend zu begegnen.
Zitat von @PCChaos:
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.
Vor was denn? Vor Corona oder Tripper nicht. Vor einem bösartigen Mitarbeiter, der den Laden mit C4 sprengt, oder sämtliche Passwörter an alle Email Empfänger im Adressbuch schickt, auch nicht.
Aber vor den Sachen für die sie gedacht ist, schützt sie richtig konfiguriert definitiv zu 100%.
Alles andere muss man zwangsläufig mit anderen organisatorischen und technischen Maßnahmen abdecken.
Zitat von @rzlbrnft:
Vor was denn? Vor Corona oder Tripper nicht.
Zitat von @PCChaos:
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.
Also Mal ganz unter uns keine Firewall der Welt bietet hundert prozentige Schutz.
Vor was denn? Vor Corona oder Tripper nicht.
Dafür gibt es spezielle Firewalls. Nennen sich ABC-Schutzanzug.
Vor einem bösartigen Mitarbeiter, der den Laden mit C4 sprengt, ...
Dafür gibt es Sprengstoff-Spürhunde
oder sämtliche Passwörter an alle Email Empfänger im Adressbuch schickt, ...
Dafür gibt es SPAM-Filter.
auch nicht.
Aber vor den Sachen für die sie gedacht ist, schützt sie richtig konfiguriert definitiv zu 100%.
Alles andere muss man zwangsläufig mit anderen organisatorischen und technischen Maßnahmen abdecken.
Aber vor den Sachen für die sie gedacht ist, schützt sie richtig konfiguriert definitiv zu 100%.
Alles andere muss man zwangsläufig mit anderen organisatorischen und technischen Maßnahmen abdecken.
Man muß nur die "richtige" Firewall nehmen. Dann schützt sie auch vor ungewöhnlichen Angriffen. Das A&O eines Firewall-Konzeptes ist die Risikoanalyse und die richtige Definition der Angriffsszenarien. Dann kann man auch überhaupt erst sagen ob und wovor die Firewall schützt.
lks
PS: Es gibt sogar Firewalls die vor Feuer schützen.
Das ist eine unsinnige Aussage. Für Prozentaussagen muß man erstmal sagen was 100% über Haupt sind und wie die definiert werden. Bei unbestimmten Szenarien, kann man überhaupt keine Prozentaussagen treffen, solange man nciht sagt wovon.
Um die Schutzwirkung von friewalls zu beurteilen muß man erstmal das Angriffsszenario festlegen und dann eien Risikolanalyse machen und dementsprechend die "features" der Firewall festzurren. Erst dann kann man überhaupt Aussagen darüber treffen, ob die Firewall das leistet, was sie soll.
lks