7
Kleines Büro. Welches Firewall-Setup sinnvoll?
Hallo,
ich bin neu hier und hoffe, ich bin hier mit meiner Frage richtig und drücke mich verständlich aus. Ich bräuchte einen kleinen Rat zum Thema Firewall.
Wie betreiben ein kleines Büro mit 1 internen Fileserver und 8 Clients. Die Internetanbindung läuft über ein DSL-Modem, zwischengeschaltet ist eine SonicWall TZ 200 mit „Comprehensive Gateway Security Suite" und "SonicWall Complete AntiVirus 10", dahinter befindet sich ein Switch, der den Server und die Clients anbindet. Der Datendurchsatz im Netzwerk ist eher gering. Server und Clients sind durch McAfee Anti Virus geschützt. Von außen ist kein Zugriff auf unser Netzwerk notwendig (außer vielleicht zu Fernwartungszwecken).
Nun ist nach Angaben des IT-Dienstleisters der Support für die SonicWall TZ 200 ausgelaufen und es wird ein Upgrade auf die Sonic Wall TZ 300 vorgeschlagen, zzgl. jährlicher Lizenz-Abos für „Complete AV 10 User“, „Gateway Anti-Virus/Anti-Spyware/Intrusion-Prevention-Service“, „Content Filtering Service“ sowie „Dynamic Support 24/7“.
Da damit erhebliche Neuanschaffungskosten sowie monatliche Kosten verbunden sind, frage ich mich, ob ein solches Setup für unsere Zwecke wirklich sinnvoll/notwendig ist. Sollte die SonicWall ausgetauscht werden, da der Support ausgelaufen ist oder kann sie noch eine Weile bleiben? Ist für unser kleines Unternehmen tatsächlich zusätzlich zum Anti-Viren-Schutz auf den Clients eine Hardware-Firewall mit monatlichen (kostspieligen) Update für „Gateway Anti-Virus/Anti-Spyware/Intrusion-Prevention-Service“ etc. notwendig?
Meine mangelnden Technik-Kenntnisse bitte ich zu entschuldigen. Geradeeben deswegen suche ich aber nach einer groben Einschätzung, ob wir uns überhaupt in die richtige Richtung bewegen...
Viele Grüße & danke im Voraus für alle Tipps!
Jürgen
ich bin neu hier und hoffe, ich bin hier mit meiner Frage richtig und drücke mich verständlich aus. Ich bräuchte einen kleinen Rat zum Thema Firewall.
Wie betreiben ein kleines Büro mit 1 internen Fileserver und 8 Clients. Die Internetanbindung läuft über ein DSL-Modem, zwischengeschaltet ist eine SonicWall TZ 200 mit „Comprehensive Gateway Security Suite" und "SonicWall Complete AntiVirus 10", dahinter befindet sich ein Switch, der den Server und die Clients anbindet. Der Datendurchsatz im Netzwerk ist eher gering. Server und Clients sind durch McAfee Anti Virus geschützt. Von außen ist kein Zugriff auf unser Netzwerk notwendig (außer vielleicht zu Fernwartungszwecken).
Nun ist nach Angaben des IT-Dienstleisters der Support für die SonicWall TZ 200 ausgelaufen und es wird ein Upgrade auf die Sonic Wall TZ 300 vorgeschlagen, zzgl. jährlicher Lizenz-Abos für „Complete AV 10 User“, „Gateway Anti-Virus/Anti-Spyware/Intrusion-Prevention-Service“, „Content Filtering Service“ sowie „Dynamic Support 24/7“.
Da damit erhebliche Neuanschaffungskosten sowie monatliche Kosten verbunden sind, frage ich mich, ob ein solches Setup für unsere Zwecke wirklich sinnvoll/notwendig ist. Sollte die SonicWall ausgetauscht werden, da der Support ausgelaufen ist oder kann sie noch eine Weile bleiben? Ist für unser kleines Unternehmen tatsächlich zusätzlich zum Anti-Viren-Schutz auf den Clients eine Hardware-Firewall mit monatlichen (kostspieligen) Update für „Gateway Anti-Virus/Anti-Spyware/Intrusion-Prevention-Service“ etc. notwendig?
Meine mangelnden Technik-Kenntnisse bitte ich zu entschuldigen. Geradeeben deswegen suche ich aber nach einer groben Einschätzung, ob wir uns überhaupt in die richtige Richtung bewegen...
Viele Grüße & danke im Voraus für alle Tipps!
Jürgen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 331250
Url: https://administrator.de/contentid/331250
Printed on: April 26, 2024 at 02:04 o'clock
7 Comments
Latest comment
Die Internetanbindung läuft über ein DSL-Modem,
Ist das wirklich ein reines (nur) Modem oder bezeichnest du hier leider wieder einen Router als Modem, sprich arbeitet die Firewall als Kaskade mit einem DSL Router ?Vermutlich wird es wohl letzteres sein wie so häufig aber besser wäre du klärst das technisch.
Bei einer Router Kaskade hättest du netzwerktechnisch schon doppelten Schutz und die Firewall ist zwar sinnvoll (speziell wenn der Router ein Zwangsrouter vom Provider ist) aber nicht zwingend.
Letztlich kann man dir die Frage niemals hier im Forum beantworten, denn du schilderst ja mit keinem Wort wie deine eigene Sicherheitspolicy aufgestellt ist und was dir deine Datenintegrität wert ist.
Stell dir die Frage so als wenn du einen Bekannten fragst ob du für deine Wohnung wirklich eine teure Alarmanlage brauchst weil in den letzten 3 Jahren nie eingebrochen wurde.
Wie soll dir jemand darauf eine verlässliche Antwort geben wenn er deine eigenen Sicherheitsanforderungen nicht kennt.
Du erkennst vermutlich die Sinnfreiheit deiner Frage selber.
Um es mal rein sachlich zu beurteilen ist natürlich eine Abo Abhängigkeit im zweifelhaft. Hersteller die ihre Kunden so am Fliegenfänger kleben haben sollte man eine gehörige Portion Skepsis entgegenbringen, denn man erkauft sich damit natürlich eine zweifelhafte Sicherheit, da man dem Hersteller blind vertrauen muss.
Viele technisch unbedarfte Laien erkaufen sich so vermeintliche Sicherheit. Du hast dich ja auch trotz einen kleinen Unternehmens in die Abhängigkeit eines Dienstleisters gebracht. Das der natürlich auch Provisions getrieben ist und neue HW verkaufen muss durch Herstellervorgaben liegt auf der Hand und kann man ihm auch wirtschaftlich nicht vorwerfen, denn er muss davon leben.
In dem Strudel befindest du dich und verlangst jetzt von einem Forum mit zig Leuten und zig Meinungen Aufklärung unter diesen Rahmenbedingungen...
Rein technisch kann man es eigentlich sehr einfach machen. Mit ein ganz klein wenig IP Ahnung stellst du dir eine eigene Firewall hin wie z.B. diese die frei von Zwängen und Abos ist, definierst dort entsprechend sichere Regeln und hältst deine lokale Virus Lösung immer up to date.
Damit hast du dann auch deine Sicherheit in deiner Hoheit.
Die andere Seite ist alles abgeben an den Dienstleister und das sanfte Ruhekissen. Mit all den Nachteilen was Security in fremden Händen usw. anbetrifft aber auch Vorteilen wie die Bequemlichkeit die man sich natürlich imemr erkaufen muss.
Hast ja den Sonntag um mal darüber etwas nachzudenken.
Meine mangelnden Technik-Kenntnisse bitte ich zu entschuldigen. Geradeeben deswegen suche ich aber nach einer groben Einschätzung
Das gibt die Entscheidung doch schon fast vor, oder ?
Hallo aqui,
danke für Deine Antwort, die mir tatsächlich bereits ein paar wertvolle Denkanstöße geliefert hat.
Nur als Nachtrag:
Ein paar Grundbegriffe kenne ich dann doch. Es ist ein reines DSL-Modem vor der SonicWall. Kein Router mit eingebautem Modem.
Die Datensicherheit ist uns natürlich -wie, denke ich hoffentlich jedem Unternehmen- schon wichtig. Aufgrund der Natur unserer Unternehmung ist jedoch meiner Ansicht nach nicht damit zu rechnen, dass wir in besonderem Maße, das heißt mehr als Heimnetzwerke, Attacken ausgesetzt sind. In der Praxis haben sich in den letzten Jahren konkrete Sicherheitsprobleme bisher dadurch ergeben, dass sich eine Mitarbeiterin einen Trojaner gefangen hat, der per E-Mail kam und weder von McAffee noch von der Firewall vorher abgefangen wurde ...
danke für Deine Antwort, die mir tatsächlich bereits ein paar wertvolle Denkanstöße geliefert hat.
Nur als Nachtrag:
Ein paar Grundbegriffe kenne ich dann doch. Es ist ein reines DSL-Modem vor der SonicWall. Kein Router mit eingebautem Modem.
Die Datensicherheit ist uns natürlich -wie, denke ich hoffentlich jedem Unternehmen- schon wichtig. Aufgrund der Natur unserer Unternehmung ist jedoch meiner Ansicht nach nicht damit zu rechnen, dass wir in besonderem Maße, das heißt mehr als Heimnetzwerke, Attacken ausgesetzt sind. In der Praxis haben sich in den letzten Jahren konkrete Sicherheitsprobleme bisher dadurch ergeben, dass sich eine Mitarbeiterin einen Trojaner gefangen hat, der per E-Mail kam und weder von McAffee noch von der Firewall vorher abgefangen wurde ...
Hallo nachträglich,
ich würde immer eine UTM am WAN Interface und zusätzlich noch einen Server gestützten AV Schutz auf den Klienten und Servern
installieren, machen wir auch so! Man kann sicherlich auch über eine pfSense Firewall am WAN Interface nachdenken und dann damit
die Lizenzkosten sparen und den AV Schutz auf den Klienten durch TrendMicro, Kaspersky und/oder ESET austauschen, denn die bieten
einen Server gestützten AV Schutz an den man gut administrieren und updaten kann.
Hinsichtlich der Firewall hat Cisco gerade auch eine Firebox die richtig sein soll, also Alternativen kann sich sicherlich auch anschauen
und/oder vorstellen lassen.
ist und das Schaden eingetreten ist, ist die Erkenntnis auch schnell wieder vor Ort, dass man doch etwas tun müsste, also dann
lieber eine ordentliche Profilaxe und sich vorher Sorgen machen bzw. vorsorgen und hinterher den Schaden nicht haben!
Ich würde zu einer UTM Lösung tendieren die einen anderen AV Schutz vorne am WAN Interface einsetzt als die AV Lösung
die auf den Klienten eingesetzt wird. Man kann also Mittels Kaspersky, ESET und TrendMicro am WAN und auf den PCs einen
guten Schutz aufbauen, klar kostet das immer etwas an Lizenzen, aber wer will denn jeden Tag tonnen an Spam aussortieren
und sich eventuell wieder einen Trojaner einfangen!? Es kommt auch immer auf den Durchsatz am WAN Interface an, also der
Internetgeschwindigkeit die man nach allen Durchgängen und Prüfungen in der Firewall oder UTM Lösung noch herausbekommen
möchte, denn der AV Scan, die IDS Prüfung und der Malware Scan bzw. die Antispam Prüfung kostet immer Zeit und die geht dann
auch noch von dem Gesamtdurchsatz ab.
Eigene Hardware und OpenSource Lösungen:
IPFire, pfSense, OPNSense oder ZeroShell auf
- PC Engines APU2C4
- Jetway NF9HG-2930
- Supermicro SYS-E300-8D
- Supermicro SYS-E200-8D
Eigene Hardware und kostenpflichtige Software UTM Lösungen:
Sophos UTM oder Untangle UTM auf
- PC Engines APU2C4
- Jetway NF9HG-2930
- Supermicro SYS-E300-8D
- Supermicro SYS-E200-8D
Hardware Firewalls oder UTM Geräte:
- Cisco Firebox
- SonicWall
- Sophos UTM
- Zyxel SG Serie
muss, also was hinten rauskommt bzw. rauskommen muss im LAN. Denn was nützen 100 MBit/s als Internetgeschwindigkeit und davon
bleiben effektive nur 20 MBit/s über weil man die kleinere Firewall genommen hat!?
Gruß
Dobby
ich würde immer eine UTM am WAN Interface und zusätzlich noch einen Server gestützten AV Schutz auf den Klienten und Servern
installieren, machen wir auch so! Man kann sicherlich auch über eine pfSense Firewall am WAN Interface nachdenken und dann damit
die Lizenzkosten sparen und den AV Schutz auf den Klienten durch TrendMicro, Kaspersky und/oder ESET austauschen, denn die bieten
einen Server gestützten AV Schutz an den man gut administrieren und updaten kann.
Hinsichtlich der Firewall hat Cisco gerade auch eine Firebox die richtig sein soll, also Alternativen kann sich sicherlich auch anschauen
und/oder vorstellen lassen.
Meine mangelnden Technik-Kenntnisse bitte ich zu entschuldigen. Geradeeben deswegen suche ich aber nach einer groben
Einschätzung, ob wir uns überhaupt in die richtige Richtung bewegen...
Sicherheit ist immer ein Thema das man gerne klein reden möchte, hinsichtlich der Kosten, nur wenn einer Firma etwas passiertEinschätzung, ob wir uns überhaupt in die richtige Richtung bewegen...
ist und das Schaden eingetreten ist, ist die Erkenntnis auch schnell wieder vor Ort, dass man doch etwas tun müsste, also dann
lieber eine ordentliche Profilaxe und sich vorher Sorgen machen bzw. vorsorgen und hinterher den Schaden nicht haben!
Ich würde zu einer UTM Lösung tendieren die einen anderen AV Schutz vorne am WAN Interface einsetzt als die AV Lösung
die auf den Klienten eingesetzt wird. Man kann also Mittels Kaspersky, ESET und TrendMicro am WAN und auf den PCs einen
guten Schutz aufbauen, klar kostet das immer etwas an Lizenzen, aber wer will denn jeden Tag tonnen an Spam aussortieren
und sich eventuell wieder einen Trojaner einfangen!? Es kommt auch immer auf den Durchsatz am WAN Interface an, also der
Internetgeschwindigkeit die man nach allen Durchgängen und Prüfungen in der Firewall oder UTM Lösung noch herausbekommen
möchte, denn der AV Scan, die IDS Prüfung und der Malware Scan bzw. die Antispam Prüfung kostet immer Zeit und die geht dann
auch noch von dem Gesamtdurchsatz ab.
Eigene Hardware und OpenSource Lösungen:
IPFire, pfSense, OPNSense oder ZeroShell auf
- PC Engines APU2C4
- Jetway NF9HG-2930
- Supermicro SYS-E300-8D
- Supermicro SYS-E200-8D
Eigene Hardware und kostenpflichtige Software UTM Lösungen:
Sophos UTM oder Untangle UTM auf
- PC Engines APU2C4
- Jetway NF9HG-2930
- Supermicro SYS-E300-8D
- Supermicro SYS-E200-8D
Hardware Firewalls oder UTM Geräte:
- Cisco Firebox
- SonicWall
- Sophos UTM
- Zyxel SG Serie
eine Hardware-Firewall mit monatlichen (kostspieligen) Update für „Gateway Anti-Virus/Anti-Spyware/Intrusion-Prevention-Service“
etc. notwendig?
Dazu hätte man wohl eher wissen müssen in welcher Branche Ihr tätig seit, wie hoch der Durchsatz von der Internetgeschwindigkeit seinetc. notwendig?
muss, also was hinten rauskommt bzw. rauskommen muss im LAN. Denn was nützen 100 MBit/s als Internetgeschwindigkeit und davon
bleiben effektive nur 20 MBit/s über weil man die kleinere Firewall genommen hat!?
Gruß
Dobby
Hallo Dobby,
danke für Deinen Kommentar!
Unser Datendurchsatz ist sehr gering. Die Internetverbindung nutzen wir eigentlich ausschließlich für WWW-Recherchen und E-Mail. Einige Clients sind noch über BNC verkabelt, d.h. allein schon aus diesem Grund ist die Schnelligkeit der Internetverbindung der Clients bei uns nicht der entscheidende Faktor...
danke für Deinen Kommentar!
Unser Datendurchsatz ist sehr gering. Die Internetverbindung nutzen wir eigentlich ausschließlich für WWW-Recherchen und E-Mail. Einige Clients sind noch über BNC verkabelt, d.h. allein schon aus diesem Grund ist die Schnelligkeit der Internetverbindung der Clients bei uns nicht der entscheidende Faktor...
Moin,
LG, Thomas
Wie betreiben ein kleines Büro mit 1 internen Fileserver und 8 Clients.
kauf Dir einen Lancom Router, die firewall wird für Dich reichen.In der Praxis haben sich in den letzten Jahren konkrete Sicherheitsprobleme bisher dadurch ergeben, dass sich eine Mitarbeiterin einen Trojaner gefangen hat, der per E-Mail kam und weder von McAffee noch von der Firewall vorher abgefangen wurde ...
Wie ist denn der email-Verkehr geregelt? Wer scannt die mails? Welche Anhänge werden durchgelassen?LG, Thomas
Man könnte auch noch einen kleinen Cisco in den Ring werfen. Hat ebenfalls eine leistungsfähige Firewall:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Aber eine nur Firewall ersetzt kein UTM System.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Aber eine nur Firewall ersetzt kein UTM System.
Das Problem an den Terminologien ist, dass eine Firewall zwar gut und Recht ist, man damit aber heute kaum mehr State of the Art Schutz auch nur annähernd erreichen kann. Alles essentielle läuft sowieso über Port 80 - und wer gibt hier nur die Server frei, die er wirklich erreichen muss.
