Reicht für mein kleines Unternehmen eine aktuelle FritzBox als Firewall oder führt kein Weg an pfsense, Watchguard, Securepoint und Konsorten vorbei?
thomasreischer (Level 2) - Jetzt verbinden
27.01.2016 um 07:19 Uhr, 6692 Aufrufe, 20 Kommentare, 1 Danke
Hallo,
wir sind ein relativ kleines Unternehmen (20 Mann). Das Internet wird während dem Betrieb kaum genutzt, da wir eine therapeutische Einrichtung sind und alle Mitarbeiter quasi rund um die Uhr beschäftigt sind. Lediglich während der Mittagspausen gehen unsere Mitarbeiter mit ihren Handys ins Internet.
Jetzt frage ich mich ob es überhaupt Sinn macht in eine Firewall zu investieren (was ja auch meistens mit Service Verträgen verbunden ist). Features wie VPN um einen Zugriff von Zuhause zu ermöglichen sind ja mittlerweile in jeder Fritte integriert. Mir ist natürlich klar, dass mit einer FritzBox keine komplexen Regeln wie bei einer Firewall möglich sind, allerdings brauchen wir das ja eigentlich auch gar nicht da von unseren Desktop PC's die mit dem Firmen Netzwerk verbunden sind gar nicht das Internet besucht wird. Ich habe auch kein Interesse den Verkehr meiner Mitarbeiter zu loggen, da wie gesagt die Zeit gar nicht da ist um ständig zu surfen - außer in den Mittagspausen und da ist es mir natürlich egal (sie machen es ja auch über ihre Handys).
Ich würde mich sehr über Pro und Contra Argumente freuen.
Beste Grüße!
wir sind ein relativ kleines Unternehmen (20 Mann). Das Internet wird während dem Betrieb kaum genutzt, da wir eine therapeutische Einrichtung sind und alle Mitarbeiter quasi rund um die Uhr beschäftigt sind. Lediglich während der Mittagspausen gehen unsere Mitarbeiter mit ihren Handys ins Internet.
Jetzt frage ich mich ob es überhaupt Sinn macht in eine Firewall zu investieren (was ja auch meistens mit Service Verträgen verbunden ist). Features wie VPN um einen Zugriff von Zuhause zu ermöglichen sind ja mittlerweile in jeder Fritte integriert. Mir ist natürlich klar, dass mit einer FritzBox keine komplexen Regeln wie bei einer Firewall möglich sind, allerdings brauchen wir das ja eigentlich auch gar nicht da von unseren Desktop PC's die mit dem Firmen Netzwerk verbunden sind gar nicht das Internet besucht wird. Ich habe auch kein Interesse den Verkehr meiner Mitarbeiter zu loggen, da wie gesagt die Zeit gar nicht da ist um ständig zu surfen - außer in den Mittagspausen und da ist es mir natürlich egal (sie machen es ja auch über ihre Handys).
Ich würde mich sehr über Pro und Contra Argumente freuen.
Beste Grüße!
Antworten
- Mehr
Auf Facebook teilen
Auf Twitter teilen20 Antworten
- LÖSUNG thomasreischer schreibt am 27.01.2016 um 07:26:45 Uhr
- LÖSUNG BirdyB schreibt am 27.01.2016 um 07:32:23 Uhr
- LÖSUNG killtec schreibt am 27.01.2016 um 07:42:39 Uhr
- LÖSUNG thomasreischer schreibt am 27.01.2016 um 07:52:45 Uhr
- LÖSUNG magicteddy schreibt am 27.01.2016 um 08:01:29 Uhr
- LÖSUNG thomasreischer schreibt am 27.01.2016 um 08:03:29 Uhr
- LÖSUNG Kalle2013 schreibt am 27.01.2016 um 08:54:47 Uhr
- LÖSUNG magicteddy schreibt am 27.01.2016 um 08:01:29 Uhr
- LÖSUNG Kalle2013 schreibt am 27.01.2016 um 08:14:54 Uhr
- LÖSUNG Lochkartenstanzer schreibt am 27.01.2016 um 08:19:05 Uhr
- LÖSUNG Dilbert-MD schreibt am 27.01.2016 um 08:32:28 Uhr
- LÖSUNG certifiedit.net schreibt am 27.01.2016 um 09:51:42 Uhr
- LÖSUNG aqui schreibt am 27.01.2016 um 18:37:23 Uhr
- LÖSUNG Dr.Bit schreibt am 01.02.2016 um 18:09:37 Uhr
- LÖSUNG aqui schreibt am 04.02.2016 um 14:42:06 Uhr
- LÖSUNG thomasreischer schreibt am 05.02.2016 um 07:00:42 Uhr
- LÖSUNG aqui schreibt am 05.02.2016 um 09:20:16 Uhr
- LÖSUNG thomasreischer schreibt am 05.02.2016 um 23:21:18 Uhr
- LÖSUNG aqui schreibt am 06.02.2016 um 11:34:17 Uhr
- LÖSUNG thomasreischer schreibt am 06.02.2016 um 11:49:40 Uhr
- LÖSUNG aqui schreibt am 06.02.2016 um 11:54:44 Uhr
- LÖSUNG thomasreischer schreibt am 06.02.2016 um 11:49:40 Uhr
- LÖSUNG aqui schreibt am 06.02.2016 um 11:34:17 Uhr
- LÖSUNG thomasreischer schreibt am 05.02.2016 um 23:21:18 Uhr
- LÖSUNG aqui schreibt am 05.02.2016 um 09:20:16 Uhr
- LÖSUNG thomasreischer schreibt am 05.02.2016 um 07:00:42 Uhr
- LÖSUNG aqui schreibt am 04.02.2016 um 14:42:06 Uhr
LÖSUNG 27.01.2016 um 07:26 Uhr
Wie sind eigentlich eure Erfahrungen mit Securepoint?
LÖSUNG 27.01.2016 um 07:32 Uhr
Hallo Thomas,
du hast deine Anforderungen ja schon beschrieben.
Solage du kein Patienten-WLAN o.Ä. anbieten möchtest, tut es bestimmt auch die Fritte.
Wenngleich du für das gleiche Geld auch eine pfSense-Appliance bekommst, die dir mehr Möglichkeiten bietet, falls die Anforderungen mal wachsen...
Das private Surfen deiner MA geht über deren Mobilfunkverbindung?
Beste Grüße!
Berthold
du hast deine Anforderungen ja schon beschrieben.
Solage du kein Patienten-WLAN o.Ä. anbieten möchtest, tut es bestimmt auch die Fritte.
Wenngleich du für das gleiche Geld auch eine pfSense-Appliance bekommst, die dir mehr Möglichkeiten bietet, falls die Anforderungen mal wachsen...
Das private Surfen deiner MA geht über deren Mobilfunkverbindung?
Beste Grüße!
Berthold
LÖSUNG 27.01.2016 um 07:42 Uhr
Hi,
du kannst die Fritzbox erstmal verwenden. Wenn Bedarf besteht kannst du später in eine PFSense investieren (alten PC genommen, oder passende Appliances dafür). Du kannst dann die Fritzbox als Router / DSL Modem verwenden. Das WLAN müsstest du dann hinter der Firewall einbinden. Sprich, du benötigst dann einen separaten AP.
Ob dir das ganze es Wert ist, wirst du selbst wissen.
Gruß
du kannst die Fritzbox erstmal verwenden. Wenn Bedarf besteht kannst du später in eine PFSense investieren (alten PC genommen, oder passende Appliances dafür). Du kannst dann die Fritzbox als Router / DSL Modem verwenden. Das WLAN müsstest du dann hinter der Firewall einbinden. Sprich, du benötigst dann einen separaten AP.
Ob dir das ganze es Wert ist, wirst du selbst wissen.
Gruß
LÖSUNG 27.01.2016, aktualisiert um 07:53 Uhr
Läuft aktuell noch über Mobilfunk, allerdings soll das später dann über das Gastfeature der Fritte laufen. Da ist ja mittlerweile auch eine Trennung vom eigentlichen Netzwerk möglich. Man kann den User sogar dazu auffordern, erst eine Vereinbarung zu akzeptieren.
Eigentlich hatte ich eher an Securepoint gedacht. Habt ihr mit denen schlechte Erfahrungen?
Snort kostet bei pfsense ja 500€ jährlich für geschäftliche Kunden und das ist natürlich schon eine Hausnummer.
Eigentlich hatte ich eher an Securepoint gedacht. Habt ihr mit denen schlechte Erfahrungen?
Snort kostet bei pfsense ja 500€ jährlich für geschäftliche Kunden und das ist natürlich schon eine Hausnummer.
LÖSUNG 27.01.2016 um 08:01 Uhr
Moin,
sorry, aber gestatte eine Frage: Was willst Du, beim angedachten Verwendungszweck, mit Snort?
-teddy
sorry, aber gestatte eine Frage: Was willst Du, beim angedachten Verwendungszweck, mit Snort?
-teddy
LÖSUNG 27.01.2016 um 08:03 Uhr
Wenn schon eine Hardware Firewall, dann doch mit Intrusion Prevention, oder?
LÖSUNG 27.01.2016 um 08:14 Uhr
Dann nimmt man statt der Fritzbox eine bintec be.IP plus, und schon ist man mit der Sicherheit ein ganzes Stück weiter, denn die bintec be.IP plus hat z.B. auch VLAN.
LÖSUNG 27.01.2016 um 08:19 Uhr
Moin,
Die Frage ist doch, was Dein Ziel ist.
Wenn Du den Mitarbeitern einfach nur Internet-Zugang üebr WLAN geben willst, kann Du den Gastzugang der Fritte nutzen. Sei Dir aber bewußt, daß das kosmetischer natur ist.
Ob nun Deine Firmensysteme das Internet nur wenig oder viel nutzen ist unerheblich. Wenn da wichtige Patienten- oder mandanmtendaten Daten auf den Systemen drauf sind, solltest Du zumindest Firewall + Malwarescanner hinstellen. ob du nun ein komplettes IDS brauchst ist eien Geldfrage.
Um es mal mit einem unpassenden Vergleich zu verdeutichen: es ist egal ob man oft oder selten mit jemand Fremden ins Bett springst. Auch bei nur einmal in 10 Jahren kannst Du da den Falschen erwischen und Dir was holen, wenn Du Dich nicht schützt.
lks
Die Frage ist doch, was Dein Ziel ist.
Wenn Du den Mitarbeitern einfach nur Internet-Zugang üebr WLAN geben willst, kann Du den Gastzugang der Fritte nutzen. Sei Dir aber bewußt, daß das kosmetischer natur ist.
Ob nun Deine Firmensysteme das Internet nur wenig oder viel nutzen ist unerheblich. Wenn da wichtige Patienten- oder mandanmtendaten Daten auf den Systemen drauf sind, solltest Du zumindest Firewall + Malwarescanner hinstellen. ob du nun ein komplettes IDS brauchst ist eien Geldfrage.
Um es mal mit einem unpassenden Vergleich zu verdeutichen: es ist egal ob man oft oder selten mit jemand Fremden ins Bett springst. Auch bei nur einmal in 10 Jahren kannst Du da den Falschen erwischen und Dir was holen, wenn Du Dich nicht schützt.
lks
LÖSUNG 27.01.2016 um 08:32 Uhr
Hallo Thomas,
wenn die Firmen-PC's nicht ins Internet gehen sollte dafür eine einfache "Firewall" ausreichen.
Du musst nur Vorkehrungen treffen, dass die Mobilgeräte der Mitarbeiter nicht über die Fitzbox auf Dein Firmennetzwerk zugreifen können. Nicht gewollt (durch Nutzer) und auch nicht ungewollt (durch mögliche Schadsoftware auf einem der Mobilgeräte). Hier muss es eine deutliche und sichere Trennung geben. Denn auf den Firmen-PC's sind die Patientendaten gespeichert, die besonders geschützt werden müssen. Ggf. ist hier schon eine VLAN-Lösung erforderlich.
Ab und zu werden die Firmen-PC's aber doch mal ins Internet gehen (müssen?), z.B. um Updates zu installieren.
E-Mail habt Ihr also nicht und elektronische Abrechnung auch nicht.
Wenn Deine Mitarbeiter DEIN Internet nutzen besteht die Gefahr, dass über DEINEN Anschluss mit DEINER IP-Adresse z.B. Urheberrechtsverletzungen begangen werden können, die dann erst mal Dir angelastet werden. Ebenso kann es passieren, dass über Deinen Internetzugang beleidigende Kommentare gepostet werden können, was dann auch wieder über Deine IP auf Dich zurückgeführt wird.
Hierzu solltest Du Dich mal juristisch beraten lassen.
Je nach Art und Umfang der gespeicherten Patientendaten kann Dir Deine Kammer ggf. Auskunft geben, welche Schutzmaßnahmen dafür nötig sind. Ist es nur der Papierkalender für die Termine reicht ein abschließbares Schubfach... ;)
Gruß
Holger
wenn die Firmen-PC's nicht ins Internet gehen sollte dafür eine einfache "Firewall" ausreichen.
Du musst nur Vorkehrungen treffen, dass die Mobilgeräte der Mitarbeiter nicht über die Fitzbox auf Dein Firmennetzwerk zugreifen können. Nicht gewollt (durch Nutzer) und auch nicht ungewollt (durch mögliche Schadsoftware auf einem der Mobilgeräte). Hier muss es eine deutliche und sichere Trennung geben. Denn auf den Firmen-PC's sind die Patientendaten gespeichert, die besonders geschützt werden müssen. Ggf. ist hier schon eine VLAN-Lösung erforderlich.
Ab und zu werden die Firmen-PC's aber doch mal ins Internet gehen (müssen?), z.B. um Updates zu installieren.
E-Mail habt Ihr also nicht und elektronische Abrechnung auch nicht.
Wenn Deine Mitarbeiter DEIN Internet nutzen besteht die Gefahr, dass über DEINEN Anschluss mit DEINER IP-Adresse z.B. Urheberrechtsverletzungen begangen werden können, die dann erst mal Dir angelastet werden. Ebenso kann es passieren, dass über Deinen Internetzugang beleidigende Kommentare gepostet werden können, was dann auch wieder über Deine IP auf Dich zurückgeführt wird.
Hierzu solltest Du Dich mal juristisch beraten lassen.
Je nach Art und Umfang der gespeicherten Patientendaten kann Dir Deine Kammer ggf. Auskunft geben, welche Schutzmaßnahmen dafür nötig sind. Ist es nur der Papierkalender für die Termine reicht ein abschließbares Schubfach... ;)
Gruß
Holger
LÖSUNG 27.01.2016 um 08:54 Uhr
AVM positioniert die Fritzbox ganz eindeutig für das "Heimnetzwerk", das sollte man auch noch bedenken.
LÖSUNG 27.01.2016, aktualisiert um 09:53 Uhr
Hallo Thomas,
es macht immer Sinn in Sicherheit zu investieren und eine FritzBox ist keine Firewall. Natürlich könnte man behaupten, dass diese Ports öffnet und schliesst bzw mit der Kindersicherung ggf. etwas reglementieren kann. Aber wir gehen einfach mal davon aus, dass eine Firewall heute nicht einer Firewall von 1995 entspricht, bzw der Begriff mit der Entwicklung mitgewachsen ist. Heutige Firewalls sind SG' bzw UTM mit entsprechenden detaillierteren Funktionen.
Man streubt sich natürlich oft vor den Ausgaben, wer allerdings bereits eine Attacke verzeichnen musste bzw mit der ständigen Gefahr eines unewünschten Datenabflusses leben muss, investiert hier in Anführungszeichen gerne auch etwas mehr als die genannten 500€ - auch bei "kleinen" Unternehmen, wobei 20 Leute ja nun doch bereits nicht mehr so klein ist und wenn man ein Monatsgehalt von ca 2.500€ annimmt sind wir bei einer Investition in dieser Klasse bereits nur noch bei einem verschwindend geringen Bruchteil der Personalkosten für die Firmensicherheit und diese, gerade in der IT wird immer relevanter.
Daher klare Empfehlung für eine integrierte und auf sich abgestimmte Lösung. Die gehört de facto mittlerweile vor jedes Netz.
Bei Bedarf gilt wie immer, gerne auf mich zu kommen.
VG,
Christian
es macht immer Sinn in Sicherheit zu investieren und eine FritzBox ist keine Firewall. Natürlich könnte man behaupten, dass diese Ports öffnet und schliesst bzw mit der Kindersicherung ggf. etwas reglementieren kann. Aber wir gehen einfach mal davon aus, dass eine Firewall heute nicht einer Firewall von 1995 entspricht, bzw der Begriff mit der Entwicklung mitgewachsen ist. Heutige Firewalls sind SG' bzw UTM mit entsprechenden detaillierteren Funktionen.
Man streubt sich natürlich oft vor den Ausgaben, wer allerdings bereits eine Attacke verzeichnen musste bzw mit der ständigen Gefahr eines unewünschten Datenabflusses leben muss, investiert hier in Anführungszeichen gerne auch etwas mehr als die genannten 500€ - auch bei "kleinen" Unternehmen, wobei 20 Leute ja nun doch bereits nicht mehr so klein ist und wenn man ein Monatsgehalt von ca 2.500€ annimmt sind wir bei einer Investition in dieser Klasse bereits nur noch bei einem verschwindend geringen Bruchteil der Personalkosten für die Firmensicherheit und diese, gerade in der IT wird immer relevanter.
Daher klare Empfehlung für eine integrierte und auf sich abgestimmte Lösung. Die gehört de facto mittlerweile vor jedes Netz.
Bei Bedarf gilt wie immer, gerne auf mich zu kommen.
VG,
Christian
LÖSUNG 27.01.2016 um 18:37 Uhr
Therapeutische Einrichtung sagt das dort auch Patienten und deren Akten verwaltet werden. Da hat sowas wie ne Plaste Fritzbox eigentlich nichts zu suchen, wenn es um personenbezogene Daten geht.
Ne Firewall ist da schon nicht falsch oder ein Router mit integrierter Firewall:
https://www.administrator.de/wissen/cisco-880-router-konfiguration-adsl- ...
Ne Firewall ist da schon nicht falsch oder ein Router mit integrierter Firewall:
https://www.administrator.de/wissen/cisco-880-router-konfiguration-adsl- ...
LÖSUNG 01.02.2016 um 18:09 Uhr
Hi,
wie certifiedit.net und aqui schon schrieben, ist eine echte Firewall, wenn personenbezogene Daten in Eurem Netz liegen, schon Pflicht.
Mit Securepoint habe ich sehr gute Erfahrungen gemacht. Die ist allerdings auch nicht gerade billig. Du mußt die Firewall an sich kaufen, hier bietet sich eine RC100 an, und natürlich die Lizenzen; die liegen für 20 Benutzer bei ca. 850,- Euro im Jahr.
Wenn ich das richtig verstanden habe, willst Du den Mitarbeitern den Internetzugang für deren Handy´s über Euren Anschluß zur Verfügung stellen. Das halte ich für problematisch, weil der Anschlußinhaber für das haftet, was an seinem Anschluß passiert. Da kommst Du ganz schnell in Beweispflicht, wenn da irgendjemand Mist macht. ( Man weiß ja nie ). Das kannst Du zwar einschränken indem Du die Handy´s bzw. den Accesspoint hinter die Firewall hängst, dann kannst Du es aber auch gleich sein lassen, weil Du die Firewall so scharf einstellen mußt, das es keinen Spaß mehr macht.
Oder: Du hängst die Firewall hinter die Fritte. Dann können die Handy´s ungehindert über das WLAN der Fritte ins Netz und sind auch gleichzeitig vom internen Netz abgeschirmt.
Wie gesagt: Firewall muß sein, wenn personenbezogene Daten im Netz liegen. Dann solltest Du auch eine zertifizierte wie Securepoint nehmen. Und Du bist dann auch noch revisionssicher. Falls mal einer zum Prüfen kommt.
LG
Stephan
wie certifiedit.net und aqui schon schrieben, ist eine echte Firewall, wenn personenbezogene Daten in Eurem Netz liegen, schon Pflicht.
Mit Securepoint habe ich sehr gute Erfahrungen gemacht. Die ist allerdings auch nicht gerade billig. Du mußt die Firewall an sich kaufen, hier bietet sich eine RC100 an, und natürlich die Lizenzen; die liegen für 20 Benutzer bei ca. 850,- Euro im Jahr.
Wenn ich das richtig verstanden habe, willst Du den Mitarbeitern den Internetzugang für deren Handy´s über Euren Anschluß zur Verfügung stellen. Das halte ich für problematisch, weil der Anschlußinhaber für das haftet, was an seinem Anschluß passiert. Da kommst Du ganz schnell in Beweispflicht, wenn da irgendjemand Mist macht. ( Man weiß ja nie ). Das kannst Du zwar einschränken indem Du die Handy´s bzw. den Accesspoint hinter die Firewall hängst, dann kannst Du es aber auch gleich sein lassen, weil Du die Firewall so scharf einstellen mußt, das es keinen Spaß mehr macht.
Oder: Du hängst die Firewall hinter die Fritte. Dann können die Handy´s ungehindert über das WLAN der Fritte ins Netz und sind auch gleichzeitig vom internen Netz abgeschirmt.
Wie gesagt: Firewall muß sein, wenn personenbezogene Daten im Netz liegen. Dann solltest Du auch eine zertifizierte wie Securepoint nehmen. Und Du bist dann auch noch revisionssicher. Falls mal einer zum Prüfen kommt.
LG
Stephan
LÖSUNG 04.02.2016 um 14:42 Uhr
Kein Feedback seit einer Woche vom TO 
Hoffentlich reichts dann noch für ein
https://www.administrator.de/faq/32
Hoffentlich reichts dann noch für ein
https://www.administrator.de/faq/32
LÖSUNG 05.02.2016 um 07:00 Uhr
Sorry.
Wir werden uns demnächst eine PfSense zulegen. Ich denke das wäre die perfekte Lösung für uns.
Wir werden uns demnächst eine PfSense zulegen. Ich denke das wäre die perfekte Lösung für uns.
LÖSUNG 05.02.2016 um 09:20 Uhr
Damit macht ihr nichts falsch !
Hier findest du ein paar Infos dazu:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Hier findest du ein paar Infos dazu:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
LÖSUNG 05.02.2016 um 23:21 Uhr
Das hoffe ich
Tatsächlich hat uns so ziemlich jeder davon abgeraten, mit der Begründung dass große Sicherheitslücken viel zu langsam gestopft werden, aber wir hoffen das beste.
Tatsächlich hat uns so ziemlich jeder davon abgeraten, mit der Begründung dass große Sicherheitslücken viel zu langsam gestopft werden, aber wir hoffen das beste.
LÖSUNG 06.02.2016, aktualisiert um 11:35 Uhr
Ha ha ha...der ist gut ?? Und ??? ...wollte dir als Ersatz ein kommerzielles Produkt mit einem teuren Servicevertrag verkaufen wo dann Fixes im Monatsrhytmus kommen. Vergiss es...dieses Argument ist natürlich vollkommener Unsinn und die Angst die man dir macht ist rein kommerzieller Natur. Klar ist es einfacher sich ein sanftes Ruhekissen zu kaufen um dann im Fall der Fälle auf einen hersteller zeigen zu können 
Die Firmware wird von einer riesengroßen, weltweiten Community gepflegt ! Fehler und Bugs bzw. Angriffs Threads werden im Minutenrhytmus erkannt und umgehend gefixt..und das auf offener Basis nicht im Entwickler Kämmerlein von kommerziellen Herstellern die andere Interessen haben.
Das Argument ist absurd und kannst du getrost vergessen....
Die Firmware wird von einer riesengroßen, weltweiten Community gepflegt ! Fehler und Bugs bzw. Angriffs Threads werden im Minutenrhytmus erkannt und umgehend gefixt..und das auf offener Basis nicht im Entwickler Kämmerlein von kommerziellen Herstellern die andere Interessen haben.
Das Argument ist absurd und kannst du getrost vergessen....
LÖSUNG 06.02.2016, aktualisiert um 11:50 Uhr
Yup, genau das dachte ich mir bei den meisten auch. (Übrigens waren daran auch Leute in diesem Forum verteilt, die allerdings ihre Motive auch nicht wirklich verstecken - siehe Username) Zwar habe ich diesen Rat auch von Kollegen erhalten die keinen Cent daran verdienen würden, wenn ich mich tatsächlich für eine andere Lösung entschieden hätte, allerdings hatten diese Menschen ihren letzten Kontakt mit PfSense auch vor vielen vielen Jahren. Ich bin also guter dinge.
