Reicht für mein kleines Unternehmen eine aktuelle FritzBox als Firewall oder führt kein Weg an pfsense, Watchguard, Securepoint und Konsorten vorbei?

Mitglied: thomasreischer

thomasreischer (Level 2) - Jetzt verbinden

27.01.2016 um 07:19 Uhr, 6692 Aufrufe, 20 Kommentare, 1 Danke

Hallo,

wir sind ein relativ kleines Unternehmen (20 Mann). Das Internet wird während dem Betrieb kaum genutzt, da wir eine therapeutische Einrichtung sind und alle Mitarbeiter quasi rund um die Uhr beschäftigt sind. Lediglich während der Mittagspausen gehen unsere Mitarbeiter mit ihren Handys ins Internet.

Jetzt frage ich mich ob es überhaupt Sinn macht in eine Firewall zu investieren (was ja auch meistens mit Service Verträgen verbunden ist). Features wie VPN um einen Zugriff von Zuhause zu ermöglichen sind ja mittlerweile in jeder Fritte integriert. Mir ist natürlich klar, dass mit einer FritzBox keine komplexen Regeln wie bei einer Firewall möglich sind, allerdings brauchen wir das ja eigentlich auch gar nicht da von unseren Desktop PC's die mit dem Firmen Netzwerk verbunden sind gar nicht das Internet besucht wird. Ich habe auch kein Interesse den Verkehr meiner Mitarbeiter zu loggen, da wie gesagt die Zeit gar nicht da ist um ständig zu surfen - außer in den Mittagspausen und da ist es mir natürlich egal (sie machen es ja auch über ihre Handys).

Ich würde mich sehr über Pro und Contra Argumente freuen.

Beste Grüße!
Mitglied: thomasreischer
27.01.2016 um 07:26 Uhr
Wie sind eigentlich eure Erfahrungen mit Securepoint?
Bitte warten ..
Mitglied: BirdyB
27.01.2016 um 07:32 Uhr
Hallo Thomas,

du hast deine Anforderungen ja schon beschrieben.
Solage du kein Patienten-WLAN o.Ä. anbieten möchtest, tut es bestimmt auch die Fritte.
Wenngleich du für das gleiche Geld auch eine pfSense-Appliance bekommst, die dir mehr Möglichkeiten bietet, falls die Anforderungen mal wachsen...
Das private Surfen deiner MA geht über deren Mobilfunkverbindung?

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: killtec
27.01.2016 um 07:42 Uhr
Hi,
du kannst die Fritzbox erstmal verwenden. Wenn Bedarf besteht kannst du später in eine PFSense investieren (alten PC genommen, oder passende Appliances dafür). Du kannst dann die Fritzbox als Router / DSL Modem verwenden. Das WLAN müsstest du dann hinter der Firewall einbinden. Sprich, du benötigst dann einen separaten AP.
Ob dir das ganze es Wert ist, wirst du selbst wissen.

Gruß
Bitte warten ..
Mitglied: thomasreischer
27.01.2016, aktualisiert um 07:53 Uhr
Läuft aktuell noch über Mobilfunk, allerdings soll das später dann über das Gastfeature der Fritte laufen. Da ist ja mittlerweile auch eine Trennung vom eigentlichen Netzwerk möglich. Man kann den User sogar dazu auffordern, erst eine Vereinbarung zu akzeptieren.
Eigentlich hatte ich eher an Securepoint gedacht. Habt ihr mit denen schlechte Erfahrungen?
Snort kostet bei pfsense ja 500€ jährlich für geschäftliche Kunden und das ist natürlich schon eine Hausnummer.
Bitte warten ..
Mitglied: magicteddy
27.01.2016 um 08:01 Uhr
Moin,

sorry, aber gestatte eine Frage: Was willst Du, beim angedachten Verwendungszweck, mit Snort?


-teddy
Bitte warten ..
Mitglied: thomasreischer
27.01.2016 um 08:03 Uhr
Wenn schon eine Hardware Firewall, dann doch mit Intrusion Prevention, oder?
Bitte warten ..
Mitglied: Kalle2013
27.01.2016 um 08:14 Uhr
Dann nimmt man statt der Fritzbox eine bintec be.IP plus, und schon ist man mit der Sicherheit ein ganzes Stück weiter, denn die bintec be.IP plus hat z.B. auch VLAN.
Bitte warten ..
Mitglied: Lochkartenstanzer
27.01.2016 um 08:19 Uhr
Moin,

Die Frage ist doch, was Dein Ziel ist.

Wenn Du den Mitarbeitern einfach nur Internet-Zugang üebr WLAN geben willst, kann Du den Gastzugang der Fritte nutzen. Sei Dir aber bewußt, daß das kosmetischer natur ist.

Ob nun Deine Firmensysteme das Internet nur wenig oder viel nutzen ist unerheblich. Wenn da wichtige Patienten- oder mandanmtendaten Daten auf den Systemen drauf sind, solltest Du zumindest Firewall + Malwarescanner hinstellen. ob du nun ein komplettes IDS brauchst ist eien Geldfrage.

Um es mal mit einem unpassenden Vergleich zu verdeutichen: es ist egal ob man oft oder selten mit jemand Fremden ins Bett springst. Auch bei nur einmal in 10 Jahren kannst Du da den Falschen erwischen und Dir was holen, wenn Du Dich nicht schützt. :-) face-smile

lks
Bitte warten ..
Mitglied: Dilbert-MD
27.01.2016 um 08:32 Uhr
Hallo Thomas,

wenn die Firmen-PC's nicht ins Internet gehen sollte dafür eine einfache "Firewall" ausreichen.

Du musst nur Vorkehrungen treffen, dass die Mobilgeräte der Mitarbeiter nicht über die Fitzbox auf Dein Firmennetzwerk zugreifen können. Nicht gewollt (durch Nutzer) und auch nicht ungewollt (durch mögliche Schadsoftware auf einem der Mobilgeräte). Hier muss es eine deutliche und sichere Trennung geben. Denn auf den Firmen-PC's sind die Patientendaten gespeichert, die besonders geschützt werden müssen. Ggf. ist hier schon eine VLAN-Lösung erforderlich.

Ab und zu werden die Firmen-PC's aber doch mal ins Internet gehen (müssen?), z.B. um Updates zu installieren.
E-Mail habt Ihr also nicht und elektronische Abrechnung auch nicht.

Wenn Deine Mitarbeiter DEIN Internet nutzen besteht die Gefahr, dass über DEINEN Anschluss mit DEINER IP-Adresse z.B. Urheberrechtsverletzungen begangen werden können, die dann erst mal Dir angelastet werden. Ebenso kann es passieren, dass über Deinen Internetzugang beleidigende Kommentare gepostet werden können, was dann auch wieder über Deine IP auf Dich zurückgeführt wird.
Hierzu solltest Du Dich mal juristisch beraten lassen.

Je nach Art und Umfang der gespeicherten Patientendaten kann Dir Deine Kammer ggf. Auskunft geben, welche Schutzmaßnahmen dafür nötig sind. Ist es nur der Papierkalender für die Termine reicht ein abschließbares Schubfach... ;)

Gruß
Holger
Bitte warten ..
Mitglied: Kalle2013
27.01.2016 um 08:54 Uhr
AVM positioniert die Fritzbox ganz eindeutig für das "Heimnetzwerk", das sollte man auch noch bedenken.
Bitte warten ..
Mitglied: certifiedit.net
27.01.2016, aktualisiert um 09:53 Uhr
Hallo Thomas,

es macht immer Sinn in Sicherheit zu investieren und eine FritzBox ist keine Firewall. Natürlich könnte man behaupten, dass diese Ports öffnet und schliesst bzw mit der Kindersicherung ggf. etwas reglementieren kann. Aber wir gehen einfach mal davon aus, dass eine Firewall heute nicht einer Firewall von 1995 entspricht, bzw der Begriff mit der Entwicklung mitgewachsen ist. Heutige Firewalls sind SG' bzw UTM mit entsprechenden detaillierteren Funktionen.

Man streubt sich natürlich oft vor den Ausgaben, wer allerdings bereits eine Attacke verzeichnen musste bzw mit der ständigen Gefahr eines unewünschten Datenabflusses leben muss, investiert hier in Anführungszeichen gerne auch etwas mehr als die genannten 500€ - auch bei "kleinen" Unternehmen, wobei 20 Leute ja nun doch bereits nicht mehr so klein ist und wenn man ein Monatsgehalt von ca 2.500€ annimmt sind wir bei einer Investition in dieser Klasse bereits nur noch bei einem verschwindend geringen Bruchteil der Personalkosten für die Firmensicherheit und diese, gerade in der IT wird immer relevanter.

Daher klare Empfehlung für eine integrierte und auf sich abgestimmte Lösung. Die gehört de facto mittlerweile vor jedes Netz.

Bei Bedarf gilt wie immer, gerne auf mich zu kommen.

VG,

Christian
Bitte warten ..
Mitglied: aqui
27.01.2016 um 18:37 Uhr
Therapeutische Einrichtung sagt das dort auch Patienten und deren Akten verwaltet werden. Da hat sowas wie ne Plaste Fritzbox eigentlich nichts zu suchen, wenn es um personenbezogene Daten geht.
Ne Firewall ist da schon nicht falsch oder ein Router mit integrierter Firewall:
https://www.administrator.de/wissen/cisco-880-router-konfiguration-adsl- ...
Bitte warten ..
Mitglied: Dr.Bit
01.02.2016 um 18:09 Uhr
Hi,

wie certifiedit.net und aqui schon schrieben, ist eine echte Firewall, wenn personenbezogene Daten in Eurem Netz liegen, schon Pflicht.
Mit Securepoint habe ich sehr gute Erfahrungen gemacht. Die ist allerdings auch nicht gerade billig. Du mußt die Firewall an sich kaufen, hier bietet sich eine RC100 an, und natürlich die Lizenzen; die liegen für 20 Benutzer bei ca. 850,- Euro im Jahr.
Wenn ich das richtig verstanden habe, willst Du den Mitarbeitern den Internetzugang für deren Handy´s über Euren Anschluß zur Verfügung stellen. Das halte ich für problematisch, weil der Anschlußinhaber für das haftet, was an seinem Anschluß passiert. Da kommst Du ganz schnell in Beweispflicht, wenn da irgendjemand Mist macht. ( Man weiß ja nie ). Das kannst Du zwar einschränken indem Du die Handy´s bzw. den Accesspoint hinter die Firewall hängst, dann kannst Du es aber auch gleich sein lassen, weil Du die Firewall so scharf einstellen mußt, das es keinen Spaß mehr macht.
Oder: Du hängst die Firewall hinter die Fritte. Dann können die Handy´s ungehindert über das WLAN der Fritte ins Netz und sind auch gleichzeitig vom internen Netz abgeschirmt.
Wie gesagt: Firewall muß sein, wenn personenbezogene Daten im Netz liegen. Dann solltest Du auch eine zertifizierte wie Securepoint nehmen. Und Du bist dann auch noch revisionssicher. Falls mal einer zum Prüfen kommt.

LG
Stephan
Bitte warten ..
Mitglied: aqui
04.02.2016 um 14:42 Uhr
Kein Feedback seit einer Woche vom TO :-( face-sad
Hoffentlich reichts dann noch für ein
https://www.administrator.de/faq/32
Bitte warten ..
Mitglied: thomasreischer
05.02.2016 um 07:00 Uhr
Sorry.

Wir werden uns demnächst eine PfSense zulegen. Ich denke das wäre die perfekte Lösung für uns. :) face-smile
Bitte warten ..
Mitglied: aqui
05.02.2016 um 09:20 Uhr
Damit macht ihr nichts falsch !
Hier findest du ein paar Infos dazu:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: thomasreischer
05.02.2016 um 23:21 Uhr
Das hoffe ich :) face-smile

Tatsächlich hat uns so ziemlich jeder davon abgeraten, mit der Begründung dass große Sicherheitslücken viel zu langsam gestopft werden, aber wir hoffen das beste.
Bitte warten ..
Mitglied: aqui
06.02.2016, aktualisiert um 11:35 Uhr
Ha ha ha...der ist gut ?? Und ??? ...wollte dir als Ersatz ein kommerzielles Produkt mit einem teuren Servicevertrag verkaufen wo dann Fixes im Monatsrhytmus kommen. Vergiss es...dieses Argument ist natürlich vollkommener Unsinn und die Angst die man dir macht ist rein kommerzieller Natur. Klar ist es einfacher sich ein sanftes Ruhekissen zu kaufen um dann im Fall der Fälle auf einen hersteller zeigen zu können ;-) face-wink
Die Firmware wird von einer riesengroßen, weltweiten Community gepflegt ! Fehler und Bugs bzw. Angriffs Threads werden im Minutenrhytmus erkannt und umgehend gefixt..und das auf offener Basis nicht im Entwickler Kämmerlein von kommerziellen Herstellern die andere Interessen haben.
Das Argument ist absurd und kannst du getrost vergessen....
Bitte warten ..
Mitglied: thomasreischer
06.02.2016, aktualisiert um 11:50 Uhr
Yup, genau das dachte ich mir bei den meisten auch. (Übrigens waren daran auch Leute in diesem Forum verteilt, die allerdings ihre Motive auch nicht wirklich verstecken - siehe Username) Zwar habe ich diesen Rat auch von Kollegen erhalten die keinen Cent daran verdienen würden, wenn ich mich tatsächlich für eine andere Lösung entschieden hätte, allerdings hatten diese Menschen ihren letzten Kontakt mit PfSense auch vor vielen vielen Jahren. Ich bin also guter dinge. :) face-smile
Bitte warten ..
Mitglied: aqui
06.02.2016 um 11:54 Uhr
Kannst du auch sein. Nicht verrückt machen lassen ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 15 StundenFrageWindows 1036 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 9 StundenFrageOff Topic16 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 1 TagFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 11 StundenTippHumor (lol)8 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming10 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
GPU Passthrough HYPER-V 2019
bintesVor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe ein ein Problem mit der Bereitstellung einer Grafikkarte an eine virtuelle Maschine. Hardware: - HPE ProLiant DL380 Gen9 V4 Rack Server ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...