szonix
Goto Top

Unterschiede zwischen Firewalls bezüglich Sicherheit?

Hallo,

Ich bin Szonix. Habe mich hier angemeldet um vielleicht eine Frage beantwortet zu bekommen welche ich mir schon länger stelle und welche auch bei einer derzeitigen Entscheidung hilfreich sein kann.

Meine Frage ist:
Gibt es Unterschiede bei Firewalls diverser Preisklassen in Bezug auf deren Sicherheit?
Damit meine ich, ist ein Billigrouter aus dem Elektronikmarkt (Netgear, DLink, Asus, etc) unsicherer als ein Profigerät einer bekannten Firma (zB Forti)?

Natürlich unterscheidet sich der Funktionsumfang immens. Ein einfacher Router kann Ports freigeben und mehr oder weniger wars das dann schon. Und natürlich ist der Support anders gelagert.

Aber ganz abseits der Funktionen und des Supports: Wäre es ein Unterschied?
Ich würde ja eher Nein sagen.

Aktueller Hintergrund der Frage:
Wir nutze in der Firma eine Fortigate welche inzwischen EOL ist und ersetzt werden muss.

Ich persönlich bin nicht davon angetan. Das Ding kostet monatlich, die Oberfläche ist altbacken, die Einstellungen komplex und eigentlich kennt sich niemand so wirklich damit aus.

Privat Zuhause nutze ich Synology Produkte seit über 10 Jahren; inzwischen habe ich auch schon mehrere deren Router verbaut. Deren Support ist astrein, Updates kommen superschnell, es verursacht keine laufenden Kosten und ist leicht administrierbar. Ich bin der Meinung man muss ein Produkt auch administrieren können, sonst hilft das beste Produkt nichts.

Natürlich kann die Forti mehr, bietet einfach größeren Funktionsumfang. Das wird aber nicht wirklich genutzt. Und nach dem Durchsehen der angebotenen Features empfinde ich den Großteil davon eher als Marketinggag.

Mir stellt sich nun die Frage ob die Forti tatsächlich sicherer ist als irgendein anderes Produkt und ob wir in Zukunft dabei bleiben sollen oder auf etwas anderes welchseln sollen.

Ergänzung: Wir sind eine kleine Firma mit unter 10 Mitarbeitern. Zugriff von außen sollte per VPN erfolgen, was derzeit die Forti regelt, aber da wäre mir ein kleiner dezidierter VPN Server doch lieber. Die Filterfunktionen der Forti kann ein Synology Router auch, gratis und unbeworben.

Was sagt ihr dazu?

Content-ID: 62263992049

Url: https://administrator.de/contentid/62263992049

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 04.02.2024 um 13:47:28 Uhr
Goto Top
Moin,

Die Antwort ist nicht trivial. Eine einfache Fritte aus dem Baumarkt kann deutlich sicherer sein als eine Firewall für eine fünf- bis sechsstelligen Betrag. Bei der Fritte gibt es wenig zu konfigurieren, sie kann ihre Updates automatisch machen und der Admin muß kein Vollprofi sein. Bei der "Profi-Version" braucht man einen fähigen Admin, der mehr kann als "alles aufmachen", damit alles funktioniert.

Wichtig ist erstmal festzulegen, gegen welche Bedrohungen man sich schützen will und welche Risiken als vertretbar angesehen werden. Darauf basierend muß man dann die Firewall auswählen.

Fazit: Es gibt keine pauschale Aussage. Das teure Firewall besser schützen, sondern nur, das man damit mehr abbilden kann, wovor man sich schützt, sofern man fähig genug ist, diese auch zu konfigurieren.

lks
radiogugu
radiogugu 04.02.2024 aktualisiert um 13:53:32 Uhr
Goto Top
Mahlzeit.

Zitat von @Lochkartenstanzer:
Fazit: Es gibt keine pauschale Aussage. Das teure Firewall besser schützen, sondern nur, das man damit mehr abbilden kann, wovor man sich schützt, sofern man fähig genug ist, diese auch zu konfigurieren.

+1

Die Wahl einer Firewall kommt auf das bedienende Personal und den Anwendungsfall an. Pauschalieren ist hier nicht möglich.

Ergänzung: Wir sind eine kleine Firma mit unter 10 Mitarbeitern. Zugriff von außen sollte per VPN erfolgen, was derzeit die Forti regelt, aber da wäre mir ein kleiner dezidierter VPN Server doch lieber. Die Filterfunktionen der Forti kann ein Synology Router auch, gratis und unbeworben.

Hier würde ich zu bedenken geben, dass Best Practice ist VPN auf dem äußersten Ring des Netzwerkes zu terminieren.

Denn sonst bohrst du ein unnötiges Loch in die Firewall hinein, obwohl jedes professionelle Gerät, egal ob SonicWall, Sophos, PF/OPNSense oder Fortigate, das einwandfrei geschafft bekommen.

Gruß
Marc
Boomercringe
Boomercringe 04.02.2024 um 14:29:24 Uhr
Goto Top
Die Hauptunterschiede sind sicherlich in Features zu sehen, die auch als "Next Generation Firewall" bezeichnet werden und ja, diese können die Sicherheit (vor allem der Clients dahinter) erhöhen.

https://en.wikipedia.org/wiki/Next-generation_firewall

Und VPN sollte auf der Firewall laufen, ich würde dir Wireguard als Protokoll empfehlen.

Wenn du noch geeignete Hardware über hast, kannst du auch z.B. eine opnsense.org hosten
Cloudrakete
Cloudrakete 04.02.2024 um 14:57:51 Uhr
Goto Top
Moin,

ich würde an deiner Stelle keinen VPN-Server oder ähnliches verwenden, da haben die Vorposter schon ausreichend Gründe geliefert, warum das nicht machen sollte.
Eine FortiGate (wenn nicht EOL ;)) ist natürlich immer top, aber wenn diese niemand betreiben kann, muss man sich einen Dienstleister reinholen, der das kann. Der möchte dafür natürlich bezahlt werden, neben den up-front Kosten für die Hardware & Lizenzen kann das bei eurer Größe schnell empfindlich viel Geld kosten.

(Fast) Kostenneutral kann man sich theoretisch eine PFSense, oder Opnsense hinstellen - ich persönlich präferiere PFSense, aber mit der richtigen Person als Admin bekommt man beide Varianten ausreichend performant und sicher betrieben.
Du würdest dir also entsprechende Hardware (Siehe https://www.netgate.com/pfsense-plus-software/how-to-buy#appliances) besorgen, ein PFSense-Image und am besten auch ein kleinen Supportvertrag mit Netgate (Hersteller PFSense) siehe https://www.netgate.com/support


Weder den Supportvertrag, noch die Hardware musst Du kaufen. PFSense ist open-source und somit kostenlos.
Über weitere (größtenteils kostenlose) Plugins kannst Du weitere Funktionen onboarden, auch umfangreiche Securityfunktionen. Allerdings gilt auch hier: Verstehe was du tust!


Eine FortiGate hat (je nach Lizenzierung etc) von Haus aus schon diese ganzen Funktionen, ich muss mir diese nicht in Eigenregie über Plugin-Stores zusammenklicken. Außerdem sind die Managementtools, sowie das weitere Ökosystem sehr mächtig.
Diese Vorteile spielen sich aber auch erst ab einer gewissen Größe aus (Mehrere FortiGate Instanzen / weitere Appliances wie WAF, Authenticater, NAC etc pp.)
micneu
micneu 04.02.2024 um 15:10:07 Uhr
Goto Top
Moin, setze die Firewall ein, mit der du klarkommst und die genau deinen Bedarf abdeckt.
Ich bin privat ca. 2016 auf pfSense umgestiegen, 2017 dann zur OPNsense und aktuell setze ich eine Netgate 6100 ein und superglücklich mit der Lösung. Beruflich sind wir weg von Sophos zur pfSense+ im Office Netgate 6100 und im RZ Dell Hardware mit pfSense+.

Meine Empfehlung, schaffe dir einen Überblick und vergleiche die Produkte, wähle das Produkt was am besten zu euren Anforderungen und Budget passt.
HansDampf06
HansDampf06 04.02.2024 um 15:11:50 Uhr
Goto Top
@SzoniX, Du hast völlig Recht: FortiGate ist an vielen Stellen nicht wirklich einfach und auch nicht immer einsichtig, zumal die Dokumentation auch nicht immer hilfreich erscheint. Teuer ist eine FortiGate in der laufenden Unterhaltung in jedem Fall.

Wer sich aber mit FortiGate einigermaßen auskennt, hat eine sehr gute Startposition, um auf die bereits erwähnte Variante OPNsense als Firewall zu wechseln. Nur OPNsense hat wiederum auch seine Eigenheiten, die, wenn man damit eine FortiGate ersetzen möchte, ebenfalls ein gewisses Kopfzerbrechen hervorrufen. Beispielsweise werden bei einer FortiGate alle Firewallregeln in einer Liste (für IPv4, für IPv6 etc.) geführt. OPNsense hat den Ansatz, mit portbezogene Firewallregeln zu hantieren. So können chronologische Abhängigkeiten nicht ohne weiteres von der FortiGate auf die OPNsense übertragen werden. Zudem kann man bei OPNsense in einer Regel nicht mehrere Quellen und Ziele gleichzeitig angeben - dafür bedarf es immer eines expliziten Alias. Der Nachteil daran ist, dass die Regeln später schwerer nachvollziehbar / lesbar sind. Andererseits sind die Regellisten für IPv4 und IPv6 bei FortiGate getrennt und bei IPv6 gibt / gab es keine FQDN-, sondern nur IP-Adressangaben.
Letztlich ist es aber so: Wer aus verständlichen Gründen von FortiGate zu etwas anderem wechseln möchte, hat mit OPNsense eine brauchbare Alternative mit regelmäßigen Updates. Zudem kann er auf eine vergleichbare Funktionsvielfalt zurückgreifen und hat wohl sogar noch ein paar Möglichkeiten mehr.
Empfehlenswert ist ohnehin in beiden Fällen, den Syslog an einen dedizierten Syslog-Server zu übertragen. Das erleichtert die Administration und das Verständnis der Konfiguration und deren Betriebsverhalten ungemein.

Insgesamt kommt es darauf an, sich mit der Konfiguration einer Firewall hinreichend zu beschäftigen, weil ansonsten eine fehlerhafte Administration mehr schadet als hilft. Im Vorbeigehen wie bei einer Fritzbox wird es eher nicht gelingen ...

Ansonsten wird es so sein: Egal, zu welchem Anbieter Du letztlich wechselst, mit dem Funktionsumfang steigen die Komplexität und die Anforderungen an eine sachgerechte Administration. Zudem hat jedes Firewallsystem seine eigene Philosophie und seine besondere Eigenheiten. Mit diesen muss man lernen umzugehen - daran führt kein Weg vorbei. Deshalb ist es, wie bereits erwähnt wurde, zumeist auch eine reine Geschmackssache, mit welcher GUI, CLI etc. der Administrator besser zurechtkommt.

Viele Grüße
HansDampf06
Lochkartenstanzer
Lochkartenstanzer 04.02.2024 um 15:35:04 Uhr
Goto Top
Zitat von @SzoniX:

Was sagt ihr dazu?

Mal eine ganz andere Fragen:

Welche Funktionen der Fortigate nutzt ihr überhaupt und was davon braucht ihr wirklich?

Haben die Syn8logys alle Funktionen die ihr braucht?

Wenn du Mut symology zurechtkommt und die alle Funktionen bietet, die ihr braucht, kannst Du das durchaus nehmen.

lks

PS: VPN terminiert man i.d.R. am Borderrouter oder in einer NZ.
Snagless
Snagless 04.02.2024 um 16:11:43 Uhr
Goto Top
Hallo,

gesetzt den Fall wenn man sich gegen eine FW entscheidet, dann läuft das VPN ja auf dem Router. Bei 10 Leuten dürfte das mit einer Fritte mehr als Grenzwertig sein, vor allem wenn die zeitlich das VPN nutzen müssen.

Schau Dir da mal die Lancom Router an, die kleinen können 5 VPN simultan. Kann man aber auf 25 Sessions erweitern. Oder statt dessen gleich ein größeres Modell nehmen die Out-of-the-Box schon 25 Sessions können. Je nachdem was für eine Anbindung man hat, kann sonst auf das VPN im Router den Engpass darstellen.

Und man hat da eine gute Versorgung mit Updates und einen deutschsprachigen Support.
Visucius
Visucius 04.02.2024 aktualisiert um 19:07:13 Uhr
Goto Top
OPNsense
ggf. sogar auf Deiner aktuellen Fortigate-HW.

Und Router und Firewall sind zwei unterschiedliche Konzepte (alles zu/alles auf). Auch wenn ich ein Synology-Fan bin … denke ich ist OPNsense nach oben hin flexibler erweiterbar. Die ist einfacher funktioneller auf nem anderen Level - gerade für Unternehmen.

Bzgl. VPN, nimm das was auf den Clients schon integriert ist und mach nen Bogen um OpenVPN weil es schlecht(er) skaliert.
aqui
aqui 04.02.2024 aktualisiert um 19:58:55 Uhr
Goto Top
Schau Dir da mal die Lancom Router an,
Oder schau dir mal Cisco an die können noch 100mal mehr VPN User...
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Oder vielleicht doch eine pfSense/OPNsense FW?!
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Es gibt viele Wege nach Rom.... face-wink
MysticFoxDE
MysticFoxDE 04.02.2024 aktualisiert um 21:08:33 Uhr
Goto Top
Moin @SzoniX,

Gibt es Unterschiede bei Firewalls diverser Preisklassen in Bezug auf deren Sicherheit?

ja, zum Teil sogar sehr gravierende.

Damit meine ich, ist ein Billigrouter aus dem Elektronikmarkt (Netgear, DLink, Asus, etc) unsicherer als ein Profigerät einer bekannten Firma (zB Forti)?

Das ist wie die Kollegen schon gesagt haben, schwer zu beantworten.
Eine Enterprise-NGFW oder ein Enterprise-SGW ist im Normallfall einem Router beim Thema Sicherheit haushoch überlegen, das ist theoretisch so als ob man einen Panzer mit einem PKW vergleichen würde.
Aber, wenn man praktisch mit einem Panzer nicht umgehen kann, dann richtet man damit meist mehr Schaden an, als mit einem normalen PKW. 🙃

Natürlich unterscheidet sich der Funktionsumfang immens. Ein einfacher Router kann Ports freigeben und mehr oder weniger wars das dann schon. Und natürlich ist der Support anders gelagert.

Aber ganz abseits der Funktionen und des Supports: Wäre es ein Unterschied?
Ich würde ja eher Nein sagen.

Na eben die Funktionen, den diese machen einen Grossen Teil der Mehrsicherheit gegenüber einem einfachen Router aus, sofern man diese natürlich auch bedienen kann.

Die Filterfunktionen der Forti kann ein Synology Router auch, gratis und unbeworben.

Nein, die Forti hat definitiv etwas mehr drauf.

Gruss Alex
Xaero1982
Xaero1982 04.02.2024 um 21:18:22 Uhr
Goto Top
Ehm also er redet von weniger als 10 Usern und von VPN.
Das richtet man auf der Forti einmal ein und gut ist.
VPN ist in der Basislizenz enthalten und wenn du nicht mehr brauchst musst du dir nur eine neue Hardware kaufen. Für 10 Mann reicht da theoretisch - je nach Bandbreite - schon eine 40F. Die kostet wirklich nicht die Welt und du bist auf der sicheren Seite.

Alternativ ist das VPN auch bei einer Sophos XGS in der Basislizensierung dabei. Kostet auch nicht die Welt wie eine XGS116.

Grüße
Jupidu
Jupidu 05.02.2024 um 20:29:53 Uhr
Goto Top
Bei der Fortigate sind 2 FortiToken für 2FA gratis dabei (Mobile Token), weitere kann man dazukaufen (Einmalgebühr).
Auch Geoblocking für die VPN Zugänge sind einfach einzustellen und E-Mails bei Logon Fehlern kann man sich schicken lassen. So bekommt man mehr Sicherheit für die VPN Zugänge mit wenig Aufwand.
Ob es bei den kostenlosen FWs das auch so gibt, weiß ich nicht.
aqui
aqui 06.02.2024 um 09:50:16 Uhr
Goto Top
Ja, gibt es natürlich dort alles auch. Wenn nicht direkt dann immer über die Package Verwaltung.
aqui
aqui 25.02.2024 um 13:00:35 Uhr
Goto Top