9
Welche Hardware Firewall
Hi, hab die Datenbank schon durch stöbert, aber nichts gefunden was wirklich passt.
Also, ich würde gerne unseren IPCop ablösen, der läuft derzeit in 4 Filiallen, welche über VPN mit einander verbunden sind.
Das mit dem VPN-Verbindungen klappt auch wirklich gut, aber mich plangen Zweifel an der Sicherheit des Systems, nichts gegen den Cop, aber er ist wohl doch eher was für Heim Anwender, zumal man im Extrem Fall auch keinen Schadensersatz bekommen kann. Aber das ist ein anderes Thema.
Also, ich habe mir nun schon einige Firewalls angeguckt, bzw. mich informiert, aber hab aber leider noch nicht das passende gefunden.
Also, wir haben einen Hauptsitz und 3 Filiallen, die über VPN an die Hauptfilaille angebunden werden müssen.
Ausserdem müssen sich mehrere Mitarbeiter über VPN einwählen können.
Ein sehr grosses Problem ist leider, das ich die Rechner nicht via Active Directory etc. einschränken kann, da der Preis für 8 Server + Lizenzen doch etwas hoch ist. Auch sonst ist es sehr schwer, da manche Computer jene Software brauchen und der eine Computer wieder eine andere. Ausserdem ist es leider so, das einzelne PCs wegen eben eines dieser Programme Admin Rechte benötigt.
Wie es scheint, ist es den Kollegen auch sehr wichtig, über E-Mule und Kazza zu "ziehen", bzw. die ganze Zeit über ICQ zu schreiben. Da dies leider nicht ständig überwacht werden, kann, habe ich schon einiges Probiert, aber bis jetzt ohne Erfolg.
Deshalb, wäre eine Layer7 Firewall, damit ich dann auch mal die ganzen kleinen Progreamme der Kollegen stoppen kann(eMule und Co.) ganz schön.
Auch eine Zugriffsauth. wäre schön, am besten so, das nichts eingegeben werden, muss, sondern einfach über ein Zertifikat oder über die Interne Windows anmeldung eine Authifizierung fürs Internet erfolgen würde.
Virenscanner ist im Grunde überflüssig, da auf allen Rechnern ein Anti-Virus läuft.
Habe mit dem Chef gesprochen und kann etwa 2500.- für eine Firewall ausgeben, je günstiger desto besser ist ja klar.
Mir gefällt bis jetzt die PIX515e von Cisco, soll aber verflucht schwer zu konfigurieren sein?(Erfahrungen?)
Ausserdem hörten sich noch die Checkpoint Produkte und die Astaro Produkte gut an.
Sonicwall bzw. Watchguard, kenne ich leider nicht, habe aber irgendwie das Gefühl, dass es sich dabei eher um HomeUser Firewalls handelt.
Wär euch für euere Meinung und eueren Rat sehr dankbar.
Freundlicher Gruss und ein schönes Wochenende noch
Tim
Also, ich würde gerne unseren IPCop ablösen, der läuft derzeit in 4 Filiallen, welche über VPN mit einander verbunden sind.
Das mit dem VPN-Verbindungen klappt auch wirklich gut, aber mich plangen Zweifel an der Sicherheit des Systems, nichts gegen den Cop, aber er ist wohl doch eher was für Heim Anwender, zumal man im Extrem Fall auch keinen Schadensersatz bekommen kann. Aber das ist ein anderes Thema.
Also, ich habe mir nun schon einige Firewalls angeguckt, bzw. mich informiert, aber hab aber leider noch nicht das passende gefunden.
Also, wir haben einen Hauptsitz und 3 Filiallen, die über VPN an die Hauptfilaille angebunden werden müssen.
Ausserdem müssen sich mehrere Mitarbeiter über VPN einwählen können.
Ein sehr grosses Problem ist leider, das ich die Rechner nicht via Active Directory etc. einschränken kann, da der Preis für 8 Server + Lizenzen doch etwas hoch ist. Auch sonst ist es sehr schwer, da manche Computer jene Software brauchen und der eine Computer wieder eine andere. Ausserdem ist es leider so, das einzelne PCs wegen eben eines dieser Programme Admin Rechte benötigt.
Wie es scheint, ist es den Kollegen auch sehr wichtig, über E-Mule und Kazza zu "ziehen", bzw. die ganze Zeit über ICQ zu schreiben. Da dies leider nicht ständig überwacht werden, kann, habe ich schon einiges Probiert, aber bis jetzt ohne Erfolg.
Deshalb, wäre eine Layer7 Firewall, damit ich dann auch mal die ganzen kleinen Progreamme der Kollegen stoppen kann(eMule und Co.) ganz schön.
Auch eine Zugriffsauth. wäre schön, am besten so, das nichts eingegeben werden, muss, sondern einfach über ein Zertifikat oder über die Interne Windows anmeldung eine Authifizierung fürs Internet erfolgen würde.
Virenscanner ist im Grunde überflüssig, da auf allen Rechnern ein Anti-Virus läuft.
Habe mit dem Chef gesprochen und kann etwa 2500.- für eine Firewall ausgeben, je günstiger desto besser ist ja klar.
Mir gefällt bis jetzt die PIX515e von Cisco, soll aber verflucht schwer zu konfigurieren sein?(Erfahrungen?)
Ausserdem hörten sich noch die Checkpoint Produkte und die Astaro Produkte gut an.
Sonicwall bzw. Watchguard, kenne ich leider nicht, habe aber irgendwie das Gefühl, dass es sich dabei eher um HomeUser Firewalls handelt.
Wär euch für euere Meinung und eueren Rat sehr dankbar.
Freundlicher Gruss und ein schönes Wochenende noch
Tim
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55566
Url: https://administrator.de/contentid/55566
Ausgedruckt am: 14.11.2024 um 09:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo Tim,
willkommen hier im Forum.
Emule und Kazza gehören nicht in eine Büroumgebung! Oder bezahlt dein Chef Arbeitszeit damit sich die Kollegen mit Musik und Filmen eindecken? Die Firma macht sich mit strafbar wenn ihr es duldet das illegale Filme und Musik von euren Firmen PC's aus getauscht werden.
Nun zu der Firewall mit VPN Funktion.
Langezeit gab es nur Cisco in meiner Welt. Mittlerweile finde ich die zu teuer und zu umständlich. Ohne ein mini-Studium von 2 bis 6 Monaten kommt der "ich-mache-gelegentlich-Firewalls" Administrator damit nicht zurecht.
Ich mag die Geräte von Lancom, die können alles und sind einfach zu konfigurieren. Lies mal das Handbuch bei Lancom unter downloads.
http://www.lancom-systems.de/download/Documentation/Reference_Manual/LC ...
Einigen hier im Forum sind deren Geräte einfach zu teuer. Qualität hat (leider) ihren Preis.
Gruß Rafiki
willkommen hier im Forum.
Emule und Kazza gehören nicht in eine Büroumgebung! Oder bezahlt dein Chef Arbeitszeit damit sich die Kollegen mit Musik und Filmen eindecken? Die Firma macht sich mit strafbar wenn ihr es duldet das illegale Filme und Musik von euren Firmen PC's aus getauscht werden.
Nun zu der Firewall mit VPN Funktion.
Langezeit gab es nur Cisco in meiner Welt. Mittlerweile finde ich die zu teuer und zu umständlich. Ohne ein mini-Studium von 2 bis 6 Monaten kommt der "ich-mache-gelegentlich-Firewalls" Administrator damit nicht zurecht.
Ich mag die Geräte von Lancom, die können alles und sind einfach zu konfigurieren. Lies mal das Handbuch bei Lancom unter downloads.
http://www.lancom-systems.de/download/Documentation/Reference_Manual/LC ...
Einigen hier im Forum sind deren Geräte einfach zu teuer. Qualität hat (leider) ihren Preis.
Gruß Rafiki
1. In Sachen eMule/Kazaa schließe ich mich Rafiki an.
2. Was die Firewall angeht kann ich Watchguard empfehlen. Ich komme hier mit der Administration hervorragend klar. Aber ich weiß nicht, was du gegen den Cop hast - die Watchguard war hier halt schon vor mir da. Speziell für VPN nutzen wir hier einen Cisco VPN-Concentrator, der eigentlich auch nicht so kompliziert ist. Was Schadenersatz angeht, wirst du wohl auch bei einer kommerziellen Firewall Probleme haben etwaige Ansprüche gegen den Hersteller durchzusetzen. Letztendlich wird es vermutlich nämlich immer auf Fehlkonfiguration bzw. nicht eingespielte Sicherheitspatches hinauslaufen - fürchte ich...
Manuel
2. Was die Firewall angeht kann ich Watchguard empfehlen. Ich komme hier mit der Administration hervorragend klar. Aber ich weiß nicht, was du gegen den Cop hast - die Watchguard war hier halt schon vor mir da. Speziell für VPN nutzen wir hier einen Cisco VPN-Concentrator, der eigentlich auch nicht so kompliziert ist. Was Schadenersatz angeht, wirst du wohl auch bei einer kommerziellen Firewall Probleme haben etwaige Ansprüche gegen den Hersteller durchzusetzen. Letztendlich wird es vermutlich nämlich immer auf Fehlkonfiguration bzw. nicht eingespielte Sicherheitspatches hinauslaufen - fürchte ich...
Manuel
Hi, das diese Programee bzw. was damit gemacht wird nicht legal ist, wissen sowohl mein Chef als auch ich. Nur möchte ich gerne dagegen vorgehen, und wenn es nicht direkt am PC erfolgen kann, dann soll es wenigstens durch die Firewall geschehen.
Also bleibt im Grunde nur eine Layer 7 Firewall, wo wir bei meinem ersten Problem beim Cop sind, der der Cop ist keine Layer 7 Firewall.
Ausserdem fehlt mir beim Cop ein IPS oder ähnliches, welches wirkölich zuverlässig funktioniert. Zwar besteht die möglichkeit dies über Snort zu machen, aber die Erfahrung zeigt, das es nicht sehr zuverlässig ist und auch sehr oft Angriffe erkennt, obwohl es keine sind.
Ich stelle mir vor, das die Firewall:
1. Layer 7 fähig ist, bzw. P2P Programme und Messanger sollten geblockt werden können.
2. Möchte ich gerne genau bestimmten welcher Computer ins Internet darf, bzw. aufs VPN zugreifen darf, die festlegung, sollte am besten per MAC Adresse, oder per User-Auth, bzw. über beides funktionieren.
3. Die Firewall soll ein IPS System haben
4. Site to Site und Site to End VPN muss möglich sein.
Das sind die Sachen, die mir spontan einfallen, andere Extras, sind natürlich nicht schlecht.
Gruss Tim
Wäre also super, wenn ihr mir da eine empfehlen könnte, die auch relativ leicht zu bedienen ist.
Habe gelsen, das die neuen PIX systeme ein Webinterface haben, das wäre ja schon deutlich leichter, als über die Konsole. Nur wie sieht die Konfiguration aus etc.???
Danke
Also bleibt im Grunde nur eine Layer 7 Firewall, wo wir bei meinem ersten Problem beim Cop sind, der der Cop ist keine Layer 7 Firewall.
Ausserdem fehlt mir beim Cop ein IPS oder ähnliches, welches wirkölich zuverlässig funktioniert. Zwar besteht die möglichkeit dies über Snort zu machen, aber die Erfahrung zeigt, das es nicht sehr zuverlässig ist und auch sehr oft Angriffe erkennt, obwohl es keine sind.
Ich stelle mir vor, das die Firewall:
1. Layer 7 fähig ist, bzw. P2P Programme und Messanger sollten geblockt werden können.
2. Möchte ich gerne genau bestimmten welcher Computer ins Internet darf, bzw. aufs VPN zugreifen darf, die festlegung, sollte am besten per MAC Adresse, oder per User-Auth, bzw. über beides funktionieren.
3. Die Firewall soll ein IPS System haben
4. Site to Site und Site to End VPN muss möglich sein.
Das sind die Sachen, die mir spontan einfallen, andere Extras, sind natürlich nicht schlecht.
Gruss Tim
Wäre also super, wenn ihr mir da eine empfehlen könnte, die auch relativ leicht zu bedienen ist.
Habe gelsen, das die neuen PIX systeme ein Webinterface haben, das wäre ja schon deutlich leichter, als über die Konsole. Nur wie sieht die Konfiguration aus etc.???
Danke
Ich würde einen Proxy zwischen die Benutzer und das Internet schalten. Es gibt sehr viele unterschiedliche Proxy Server, wie z.B. Squid (kostenlos) oder Microsoft ISA. (Eine Firewall von Microsoft. . . . .)
Ein Beispiel kann der Webmarshal von Marshal.com sein.
http://www.marshal.com/WebMarshal/
Der Benutzer, der im Internet surfen möchte, muss sich mit Benutzernamen und Passwort am Proxy anmelden. Nur dann kann er Webseiten erreichen, die für seine Benutzergruppe zugelassen sind (whitelist) oder er kann alle Webseiten erreichen, aber nicht solche die aus definierten Gruppen (porno, gewalt, spiele, usw.) stammen.
Wenn ihr wollt könnt ihr einen Bericht erstellen wer, wann, wohin, wie lange, welche Dateien. Es kann genau festgelegt werden welche Datenschutzbestimmungen gelten und was protokolliert werden darf. Zusätzlich kann und sollte eine Antivirus Software von einem anderen Anbieter eingebaut werden, welche dann die Downloads prüft.
Diverse Chatsoftware kann explizit erlaubt oder verboten sein. emule und andere peer to peer Netzwerke scheitern grundsätzlich.
Je nach Kultur in dem Betrieb kann so etwas selbstverständlich sein, evtl. sogar gesetzlich vorgeschrieben (Jugendschutz), oder auf komplette Ablehnung stoßen. Entweder der Betriebsrat stimmt zu oder verteufelt die Überwachung am Arbeitsplatz. Auf jeden Fall müssen die Mitarbeiter informiert werden. Am besten eignet sich eine betriebliche Vereinbarung über die Internetnutzung am Arbeitsplatz, die dann für alle gilt.
gruß Rafiki
Ein Beispiel kann der Webmarshal von Marshal.com sein.
http://www.marshal.com/WebMarshal/
Der Benutzer, der im Internet surfen möchte, muss sich mit Benutzernamen und Passwort am Proxy anmelden. Nur dann kann er Webseiten erreichen, die für seine Benutzergruppe zugelassen sind (whitelist) oder er kann alle Webseiten erreichen, aber nicht solche die aus definierten Gruppen (porno, gewalt, spiele, usw.) stammen.
Wenn ihr wollt könnt ihr einen Bericht erstellen wer, wann, wohin, wie lange, welche Dateien. Es kann genau festgelegt werden welche Datenschutzbestimmungen gelten und was protokolliert werden darf. Zusätzlich kann und sollte eine Antivirus Software von einem anderen Anbieter eingebaut werden, welche dann die Downloads prüft.
Diverse Chatsoftware kann explizit erlaubt oder verboten sein. emule und andere peer to peer Netzwerke scheitern grundsätzlich.
Je nach Kultur in dem Betrieb kann so etwas selbstverständlich sein, evtl. sogar gesetzlich vorgeschrieben (Jugendschutz), oder auf komplette Ablehnung stoßen. Entweder der Betriebsrat stimmt zu oder verteufelt die Überwachung am Arbeitsplatz. Auf jeden Fall müssen die Mitarbeiter informiert werden. Am besten eignet sich eine betriebliche Vereinbarung über die Internetnutzung am Arbeitsplatz, die dann für alle gilt.
gruß Rafiki
Wenn du eine Layer7-Firewall willst, dann brauchst du entwder eine SW-Firewall oder eine Firewall, die entsprechende Clients auf den Rechnern hat. Also nimm einfach die Windows-Firewall bei XP und aktiviere Sie über entsprechende Gruppenrichtlinien.
Oder du gibts an der Firewall zentral nur die benötigten Ports frei. Wo ist das Problem? Schwierig wird es zugegebener Maßen bei Skype, da der alternativ Ports 80 nutzt, der ja fast immer offen ist.
Ich verstehe aber nicht, warum du dir die Mühe machen willst unerwünschte Software per Port oder Layer7 zu sperren, wenn man einfach die Software entfernen kann. Verstärken kann man das dann mit einer entsprechenden IT-Richtlinie, die den Benutzern die Installation von Software untersagt. Wer dann immer noch installiert (und auch nutzt) weil er aus anderen Gründen Adminrechte hat, wird es spätestens nach der ersten Abmahnung sein lassen.
Manuel
Oder du gibts an der Firewall zentral nur die benötigten Ports frei. Wo ist das Problem? Schwierig wird es zugegebener Maßen bei Skype, da der alternativ Ports 80 nutzt, der ja fast immer offen ist.
Ich verstehe aber nicht, warum du dir die Mühe machen willst unerwünschte Software per Port oder Layer7 zu sperren, wenn man einfach die Software entfernen kann. Verstärken kann man das dann mit einer entsprechenden IT-Richtlinie, die den Benutzern die Installation von Software untersagt. Wer dann immer noch installiert (und auch nutzt) weil er aus anderen Gründen Adminrechte hat, wird es spätestens nach der ersten Abmahnung sein lassen.
Manuel
Hi, nen Proxy ist nicht ausreichend, ersten kann man alle Programme über denn Proxy laufen lassen, vorallem wenn man Benutzernamen und Passwort hat(eine authfizierung ohne das der Benutzer es merkt wäre gut, z.B. dieintergrierte Windows Auth)
Wie gesagt Richtlienien kann ich nicht erstellen, da einzelen Progs Admin Rechte benötigen, eine Einzelen Benutzer Auth ist auch nicht möglich, da der Computer von mehreren Nutzern genutzt werden muss und da im Kundenbereicht gearbeitet wird, ist es auch wichtig, das der Zugriff schnell geht, ohne ien lässtige anmeldung. Sprich man kann nicht nachvollziehen wer was gemacht hat, da die Benutzer überall zugriff brauche und ihn auch haben.
Ausserdem möchte ich gerne durch ien beschränkung sagen welcher PC aufs Internet zugreifen darf und welcher nicht!
Gruss und danke
Wie gesagt Richtlienien kann ich nicht erstellen, da einzelen Progs Admin Rechte benötigen, eine Einzelen Benutzer Auth ist auch nicht möglich, da der Computer von mehreren Nutzern genutzt werden muss und da im Kundenbereicht gearbeitet wird, ist es auch wichtig, das der Zugriff schnell geht, ohne ien lässtige anmeldung. Sprich man kann nicht nachvollziehen wer was gemacht hat, da die Benutzer überall zugriff brauche und ihn auch haben.
Ausserdem möchte ich gerne durch ien beschränkung sagen welcher PC aufs Internet zugreifen darf und welcher nicht!
Gruss und danke
Habe noch eine Frage und zwar ob es zwischen der PIX515E und PIX506E unterschiede ausser der Verbindungsanzahl und möglichen Benutzer gibt. Also ob es andere Sicherheits Standarts oder andere zusätzliche bzw. fehlende funktionen gibt.
Oder ob die Geräte wirklich bis auf mögliche Verbindungs- und Benutzeranzahl gleich sind.
Danke euch
Oder ob die Geräte wirklich bis auf mögliche Verbindungs- und Benutzeranzahl gleich sind.
Danke euch
PIX 506 ist ‚end of life’. Software Version 6.x, das war’s, es ist kein Aufrüsten auf die aktuelle Version 7.x möglich.
PIX 515E (E= mehr RAM) kann und sollte mit der aktuellen Software 7.2.x betrieben werden.
Software Version 7.x ist dem Cisco IOS nachempfunden, an einigen Stellen habe ich geflucht bis ich die feinen Unterschiede kannte.
Nachfolger aus der Baureihe PIX ist die ASA. Die ASA 5520 entspricht so ungefähr der PIX 515. Jede ASA hat Software 7.x. ASA hat die neue CPU und die Baureihe wird auch in den nächsten Jahren weiterentwickelt. So hat die ASA z.B. auch Webbased VPN, was die PIX warscheinlich nie lernen wird.
Gruß Rafiki
PIX 515E (E= mehr RAM) kann und sollte mit der aktuellen Software 7.2.x betrieben werden.
Software Version 7.x ist dem Cisco IOS nachempfunden, an einigen Stellen habe ich geflucht bis ich die feinen Unterschiede kannte.
Nachfolger aus der Baureihe PIX ist die ASA. Die ASA 5520 entspricht so ungefähr der PIX 515. Jede ASA hat Software 7.x. ASA hat die neue CPU und die Baureihe wird auch in den nächsten Jahren weiterentwickelt. So hat die ASA z.B. auch Webbased VPN, was die PIX warscheinlich nie lernen wird.
Gruß Rafiki
Hallo,
Firewall schau dir mal die Mikrotik Boards an, die können so ziemlich alles auch L7, und zudem noch presigünstig.
www.mikrotik.com
gerhard
Firewall schau dir mal die Mikrotik Boards an, die können so ziemlich alles auch L7, und zudem noch presigünstig.
www.mikrotik.com
gerhard
