34
Wozu braucht man eigentlich eine Hardware Firewall?
Hallo,
habe mich schon immer gefragt warum man eigentlich eine dedizierte Hardware Firewall braucht.. Es ist doch schon eine im Router und dann auch noch in den einzelnen Windoof PC's implementiert?
habe mich schon immer gefragt warum man eigentlich eine dedizierte Hardware Firewall braucht.. Es ist doch schon eine im Router und dann auch noch in den einzelnen Windoof PC's implementiert?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283812
Url: https://administrator.de/contentid/283812
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
34 Kommentare
Neuester Kommentar
Es ist doch schon eine im Router
Im Router ist ein Router und sonst gar nichts
Was du meinst ist eine Appliance, eine Komination aus Router und Firewall und meistens auch noch ein Switch.
LG Günther
Naja ein Router hat ja eine "klassische" Firewall-Funktion, er blockiert also nicht-autorisierte anfragen aus dem Internet und die meisten aktuellen Router haben auch eine VPN Funktion integriert. Ein AV ist natürlich meistens nicht dabei aber den hat man ja auf den einzelnen Clients installiert.
Mir ergibt sich der Sinn einfach nicht ganz - sorry
Mir ergibt sich der Sinn einfach nicht ganz - sorry
Hallo,
deckt Ihn dann auch dementsprechend und dabei spielt es keine "Geige" ob das nun
ein Router ist der "nur" SPI/NAT macht, eine Firewall, eine UTM Appliance oder gar
eine NG Firewall die Applikation´s basierend arbeitet.
Firewall bis hin zu einer recht guten bzw. besseren als in "normalen" Routern.
von überall auf alles zugreifen können!
- Ein Router routet Datenpakete von einem Netzwerk in ein oder mehrere Netzwerke.
- Eine Firewall trennt ein Netzwerk von einem oder mehreren Netzwerken.
- Ein Gateway ist ein Netzwerk-Knoten, der als Eingang zu einem anderen Netzwerk
fungiert in denen unterschiedliche Protokolle und Dienste zum Einsatz kommen
die im WAN und LAN Bereich benötigt werden und/oder angeboten werden müssen/können.
Das die Grenzen heute aber immer mehr und mehr verschwimmen da es auch Router
gibt die Firewallregeln setzen können und Firewalls die mit erweitertem Routingprotokollen
auf warten können ist eine ganz andere Sache.
auch ohne Gruß
Dobby
habe mich schon immer gefragt warum man eigentlich eine dedizierte
Hardware Firewall braucht..
Wer sagt das denn? Derjenige der den Bedarf hat braucht eine und wer den Bedarf hatHardware Firewall braucht..
deckt Ihn dann auch dementsprechend und dabei spielt es keine "Geige" ob das nun
ein Router ist der "nur" SPI/NAT macht, eine Firewall, eine UTM Appliance oder gar
eine NG Firewall die Applikation´s basierend arbeitet.
Es ist doch schon eine im Router
Das ist in der Regel und je nach Hersteller und Modell immer nur eine rudimentäreFirewall bis hin zu einer recht guten bzw. besseren als in "normalen" Routern.
und dann auch noch in den einzelnen Windows PC's implementiert?
Die ist eigentlich für den LAN Bereich gedacht denn da soll ja auch niemandvon überall auf alles zugreifen können!
- Ein Router routet Datenpakete von einem Netzwerk in ein oder mehrere Netzwerke.
- Eine Firewall trennt ein Netzwerk von einem oder mehreren Netzwerken.
- Ein Gateway ist ein Netzwerk-Knoten, der als Eingang zu einem anderen Netzwerk
fungiert in denen unterschiedliche Protokolle und Dienste zum Einsatz kommen
die im WAN und LAN Bereich benötigt werden und/oder angeboten werden müssen/können.
Das die Grenzen heute aber immer mehr und mehr verschwimmen da es auch Router
gibt die Firewallregeln setzen können und Firewalls die mit erweitertem Routingprotokollen
auf warten können ist eine ganz andere Sache.
auch ohne Gruß
Dobby
Hallo,
Nein, normalerweise nicht. Ein Router Routet. Eine Firewall trennt Netze. Eine UTM oder NG.... Nur nicht immer davon ausgehen das ein Speedport oder FritzBox oder HorstBox oder NetGear/D-Link/Zyxel usw. DSL Router der Stabdard sein. Es gibt bereiche wo ein Speedport oder fritzBox sehr wohl sinn machen und reichen. Es gibt aber auch Einsatzszenarien wo eine FritzBox nicht nur überfordert - sondern gar falsch am Platze sei. Stell die vor eine Fritzbox müsste das Tor ins Internet alleine nur für die Webseite von Aldi herhalten. Keine 5 Minuten würde das Teil überleben und keiner könnte die Aldi Angebote sehen....
Gruß,
Peter
Nein, normalerweise nicht. Ein Router Routet. Eine Firewall trennt Netze. Eine UTM oder NG.... Nur nicht immer davon ausgehen das ein Speedport oder FritzBox oder HorstBox oder NetGear/D-Link/Zyxel usw. DSL Router der Stabdard sein. Es gibt bereiche wo ein Speedport oder fritzBox sehr wohl sinn machen und reichen. Es gibt aber auch Einsatzszenarien wo eine FritzBox nicht nur überfordert - sondern gar falsch am Platze sei. Stell die vor eine Fritzbox müsste das Tor ins Internet alleine nur für die Webseite von Aldi herhalten. Keine 5 Minuten würde das Teil überleben und keiner könnte die Aldi Angebote sehen....
und dann auch noch in den einzelnen Windows PC's implementiert?
Sicherheit besteht aus mehr als einer komponente. Am Beispiel TOR (The Onion Router - Zwiebelschalen) ist es gut dargestellt.Gruß,
Peter
1
Du kannst mit einer Hardwarefirewall z.B. mehrere Netze voneinander Trennen. Wenn du eine Appliance wählst benötigst du mehrere Netze in der Appliance. Ich finde mit der Hardwarefirewall kann ich alles viel einfacher voneinander abtrennen.
Die meisten billigen Consumer Plastik Router haben keine SPI Firewall sondern was bei denen als "Firewall" bezeichnet ist, ist meisten nur der NAT Prozess, der quasi als Firewall wirkt aber keine wirkliche ist. Viele packen dann noch ein paar statische Accesslisten drauf und fertig ist die das was diese Anbieter solcher HW dann als "Firewall" bezeichnen und auf was Laien so wie du leichtgläubig reinfallen.
Daher rührt auch sicher deine Frage...
Eine Firewall die ihren Namen verdient ist einen stateful Firewall und kann auch sonst noch mehr als reines Firewalling.
Ist ja oben schon alles dazu gesagt und findet man übrigens auch auf Tante Google und Wikipedia !
Daher rührt auch sicher deine Frage...
Eine Firewall die ihren Namen verdient ist einen stateful Firewall und kann auch sonst noch mehr als reines Firewalling.
Ist ja oben schon alles dazu gesagt und findet man übrigens auch auf Tante Google und Wikipedia !
2
Naja jede halbwegs aktuelle Fritzbox hat eine SPI Firewall. So viel weiß sogar ich als "Laie"
Naja jede halbwegs aktuelle Fritzbox hat eine SPI Firewall. So viel weiß sogar ich als "Laie"
Und was kannst Du daran einstellen? Oder welche Regeln kann man damit setzen.Was ist denn SPI? Das ist Netfilter und die Regeln für Netfilter in einem MikroTik Router
sind genau zwei 4 Zeilen lang! So und das soll nun eine Firewall sein wie IPCop, ZeroShell,
IPFire oder pfSense wo ich mehrere hundert Firewallregeln eingeben kann? Oder gar eine
Palo Alto bei der ich mehrere tausend Firewallregeln eingeben kann, die dann noch mittels
eines ASIC/FPGA in Sekunden abgearbeitet werden?
Ein Fiat Uno hat auch vier Räder, ein Lenkrad und einen Motor, genau wie der
Mercedes 600 S AMG, gar kein Thema, nur in welchem Auto möchtest Du sitzen
wenn es zu einem Unfall kommt!
Gruß
Dobby
3
Hallo,
die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing. Nahezu jede Firewall läuft als Software auf einem Stück Hardware. Die Unterscheidung wird üblicherweise daran festgemacht wie das Ganze verkauft wird, also als Bundle mit abgestimmter Hardware und vorgefertigter Software oder als installierbare Software. Wenn man also Hardware Firewall sagt meint man ein optimal abgestimmtes Gesamtpacket, bei Software Firewall geht man von zusammengeschustertem Flickwerk aus.
Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe, das Ergebnis ist technisch betrachtet dasselbe.
Gruß
Andi
die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing. Nahezu jede Firewall läuft als Software auf einem Stück Hardware. Die Unterscheidung wird üblicherweise daran festgemacht wie das Ganze verkauft wird, also als Bundle mit abgestimmter Hardware und vorgefertigter Software oder als installierbare Software. Wenn man also Hardware Firewall sagt meint man ein optimal abgestimmtes Gesamtpacket, bei Software Firewall geht man von zusammengeschustertem Flickwerk aus.
Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe, das Ergebnis ist technisch betrachtet dasselbe.
Gruß
Andi
Vergleich' es mit einem Türsteher:
Ein Router lässt niemanden Neues rein, der nicht von einem Stammgast mitgebracht wird.
Eine Firewall macht sich die Mühe, guckt jeden neuen Besucher an, prüft ob der in den Club reindarf (Vorstrafenregister, Ausweiskopie, passender "Dresscode", Anweisung vom Clubbesitzer usw.) und schreibt für den Clubbesitzer ggf. auch eine Excel-Tabelle.
Das zum Einen.
Zum Anderen holen die meisten Firewall-Türsteher auch gerne mal einen Stammgast per VPN-Tunnel vom Flughafen ab (natürlich in der gepanzerten Limousine) und funktionieren auch gerne auch mal als Vermittler, wenn die Presse oder die Hells Angels (oder beide) vor der Tür stehen.
Wenn Du es auf diese Ebene reduzierst, gibt es übrigens keine Hardware-Firewalls (auf jeder Hardware läuft letztendlich eine Software). Das wesentliche Differnzierungsmerkmal ist meiner Meinung nach die Abgrenzung über (physikalische) mechanische Netzwerkschnittstellen.
Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen oder gar als Programm auf dem Hostsystem läuft (schauder!) wird zwar als Softwarefirewall bezeichnet, ich persönlich würde das aber nicht als Sicherheitslösung betrachten. Im Gegenteil - wenn der Anwender denkt, dass er von diesem Müll beschützt wird, handelt er u.U. nicht so umsichtig wie in dem Bewusstsein, dass er gerade nackig auf dem Marktplatz steht
Ein Router lässt niemanden Neues rein, der nicht von einem Stammgast mitgebracht wird.
Eine Firewall macht sich die Mühe, guckt jeden neuen Besucher an, prüft ob der in den Club reindarf (Vorstrafenregister, Ausweiskopie, passender "Dresscode", Anweisung vom Clubbesitzer usw.) und schreibt für den Clubbesitzer ggf. auch eine Excel-Tabelle.
Das zum Einen.
Zum Anderen holen die meisten Firewall-Türsteher auch gerne mal einen Stammgast per VPN-Tunnel vom Flughafen ab (natürlich in der gepanzerten Limousine) und funktionieren auch gerne auch mal als Vermittler, wenn die Presse oder die Hells Angels (oder beide) vor der Tür stehen.
Wenn Du es auf diese Ebene reduzierst, gibt es übrigens keine Hardware-Firewalls (auf jeder Hardware läuft letztendlich eine Software). Das wesentliche Differnzierungsmerkmal ist meiner Meinung nach die Abgrenzung über (physikalische) mechanische Netzwerkschnittstellen.
Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen oder gar als Programm auf dem Hostsystem läuft (schauder!) wird zwar als Softwarefirewall bezeichnet, ich persönlich würde das aber nicht als Sicherheitslösung betrachten. Im Gegenteil - wenn der Anwender denkt, dass er von diesem Müll beschützt wird, handelt er u.U. nicht so umsichtig wie in dem Bewusstsein, dass er gerade nackig auf dem Marktplatz steht
die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing.
Ganz im Gegenteil, bei einer Software Firewall wie zum Beispiel pfSense muss ich mir dierichtige und passende Hardware erst dazu suchen und dann habe ich meist keine richtigen
Hausnummern mit denn ich arbeiten kann oder an denen ich mich orientieren kann.
Bei einer Hardware Firewall bekomme ich eine Hardware und eine Software dazu die voll
und ganz auf die Belange des Kunden abgestimmt sind und die Software dazu ist natürlich
auch an die Hardware angepasst und 100% kompatibel.
Da scheitert nichts an der Treiberunterstützung und/oder man findet nicht die geeignete
Hardware zu der Software.
Nahezu jede Firewall läuft als Software auf einem Stück Hardware.
Das ist schon richtig nur wenn ich eine pfSense oder ähnliches auf einem IntelXeon E3-1286v3 System installieren, weiß ich natürlich das AES-NI Unterstützung
mit an Board ist und das ich Hardwareunterstützung für das VPN habe. Nur wenn
ich eine Hardwarefirewall kaufe und dann und dort ein Chip von Exar, Comtech oder
Cavium drinnen ist, weiß ich auch in etwa, dass ich einen Nummerngenerator habe
der xyz Schlüssel in xyz Sekunden schafft oder wie viele VPN Tunnel ich aufsetzen
kann bzw. mit was für einem Durchsatz ich rechnen kann.
Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne
das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe,
das Ergebnis ist technisch betrachtet dasselbe.
Stimmt aber nicht ganz, denn wenn Mercedes ein Auto baut und zulässt dann kann diedas Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe,
das Ergebnis ist technisch betrachtet dasselbe.
Zulassung für die ganze Serie gelten, wenn Du nun aber nur ein Auto zusammenbaust
und zwar selber, dann muss es jedes mal wieder neu zur Straßenzulassung gebracht
werden und jeder Rahmen bei jeder Neuanfertigung muss erneut überprüft werden.
Mercedes stellt sicher das sie in Serie gleichbleibende Qualität liefern und gut ist es.
Sagen wir mal bei Euch wird im Netzwerk eingebrochen und die Versicherung soll nun einen
Schaden begleichen weil Eure Kundenkonditionen kopiert worden und nun alle Kunden nach
und nach verschwinden und Euch verlassen, was sagst Du denn der Versicherung?
Ich habe eine super Firewall und alle anderen finden die auch super. Nur daran kann
die Versicherung nichts feststellen und das Prüfen auf Fehler dauert dann ewig und
kostet Unsummen. Und nun kommt jemand auf die Idee und sagt sich bei der Versicherung
wenn wir (die Versicherung) zahlen sollen und zwar in Höhe von xyz € dann muss die Firewall
mindestens ICSAs 2 geprüft worden sein! So und wenn jemand nun so eine Firewall kauft,
und dort wird eingebrochen muss nur noch schnell die Konfiguration und die Firmwareversion
überprüft werden, fertig! Deswegen gibt es Hardware Firewalls die in Serie gefertigt werden
wie das Auto bei Mercedes und geprüft werden.
Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen
Diese Firewalls können aber dynamisch mit der Unternehmensgröße mitwachsen.Und wenn die Hardware mit dem Host OS kompatibel ist und sich "durchreichen"
lässt kann man sie auch schnell erweitern oder aufrüsten.
oder gar als Programm auf dem Hostsystem läuft (schauder!)
Also die interne OS Firewall von von MacOS ist eigentlich ganz gut finde ich,aber die kleinen zusätzlichen Programm Waterroof und Little Snitch finde ich
eine gute Ergänzung dazu, zum einen als Frontend und zum anderen als Erweiterung.
wird zwar als Softwarefirewall bezeichnet, ich persönlich würde das aber
nicht als Sicherheitslösung betrachten.
Die Windows interne OS Firewall ist auch nur ein Stück Software, soll aber auch nurnicht als Sicherheitslösung betrachten.
für die Zugriffe im LAN schützen und nicht aus dem WAN oder zumindest nur rudimentär.
Gruß
Dobby
Zitat von @108012:
Diese Firewalls können aber dynamisch mit der Unternehmensgröße mitwachsen.
Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen
Diese Firewalls können aber dynamisch mit der Unternehmensgröße mitwachsen.
...aber da sie keinen Schutz bieten, kann man auch genau so gut darauf verzichten.
Eine Firewall, die auf der gleichen Hardware wie die zu schützende Ressource läuft, ist genau so wie "ein bisschen schwanger" und somit Ressourcenverschwendung.
Das fängt schon damit an, dass bei einer virtualisierten Firewall alle Server auf dem Host von einer externen DOS-Attacke betroffen sind und hört damit auf, dass der Angreifer bei StackOverflows Teile des Hostsystems (oder gar anderer Gäste) in die Finger bekommen könnte.
Der einzige Vorteil von virtualisierten Firewalls oder Softwarefirewalls ist aus meiner Sicht, dass das irgendwan einmal meine Kunden werden
In Anbetracht der Tatsache, dass eine gute(!) Hardwarefirewall keine 200 Euro kostet, erübrigt sich jede weitere Diskussion.
Welche firewall könntest du mir empfehlen für ~20 Arbeitsplätze mit einer 50k Anbindung und ca 100gb traffic pro Monat?
50 kBit/s Anbindung ?? Wo gibt es denn sowas heutzutage noch ??
Egal...diese Firewall erfüllt alle deine Anforderungen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Egal...diese Firewall erfüllt alle deine Anforderungen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Die Hardware: http://www.amazon.de/ALIX-2D13-ALIX-Bundle-Board-Engines/dp/B004ZPXOYK
Darauf dann ein IPCop: http://www.ipcop.org/
Ich denke, das ist für den SB-Bereich mehr als ausreichend.
Darauf dann ein IPCop: http://www.ipcop.org/
Ich denke, das ist für den SB-Bereich mehr als ausreichend.
@aqui,
er meinte sicherlich mit 50k = 50.000kBit/s. Ansonsten wären die 100GB Traffic kaum zu schaffen oder?
Gruß,
Dani
er meinte sicherlich mit 50k = 50.000kBit/s. Ansonsten wären die 100GB Traffic kaum zu schaffen oder?
Gruß,
Dani
Darauf dann ein IPCop: http://www.ipcop.org/
Igitt... besser lieber nicht IPCop wenn man an der Konfig nicht verzweifeln will.Nimm lieber eine pfSense. Das erleichtert das Leben ungemein !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Und dann auch kein 2D13 mehr das wäre Blödsinn, sondern gleich ein APU1D was nur unwesentlich teurer ist:
http://www.pcengines.ch/apu1d.htm
@Dani
OK, dann so oder so das APU1D mit Gig Interfaces.
Hallo,
Nebenbei kann man auch andere Router in eine VM setzen. Da laufen keine zu
schützenden Systeme drauf.
und IPFire sind alle samt Softwarefirewalls! Ich glaube wir reden hier an einander
vorbei und Du meinst die integrierten Firewalls von den OSen.
Welche Dienste werden angeboten?
Was ist mit VPN und vor allem dem Durchsatz?
Netgear FVS336Gv3
Juniper SSG Serie
Zyxel USG Serie
pfSense auf APU, SG-2440, SG-4860 oder SG-8860
pfSense, Endian oder Untangle auf Supermicro 2x58 Boards
Gruß
Dobby
..aber da sie keinen Schutz bieten, kann man auch genau so gut darauf verzichten.
Lanner FW-8895 & FW- 8896 Hypervisor drauf und dann Deine Firewall VM, fertig.Nebenbei kann man auch andere Router in eine VM setzen. Da laufen keine zu
schützenden Systeme drauf.
Der einzige Vorteil von virtualisierten Firewalls oder Softwarefirewalls
pfSense, ZeroShell, Endian, Sophos, Untangle, OPNSense, IPCop, SmoothWall,und IPFire sind alle samt Softwarefirewalls! Ich glaube wir reden hier an einander
vorbei und Du meinst die integrierten Firewalls von den OSen.
Welche firewall könntest du mir empfehlen für ~20 Arbeitsplätze mit einer 50k
Anbindung und ca 100gb traffic pro Monat?
Welchen Durchsatz brauchst Du?Anbindung und ca 100gb traffic pro Monat?
Welche Dienste werden angeboten?
Was ist mit VPN und vor allem dem Durchsatz?
Netgear FVS336Gv3
Juniper SSG Serie
Zyxel USG Serie
pfSense auf APU, SG-2440, SG-4860 oder SG-8860
pfSense, Endian oder Untangle auf Supermicro 2x58 Boards
Gruß
Dobby
Wir haben noch einen alten HP Proliant g5 bei uns rumstehen.. Werde wohl eher da PfSense installieren
besser lieber nicht IPCop wenn man an der Konfig nicht verzweifeln will
Vielleicht haben wir einfach nur eine abweichende Intuition
Ich glaube wir reden hier an einander vorbei und Du meinst die integrierten Firewalls von den OSen.
Nein. Ich meine diejenigen Firewalls, die sich (Hardware-)Ressourcen mit Dingen teilen, die sie eigentlich beschützen sollten.
Dazu zähle ich zum einen die integrierten Firewalls der Betriebssysteme und zum Anderen z.B. Firewalls, die parallel zu den (virtualisierten) Servern in einer eigenen Hyper-V VM auf der gleichen Hardware laufen.
Vielleicht haben wir einfach nur eine abweichende Intuition
Vermutloch aber wer einmal das Setup eines IPCop gesehen hat und die Alternative kennt kann sich eigentlich nicht irren...Wir haben noch einen alten HP Proliant g5 bei uns rumstehen.. Werde wohl eher da PfSense installieren
Auf alle Fälle der richtige Weg ! (Wenn man nicht so auf die Stromkosten sehen muss )Zitat von @108012:
richtige und passende Hardware erst dazu suchen und dann habe ich meist keine richtigen
Hausnummern mit denn ich arbeiten kann oder an denen ich mich orientieren kann.
Bei einer Hardware Firewall bekomme ich eine Hardware und eine Software dazu die voll
und ganz auf die Belange des Kunden abgestimmt sind und die Software dazu ist natürlich
auch an die Hardware angepasst und 100% kompatibel.
Da scheitert nichts an der Treiberunterstützung und/oder man findet nicht die geeignete
Hardware zu der Software.
die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing.
Ganz im Gegenteil, bei einer Software Firewall wie zum Beispiel pfSense muss ich mir dierichtige und passende Hardware erst dazu suchen und dann habe ich meist keine richtigen
Hausnummern mit denn ich arbeiten kann oder an denen ich mich orientieren kann.
Bei einer Hardware Firewall bekomme ich eine Hardware und eine Software dazu die voll
und ganz auf die Belange des Kunden abgestimmt sind und die Software dazu ist natürlich
auch an die Hardware angepasst und 100% kompatibel.
Da scheitert nichts an der Treiberunterstützung und/oder man findet nicht die geeignete
Hardware zu der Software.
Steht bei mir fast genauso in den nächsten Sätzen: Als "Hardware" Firewall wird ein Gesamtpacket betrachtet, bei "Software" Firewall muss man sich um Teile des Stacks selbst kümmern. Technisch gibt es trotzdem keine echte Unterscheidung.
Nahezu jede Firewall läuft als Software auf einem Stück Hardware.
Das ist schon richtig nur wenn ich eine pfSense oder ähnliches auf einem IntelXeon E3-1286v3 System installieren, weiß ich natürlich das AES-NI Unterstützung
mit an Board ist und das ich Hardwareunterstützung für das VPN habe. Nur wenn
ich eine Hardwarefirewall kaufe und dann und dort ein Chip von Exar, Comtech oder
Cavium drinnen ist, weiß ich auch in etwa, dass ich einen Nummerngenerator habe
der xyz Schlüssel in xyz Sekunden schafft oder wie viele VPN Tunnel ich aufsetzen
kann bzw. mit was für einem Durchsatz ich rechnen kann.
Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne
das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe,
das Ergebnis ist technisch betrachtet dasselbe.
Stimmt aber nicht ganz, denn wenn Mercedes ein Auto baut und zulässt dann kann diedas Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe,
das Ergebnis ist technisch betrachtet dasselbe.
Zulassung für die ganze Serie gelten, wenn Du nun aber nur ein Auto zusammenbaust
und zwar selber, dann muss es jedes mal wieder neu zur Straßenzulassung gebracht
werden und jeder Rahmen bei jeder Neuanfertigung muss erneut überprüft werden.
Mercedes stellt sicher das sie in Serie gleichbleibende Qualität liefern und gut ist es.
Technisch betrachtet ist es dasselbe wenn ich die selben Komponenten mit dem selben Werkzeug und der selben Fertigkeit zusammenbaue, Zertifizierungen etc. sind eine andere Baustelle.
Sagen wir mal bei Euch wird im Netzwerk eingebrochen und die Versicherung soll nun einen
Schaden begleichen weil Eure Kundenkonditionen kopiert worden und nun alle Kunden nach
und nach verschwinden und Euch verlassen, was sagst Du denn der Versicherung?
Ich habe eine super Firewall und alle anderen finden die auch super. Nur daran kann
die Versicherung nichts feststellen und das Prüfen auf Fehler dauert dann ewig und
kostet Unsummen. Und nun kommt jemand auf die Idee und sagt sich bei der Versicherung
wenn wir (die Versicherung) zahlen sollen und zwar in Höhe von xyz € dann muss die Firewall
mindestens ICSAs 2 geprüft worden sein! So und wenn jemand nun so eine Firewall kauft,
und dort wird eingebrochen muss nur noch schnell die Konfiguration und die Firmwareversion
überprüft werden, fertig! Deswegen gibt es Hardware Firewalls die in Serie gefertigt werden
wie das Auto bei Mercedes und geprüft werden.
Schaden begleichen weil Eure Kundenkonditionen kopiert worden und nun alle Kunden nach
und nach verschwinden und Euch verlassen, was sagst Du denn der Versicherung?
Ich habe eine super Firewall und alle anderen finden die auch super. Nur daran kann
die Versicherung nichts feststellen und das Prüfen auf Fehler dauert dann ewig und
kostet Unsummen. Und nun kommt jemand auf die Idee und sagt sich bei der Versicherung
wenn wir (die Versicherung) zahlen sollen und zwar in Höhe von xyz € dann muss die Firewall
mindestens ICSAs 2 geprüft worden sein! So und wenn jemand nun so eine Firewall kauft,
und dort wird eingebrochen muss nur noch schnell die Konfiguration und die Firmwareversion
überprüft werden, fertig! Deswegen gibt es Hardware Firewalls die in Serie gefertigt werden
wie das Auto bei Mercedes und geprüft werden.
Meist ist es weniger das "praktische" prüfen sondern ein abwälzen von Verantwortung. Man bezahlt eine Menge Geld dafür das ein anderer in manchen Fällen die Veranwortung übernimmt bzw. die Versicherung zahlt. Aber natürlich sollte man diesen Fall auch genau betrachten, da das Interesse der Geschäftsführung meist auch nicht technischer Natur ist sondern monetärer
Gruß
Andi
Es gibt folgende Firewall Arten
- PF (Paketfilter / Portfilter) - läuft auf den meisten SoHo NAT Routern
Auswertung von Quell-und Ziel-IP sowie des Netzwerkportes
Das einzige was man heir Konfigurieren kann, ist eine Portweiterleitung - und ggf. einen "Exposed Host" aka "Pseudo DMZ"
- SPI (stateful Packet Inspection) - läuft auf den "besseren" Routern / VPN Gateways, id.R. in Kombination mit einer PF Firewall als Hybrid Firewall.
Auswertung des Dateiheaders
Filerung auf Anwendungsprotollebene (Http, FTP etc.)
- DPI (Deep Packet Inspection) - benötigt dedizierte Hardware, da hiefür Rechenleistung erforderlich ist
- Analyse der kompletten Datenpakete
Der Unterschied von den in den Routern/Gateways intergrierten Firewalls und den dedizierten Firewall Appliances liegt im Konfigurationsumfang und -Aufwand.
Bei Unilever arbeitet ein 5 Mann Team nur an den Firewall Regeln und der Überwachung derselben inkl. 24 h Bereitschaft für Europa, in Amerika und Asien nochmal das gleiche.
"Proxy Firewalls" sind im Prinzip Proxys, die zusätzlich auf Firewalls laufen (i.d.R. eher SPI oder DPI) und den Client auf Anwendungsprotokollebene vom Netzwerk trennen und als Zwischenspeicher fungieren
Die sogenannten Personal Firewalls auf den zu schützenden Rechnern sind nur noch "Schlangenöl"!
Wenn die Aktiv werden, ist der Einbruch ins Netz bereits vollzogen!
- PF (Paketfilter / Portfilter) - läuft auf den meisten SoHo NAT Routern
Auswertung von Quell-und Ziel-IP sowie des Netzwerkportes
Das einzige was man heir Konfigurieren kann, ist eine Portweiterleitung - und ggf. einen "Exposed Host" aka "Pseudo DMZ"
- SPI (stateful Packet Inspection) - läuft auf den "besseren" Routern / VPN Gateways, id.R. in Kombination mit einer PF Firewall als Hybrid Firewall.
Auswertung des Dateiheaders
Filerung auf Anwendungsprotollebene (Http, FTP etc.)
- DPI (Deep Packet Inspection) - benötigt dedizierte Hardware, da hiefür Rechenleistung erforderlich ist
- Analyse der kompletten Datenpakete
Der Unterschied von den in den Routern/Gateways intergrierten Firewalls und den dedizierten Firewall Appliances liegt im Konfigurationsumfang und -Aufwand.
Bei Unilever arbeitet ein 5 Mann Team nur an den Firewall Regeln und der Überwachung derselben inkl. 24 h Bereitschaft für Europa, in Amerika und Asien nochmal das gleiche.
"Proxy Firewalls" sind im Prinzip Proxys, die zusätzlich auf Firewalls laufen (i.d.R. eher SPI oder DPI) und den Client auf Anwendungsprotokollebene vom Netzwerk trennen und als Zwischenspeicher fungieren
Die sogenannten Personal Firewalls auf den zu schützenden Rechnern sind nur noch "Schlangenöl"!
Wenn die Aktiv werden, ist der Einbruch ins Netz bereits vollzogen!
ENDLICH, dachte schon jemand wie Du kommt nie.. Besten Dank
Kannst du mir das mit den Firewall Regeln nochmal genauer erläutern? Wozu müssen die 24/7 angepasst werden?
Wird bei professionellen Firewalls grundsätzlich der gesamte Traffic geblockt und nur der "gewhitelistete" darf passieren?
Wird bei professionellen Firewalls grundsätzlich der gesamte Traffic geblockt und nur der "gewhitelistete" darf passieren?
Hallo,
Weil der Mensch sehr erfinderisch ist. Wer sagt denn das die 2 Ziffern 2 immer 4 ergeben muss? Andere Rechenoperationen liefern auch eine 4 als Ergebnis. Und oftmals zählt nicht nur das Ergebnis, sondern auch der Weg zum Ergebnis. Natürlich haben Großkonzerne wie Unilever einfach den Anziehungseffekt ("Wird schon keiner merken" "Mal schauen was ich da abgreifen kann"). Ob das jetzt als Silvesterscherz oder tatsächlicher Angriff seitens der Marsmenschen zu werten ist, ist unerheblich. Der Pförtner hat das Tor zu zuhalten..... Und je Erfahrener und Erfinderischer der Mensch wird, umso mehr an Technik wird eingesetzt um das für ihn zu übernehmen (Oder kannst du 43.345.453.763,756 Milliarden Rechenschritte pro Sekunden machen. Erst mit den Computer wird dies machbar. Sozusagen Er ist sein eigner Feind
Gruß,
Peter
Weil der Mensch sehr erfinderisch ist. Wer sagt denn das die 2 Ziffern 2 immer 4 ergeben muss? Andere Rechenoperationen liefern auch eine 4 als Ergebnis. Und oftmals zählt nicht nur das Ergebnis, sondern auch der Weg zum Ergebnis. Natürlich haben Großkonzerne wie Unilever einfach den Anziehungseffekt ("Wird schon keiner merken" "Mal schauen was ich da abgreifen kann"). Ob das jetzt als Silvesterscherz oder tatsächlicher Angriff seitens der Marsmenschen zu werten ist, ist unerheblich. Der Pförtner hat das Tor zu zuhalten..... Und je Erfahrener und Erfinderischer der Mensch wird, umso mehr an Technik wird eingesetzt um das für ihn zu übernehmen (Oder kannst du 43.345.453.763,756 Milliarden Rechenschritte pro Sekunden machen. Erst mit den Computer wird dies machbar. Sozusagen Er ist sein eigner Feind
Wird bei professionellen Firewalls grundsätzlich der gesamte Traffic geblockt
Wäre schlimm wenn dies nicht wäre und dann bräuchte es auch keine Firewalls, selbst eine Frittenschleuder wäre dann Verschwendung. Was glaubst du was VW alles gemacht hat um zu verhindern das deren Information irgendwie an Firewalls etc. vorkam?Gruß,
Peter
Prinzipiell gilt: Eine Firewall soll alles Blocken was nicht erlaubt ist.
Bei den meisten Firewalls ist entweder standardmässig von drinnen nach draussen alles erlaubt und von draussen nach drinnen alles gesperrt oder bereits durch einfache leichte Regeln definiert
Je nach Sicherheitsbedürfnis verlässt man sich auf Standardmässig vorkonfigurierte Firewalls, kauft Firewall Appliances mit regelmässigen Updates (Abo-Modell) oder überwacht und konfiguriert das Ganze selbst!
Unternehmen wie Unilever können halt nicht darauf warten, bis der Hersteller einer Firewall Appliance aktualisierte Firewall Regeln per Update liefert, ein Angrifffszenario muss sofort erkannt werden (über diverse vordefinierte Trigger), dann muss geschaut werden, was passiert da gerade und warum und entsprechende Gegenmaßnahmen durchgeführt werden - im Extremfall wird die komplette Verbindung nach aussen gekappt.
Anmerkung:
vor ein paar Jahren hatte einer meiner Lieferanten mal alle sogenannten "SoHo" Router Modelle die er im Lager hatte mitgenommen und einem Penetration Test unterziehen lassen von einem Bekannten der als Profi Pen-Tester arbeitet. Dem Guten war jeweils nur die Public-IP Adresse des Routers bekannt. Keiner hatte mehr als 10 Minuten standgehalten.
Daher: Unter einer soliden SPI Firewall sollte man gar nicht anfangen.
Über die SPI FW der Fritzboxen erlaube ich mir mal kein Urteil, denke aber daß die relativ schnell an ihre Grenzen kommen (Stichworte sind hier z.B. DoS, dDoS Angriffe).
Netgear ProSafe Serie, Juniper SSG Serie, Zyxel USG Serie sind hier sicherlich etwas besser (Professionelle Geräte).
Danach kommen halt dedizierte DPI Firewalls mit richtig Rechenleistung.
Bei den meisten Firewalls ist entweder standardmässig von drinnen nach draussen alles erlaubt und von draussen nach drinnen alles gesperrt oder bereits durch einfache leichte Regeln definiert
Je nach Sicherheitsbedürfnis verlässt man sich auf Standardmässig vorkonfigurierte Firewalls, kauft Firewall Appliances mit regelmässigen Updates (Abo-Modell) oder überwacht und konfiguriert das Ganze selbst!
Unternehmen wie Unilever können halt nicht darauf warten, bis der Hersteller einer Firewall Appliance aktualisierte Firewall Regeln per Update liefert, ein Angrifffszenario muss sofort erkannt werden (über diverse vordefinierte Trigger), dann muss geschaut werden, was passiert da gerade und warum und entsprechende Gegenmaßnahmen durchgeführt werden - im Extremfall wird die komplette Verbindung nach aussen gekappt.
Anmerkung:
vor ein paar Jahren hatte einer meiner Lieferanten mal alle sogenannten "SoHo" Router Modelle die er im Lager hatte mitgenommen und einem Penetration Test unterziehen lassen von einem Bekannten der als Profi Pen-Tester arbeitet. Dem Guten war jeweils nur die Public-IP Adresse des Routers bekannt. Keiner hatte mehr als 10 Minuten standgehalten.
Daher: Unter einer soliden SPI Firewall sollte man gar nicht anfangen.
Über die SPI FW der Fritzboxen erlaube ich mir mal kein Urteil, denke aber daß die relativ schnell an ihre Grenzen kommen (Stichworte sind hier z.B. DoS, dDoS Angriffe).
Netgear ProSafe Serie, Juniper SSG Serie, Zyxel USG Serie sind hier sicherlich etwas besser (Professionelle Geräte).
Danach kommen halt dedizierte DPI Firewalls mit richtig Rechenleistung.
Okay und wie funktioniert der Spam-Schutz?
Werden E-Mails die in das "Spam-Muster" passen schlichtweg nicht durchgelassen? Lässt sich dieses Spam-Muster auch konfigurieren? (bspw. bei der Netgear ProSafe Serie)
Ich frage, weil wir viele Privat-Kunden haben, die gerne mal durch die Spam-Prüfung rasseln und wir diese dann immer manuell whitelisten müssen.
Werden E-Mails die in das "Spam-Muster" passen schlichtweg nicht durchgelassen? Lässt sich dieses Spam-Muster auch konfigurieren? (bspw. bei der Netgear ProSafe Serie)
Ich frage, weil wir viele Privat-Kunden haben, die gerne mal durch die Spam-Prüfung rasseln und wir diese dann immer manuell whitelisten müssen.
Außerdem frage ich mich wie die Firewall Malware/Viren erkennen kann.
Viele Viren setzen sich ja aus mehreren Dateien zusammen und erfüllen erst dann ihren Zweck.
Wie will die Firewall an den einzelnen Datenpaketen erkennen dass es sich um einen Virus handelt?
Viele Viren setzen sich ja aus mehreren Dateien zusammen und erfüllen erst dann ihren Zweck.
Wie will die Firewall an den einzelnen Datenpaketen erkennen dass es sich um einen Virus handelt?
Und was genau passiert sobald ein Angreifer die Firewall "durchbrochen" hat?
Damit hat er ja letztenendes immer noch keinen Zugriff auf beispielsweise einen Win Server 2012 R2, oder?
Damit hat er ja letztenendes immer noch keinen Zugriff auf beispielsweise einen Win Server 2012 R2, oder?
Zitat von @thomasreischer:
Okay und wie funktioniert der Spam-Schutz?
Werden E-Mails die in das "Spam-Muster" passen schlichtweg nicht durchgelassen? Lässt sich dieses Spam-Muster auch konfigurieren? (bspw. bei der Netgear ProSafe Serie)
Ich frage, weil wir viele Privat-Kunden haben, die gerne mal durch die Spam-Prüfung rasseln und wir diese dann immer manuell whitelisten müssen.
Okay und wie funktioniert der Spam-Schutz?
Werden E-Mails die in das "Spam-Muster" passen schlichtweg nicht durchgelassen? Lässt sich dieses Spam-Muster auch konfigurieren? (bspw. bei der Netgear ProSafe Serie)
Ich frage, weil wir viele Privat-Kunden haben, die gerne mal durch die Spam-Prüfung rasseln und wir diese dann immer manuell whitelisten müssen.
https://www.google.de/?gws_rd=ssl#q=firewall+spam+filter
https://www.google.de/?gws_rd=ssl#q=firewall+malware
https://www.google.de/?gws_rd=ssl#q=firewall+attack+methods
Sicher das du Admin bist?
Naja, sagen wir es mal so: Wer um der Aufmerksamkeit Willen klug###t, wird relativ zeitnah erwischt.
Und genau das ist der Grund, warum ich mich aus dieser Diskussion heraushalten. Meine IPCops laufen und der Rest interessiert mich nicht
Und genau das ist der Grund, warum ich mich aus dieser Diskussion heraushalten. Meine IPCops laufen und der Rest interessiert mich nicht
Und was genau passiert sobald ein Angreifer die Firewall "durchbrochen" hat?
Pick Pick Pick ein Loch in die "Wand", Neuen Benutzer anlegen, Rootkit installieren, StealthKit installieren,RootKit auf den neuen Benutzer "verlinken", Logfiles kürzen, ab nach Hause und in drei Monaten kommt
er wieder.
Gruß
Dobby
Hallo @thomasreischer,
bitte lese dir die Regeln durch und befolge Sie - die Regeln sind ja nicht zum Spaß da.
Solche Kraftausdrücke werden hier nicht geduldet und werden ausnahmslos gelöscht - wie in deinem Fall.
Das nächste Mal entsorge ich gleich die ganze Frage - ohne Wenn und Aber.
Wir sind hier alle Erwachsen und können uns auch hoffentlich wie Erwachsene aufführen.
Wie auch in diesem Thread erwähnt, hättest du dir die Rückfragerei erspart, wenn du ein wenig mehr Text (Einleitung | Hauptteil | Schluss) geschrieben hättest.
So long - Thread wurde bereinigt.
Gruß
@kontext (mod)
bitte lese dir die Regeln durch und befolge Sie - die Regeln sind ja nicht zum Spaß da.
Solche Kraftausdrücke werden hier nicht geduldet und werden ausnahmslos gelöscht - wie in deinem Fall.
Das nächste Mal entsorge ich gleich die ganze Frage - ohne Wenn und Aber.
Wir sind hier alle Erwachsen und können uns auch hoffentlich wie Erwachsene aufführen.
Wie auch in diesem Thread erwähnt, hättest du dir die Rückfragerei erspart, wenn du ein wenig mehr Text (Einleitung | Hauptteil | Schluss) geschrieben hättest.
So long - Thread wurde bereinigt.
Gruß
@kontext (mod)
