Welcher Firewall-Router für Firmeneinsatz?

Impressum | Werbung

Geizhals » Forum » Netzwerk »

Welcher Firewall-Router für Firmeneinsatz? (29 Beiträge, 265 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

Da wir unsere EDV-Betreuung wechseln, und "die Neuen" genausowenig Ahnung von Linux haben wie ich

... wird die vorhandene Linux-FW einem FW-Router weichen müssen.

"Problem": Die Geschäftsführung weiss von meinen positiven Erfahrungen zum Netgear FR114P, den ich privat benutze, und sie weiss von dessen Preis (EUR ~ 70,-).

D.h. Budgetvorgabe: 150,- bis max. 200,-. Muss aber ein bewährtes Markengerät sein (Zyxel?).
Routerfunktion ist eigentlich entbehrlich - nur die Firewall-Funktionalität wird benötigt.
ISP ist übrigens AON und wird's wahrscheinlich auch bleiben, da wir mit denen zufrieden sind. Gehostet wird nichts - Homepage kpl. auswärts.

Bitte um Empfehlungen und Erfahungsberichte, wer-welches Gerät in der Firma benutzt, bzw. welches Gerät in Frage käme.
Netgear ist mir für Firmeneinsatz nicht ganz geheuer - man hört ja doch zuviel von eingehenden Netzteilen etc.
--
Man weiss selten, was Glück ist, aber man weiss meistens, was Glück war.

Auswahl
And the winner is ...

Das Zwischenergebnis wird erst angezeigt, nachdem du deine Stimme abgegeben hast. Anders als bei einer Umfrage kannst du die getroffene Auswahl nicht mehr verändern.

Wir haben in der Firma Nokia/Checkpoint Gespanne, aber für dein Geldbörsel würde ich eine Zyxel Zywall 2 empfehlen.

Zyxel Zywall 2

gutes gerät !!

... immer eine Handbreit mehr Bandbreit bei der Hand ...

Falls ein Buchstabe fehlt oder an der falschen Stelle im
Wort steht bitte mit einem der nachfolgenden ersetzen:

abcdefghijklmnopqrstuvxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ

P1 mit 133MHz *g*

Eliot.

"Muss man sich vor jeder Frage rechtfertigen und beteuern, dass man ohnehin schon überall gesucht hat, dass aber Google, Freunde, Bekannte, die Familie, das Telefonbuch, die Auskunft, die Telefonseelsorge, der Bürgerdienst, die Bank, der Provider, die Hotline, der Helpdesk, der Hausbesorger, die Nachbarin, etc. leider nicht helfen konnten?"
(c) female, 2003-12-20

für Altrechner, CD Boot mit Diskette oder auf Festplatte, sogar für Dau´s wie mich administrierbar mittels Webinterface, wennst einen HW Router administrieren kannst funkt es damit genauso, inkl VPN Support (PPTP, IPsec), kannst besser FW regeln erstellen

ciao

pope

Hm. Wir sind in unserer Niederlassung nur rund 12 Mitarbeiter. Trotzdem ist auch bei uns ein Nokia/Checkpoint Trumm in Betrieb. Um ehrlich zu sein, zu so einem kleinen taiwanischen Kastl hätte ich auch kein Vertrauen - vielleicht ist das ein sachlich nicht zu haltender Standpunkt, nichtsdestotrotz ist das der letzte Punkt, an dem ich Kompromisse eingehen würde.

mfg
UMC

Ich musste jetzt amal fest herumgoogeln, um überhaupt Preise ausfindig zu machen und ... *schluck*. Also, DIE Grössenordnung bekomme ich bei meiner GF sicher nicht durch.
Wie das so geht: ich habe meine liebe Not, begreiflich zu machen, "zawoos ma' sowas überhaupt brauchen? Der Server hat doch 1 Lawine gekostet - wieso kann der das ned moch'n?".

--
Man weiss selten, was Glück ist, aber man weiss meistens, was Glück war.

Nun, ein *TRÖT*filter alleine ist wertlos! Um als Firewall durchgehen zu können muss da auch noch eine Intrusion Dedection her.

Das kann KEIN Gerät der Consumer Klasse!
Empfehlenswert *TRÖT* z.B. eine cisco pix 501
Wohlfeil so ab ca. 3000 Euro. Alles drunter kann mit keinem IDS aufwarten!

Natürlich "kann man" einen *TRÖT*filter auch auf den Server installieren. Im Small Business Bereich ist so ein Bauchwehsetup auch nichteinmal selten!

Man muss sich aber im Klaren sein, dass es dann heißt: Firewall gecknackt -> alle Daten gehören dem Hacker!

Und es gibt keine Firewall mit der man einen ernshaften Angriff wirklich 100% sicher abwehrt. Ein so ein Setup ist nur dann zu verantworten, wenn das Szenario heißt:
WIR WERDEN NICHT ANGEGRIFFEN, wir schützen uns nur vor zufällig scannenden Scriptkiddies, und unsere Daten sind nicht wirklich hochsensibel.

Da ist dann ein IDS *TRÖT*gesetzt, ein solches Setup mit Firewall auf dem Server akzeptabel.

Sonst müssen Firewall und Server getrennt sein, und der Server gegen die Firewall hin noch einal abgesichert.

Die Linuxklösung hatte halt den Vorteil, dass da ein IDS kostengünstig realisiert ist.
Das kriegst bei Hardwarelösungen nicht unter ca. 3000 Euro.

UND OHNE IDS IST ES UNVERANTWORTLICH FIRMENDATEN AM NETZ ZU HABEN.

Vielleicht sollte ich meine Aussage etwas relativieren. Bei uns ist es halt so, dass über das Ding auch VPN-Tunnel zu den anderen Niederlassungen hergestellt werden. Ausserdem steht bei uns nur ein "kleiner" Login- und Mirrorserver, während unsere tatsächliche Backofficestruktur tausende Kilometer entfernt steht. Insofern ist der Einsatz von teurem Zeug weit mehr gerechtfertigt als bei einem mittelständischen Unternehmen, das halt nur seinen Internetzugang absichern will.

Aber dein letzter Satz trifft das IT Problem ganz genau: Es darf nix kosten, man soll nichts davon spüren, aber da sein muss es immer und überall

mfg
UMC

Hätte ich womöglich dazuschreiben sollen: auch VPS ist bei uns nicht erforderlich. Noch nichtmal zwecks Fernadministrierung - die neue EDV-Betreuung soll uns zwecks Routinewartung mal schön physich besuchen kommen.

Und die Sache mit dem IDS - nun, Logs kann ja wohl jede Firewall schreiben. Ist nur eine Frage, wie "geschickt" das Log angelegt wird (aka: wie gut sich's lesen lässt).

Selbstverständlich kommt eine FW auf dem Server nicht in Frage, sondern nur vor dem Server. Aber nochmal: wir hosten nix, keine Standleitung, keine Fernzugriffe, wir haben ganz bewusst keinen INet-Anschluss mit statischer IP, sondern dynamischer ... ein "Kastl im vierstelligen Bereich" scheint nicht nur der GF, sondern auch mir selbst als die auf Spatzen schiessende Kanone.
Wir brauchen den INet-Zugang einzig nur für Mails und "berufliches Sörfen" (Telebanking, Infobeschaffung ...)

Und einen "Friedhofs-PC mit Linux-FW" haben wir ja aktuell. Der kommt aus mehreren Gründen weg:
- zu gross, zu laut, zu heiss ...
- niemand von uns kennt sich wirklich aus damit und hätte die Ambition, sich damit auskennen zu WOLLEN.
- Entgegen allen Beteuerungen unseres bisherigen EDV-Betreuers ist es keine *set-it-&-forget-it* Lösung, wo nur mehr Logs durchgesehen werden, sondern gelegentlich stürzt das Ding ab oder spinnt rum. Ist dann keiner "im Haus", der's wieder in Gang setzen kann ... wird aus dieser "billigen" Lösung eine kostspielige - betreffs Stehzeiten, "Reparaturkosten" etc.

Die neue Betreuerfirma nun ist nicht wirklich "Linux-Tauglich" und hat in der Vorab-Besprechung ein Argument gebracht, dem ich 100%ig zustimme: So verlockend Linux-Lösungen vom Anschaffungspreis her für eine Firma sind - sie setzen alle voraus, dass die Wartung/Betreuung von der Firma selbst erledigt wird, oder es müsste für buchstäblich jeden Handgriff jemand in die Firma kommen.
Ein Aufhänger für Win-basierende Netzwerke dürfte sein - zumindest für kleine Firmen - dass verdammt viel von der Firma selbst ohne Fremdhilfe erledigbar ist, weil die Windows-Bedienlogik jeder durchschnittlich viven Sekretärin vertraut ist - bei uns z.B. können die meisten ein irrtümlich gelöschtes DOC/XLS etc. selbständig aus'm Backup wiederherstellen.
--
Man weiss selten, was Glück ist, aber man weiss meistens, was Glück war.

Also wenn ich das les, läufts mir kalt über den Rücken!

Eure Firma hat ein massives Sicherheitsproblem, und das ist euer EDV-Betreuer!

Habt ihr euch schon einmal überlegt, was der maximale Schaden ist?
Habt ihr euch Gedanken über Angriffsvektoren gemacht?

Ich darf dir verraten, in aller Regel ist der Paketfilter zwar ein grundlegendes Instrument in einer Firewlllösung, aber die eigentlichen Risken liegen woanders.

Du brauchst Contentfiltering. Und zwar weniger dessen was hereinkommt, als dessen was HINAUSGEHT!

Du brauchst Policies auf den Clients, die Softwareinstallation verbieten, und die Registry überwachen.

Du brauchst ein System am Server, dass die Änderung von Dateien überwacht.

In *TRÖT*filterlogs findest du keine Angriffe. Die sind sowas von uninteressant, dass es meist nicht einmal Sinn macht sie aufzuheben.

*ahem* jetzt wird's aber bisschen peinlich.

"Du brauchst Contentfiltering."

Beherrscht jeder Billigst-FW-Router.

"Du brauchst Policies auf den Clients, die Softwareinstallation verbieten, und die Registry überwachen.
Du brauchst ein System am Server, dass die Änderung von Dateien überwacht."

OMYGOD, glaubst du, bei uns ist jeder Benutzer als Admin eingeloggt?!

--
Man weiss selten, was Glück ist, aber man weiss meistens, was Glück war.

> "Du brauchst Contentfiltering."

> Beherrscht jeder Billigst-FW-Router.

Das was du meinst ist URL Filtering. Das beherrschen Router aus dem Customer Bereich.
Mit solchen Customergeräten lassen sich einzelne URLS oder Schlüsselwörter in URLS sperren. Aber das ist ein verzichtbares Feature.

Schreien sollte eine Firewall, wenn kundenliste.xls oder ähnliches nach aussen geht.

Weiters sollte eine Firewall sofern im Betrieb mit sensiblen Daten gearbeitet wird, u.a. Zugriffe auf fremde Mailserver verhindern. HTTP und FTP Anfragen an einen trustworthy Proxy weiterleiten können, ICQ, P2P blocken, ... . Schon das ist in der Consumerklasse nicht möglich.

Und wie gesagt. Der Pakletfilter ist nur ein sehr geringer, in so manchem Setup sogar vernachlässigbarer Teil einer Firewallpolicy.

Insbesonders dann, wenn -wie du sagst- Zugriff von aussen sowieso verboten sein soll, muss der Schwerpunkt einer Firewallpolicy auf anderen Maßnahmen liegen!

Verhindern von ActiveX, am besten durch einen Filter am Proxy, weil wennst es am Client installierst ist dadurch SUS wirkungslos... .

User nicht als Administratoren anzumelden wie du schreibst ist etwas wenig! Auch Benutzerrechte sind ausreichend, um sich Trojaner einzufangen. Um das zu überprüfen muss zumindest eine Überwachungsrichtlinie auf die Autostart Keys der Registry gesetzt werden.

Auf Computern die auf sensible Daten zugreifen können sollte man weiters nicht darauf verzichten Prüfsummen über alle ausführbare Programme zu überwachen, damit keine Backdoors eingeschleust werden.

Das bedeutet natülich auch, dass überlegt werden muss, welcher Benutzer auf welcher Workstation einloggen darf.

Dass man die Sicherheitsrichtlinmien konfiguriert, anstatt sie wie meist gepflegt im Standardzustand zu belassen setze ich da schon voraus.

Erst wenn zumindest diese Maßnahmen alle umgesetzt sind, kann man von einer Firewall sprechen.

Und das ist soviel Aufwand, dass selbst der teuerste *TRÖT*filter Peanuts in der Realisierung einer solchen Firewall ist.

Wenn die Daten aber nicht wichtig genug sind, um diesen Aufwand zu rechtfertigen, dann erübrigt sich die Frage nach einer Firewall sowieso!

"Auch Benutzerrechte sind ausreichend, um sich Trojaner einzufangen. Um das zu überprüfen muss zumindest eine Überwachungsrichtlinie auf die Autostart Keys der Registry gesetzt werden.

Auf Computern die auf sensible Daten zugreifen können ... Prüfsummen über alle ausführbare Programme ...

... überlegt werden muss, welcher Benutzer auf welcher Workstation einloggen darf.

... Sicherheitsrichtlinmien konfiguriert, anstatt sie wie meist gepflegt im Standardzustand zu belassen ...."

Mit Verlaub - du beschreibst Jobs, die eine application firewall zu übernehmen hat. Oder weniger charmant gesprochen: eine personal FW, so a la Zonealarm. Bzw. geht es schlicht darum, das NW ordentlich zu konfigurieren.

Ad hoc könnte mich mir garnicht vorstellen, wie (oder besser: WARUM) eine Hardware-FW Netzwerkclients bis in die Registry und die Anwendungen überhaupt überwachen sollte. Womöglich gibt's da "Industriemonster" für Netzwerke > 200 Clients.

Konkret geht's bei uns um ein Firmennetzwerk < 10 Clients.

Du verstehst, dass da eine FW im vierstelligen Anschaffungsbereich gegenüber der Geschäftsführung nicht durchzubringen ist. Und ich empfände es auch selbst als hirnrissig.
--
Man weiss selten, was Glück ist, aber man weiss meistens, was Glück war.

zu so einem kleinen taiwanischen Kastl hätte ich auch kein Vertrauen - vielleicht ist das ein sachlich nicht zu haltender Standpunkt,

Wenn ich mir zB den Netgeardreck anschaue (Masterpasswort beim WG602, Authentifizierungsprobleme beim WGR614,...) dürfte man mit so einem "Vorurteil nich so weit von der "Wahrheit" entfernt liegen.

lg
Gott

Dieser Beitrag wurde aus 100% chlorfrei gebleichten, handelsüblichen, glücklichen und genmanipulierten Elektronen erzeugt.
.

oha - daran hatte ich noch gar nicht gedacht (ich war mehr auf der Schiene, die MG gepostet hat. Aber dein Aspekt überschattet das alles

mfg
UMC

Um eine DMZ vom Internet zu trennen, würdmir so eine 08/15 Consumerlösung immer noch genügen. Weil da dreh ich für den Router die Fernadministration sowieso ab, und die Angriffsvektoren sind die Serverdienste.

Für die Trennung einer DMZ vom LAN allerdings nicht!

Zywall 2 von Zyxel

kann ich wirklich nur empfehlen.

http://www.zyxel.de/product/category.php?indexFlagvalue=1021873683

®®®®®®®®®®®®®®®®®®®
20 Euro und Sex mit 72 Jungfrauen

Waynes interessiert:

Es wird das gutealtebrave Zyxel 324.
Ein höchst bewährtes Gerät - kann alles, was wir brauchen.
--
Man weiss selten, was Glück ist, aber man weiss meistens, was Glück war.

Mag aber kein XDSL!

Grüße! - Euer CJ3

Invaders!

Enjoy the good ol' games!

ist ja auch nicht für xdsl

Ich weiß

Wollt nicht daß es dann heißt "grmpffff warum kann das Ding das nicht"

Grüße! - Euer CJ3

Invaders!

Enjoy the good ol' games!

Aber nichtdoch.

Nö, wir sind mit unserem Postanschluss höchst zufrieden. Die 2,5 Gig/mon. Limit schaffen wir nicht annähernd, auch nur zur HÄLFTE auszunutzen. Aber andersrum ist das 324 auf österr. ADSL "geeicht" (wie mir von 324-Benutzern beteuert wurde), wogegen Netgear & Co unangenehm spinnert werden können.
--
Man weiss selten, was Glück ist, aber man weiss meistens, was Glück war.

Ich arbeite in einem bereich wo wir sehr viele 324 einsetzen, der ist mehr als gut, eure Firma kann den sorgenlos kaufen

Wie immer heisst meine Empfehlung Draytek Vigor 2200E

Hilf auch Du! http://forum.geizhals.at/t261360.html

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung