(Hardware)firewall - Sinn oder "Unsinn" - Was für den privaten Haushalt?

  • Hallo zusammen,


    christian hat ja hier einen Beitrag über die Möglichkeit der Installation von pfSense in einer VM erstellt. QNAP unterstützt pfSense zur Stärkung der Netzwerksicherheit


    Zum meiner Person in Bezug auf Netzwerksicherheit: Wissen wenig.


    Ich weis das es Sinn macht eine Firewall auf dem System zu haben um alles was nicht auf einen Rechner/NAS soll zu blockieren. Daher auch eine Firewall aktiviert und alles blocken lassen wo ich keine Dienste aktiv habe. Virenscanner habe ich auch installiert.


    Firewall, ja klar ohne Frage, nur macht es wirklich Sinn pfSense auf einem Gerät laufen zu lassen was ich schützen will? Ich denke hier im speziellen darüber nach weil IDS/IPS, GeoBlocking und AntiVirus Filterung enthalten sind.

    Macht es nicht mehr Sinn so etwas dann eher als extra Gerät gleich nach dem Router zu implementieren, so hätte ich doch das ganze Netzwerk abgesichert und nicht nur das NAS?


    Gibt es einen der mit einer Hardwarefirewall Erfahrungen hat? Gerne darf es auch etwas kosten, ich dachte für den Heimgebrauch an max. 100€ im Jahr an laufenden Kosten.

    Fritzbox und die implementierte Firewall ist gut und schön aber taugt die auch was? IDS/IPS und AntiVirus sind nicht vorhanden auch keine Inhaltsfilterung.


    Sicher man wird sich nicht den Virenscanner und die Firewall am entsprechenden Endgerät sparen, aber man hätte einen "rudimentären Schutz" des Netzes für die erste Filterung(Trojaner, Malware, Ransomware,...).


    Welche Hardwareanforderungen(für 100MBit/s down - 20MBit/s up) sollte man haben falls man sich für den privaten Gebrauch eher für openSense entscheiden? Extra Hardware wäre mir persönlich lieber. Natürlich sollte es "einfach" einzurichten sein, bzw. einfach auf Fehler hinweisen. Also die Ansprüche an die Konfiguration sollten sich stark in Grenzen halten, bzw. ggf. mittels Assistenten begleitet.


    Kennt sich einer von Euch mit der ganzen Thematik aus und kann etwas für den Privatgebrauch empfehlen? Wenn es geht nicht so etwas wo der Kunde testet.


    VG und Danke für Eure Antworten

    Friis

  • Friis

    Hat den Titel des Themas von „(Hardware)firewall - Sinn oder "Unsinn"“ zu „(Hardware)firewall - Sinn oder "Unsinn" - Was für den privaten Haushalt?“ geändert.
  • Ein APU2c4 reicht locker aus um Proxy, diverse Filter und noch einen OpenVPN Server laufen zu lassen. Da läuft Opnsense, IpFire etc drauf. Installation ist auch easy. Stromkosten sind sehr gering.

    Die Frage ist immer wie man das konfiguriert. Firewall hört sich immer toll an.

    Wenn man das wirklich richtig angeht muss man alle Ports, egal ob aus- oder eingehend sperren und einzeln freischalten.

    Das ist richtig viel Arbeit. Vor allem wenn noch Onlinespiele dazukommen.

    Denn bei den 0815 Firewall sind ausgehende Verbindungen meistens alle erlaubt. Upnp auch. Upnp ist richtig... baaaahhhhh ;)

    Dann würde in das APU wirklich als einzige Firewall laufen. Die Fritzbox als Modem. Sonst gibt das eine verhunzte Konfiguration mit zwei Firewalls, zwei IP Netzen etc.


    Bezüglich Filter:

    Ad-Blocker und Content Filter (Böse Webseiten, Ominöse Gewinnspiele etc) habe ich auch laufen.

    Google etc zu blocken ist heute fast nicht mehr möglich wegen diversen Captcha Codes etc.

    Sonst ist das eine tolle Sache.


    Die APU Boards gibt's auch schon fertig mit Monowall, Opnsense etc. Kostet dann halt paar Euro mehr.


    Ich hab mittlerweile ein Gateway mit einem i5 und 16 Gb Ram da noch zwei KVMs drauf laufen (ja, virtuelle Rechner sollte man auf einem Gateway auch nicht wirklich haben).

    Dazu Webproxy, VPN Server, DNS und DHCP Server und noch ein paar solche Sachen.

    Allerdings "nur" Debian 9. Alles andere manuell installiert, da flexibler.


    Eine Firewall würde ich jetzt nicht in einer KVM laufen lassen. Das widerspricht alles was Sicherheit angeht.


    Mit 100€ kommst aber nicht weit. Oder sind das nur die Stromkosten ? Lizensierung für die Hardwarefirewall ?

  • Hallo NightStalk3r


    zu den 100€ das verstehe ich als Lizenzkosten, Strom und auch die Anschaffung rechne ich nicht mit rein.


    Danke Friis

  • Hi,

    du hast gefragt ob für privat Sinn oder Unsinn.

    Wenn deine QNAP keine offenen Ports nach außen hat, dann Unsinn.

  • Hmmm,


    dann nutzt mir ein NAS aber auch nichts - alle Ports zu auch keine Kommunikation.

    Super, dafür habe ich ein NAS gekauft.8o

  • Hallo rednag ,


    an die Sophos Home Editions habe ich auch schon gedacht. Diese sollten auch für das wichtigste ausreichen. Ich probiere noch herauszufinden wo die Unterschiede der Sophos XG Firewall Home Edition und der Sophos UTM Home Edition liegen.

    Das klingt für mich fast alles gleich, irgendwie.


    Man benötigt für beide separate Hardware mit 2 Netzwerkkarten - soweit klar, bekommt man ja hin.

    Die Sophos UTM Home hat den folgenden Umfang

    • schützt bis zu 50 IP-Adressen
    • Network Protection
    • Web Protection
    • Email Protection
    • Webserver Protection
    • VPN-Funktionalität
    • ...

    Die Sophos XG Firewall Home hingegen:

    • Anti-Malware
    • Web Security
    • URL-Filterung
    • Application Control
    • IPS
    • Traffic Shaping
    • VPN
    • Reporting und Monitoring
    • ...
    • max. 4 Kerne und 6GB RAM


    Liest man sich weiter durch die Sophos Produkte durch kommt man zu diesen Übersichten:

    XG (Quelle: http://www.sophos.de; XG Firewall Feature-Liste; Stand 17.09.2018)

    Unbenannt.PNG


    UTM (Quelle: http://www.sophos.de; Broschüre SG Serie; Stand 17.09.2018)

    Unbenannt2.PNG


    Hier bekomme ich mit das man sich mit dem Thema wirklich sehr gut beschäftigen muss. Überfliegen reicht hier für mich definitiv nicht mehr aus.



    VG

    Friis

    2 Mal editiert, zuletzt von Friis () aus folgendem Grund: Unterschiede UTM und XG ergänzt Quellenangaben ergänzt

  • Wenn solltest auch Webfiltering dazunehmen.

    Kann Sophos HTTPS filtern ?


    Hab jetzt seit gestern übrigens von Diladene Websafety installiert.

    Der kann eben auch https Filtern. Funktioniert einwandfrei.

    Adware, Tracking und Social Content werden geblockt. Dazu eben diverse bösen Seiten.


    Es ist keine "Firewall". Aber wie schon gesagt. Wenn man es richtig macht müssen alle Port, egal ob ein/ausgehend von Hand freigeschaltet werden. Wenn alles nach aussen aus Faulheit genehmigt ist, braucht man auch keine Firewall.

    Da reicht ein kleiner Plastikrouter wie die Fritzbox.


    Tracking, Adware, Greyware etc etc. Die an Daten kommen möchte halte ich fürs grössere Problem. Da hilft auch keine Firewall. Nur ein Proxy wo der ganze Verkehr durchläuft.

  • Hallo NightStalk3r,


    ich bin davon ausgegangen das http sowie https Verkehr kontrolliert wird.

    Die UTM sowie die XG können den https Verkehr kontrollieren.

    Ich glaube wenn man das in den heutigen Zeiten nicht kann ist man auch aus dem "Geschäft".


    Die Gegenüberstellungen(XG - UTM) die ich gefunden habe sind "ewig" alt, aus 2015. Da sollte sich doch mittlerweile was getan haben.


    Hat einer Erfahrungen mit Ubiquiti Unifi Security Gateway? Ich denke alles was ich so brauche hat das Ding ebenfalls und 100€ einmalig(?) ist für eine Aufrüstung der Fritzbox ausreichend. Falls das Ding was taugt, man liest bei Amazon schon einige Dinge die einen Nachdenklich machen - diese sind aber auch schon wieder 5-6Monate her. Hat sich da was getan?


    VG

    Friis

  • Denke ein unifi security gateway für um die 100€ ist hier die beste Wahl, top Gerät, einfach einzurichten

  • Also dieses Unifi Security Gateway kann irgendwie gar nichts ?

    Hab mir gerade mal ein paar Tests durchgelesen.

    Wow, es kann VPN.

    Dazu kann es sich noch mit anderen Unifi Produkten kommunizieren.


    Das Teil kann genauso viel - oder wenig wie eine Fritzbox.

    Wenn man schon erwähnten Router hat, kann man gleich exposed host bei der Fritzbox einschalten.

    Doppeltes NAT ist blöd.

    Noch dazu ist das WLan nicht überwacht (Wenn man bei dem Security Gateway davon reden kann), da

    das ja an der Fritz Box ist.


    Also... dann lieber ein mITX Board für 45€. Da reicht ein Atom, Celeron etc. Dort Debian drauf,

    Squid mit Squidguard, Adblocker und das wars.


    Also das Geld kannst du dir echt sparen. Ganz ehrlich ? Da reicht die Fritzbox auch aus.

  • WENIGER ist MEHR - gilt auch für Internet Sicherheit.

    Je MEHR Tools Du installiert, umso MEHR fehleranfällige Software installierst Du auch, über die Du aus dem Internet angreifbar wirst.

    Ich nutze nur das, was mein MAC (Firewall) und der Router (Firewall) schon mitliefern - plus ne gute Antivirensoftware. Alles andere ist Overkill.

  • Da gebe ich dir auch recht.

    Wenn man mit exposed Hosts arbeitet hat ein Samba Server oder ähnliches nichts auf so einem System verloren.

    Squidguard oder generell Adblocker möchte ich aber nicht mehr missen. Die halten jede Menge Mist auf.

  • Hallo zusammen,


    erst einmal danke für Eure Antworten.

    WENIGER ist MEHR - gilt auch für Internet Sicherheit.

    Genau so sehe ich es auch - irgendwie zumindest. Schön wäre es halt schon wenn man den ganzen "Mist" schon von vorn herein filtern/blocken lässt. So genannte "Endpoint Protection" habe ich natürlich auch überall installiert und wird auch weiterhin bestand haben.

    Nach dem ganzen lesen/recherchieren möchte ich eher ein IPS(Intrusion Prevention System). Sprich einen zusätzlichen Filter der mir den Traffic nach Werbung, Viren, Trojaner, ... bevor sie ins Netzwerk oder auf den Rechner gelangen durchsucht. Und auch etwas über den Datenverkehr verrät wann was wohin gesendet wurde.


    Bei dem Unifi Security Gateway interessiert mich auch nur das integrierte IPS.

    Das interessante daran ist, das die besagte Performance mächtig in die Knie geht - was ja auch klar ist.


    Also... dann lieber ein mITX Board für 45€. Da reicht ein Atom, Celeron etc. Dort Debian drauf,

    Squid mit Squidguard, Adblocker und das wars.


    Das klingt interessant - muss ich mich mal schlau machen. Habe bis jetzt nur im "Profi-/Fertigbau Bereich" Ausschau gehalten.

    Hat einer Erfahrungen mit Ubiquiti Unifi Security Gateway? ... Falls das Ding was taugt, man liest bei Amazon schon einige Dinge die einen Nachdenklich machen - diese sind aber auch schon wieder 5-6Monate her. Hat sich da was getan?

    Wie schon bereits gesagt, so richtig überzeugt bin ich nicht von dem Ding.


    Naja mal sehen was und wie ich das Thema angehen werde - ist ja auch "nur" eine weitere Spielerei für die Zukunft. Erstmal kommt das neue NAS inkl. Platten.


    Friis

  • Ich habe das UniFi im Einsatz. Wenn man mit QNAP zufrieden ist wird man UniFi lieben. Das funktioniert immer ohne Probleme. Die Updates funktionieren und wenn man mal wo nicht weiterkommt, gibt es einen Live Support der einem sofort hilft. Und nicht erst nach Wochen wie QNAP.

  • Hat einer Erfahrungen mit Ubiquiti Unifi Security Gateway?


    Hallo,


    ich betreibe das USG hinter einer Fritzbox als Exposed Host seit rund 4 Monaten.


    Die negativen Bewertungen auf Amazon kann man belächeln. Viele Anwender sind mit der Konfiguration des USG und seiner Möglichkeiten überfordert, das macht mehr als die Hälfte an negativen Bewertungen bei Amazon aus. Hat jedoch keine Aussagekraft mehr, wenn man sich mit der Thematik mal beschäftigt hat.


    Dass doppeltes NAT genutzt wird ist eher eine Unzulänglichkeit seitens AVM/Fritzbox.

    Bis FritzOS 6.7 war es noch möglich, einen Anschluss der Fritzbox in den Bridge-Modus zu schalten, und so doppeltes NAT zu umgehen. Das wurde mehr oder weniger heimlich zu Beginn dieses Jahres herausgepatcht. Die Fritte ist eben nur eine reine Consumer-Kiste.


    Das USG ist Dank Unifi Controller sehr mächtig und man muss als Vorteil dieses Herstellers betonen, dass die Produkte kontinuierlich und sehr aktiv Software-Updates und Features erhalten.


    IPS ist seit Sommer beim USG aus der Betaphase raus. Leider beläuft sich der maximale Durchsatz mit aktiviertem IPS auf nur noch rund 50Mbit/s. Das kann ein spürbarer Nachteil sein, wenn man über eine schnellere Leitung verfügt. Da sollte man dann mit den größen Brüdern des USG liebäugeln oder auf andere Hersteller für diese Funktionalität ausweichen.


    Man kann die Geräte von Ubiquiti/Unifi durchaus für den privaten Gebrauch als Spielerei abtun. Jedoch sind es Produkte, die funktionieren. Und mit entsprechendem Fachwissen auch Mehrwert bieten.


    Viele Grüße

    451plus

  • Hallo,

    IPS ist seit Sommer beim USG aus der Betaphase raus. Leider beläuft sich der maximale Durchsatz mit aktiviertem IPS auf nur noch rund 50Mbit/s. Das kann ein spürbarer Nachteil sein, wenn man über eine schnellere Leitung verfügt. Da sollte man dann mit den größen Brüdern des USG liebäugeln oder auf andere Hersteller für diese Funktionalität ausweichen.

    Hmm 50MBit/s ... ja das ist halt genau das Problem. Gibt es dazu verlässliche Angabe wie "schnell" das USG noch ist, wenn man IPS an hat?

    Was ich so zur Zeit(seit dem Wochenende) im Auge habe ist von Zotac ZBOX Cl329 nano(~180€) und dann sowas wie sophos home oder ähnliches drauf installiert. Ich hoffe das die Kiste dann die 100MBits/s mit IPS schafft.


    Hat einer schon so etwas in der Art laufen?



    VG

    Christian

  • Die einzige offizielle Angabe zur Bandbreite mit IPS beim USG gibt es hier: https://help.ubnt.com/hc/en-us…tection-System-IPS-IDS-#3


    Zitat
    • USG: 85 Mbps*
    • USG-Pro: 250 Mbps*
    • USG-XG: 1 Gbps*
    • Enabling Smart Queues or DPI on top of IPS/IDS will also incur a further penalty to maximum throughput.

    *Values are rough estimates and can vary depending on configuration.


    Die Anschaffungskosten eines USG-Pro bzw. USG-XG sprengen jedoch jeglichen finanziellen Rahmen und sind für Zuhause wohl auch mehr als Overkill (performancemäßig auf die restliche Funktionalität des USG bezogen).


    Viele Grüße

    451plus

  • Habe mal mit einem Netztest der österr. Regulierungsbehörde gemessen. Bei beiden Test ist dpi on.


    Ich habe ohne IPS 200 Mbit


    Messergebnis vom 01.10.2018 18:28:44
    Download 200 Mbit/s
    Upload 20 Mbit/s
    Ping 8,7 ms


    Und mit IPS knapp 100 Mbit


    Messergebnis vom 01.10.2018 18:24:47
    Download 95 Mbit/s
    Upload 20 Mbit/s
    Ping 8,4 ms



    Ich werde IPS aber wieder ausschalten. Wie ich es aktiviert habe hatte ich sehr viele IPS Meldungen. Waren aber einfach viele Ports zum Qnap weitergeleitet ohne Einschränkung. Jetzt habe ich umgebaut, nur noch der entfernte Standort darf auf die Ports (wobei das eigentlich nur ein Backup ist, zwischen den Standorten gibt es eh ein Site to Site VPN über das der normale Verkehr läuft), für die User die von extern drauf zu greifen sollen habe ich im Unifi VPN Zugänge eingerichtet was auch total einfach einzurichten ist. Und seit dem "Umbau" habe ich so gut wie keine Meldungen mehr.


    Ein Quell von Meldungen ist die Download Station.