(Hardware)firewall - Sinn oder "Unsinn" - Was für den privaten Haushalt?

  • Hallo zusammen,


    christian hat ja hier einen Beitrag über die Möglichkeit der Installation von pfSense in einer VM erstellt. QNAP unterstützt pfSense zur Stärkung der Netzwerksicherheit


    Zum meiner Person in Bezug auf Netzwerksicherheit: Wissen wenig.


    Ich weis das es Sinn macht eine Firewall auf dem System zu haben um alles was nicht auf einen Rechner/NAS soll zu blockieren. Daher auch eine Firewall aktiviert und alles blocken lassen wo ich keine Dienste aktiv habe. Virenscanner habe ich auch installiert.


    Firewall, ja klar ohne Frage, nur macht es wirklich Sinn pfSense auf einem Gerät laufen zu lassen was ich schützen will? Ich denke hier im speziellen darüber nach weil IDS/IPS, GeoBlocking und AntiVirus Filterung enthalten sind.

    Macht es nicht mehr Sinn so etwas dann eher als extra Gerät gleich nach dem Router zu implementieren, so hätte ich doch das ganze Netzwerk abgesichert und nicht nur das NAS?


    Gibt es einen der mit einer Hardwarefirewall Erfahrungen hat? Gerne darf es auch etwas kosten, ich dachte für den Heimgebrauch an max. 100€ im Jahr an laufenden Kosten.

    Fritzbox und die implementierte Firewall ist gut und schön aber taugt die auch was? IDS/IPS und AntiVirus sind nicht vorhanden auch keine Inhaltsfilterung.


    Sicher man wird sich nicht den Virenscanner und die Firewall am entsprechenden Endgerät sparen, aber man hätte einen "rudimentären Schutz" des Netzes für die erste Filterung(Trojaner, Malware, Ransomware,...).


    Welche Hardwareanforderungen(für 100MBit/s down - 20MBit/s up) sollte man haben falls man sich für den privaten Gebrauch eher für openSense entscheiden? Extra Hardware wäre mir persönlich lieber. Natürlich sollte es "einfach" einzurichten sein, bzw. einfach auf Fehler hinweisen. Also die Ansprüche an die Konfiguration sollten sich stark in Grenzen halten, bzw. ggf. mittels Assistenten begleitet.


    Kennt sich einer von Euch mit der ganzen Thematik aus und kann etwas für den Privatgebrauch empfehlen? Wenn es geht nicht so etwas wo der Kunde testet.


    VG und Danke für Eure Antworten

    Friis

  • Friis

    Hat den Titel des Themas von „(Hardware)firewall - Sinn oder "Unsinn"“ zu „(Hardware)firewall - Sinn oder "Unsinn" - Was für den privaten Haushalt?“ geändert.
  • Ein APU2c4 reicht locker aus um Proxy, diverse Filter und noch einen OpenVPN Server laufen zu lassen. Da läuft Opnsense, IpFire etc drauf. Installation ist auch easy. Stromkosten sind sehr gering.

    Die Frage ist immer wie man das konfiguriert. Firewall hört sich immer toll an.

    Wenn man das wirklich richtig angeht muss man alle Ports, egal ob aus- oder eingehend sperren und einzeln freischalten.

    Das ist richtig viel Arbeit. Vor allem wenn noch Onlinespiele dazukommen.

    Denn bei den 0815 Firewall sind ausgehende Verbindungen meistens alle erlaubt. Upnp auch. Upnp ist richtig... baaaahhhhh ;)

    Dann würde in das APU wirklich als einzige Firewall laufen. Die Fritzbox als Modem. Sonst gibt das eine verhunzte Konfiguration mit zwei Firewalls, zwei IP Netzen etc.


    Bezüglich Filter:

    Ad-Blocker und Content Filter (Böse Webseiten, Ominöse Gewinnspiele etc) habe ich auch laufen.

    Google etc zu blocken ist heute fast nicht mehr möglich wegen diversen Captcha Codes etc.

    Sonst ist das eine tolle Sache.


    Die APU Boards gibt's auch schon fertig mit Monowall, Opnsense etc. Kostet dann halt paar Euro mehr.


    Ich hab mittlerweile ein Gateway mit einem i5 und 16 Gb Ram da noch zwei KVMs drauf laufen (ja, virtuelle Rechner sollte man auf einem Gateway auch nicht wirklich haben).

    Dazu Webproxy, VPN Server, DNS und DHCP Server und noch ein paar solche Sachen.

    Allerdings "nur" Debian 9. Alles andere manuell installiert, da flexibler.


    Eine Firewall würde ich jetzt nicht in einer KVM laufen lassen. Das widerspricht alles was Sicherheit angeht.


    Mit 100€ kommst aber nicht weit. Oder sind das nur die Stromkosten ? Lizensierung für die Hardwarefirewall ?

  • Hallo rednag ,


    an die Sophos Home Editions habe ich auch schon gedacht. Diese sollten auch für das wichtigste ausreichen. Ich probiere noch herauszufinden wo die Unterschiede der Sophos XG Firewall Home Edition und der Sophos UTM Home Edition liegen.

    Das klingt für mich fast alles gleich, irgendwie.


    Man benötigt für beide separate Hardware mit 2 Netzwerkkarten - soweit klar, bekommt man ja hin.

    Die Sophos UTM Home hat den folgenden Umfang

    • schützt bis zu 50 IP-Adressen
    • Network Protection
    • Web Protection
    • Email Protection
    • Webserver Protection
    • VPN-Funktionalität
    • ...

    Die Sophos XG Firewall Home hingegen:

    • Anti-Malware
    • Web Security
    • URL-Filterung
    • Application Control
    • IPS
    • Traffic Shaping
    • VPN
    • Reporting und Monitoring
    • ...
    • max. 4 Kerne und 6GB RAM


    Liest man sich weiter durch die Sophos Produkte durch kommt man zu diesen Übersichten:

    XG (Quelle: http://www.sophos.de; XG Firewall Feature-Liste; Stand 17.09.2018)



    UTM (Quelle: http://www.sophos.de; Broschüre SG Serie; Stand 17.09.2018)



    Hier bekomme ich mit das man sich mit dem Thema wirklich sehr gut beschäftigen muss. Überfliegen reicht hier für mich definitiv nicht mehr aus.



    VG

    Friis

    2 Mal editiert, zuletzt von Friis () aus folgendem Grund: Unterschiede UTM und XG ergänzt Quellenangaben ergänzt

  • Wenn solltest auch Webfiltering dazunehmen.

    Kann Sophos HTTPS filtern ?


    Hab jetzt seit gestern übrigens von Diladene Websafety installiert.

    Der kann eben auch https Filtern. Funktioniert einwandfrei.

    Adware, Tracking und Social Content werden geblockt. Dazu eben diverse bösen Seiten.


    Es ist keine "Firewall". Aber wie schon gesagt. Wenn man es richtig macht müssen alle Port, egal ob ein/ausgehend von Hand freigeschaltet werden. Wenn alles nach aussen aus Faulheit genehmigt ist, braucht man auch keine Firewall.

    Da reicht ein kleiner Plastikrouter wie die Fritzbox.


    Tracking, Adware, Greyware etc etc. Die an Daten kommen möchte halte ich fürs grössere Problem. Da hilft auch keine Firewall. Nur ein Proxy wo der ganze Verkehr durchläuft.

  • Hallo NightStalk3r,


    ich bin davon ausgegangen das http sowie https Verkehr kontrolliert wird.

    Die UTM sowie die XG können den https Verkehr kontrollieren.

    Ich glaube wenn man das in den heutigen Zeiten nicht kann ist man auch aus dem "Geschäft".


    Die Gegenüberstellungen(XG - UTM) die ich gefunden habe sind "ewig" alt, aus 2015. Da sollte sich doch mittlerweile was getan haben.


    Hat einer Erfahrungen mit Ubiquiti Unifi Security Gateway? Ich denke alles was ich so brauche hat das Ding ebenfalls und 100€ einmalig(?) ist für eine Aufrüstung der Fritzbox ausreichend. Falls das Ding was taugt, man liest bei Amazon schon einige Dinge die einen Nachdenklich machen - diese sind aber auch schon wieder 5-6Monate her. Hat sich da was getan?


    VG

    Friis