Welche Hardware Firewall nutzt ihr oder findet ihr dies überflüssig?

    Hallo,


    inspiriert von einem anderen Beitrag würde mich etwas interessieren.


    Die heutige Zeit und vielseitigen LAN/WAN Geräte (SmartHome, Alexa, Google Home, IP Cam,...) bringen sehr viele Geräte ins Haus.

    Viele davon sind darauf angewiesen freien Zugang zum Internet zu haben,...


    Wie seht ihr es heute, früher war ein guter Router und Firewall am PC normal, und heute?


    Sind Hardware-Firewalls überflüssig für vernetzte Häuser?

    Reicht der Router (z.B. Klassiker FritzBox,...) aus?


    Wie handhabt ihr dies?



    Fände die Diskussion sehr interessant!!! :/

    In Zeiten von Meltdown und Spectre kann man die nur noch als Hardware Appliance laufen lassen.


    Welche ist die Frage, pfSense ist bestimmt in dem Zusammenhang genannt worden, kann sehr viel und ist je nach Hardware auch für 10Gbit+ einsetzbar.


    Hier hängt es dann aber wieder stark von den Modulen ab die ich noch zusätzlich nutze.

    Snort und Suricata sind bestimmt ein Begriff. Jedoch geht die Bandbreite einer Firewall die sonst spielend 1Gbit schafft ganz schnell auf 30-50Mbit/s runter.


    Für unser Haus ist so eine Firewall festen Bestandteil der IT Planung, jedoch tue ich mich mit dem Sizing noch ein wenig schwer.

    Perfekter Einstieg ist für die ein APU2 Board, jedoch könnte das zu schwach sein, bei einem sehr schnellen Internetzugang.

    Ich nutze eine OPNSense.Das bringt nicht mehr per se mehr Sicherheit, nur mehr Kontrolle über alles.Mehr Sicherheit kann man realisieren,

    z.B. über zusätzliche Plugins wie IDS, SSL / Virusscan.Umsonst ist das aber auch nicht, man brauch schon einiges an CPU Power für diese Features.


    Es spricht sicherheitstechnisch nichts gegen eine Standard Fritzbox.Mehr kann ein Standard-User sowieso nicht konfigurieren und beherrschen und wenn man fertige Setups von H/W Appliances nimmt, dann ist man wieder dem Hersteller ausgeliefert und hat ebenfalls nicht mehr Kontrolle.Eventuell mehr Sicherheit, aber das kommt halt drauf an.

    Ich habe meine komplette Infrastruktur auf UniFi umgestellt und verwende dort die USG 3 als Firewall

    Welche Bandbreite kommt mit aktivem IDS/IPS durch.

    Kann das als Proxy fungieren?


    Die UTM von Sophos ist beim Proxyeinsatz mit einem i3-i5 auszulegen, je nach Internetleitung.

    Ist die dann sogar Im Gbit Bereich, was bei Glasfaser ja möglich ist, bist du mit einem Xeon dabei.

    ...


    =O:huh:


    X/


    ...


    uff

    Das hätte ich nicht für möglich gehalten.


    Danke für die Info - was mach ich nur? /rhetorische Frage


    Friis

    Heute reicht auch eine Fritz Box.

    Freier Zugang ins Internet ist vorerst kein Sicherheitsproblem, Alexa bspw.


    Problematisch wird es, wenn du von außen direkt auf ein Gerät in deinem Netz zugreifen willst. (billige IP Cam)

    Bei Google, Amazon,... Ist dies nicht der Fall. Dort läuft alles über deren Server der dann sozusagen die Firewall darstellt.


    Wenn du sicher unsichere Geräte direkt von außen in deinem Heim Netz erreichen willst, musst du dich mit Netzwerken und VLANs beschäftigen. Nun macht eine professionelle Firewall auch Sinn. Denn dann hast du ein nicht sicheres VLAN für deine IP Cam auf die du per VPN kommst, eine DMZ für deine Cloud, ein sicheres VLAN für dein LAN mit deiner NAS und den sensiblen Daten, ein VLAN für WLAN, ein VLAN für Gäste WLAN und die entsprechenden Regeln um vom einen VLAN ins andere zugreifen zu können. Dafür ist eine Firewall meiner Meinung nach da.

    Ich denke, man muss, je mehr Technik zu Hause am Netz hängt, vor allem die Netze logisch trennen ( als VLAN etc.). Wurde auch mal in der c't besprochen. Also eins für SmartHome / Multimedia / Büro / Kinder etc. Dafür braucht man dann natürlich irgendeine Firewall / Router / Switch, der dann per Regel Zugriffe kontrollieren kann. Nur so kann man amoklaufenden Smarthome Geräte und experimentierfreudige Kinder davon abhalten, das ganze Netz auf einen Schlag mit Malware zu verseuchen.

    Zitat von UpSpin

    Denn dann hast du ein nicht sicheres VLAN für deine IP Cam auf die du per VPN kommst, eine DMZ für deine Cloud, ein sicheres VLAN für dein LAN mit deiner NAS und den sensiblen Daten, ein VLAN für WLAN, ein VLAN für Gäste WLAN und die entsprechenden Regeln um vom einen VLAN ins andere zugreifen zu können.

    Ein VLAN für sich gesehen ist eigentlich kein echtes Sicherheitsfeature, es hat nur den Zweck, einen Switch in mehrere logische Partitions aka Broadcast Domains zu teilen.Solange ein VLAN nicht fest einem Switch Port zugeordnet ist, könnte sich jeder einfach die entsprechende VLAN ID selber zuweisen ( also VLAN Tagging).

    Ja dann mach mal und schaue wie weit du an einem korrekt konfiguriertem Switch kommst, genau bis zum Port.

    Da wird dann dein Tagged Frame verworfen, weil es auf dem Port nicht erlaubt ist. Da wird nur access akzeptiert.


    Auf den Uplinks sieht es anders aus, da werden die Tagged Frames zusätzlich übertragen. Um da eingreifen zu können, musst du schon Zugriff auf die Räume der Infrastruktur haben und dann hast du sowieso gewonnen, da du direkt vor dem Server oder dem Switch stehst.


    Aber auch hier ist es wieder jedem Admin selbst überlassen wie er das ganze handhabt, ob statische Vlans oder dynamische mit vtp custom Domain oder nicht.

    In großen Netzen kommt dann ja noch ein NAC zum Einsatz, am besten mit Zertifikatsprüfung, dann wird das Knacken der Infrastruktur schon sportlicher.


    Das ist aber für @home ein wenig überdimensioniert.

    Ich liebäugele (private Nutzung) zur Zeit auch mit einem apu2 Board. Dort ist es möglich pfSense, Sophos UTM oder IPFire drauf laufen zu lassen. Ich mache das, weil mich das Thema grundsätzlich interessiert, um z.B. die Datenströme loggen zu können. Ich bin nicht der Überzeugung, dass man so eine Firewall unbedingt braucht.


    Ich denke, dass die meisten ambitionierteren Heimnetzwerker mit dem Funktionsumfang einer Fritzbox auskommen. Smarthome-Geräte kann man auch mit dem Router ins eigene Netzwerk einsperren. Und wenn die Smarthome-Geräte (z.B. Smart TVs) wegen ihrer Funktionalität mit dem Internet kommunizieren müssen, ist man auch mit einer Hardware Firewall machtlos.


    Eine interessante Diskussion zu diesem Thema gibt es in der Folge c't uplink 25.3 - Spione mit OLED. Grundsätzlich gilt was da besprochen wird meistens: Die Geräte kommunizieren mit der Außenwelt über eine verschlüsselte Verbindung. Mit einer Hardware-Firewall kann ich das zwar beobachten, auf die Daten selbst aber nicht zugreifen.


    Den Firewalls von Routern fehlt eine nützliche Eigenschaft. Sie können uns zwar gut vor Zugriffe von außen schützen, Daten, die unsere Geräte aus unserem Netzwerk heraus ins Internet senden, passieren die Firewall aber ungehindert. So werden wir beim Serven im Internet von Trackern verfolgt und auch unsere Betriebssysteme senden fleißig Telemetriedaten. Um das im gesamten Netzwerk filtern zu können, ist der Pi-Hole, installiert auf einer VM oder auf einem Raspi, eine nützliche Ergänzung.

    Blocked eine gute Firewall nicht auch outgoing traffic?

    Ich denke, das ist keine neue Erkenntnis: Für eine Hardware-Firewall kann man das einrichten. Dafür müssen für den Netzwerkverkehr Regeln erstellt werden. In der Erstellung und Pflege dieser Regeln, liegt in meinem Verständnis als Hobbyqnapper, ein großer Anteil an Knowhow, welches man sich nicht mal eben anlesen kann. Einfacher ist es aber, auch die Funktionalitäten eines Pi-Holes in die Firewall zu verlagern. Bei IPFire und PfSense ist das möglich.


    Wenn ich einen ganzen Zoo an Smarthome- und IoT-Geräten hätte, würde ich die Segmentierung des Netzwerkes als Vorteil sehen. So, dass sich ein Schädling nicht über alle Geräte im Heimnetz ausbreiten kann. Ich glaube aber nicht, dass man durch den Einsatz einer Hardware-Firewall, den durch eine Sicherheitslücke bedingten Infektionsfall sicher verhindern kann.


    Würde mich aber auch interessieren, wie das die Leute sehen, die sich damit auskennen. Ich wage mal eine steile Prognose: Wir haben hier im Forum vermutlich niemanden, der von sich behauptet, er könne die Regeln einer Hardware-Firewall von A - Z definieren. Ich lasse mich aber gerne vom Gegenteil überzeugen und wäre ein gelehriger Schüler wenn entsprechendes Fachwissen geteilt werden würde. :)

    Sinnfrei drauf los Regeln zu erstellen ist eh der falsche Weg, da muss erst ein Netzwerkkonzept erstellt werden.

    Dann steht fest welche Netze für welchen Zweck verwendet werden.

    Dann und erst dann geht es an die Einrichtung.

    Aber auch hier fängt man beim Switch an, legt die VLANs und Routen an, erstellt Interface, aktiviert das Routing (wenn möglich).


    Und erst dann kann es mit der Firewall los gehen.


    Je nach Fähigkeiten des Switch kann man die direkt im LAN betreiben oder über ein eigenes Netz mit sauberem Routing anbinden.

    Aus den Netzen für IoT usw. wird eh alles geblockt.

    Dann wird jeder benötigte Zugriff einzeln freigeschaltet.


    Wichtig ist, dass man sich ein sauberes Logging aufbaut, auf der QNAP ist dafür ja praktischer Weise der Syslog Server dabei, das läuft dann über UTP/514, TCP wird nicht benötigt.

    Hier kann man dann Fehler (denys) suchen und die ggf. benötigte Regel erstellen.


    Denn die Dokumentation der meisten System, wer mit wem spricht, dürfte quasi nicht vorhanden sein.

    Das wird man also alles über die Logauswertung raus finden müssen.


    Da sollte man aber immer reinschauen, denn auch eine auf den ersten Blick gute und vollständige Dokumentation kann durch ein Update nicht mehr auf aktuellem Stand sein und dann sucht man rum, wo der Fehler mit einem einfachen tail direkt gefunden wird.

    Die gute Fritz!Box sollte für den Normalverbraucher erstmal völlig ausreichen. Theoretisch kann man für seine Smart Home Spielerein sogar den Gastzugang zweckentfremden und somit die Trennung von Smart Home Geräten und dem eigenen produktiven Heimnetz vollziehen. Man könnte hier ja sogar eine zweite Fritz!Box in einem anderen Netzbereich via LAN oder WLAN an die vorhandene Box hängen, sodass diese zweite Box die erste nur für das Internet nutzt. Alles andere wäre getrennt.

    Auf meiner QNAP läuft eine Sophos UTM Software Appliance. Diese nutze ich über eine Fritz!Box als Internetgatway für VPN Verbindungen, Antivirusverwaltung und Webserververöffentlichung. Letzteres betrifft meine QNAP's. So kann nach einer Authentifizierung an der Sophos auf diese Dienste zugegriffen werden.

    Zugegebenermaßen heißt meine Freundin nicht Alexa und mein Licht wird (noch) via Schalter ein und ausgeschaltet. Wenn mir zu kalt in der Bude ist stehe ich vom Sofa auf und drehe am Heizkörperthermostat.

    Sollte sich das einmal ändern, werde ich solche Geschichten hinter dem Netz der Sophos UTM einsperren. Je nachdem würde ich mir dann sogar eine Hardware dafür besorgen, denn da hat man in Punkto Sicherheit mehr gewonnen. Letzten Endes muss man dann aber immernoch kritisch sein. Wenn ich in meinem Job bei Kunden weitere Ports für zum Beispiel Offce 365 freischalten muss, weiß ich zwar, dass die Systeme nur mit den Microsoft Servern sprechen, weiß aber noch lange nicht, was alles übertragen wird. Hier hilft nur mit der nötigen Skepsis und einem gesunden Menschenverstand zu handeln. Wer mit der Thematik nicht parat kommt, sollte den ITler des Vertrauens mit ins Boot holen oder auf die Technik verzichten.

    Zitat von phoneo

    Wir haben hier im Forum vermutlich niemanden, der von sich behauptet, er könne die Regeln einer Hardware-Firewall von A - Z definieren

    Regel 1: "Block all". Das war's. Schon ist das Netzwerk sicher. :D

    In Businessbereich wird ja nach dem Prinzip gearbeitet: Alles was nicht erlaubt ist ist verboten. Zuhause ist ja meistens umgekehrt.


    Nette Diskussion, aber vielleicht sollten wir mal die Kirche im Dorf stehen lassen. Natürlich besteht aktuelle Netzwerksicherheit nicht nur aus einer Firewall. Wie schon erwähnt wurde gibt es hier unzählige Methoden und Filterfunktionen mit denen so gut wie alles gesteuert, reguliert und protokolliert werden kann. Ich habe 2 Sophos UTM mit fast komplettem Umfang im Einsatz - allerdings in der Firma. Ich verbringe eigentlich jedoch Woche 1/2 bis 1 Stunde mit anpassen des Regelwerks und überprüfen der Logs und Statistiken. Aber wer will dies schon zuhause machen. Dass das notwendige Kleingeld und auch Wissen vorhanden sein sollte wurde ja schon erwähnt.

    Das Ganz nutzt nur nichts, wenn das System von Innen unterwandert wird, sei es, dass man irgendwann aus Frust einfach wieder zu viel oder gar alles öffnet - denn an diesen Punkt werden hier wohl die meisten ungeübten kommen, oder was meiner Meinung nach sehr viel wichtiger ist, irgendwelche Dienste, Geräte oder sonstiges im Einsatz ist, dass das ganze System ad absurdum führt.

    Ich denke für den heimischen Gebrauch ist es wichtiger ein aufgeräumtes und kontrolliertes, und vor allem kontrollierbares Netzwerk an Geräten und Dienste zu haben. Hier ist weniger manchmal einfach mehr. Komplexe Sicherheitssysteme machen es für den Laien nur noch undurchschaubarer. Und unterm Strich ist eine sauber konfigurierte Fritzbox in mit einem sauber konfigurieren Netzwerkfuhrpark sicherer, als ein Chaos an Geräten und einer schlechten eingerichteten Profi-Firewall.


    Aber im Einzelfall muss ich die Situation analysiert werden, denn das Sicherheitssystem sollte immer dem Verwendungszweck angepasst sein.

    Zitat von Mavalok2

    Ich habe 2 Sophos UTM mit fast komplettem Umfang im Einsatz - allerdings in der Firma. Ich verbringe eigentlich jedoch Woche 1/2 bis 1 Stunde mit anpassen des Regelwerks und überprüfen der Logs und Statistiken.

    Dieses "I can" habe ich erhofft. Du warst auch insgeheim einer meiner möglichen Kandidaten. Dir ist aber schon klar, das ich jetzt auf deine Anleitungen "Wie definiere ich die Regeln einer Firewall Teil 1 - X" warte? Kannst den Hut wieder absetzen, Karneval fällt für dich aus. ;)

    Ich habe ja schon geschrieben wie: "Block all". :)

    Ob ich das wirklich kann :/ ...ist eine andere Sache. Das Thema ist mehr als nur komplex und eine Sophos UTM hat gefühlte Millionen von Einstellungsmöglichkeiten. Für den Aufbau oder den Tausch einer Firewall in der Firma engagiere ich einen externen Spezialisten, um auf keinen Fall eine Einstellung zu übersehen - 4 Augen-Prinzip. Und trotzdem ist jedes Mal die eine oder andere Einstellungen trotzdem übersehen worden. Da hilft nur akribisches Testen und Prüfen, und immer wieder anpassen und optimieren der Einstellungen.

    Zitat von Mavalok2

    Für den Aufbau oder den Tausch einer Firewall in der Firma engagiere ich einen externen Spezialisten, um auf keinen Fall eine Einstellung zu übersehen - 4 Augen-Prinzip

    Kannn ich verstehen, habe im Gespräch mit Bekannten, die bei größeren Firmen in der IT arbeiten ähnliches gehört.