Welche Hardware Firewall nutzt ihr oder findet ihr dies überflüssig?

    Kann es sein, dass sich manche hier zu viel von einer Firewall versprechen?


    Ich bin auch kein Firewall-Experte, aber dennoch:


    Betreibe ich einen Webserver, ist die darauf laufende Firewall (iptables) recht einfach konfiguriert. Block all, und https wird weitergeleitet. Fertig sind alle nötigen Regeln. Also genau das, was jeder Heimnutzer bei seiner QNAP und seinem Router auch macht. Der Unterschied liegt aber nun darin, dass auf dem Webserver idealerweise nur der Webserver läuft, in der aktuellsten Version, auf der QNAP NAS aber noch ganz viele andere Dienste laufen, veraltete, Dienste über die ich nicht bescheid weiß, Dienste die nichts im Internet verloren haben.


    Arbeite ich in einer Firma, wie Mavalok2, dann sind die Regeln natürlich deutlich komplexer, aber nur, weil dort sehr viele Netze vorhanden sind, die miteinander unter sehr bestimmten Auflagen kommunizieren können müssen, aber das ist bei einem Heimnetz nicht der Fall. Daher erübrigt sich doch die Diskussion um "wie konfiguriere ich eine Firewall richtig". Dort wird das WLAN nicht in Teilnetze aufgebröselt, da sind nicht verschiedene Computer in verschiedenen Netzen, dort gibt es nicht Abteilungen, die nur auf A zugriff haben sollen, aber nicht auf B. Und wenn ich ein vernetztes Smart Home aufbauen will und günstig dies vom LAN trennen will, dann kann ich immer noch den einfachen Weg über das Gästenetz oder einen zweiten Router gehen:

    https://www.heise.de/ct/artike…selbst-gebaut-221656.html

    Moin zusammen!!!


    Wollte mich mal für die Beteiligung bei allen bedanken!!! :qclub:


    Lese alle Beiträge mit und finde sehr interessant was hier als Infos kam.




    Hatte mich, geschätzt 2010-2012, mit ZyXel (USG-20) und Endian (Community Software auf VM) beschäftigt.

    Aufgegeben hatte ich das ganze weil ich damals Aufwand/Nutzen nicht im Verhältnis gesehen hatte.

    Das waren aber auch noch Zeiten in denen eine FritzBox bzgl. VPN eher schwach war und es solche Dinge wie SmartHome, Alexa/Google Home kaum gab, ja sogar Smartphone und Tablet waren da noch lange nicht so verbreitet wie heute.

    Auch war damals die "Bedrohungslage" einfach nicht so schlimm, zumindest hat man davon nur sehr selten etwas gehört.


    Den Beitrag hatte ich ja gestartet weil sich die Zeiten geändert haben.

    Sicherheit ist, meines Empfinden nach, wichtiger geworden für einen relativ viel vernetzten Haushalt (vom Licht, über Küchengeräte, Waschmaschine...; Smart Home allgemein, bis zu Home Assistent,...).

    Auch werden immer mal wieder Sicherheitslücken entdeckt, ob die nun eine Firewall blockt oder nicht sei dahin gestellt.

    Natürlich habe auch ich mich verändert, heute geht es auch um Punkte wie Gäste WLAN, Kindersicherheit, HomeOffice,... Mittlerweile ist auch der 3. QNAP NAS eingezogen (wobei einer weg kommt), mir ist die Datensicherheit wichtiger geworden.


    Es wurden hier einige Firewalls genannt (OPNSense, IPFire, Sophos,...).

    Auch wurde für einen privaten Haushalt die FritzBox als ausreichend erachtet, vermutlich könnten wir allein darüber einen EndlosBeitrag führen.

    Ob eine FritzBox (die ich als sehr gut empfinde!!!) ausreicht muss wohl jeder selbst entscheiden.


    Steinigt mich nun, aber ich möchte mal eine Frage in die Runde werfen.

    Die meisten hier erwähnten Firewalls sind sehr gut, aber eher etwas für den Industrie-Sektor, soweit ich die Datenblätter lese (Ausnahmen gibt es, das habe ich auch festgestellt, aber diese sind qualitativ auch ähnlich der Industrie-Firewalls).

    Welche seht ihr für einen etwas überdurchschnittlichen Privathaushalt, was Netzwerk,... angeht als sinnvoll?

    Unter der Betrachtung Bedienung, Nutzen, Kosten,.... Relativ einfach in der Bedienung oder so sehr auf "Basic" einstellbar das sie mehr als ein Router leistet, aber dennoch für einen Privaten mit etwas höheren Netzwerkkenntnissen

    gut zu steuern ist. VPN, VLAN,... sehe ich mal in einer heutigen Firewall, selbst einer kleinen, als "MUSS" an.

    Welche seht ihr hier?

    Mavalok2

    Habe die keine CLI die alles in Textform anzeigt?

    Mit der weg gesicherten Running habe ich so die neue Cisco ASA ganz einfach auf den gleichen Stand bringen können.


    Alt links, neu rechts im Notepad++ und dann vergleichen, mit Compare.


    Man muss nur wissen welche geänderten Einträge aufgrund der neuen Firmware abweichen.

    Die Port und Failover Konfiguration muss man auf jeder Hardware eh neu bauen.


    Wir nutzen die als reine Firewalls, mit Ein wenig Routing und NAT.

    So funktioniert das echt gut, 4 von 5 getauscht 0 Nacharbeit bisher.


    Zurück zum Thema:

    Das normale LAN mit einer deny any zu versehen ist wenig zielführende, da nicht verhältnismäßig.

    Wenn man hier ein IDS/IPS mit laufen lässt ist das schon besser als bei jeder Home Box.


    Meine Samt Home Installation kommt jedenfalls in Firewalled Netz. Das bekommt dann entsprechendes Regelwerk, was sich aus der Funktion heraus ergibt.

    Da Kameras außen hängen, ist hier ein DMZ Netz vorgesehen.

    Wenn die NAS die aktiv abfragt wird das Regelwerk sehr einfach.

    QNAP darf auf den Stream und die http/https Seite, das LAN darf per http/https drauf, fertig.

    Die spätere Wallbox wird dann auch ein eigenes Netzbekommen.

    Ich denke die Dinger sind Sicherheitstechnische auch nicht besser als diese Glühbirnen.


    2-3 SSIDs werden geplant, die auf verschiedenen VLANs ausbrechen.

    Eine für das normale LAN, ein für Gäste, die nur ins Internet dürfen aber nicht in die privaten Netze.

    Wenn doch dann auch hier wieder granuläres Regelwerk für das nötigste, z.B. Drucken gewünscht ist.

    Eine für IoT Schrott.

    Radius + Zertifikat und WPA2 Enterprise muss ich mal sehen.


    Die Netzwerkkomponenten kommen in ein eigenes Netz für LAN Management, so das auch hier die Zugriffe für die Firewall gesteuert werden können.

    Wer darf mit welchem Service zugreifen.


    Wie ich das Problem mit dem aktivem Managment VLAN bei meinem HP Switch angehe weiß ich noch nicht.

    Aber es wird vermutlich auf policy Baded Source NAT hinaus laufen.

    Nicht schön aber funktioniert.

    Denn ist das aktiv, nimmt er nur noch Anfragen aus dem gleich Netz entgegen.


    Das Netz oder die Netze für VPN Einwahl werden dann auch je nach zugewiesenen Usern berechtigt.

    Ich darf als Admin mehr als z.B. Ein normaler User, die brauche und wollen nicht in das Management LAN.


    Das meinte ich mit, ein Konzept muss her.

    Erst wenn das steht kann man sich mit der Umsetzung im Detail beschäftigen.

    Dieses führt dann jedoch wieder zu Konzeptänderungen, wenn das Regelwerk dann exponentielle wächst, muss man sich das noch mal überlegen.

    Denn es ist Hobby und muss auch verwaltet werden.


    So lange man da Spaß dran hat und das als Weiterbildungsmaßnahme sieht ok.

    Aber wenn das in Arbeit ausartet -> Konzeptänderung.

    Zitat von Crazyhorse

    Habe die keine CLI die alles in Textform anzeigt?

    Sophos UTM hat eine CLI. Allerdings bringt das Vergleichen nur bei zumindest ähnlichen Einstellungen. Beim den letzten Neuerungen wurde die eine Firewall neu ohne Vorgänger erstellt - da gibt es nüchts zu vergleichen - und die andere war eine Barracuda NG Firewall die durch eine Sophos ersetzt wurde. Beide werden als Firewall und Viruswall, Contentfilter, IPS, etc. eingesetzt. Da ist es einfacher Äpfel mit Birnen zu vergleichen: :D

    Zitat von Crazyhorse

    Das normale LAN mit einer deny any zu versehen ist wenig zielführende, da nicht verhältnismäßig.

    Das war nur ein Scherz. Genau so wie: Kabel vom Router ziehen und das Netzwerk ist auch sicher. :D

    Zitat von Mavalok2

    Sophos UTM hat eine CLI

    Korrekt, Cisco mittlerweile übrigens auch. Dadurch können die Standardsachen bei Cisco Geräten relativ einfach ohne SSH oder Parallel Port konfiguriert werden.

    Die Sophos finde ich da im Heimbereich pflegeleichter, da hier quasi alles über eine GUI abgedeckt wird. Das heißt natürlich nicht, dass eine Sophos besser ist. Hier gibt es noch viele Bugs. Cisco ist und bleibt im Augenblick der Rolls Royce unter den Netzwerkgeräten - sieht man übrigens auch am Preis ;)

    Zitat von cyberhai

    Unter der Betrachtung Bedienung, Nutzen, Kosten,.... Relativ einfach in der Bedienung oder so sehr auf "Basic" einstellbar das sie mehr als ein Router leistet, aber dennoch für einen Privaten mit etwas höheren Netzwerkkenntnissen

    gut zu steuern ist.

    In der Thematik Bedienung tun sich zum Beispiel eine pfsense mit einer Sophos nicht mehr viel. Eine pfsense kann ohne Lizenzkosten betrieben werden. Es muss lediglich die Hardware gestellt werden. Bei einer Sophos ist das so ähnlich. In der Home Variante lassen sich 50 IP's kostenlos schützen. Wenn man dann noch eine Fritz!Box als zweites Netz hat, kommt man mit den 50 Adressen schon recht weit.


    Gruß,

    Eric

    Du meinst eine FritzBox nach der Firewall die dann ihr eigenes Netz aufbaut?

    Würde bedeuten man könnte nach einer Firewall ein ganz reguläres "Heimnetz" aufbauen, wie es eben über die FritzBox gedacht ist.

    Und nebenbei z.B. VLAN (1x SmartHome, 1x HomeMedia, was auch immer...) oder mehrere?

    So meintest du es?


    Wäre in meinem Fall "lustig" da es, habe zumindest keine gefunden, keine Firewall mit Cable Anschluss gibt bedeutet die FritzBox Cable als Moden/Telefonanlage und danach eine Firewall.

    Leider müsste die Fritzbox Cable bleiben da es zwar Cable Modems gibt aber keine Cable Telefonanlagen (nix halbwegs vernünftiges zumindest).

    Und als Heimnetzverteilung (nennen wir es mal so) eine weitere Fritzbox, hätte sogar noch eine 7490 im Schrank, wäre gut machbar.


    Bedeutet die Firewall hängt am DMZ der FritzBox Cable und nach der Firewall die FritzBox 7490 in der alle Schutzfunktionen abgeschaltet sind da diese die Firewall übernimmt.

    So hattest du das gemeint?

    Optimaler wäre:

    Cabelmodem -> Firewall -> Fritzbox.

    Wo du die Sip Daten hinterlegt ist doch egal, so lange du dir Pprts weiter leitest die benötigt werden.


    Sonst hast du wieder die Limitierung auf 200 oder 2000 Verbindungen der 6490.

    Genaues findest du in den AVM Diagnosedaten.

    Einfach mal reinschauen, da sieht man dann quasi die Running der Fritzbox.

    Zitat von Crazyhorse

    Optimaler wäre:

    Cabelmodem -> Firewall -> Fritzbox.


    Mit meinem SIP-Gate Account sehe ich da keinerlei Probleme, die sind da sehr genügsam.

    Beim privaten Telefon (Unitymedia) kommt es auf einen Versuch an, mit denen hatte ich viele negative Erfahrungen, aber hier gibt es nur T-Online 16k (ein echter Witz) oder Unitymedia bis 400 Mbit.

    Natürlich wäre das der wesentlich bessere Weg, gebe dir da 110% Recht!


    Bedeute aber DHCP an der 6590 Cable aus.

    Wo ist dann der DHCP für das Heimnetz, der müsste ja dann in der 7490 sein um die Limitierung zu umgehen.

    Richtig? Kann ja eigentlich nur so sein...


    Woher bekommen die anderen Geräte ihre Adresse, z.B. die im VLAN (Beispiel SmartHome)?

    Aus der Firewall?

    Wenn ich nämlich mal schnell überschlage sind das schon ca. 20 IP's (Licht, Bosch SmartHome Geräte, WLAN Steckdosen, Echo's, ...), so komme ich ja relativ schnell an das Limit.

    Neben SmartHome gäbe es ja noch ein VLAN "Media" WLAN Boxen, Plex Client/Server,.... ein VLAN Security IP-Cam's (wobei das könnte auch in SmartHome).

    Ich käme relativ fix auf die 50, ob heute schon wäre ich nicht sicher aber sicher irgendwann in der Zukunft.

    Oder würde ich für jedes VLAN eine FritzBox oder was auch immer, benötigen um einen eigenen DHCP zu stellen und die Limitierung zu umgehen?


    Bedeutet aber das in jedem VLAN als "Server" (DHCP, Verwaltung IP's,...) eine Art FritzBox, Switch mit DHCP (eher das nicht) oder je ein LAN Port des QNAP als DHCP dienen für die jeweiligen VLAN's.

    Oder ein ganz anderes Gerät mit den gleichen Eigenschaften, was könnte das sein?

    Viele Geräte haben heute LAN und WLAN, also müsste es beides können.





    Würde gerne Sophos und pfsense testen, nur bei Sophos komme ich nicht weiter.

    Habe alle Daten eingegeben und laut Webseite soll ich eine Mail bekommen, naja das sollte gestern morgen sein.

    Einmal editiert, zuletzt von cyberhai ()

    pfSense, da kannst du für jedes Netz einfach den DHCP Pool aktivieren und ab dafür.


    Fest IPs ist eh nur was für Server ober bestimmte Geräte die Dienst anbieten. IP Cams z.B., KNX Gateways usw.

    Moin,


    Danke erst einmal für die Eindrücke und Infos. Wohoooo ich habe einen Rolls Royce.

    Eine kleine dumme Frage: Bringt es nicht mehr für die "Smart Home Geräte" eine

    Sophos XG Firewall Home Edition

    zu nehmen. Das UTM sprich die Verbindung zur Localen Version geht doch nicht.


    Oder ich habe den Unterschied zwischen UTM und Firewall nicht recht verstanden.


    VG

    Friis

    Zitat von cyberhai

    Bedeutet die Firewall hängt am DMZ der FritzBox Cable und nach der Firewall die FritzBox 7490 in der alle Schutzfunktionen abgeschaltet sind da diese die Firewall übernimmt.

    Wo die Firewall letzten Endes steht kommt auf die Netzwerkplanung an. Bei mir habe ich das im Augenblick so aufgebaut, dass meine Hauptgeräte wie Smartphone und Rechner direkt an der Fritz!Box hängen. Die UTM hängt als Software Appliance mit einem Bein in dem Netz der Fritz!Box und stellt mit dem anderen Bein ein neues Netz bereit. Dieses nutze ich zu Testzwecken und als Gastnetz mit einem entsprechenden Access Point. Natürlich können hier auch zum Beispiel Smart Home Geräte betrieben werden, jeder wie er mag und braucht. Ein entsprechendes Routing auf der Fritz!Box und der UTM machen die Kommunikation in beide Netze von beiden Netzen möglich. In der Konstellation habe ich auch keinen Stress mit meinen Telefonen. In wie weit es Kabelgeräte für die Konstellation gibt, kann ich nicht beantworten.

    Zitat von Friis

    Oder ich habe den Unterschied zwischen UTM und Firewall nicht recht verstanden.

    Eine Firewall macht ausschließlich Firewall, eine UTM stellt neben Firewallfunktionalitäten noch weitere Dienste wie zum Beispiel Antivirusverwaltung der Clients oder erweiterte SMTP Scan Funktionalitäten bereit.

    Hi Indriga

    Zitat von Indriga

    Eine Firewall macht ausschließlich Firewall, eine UTM stellt neben Firewallfunktionalitäten noch weitere Dienste wie zum Beispiel Antivirusverwaltung der Clients oder erweiterte SMTP Scan Funktionalitäten bereit.

    Unbenannt.PNG

    Quelle vom Bild: https://www.sophos.com/de-de/products/free-tools.aspx vom 05.02.2019


    Gut vielleicht hätte ich XG Firewall sagen sollen;).

    Vielleicht sind nicht alle Funktionen einer UTM mit dabei aber das "wichtigste" macht diese Firewall auch schon mit was sonst eine UTM macht.


    Wenn ich diese Firewall nehme und gegen die UTM Version von Sophos Vergleiche sehe ich bis auf die 50IP Adressenbegrenzung keine Unterschiede. Es mag sein das eine der Beiden einfacher einzurichten ist - kann ich nicht beurteilen, da ich die nicht habe. Aber was ich so denke zu brauchen macht auch die Firewall.


    Wenn ich was (Grundlegendes) übersehen habe bitte um Rückmeldung.


    Danke

    Friis

    Moin Friis,


    du musst bei einer XG und bei der UTM beachten, dass die Produkte mittlerweile aus einem Haus kommen. Das Produkt UTM wurde von Aastaro gekauft. Das Produkt XG wurde von Sophos neu entwickelt und hat daher sehr viele Parallelen zu der UTM.


    Eine reine Firewall kümmert sich nur um ein- und ausgehenden Datenverkehr. Dabei wird anhand eines Regelwerks entschieden, ob bestimmte Dienste und IP's angesteuert werden dürfen oder nicht.



    Viele Grüße,

    Eric

    Hallo Indriga ,


    cool Danke für die Info. So lag ich ja nicht ganz daneben. Was mich so wirklich abschreckt ist die Sache das da anscheinend wirklich viel Rechenpower für die zusätzliche, ich nenne es mal "Dienste" drauf geht.


    Zitat von Crazyhorse

    Die UTM von Sophos ist beim Proxyeinsatz mit einem i3-i5 auszulegen, je nach Internetleitung.

    Ist die dann sogar Im Gbit Bereich, was bei Glasfaser ja möglich ist, bist du mit einem Xeon dabei.

    Ich setzte mal die Aufgaben/Funktionen zwischen UTM und der XG Firewall als gleich an und denke da wird spannend, wenn man ein 1GbE Netz absichern möchte. Von 10GbE will ich erst gar nicht reden/denken. Für privat hört hier der Spaß auf und der Ernst beginnt.


    Ich denke das es unter diesen Voraussetzungen(für privat) nur Sinn macht, wenn man die Internetleitung absichert. Alles was darüber hinausgeht ist dann mit einer Heizung gleichzusetzen.


    So ein kleiner Barebone(zB.: von Zotac CI640 oder MI640) verbraucht schon mal ca. 15W für die CPU plus noch ein bisschen für den Rest sagen wir 45W(ist sicherlich zu viel) das wird schon warm. Das sollte dann aber auch locker für "alles an was geht" und heutzutage jeglicher Internetverbindung im privaten Bereich reichen.


    VG

    Friis

    Nettes Teil, wobei ich mich frage wie ist der i5 jetzt ausgelegt was die TDP angeht, von 10-25W ist alles möglich.

    Bei erstem kann ich auch einen Pentium Gold nehmen, auch wenn der mehr verbraucht, wird er das erst nach Jahren Dauerlauf an Stromkosten kompensieren.

    Bei den aktuellen Intel Lücken weiß man eh nicht, ob man die CPU nicht in Zukunft jährlich wegschmeißen muss, da entweder angreifbar oder durch die Updates grotten langsam.


    Ich tendiere eher Richtung Selbstbau, 1-2HE Blade mit Lüfterarray und nem kleinen Netzteil. Dann kann ich, wenn der Bedarf in einigen Jahren gestiegen ist, einfach umbauen und aufrüsten, wie beim PC.

    Braucht dann vielleicht ein klein wenig mehr Strom, aber je nach Auslegung, hat man viel mehr Power oder liegt deutlich günstiger.

    Leider finde ich für AMD so gar keine passiv Kühler, die sich in dem Blade gut machen würden.

    Zudem ist die RAM Anordnung auf Home Mobos ungünstig, da diese direkt im Luftstrom vor der CPU liegen, ist halt ein Unterschied ob ich vertikal in einen Tower einbaue oder liegend ein ein Blade.

    Dafür sind Server Mobos im Dauerbetrieb bei gescheiten Umgebungsbedingungen sicherlich sehr lange einsetzbar was Bauteilalterung angeht. Jedenfalls erwarte ich das bei dem Preis, aber Ausreißer gibt es ja immer.


    Wir planen mit einer 400er Leitung, da muss ich der pfSense + Suricata schon ein wenig Power bieten. Wobei die damit noch recht genügsam ist, mit Proxy muss ich noch ein paar Test fahren um die Leistung genauer abschätzen zu können.

    Bezüglich Throughput ist diese Seite von Sophos noch sehr interessant:

    https://www.sophos.com/en-us/p…tech-specs.aspx#AllModels

    Ich wird bei den verschiedenen Appliances Modellen der Durchsatz beim den unterschiedlichen Einsatzgebieten angegeben.

    Als reine Firewall geht auch noch beim kleinsten Modell reichlich durch, aber beim AntiVirus Proxy - also Filterung - da muss man dann schon genauer hinsehen. Bei den älteren Modellen ist es dann auch noch etwas weniger.

    Ja ja. Schnellere Internetleitungen bringen wieder ganz neue Probleme zutage.


    Mal ganz abgesehen von der Firewall / Proxy Geschwindigkeit. Da im heimischen Netzwerk doch die Meisten mit WLAN arbeiten: Wie sieht der WLAN-Ausbau bzw. dessen Geschwindigkeit aus? Gigabit Internetleitung und Firwall/Proxy mit Xeonprozessor und dann 100 Mbit WLAN? :D

    Ubiquiti Nano HD oder HD oder eine Mischung.

    Leider kann ich die nur mit 1GBit versorgen mehr Kabel sind nicht geplant.

    Na ggf. Später mal mit 10GBit.


    POE+ Full Managed L3 Switch ist vorhanden.


    Die Power wird hauptsächlich am Gaming PC genutzt, die Dicke Leitung weil es so 40er Upstream + Dualstack statt DS Lite gibt.


    Anderer Anbieter kann nur 100 und da wird vermutlich auch einige Jahre nicht mehr kommen. In 10 Jahren sind 400 gerade noch ok aber mit 100 geht dann gar nix mehr.

    Wobei bis dahin über Cabel auch GBit und mehr laufen werden.


    Mit dem Upload ist dann ein Side to Side zu meinen Eltern möglich wo die Backup NAS hin gehört.