[Acryl]

hi security cracks,

möchte ne hardwarfirewall hinter den dsl router installieren. habt ihr da tipps für mich? preislich kann sie zwischen 200 - 400 euro liegen.
der router hat zwar NAT und ne grundausstattung an sicherheitsmaßnahmen aber die reichen mir/uns in der heutigen zeit nicht mehr aus. evtl webseitenfilterung?

die clients sind schon alle sicherheitstechn. stark beschnitten aber wir wollen die externe security verbessern.

welche hardfirewall könnt ihr uns da empfehlen?

danke für eure tipps

p.s. möchte kein eigenbau dranhängen

Dieser Beitrag wurde von Acryl bearbeitet: 20. Juni 2004 - 12:18

[Rika]

Meinst du nicht daß du ein wenig übertreibst? Wie groß ist denn dein netzwerk, das du schützen möchtest?

[Acryl]

@rika: übertreiben? NEIN!

wie groß das netzwerk ist, spielt da für mich keine entscheidende rolle. wenns sich um sensitive daten handelt, die auf einem fileserver gesichert liegen sollen und täglich gebraucht werden, möchte ich einen ausreichenden bis maximalen schutz haben. und da reicht es mir nicht mehr nur eine softwarefirewall + virenscanner einzusetzen. angriffe von innen sind ausgeschlossen, ein "angriff" über mails auch....aber die externe sicherheit spielt in zukunft doch eine andere rolle.

lan>30 clients + mailserver + fileserver

[Decay]

Wenn du doch von innen Angriffe ausschliessen kannst und durch Emails sowieso, weiß ich nicht, warum du soetwas benötigst?
Ich denke nicht, dass man ausgerechnet bei dir eine DoS-Attacke starten wird oder dergleichen, oder Hast du eine Firma? (wegen den 30 Clients)
Durch NAT wird dein Netzwerk hinterm Router sowieso maskiert, sprich die internen IPs sind nach aussenhin nicht sichtbar und bieten somit keine Angriffsfläche.
Der Router wird wohl nicht alle Ports nach innen Forwarden, oder?`
Und der Router wird auch kein Rechner sein, der dazu "missbraucht" wurde, oder?
Somit gibt es auch nicht viel Angriffsmöglichkeiten für den Router.

Wenn du aber trotzdem möchtest, gibt es schon Router mit SPI usw. für weniger Geld als du ausgeben möchtest. Dieser Schutz sollte dann aber reichen.

PS: Verstehe mich bitte nicht falsch, aber versuche abzuwägen, ob es unbedingt nötig ist, um eben halt kosten zu sparen.

Dieser Beitrag wurde von Decay bearbeitet: 20. Juni 2004 - 12:39

[Decay]

Zitat (Phate: 20.06.2004, 12:37)

ne hardwarefirewall kann ich dir nicht empfehlen, da ich mich damit nich beschäftigt habe. allerdings ist es doch sinnvoller wenn der fileserver dann gleich vom Internet getrennt bleibt.

Ööööhm, das Netzwerk ist dem Internet via Router verbunden und der Server ist ein Bestandteil des Netzwerks.

[B!G]

Also ich würde für den Fileserver eine echte DMZ (demilitarisierte zone) mittels eines Zweiten Routers einrichten, oder ihn physisch vom Netz trennen, auch wenn das evtl. nicht das komfortabelste ist.

[Dante33]

Hol dir nen Syslink Router ... da ist Cisco drinne

Aber mal ehrlich, jeder halbwegs brauchbare Router ausm Laden hat doch Firewall-Funktionen drinne...

Eine reine Hardware-Firewall ist für nen Privatmann quatsch...

Und wenn es wirklich ein Fileserver ist, mit sensiblen Daten, gehört der wirklich nicht ans Netz, sondern sollte vom Netz getrennt sein... (physisch)

Wofür gibbet Subnetting?

EDIT: war wieder zu langsam ...

Dieser Beitrag wurde von Dante33 bearbeitet: 20. Juni 2004 - 12:50

[Decay]

Zitat (B!G: 20.06.2004, 12:48)

Also ich würde für den Fileserver eine echte DMZ (demilitarisierte zone) mittels eines Zweiten Routers einrichten, oder ihn physisch vom Netz trennen, auch wenn das evtl. nicht das komfortabelste ist.

Warum soll der Fileserver in einer DMZ liegen, wenn dort doch die sensiblen Daten liegen? Damit mache ich den Server voll angriffsfähig.
Da bleibt nur die Frage, gilt der Fileserver nur für das Netzwerk oder routet der auch ins Netz? (Internet oder Intranet)
Sollte dieser nur für innerbetriebliche Zwecke dienen, ist es natürlich nicht so gut diesen dann auch physisch zu trennen, denn was hätte dieser noch für eine Funktion?
Sollte er auch für aussen gelten, steht eine physische Trennung sowieso nicht zur Debatte.

[Rika]

Du solltest den Fileserver einfach in ein separates Subnetz verlegen und nur mit IPX oder NetBEUI erreichbar machen bzw. separat routen. Dort klemmst du dann eine Firewall bzw. einen einfachen Router mit der Regel, daß nur das interne Netz auf dieses Subnetz zugreifen darf, dazwischen. Sprich: Du machst quasi dein internes Netz zu der DMZ deines Fileservers, sicherst aber diese DMZ wie ein normales Heimnetz nur durch den Router.

[Acryl]

liest sich alles sehr vernünftig,

für alle: ist ein firmennetz im wachstum und soll gerüstet sein!

die frage der notwendigkeit einer hardwarefirewall stellt sich immer dann, wenn ein netz am wachsen ist.
die grundsicherheit ist wie erwähnt schon durch NAT und Maskierung gegeben, der router blockt auch DOS Attacken. leistet aber nur bedingt schutz gegen WIRKLICHE angriffe.
Die meisten Firmen sind sich weder des Werts ihrer Daten bewusst noch können sie die Bedrohung richtig einschätzen!
unsere strategie muss also unter beachtung der wirtschaftlichen kosten sein,den max schutz von WAN auf LAN zu erreichen. dazu gehört eben dieser gedanke einer hardwarefirewall.
diesen erfahrungsaustausch rege ich an, um zu erkennen wie mit dem thema umgegangen wird und wo diese hardware wirklich von nöten ist.

[Rika]

Wie groß ist denn das Netz? Wie sieht die bisherige Struktur aus?
Ich würde ja entweder zu Screened Subnet oder DMZ tendieren...
Wenn du dann keinen Server rumstehen hast, der irgednwas nach außen bedient, dein reicht jede billige 0815-Firewall, da sie ja nur wenige Regeln umsetzen und ansonsten alles droppen sollte.