26
Diskussion zur Sinnhaftigkeit von Firewalls bei SOHO
Moin,
was Schönes für den Montagmorgen worüber ich mich gerade aufgeregt habe.
Ganz konkret habe ich gerade die Betreung einer IT eines kleinen Kunden (5 MA) übernommen.
Die haben eine Firewall welche aber genau wie hier beschriben eingerichtet ist.
Es geht mir nicht um die grundlegende Sinnhaftigkeit von Firewalls.
Es geht bei SOHOs um den Zugewinn an Sicherheit in Verhältniss zu Störungen im Betrieb und den Kosten.
Bei vielen SOHOs die ich so sehe ist die Firewall wenig optimal konfiguriert.
1. Ausgehende Ports gesperrt
Sehr viele unfreundliche Programme nutzen inzwischen https ausgehend.
Eine Port-Sperre bringt hier kaum zusätzliche Sicherheit, stört aber Diense wie z.B. Adobe CC.
2. IDS/IPS/AV Proxy für http, smtp, imap und pop
Bringt kaum etwas, da inzwischen fast alles verschlüsselt ist.
3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops
Fast irgendwo wird der Proxy auch für verschlüsselte Verbindungen verwendet.
Dazu müsste man ja "nur" die passenden Zertifikate auf den Clients installieren.
Aber irgendwie macht das keiner.
Eine Programme nutzen SSL-Pinning und funktionieren dann nicht mehr.
4. IDS/IPS auf der WAN Seite hinter einer Fritz!Box
Da könnte man jetzt lange disktuieren, aber hier gibt es einen Sicherheitsgewinn
5. White-Listing von Webseiten
Das wäre das Beste, aber die meisten wollen nun mal Google und die Suchergebniss sehen.
Also sehr aufwendig.
6. VPN
Keine Frage. Wer VPN nutzt braucht das.
7. Portweiterleitungen
Aus irgendeinen Grund nutzen einige Kunden das VPN nicht und richten Portweiterleitungen auf interne Geräte ein.
RDP Server und PCs sowie Webinterface von NAS und anderen Gerätenm.
8. Störungen
Jedes Geräte kann Störungen und Supportbedarf generieren.
Neulich hatte ich bei einem Kunden dass er nicht nach "Nudel" suchen konnte.
Die Firewall hat das Suchergebnis nicht angezeigt, da auch ein Penis dabei war.
Also:
Bring es etwas: Ja
Bringt es so viel wie die Hersteller versprechen wenn es so eingerichtet ist: Nein
Lohnt es sich: Dass muss der Kunde entscheiden
Viele Grüße
Stefan
was Schönes für den Montagmorgen worüber ich mich gerade aufgeregt habe.
Ganz konkret habe ich gerade die Betreung einer IT eines kleinen Kunden (5 MA) übernommen.
Die haben eine Firewall welche aber genau wie hier beschriben eingerichtet ist.
Es geht mir nicht um die grundlegende Sinnhaftigkeit von Firewalls.
Es geht bei SOHOs um den Zugewinn an Sicherheit in Verhältniss zu Störungen im Betrieb und den Kosten.
Bei vielen SOHOs die ich so sehe ist die Firewall wenig optimal konfiguriert.
1. Ausgehende Ports gesperrt
Sehr viele unfreundliche Programme nutzen inzwischen https ausgehend.
Eine Port-Sperre bringt hier kaum zusätzliche Sicherheit, stört aber Diense wie z.B. Adobe CC.
2. IDS/IPS/AV Proxy für http, smtp, imap und pop
Bringt kaum etwas, da inzwischen fast alles verschlüsselt ist.
3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops
Fast irgendwo wird der Proxy auch für verschlüsselte Verbindungen verwendet.
Dazu müsste man ja "nur" die passenden Zertifikate auf den Clients installieren.
Aber irgendwie macht das keiner.
Eine Programme nutzen SSL-Pinning und funktionieren dann nicht mehr.
4. IDS/IPS auf der WAN Seite hinter einer Fritz!Box
Da könnte man jetzt lange disktuieren, aber hier gibt es einen Sicherheitsgewinn
5. White-Listing von Webseiten
Das wäre das Beste, aber die meisten wollen nun mal Google und die Suchergebniss sehen.
Also sehr aufwendig.
6. VPN
Keine Frage. Wer VPN nutzt braucht das.
7. Portweiterleitungen
Aus irgendeinen Grund nutzen einige Kunden das VPN nicht und richten Portweiterleitungen auf interne Geräte ein.
RDP Server und PCs sowie Webinterface von NAS und anderen Gerätenm.
8. Störungen
Jedes Geräte kann Störungen und Supportbedarf generieren.
Neulich hatte ich bei einem Kunden dass er nicht nach "Nudel" suchen konnte.
Die Firewall hat das Suchergebnis nicht angezeigt, da auch ein Penis dabei war.
Also:
Bring es etwas: Ja
Bringt es so viel wie die Hersteller versprechen wenn es so eingerichtet ist: Nein
Lohnt es sich: Dass muss der Kunde entscheiden
Viele Grüße
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 458486
Url: https://administrator.de/contentid/458486
Printed on: April 24, 2024 at 04:04 o'clock
26 Comments
Latest comment
Hallo Stefan,
wer alleine das Grundrauschen kennt und bereits effizient Ports auf bestimmte IPs oder Länder freigibt hat bereits einen wesentlichen Sicherheitsgewinn. Abgesehen davon ist 5 MA eben nicht 5MA. Der eine ist Chef, der sich aus H4 befreit hat und kurz darüber schwebt + 4x 450€ Jobber, der andere ist Chef und entwickelt das nächste "Big thing", wenn vielleicht auch etwas unter dem Radar und hat einen Geisteskapitalwert von mehreren Millionen € auf der IT-Infrastruktur und dann gibt es noch Ärzte (ganz interessantes Thema, wie ich letztens mit "meinem" durchgesprochen hab...aber andere Sache).
ZU den Punkten:
Ausgehende Ports sind genauso zu sperren, wie eingehende, man muss aber beide einmal definieren und ggf. pflegen. Ein Any-Any in irgendeine Richtung macht es natürlich, doof.
Proxy für Web macht Sinn - oder auch nicht, ebenfalls whitelisting. Für SMTP ist die UTM (Bei mir i.d.R Sophos) _immer_ der Proxy, sprich, Sie nimmt an, prüft und gibt dann ggf. an den Exchange/Mailserver dahinter frei.
Fritzbox? Ich häng meine UTMs, wo es geht, direkt hinter ein Modem.
Wenn das Netz schlampig geplant, oder fortgeführt wurde liegt das nicht am Produkt. Du kannst ein Messer zum bereiten eines herrlichen Essens oder für viel Blödsinn einsetzen.
Störungen kannst du mit allem haben. Wie viele Kunden bereits über die Windows-Firewall gestolpert sind und erstmal die UTM verdammten. Aber man kann sich auch über das Klingeln des Sicherheitsgurtes aufregen.
In Summe macht es sicherlich Sinn eine UTM zu haben, schon aus Haftungsgründen, wenn man sich aktuelle Versicherungsunterlagen gewissenhaft vor Augen führt. DSGVO inkonformer Datenabfluss ist dabei noch gar nicht angesprochen.
Viele Grüße,
Christian
certifiedit.net
wer alleine das Grundrauschen kennt und bereits effizient Ports auf bestimmte IPs oder Länder freigibt hat bereits einen wesentlichen Sicherheitsgewinn. Abgesehen davon ist 5 MA eben nicht 5MA. Der eine ist Chef, der sich aus H4 befreit hat und kurz darüber schwebt + 4x 450€ Jobber, der andere ist Chef und entwickelt das nächste "Big thing", wenn vielleicht auch etwas unter dem Radar und hat einen Geisteskapitalwert von mehreren Millionen € auf der IT-Infrastruktur und dann gibt es noch Ärzte (ganz interessantes Thema, wie ich letztens mit "meinem" durchgesprochen hab...aber andere Sache).
ZU den Punkten:
Ausgehende Ports sind genauso zu sperren, wie eingehende, man muss aber beide einmal definieren und ggf. pflegen. Ein Any-Any in irgendeine Richtung macht es natürlich, doof.
Proxy für Web macht Sinn - oder auch nicht, ebenfalls whitelisting. Für SMTP ist die UTM (Bei mir i.d.R Sophos) _immer_ der Proxy, sprich, Sie nimmt an, prüft und gibt dann ggf. an den Exchange/Mailserver dahinter frei.
Fritzbox? Ich häng meine UTMs, wo es geht, direkt hinter ein Modem.
Wenn das Netz schlampig geplant, oder fortgeführt wurde liegt das nicht am Produkt. Du kannst ein Messer zum bereiten eines herrlichen Essens oder für viel Blödsinn einsetzen.
Störungen kannst du mit allem haben. Wie viele Kunden bereits über die Windows-Firewall gestolpert sind und erstmal die UTM verdammten. Aber man kann sich auch über das Klingeln des Sicherheitsgurtes aufregen.
In Summe macht es sicherlich Sinn eine UTM zu haben, schon aus Haftungsgründen, wenn man sich aktuelle Versicherungsunterlagen gewissenhaft vor Augen führt. DSGVO inkonformer Datenabfluss ist dabei noch gar nicht angesprochen.
Viele Grüße,
Christian
certifiedit.net
Morgen
Allerdings besteht natürlich das Problem mit verschlüsselten Verbindungen über 443. Wenn man SSL Traffic aufbricht kann man da reingucken und entsprechend kontrollieren.
3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops
Fast irgendwo wird der Proxy auch für verschlüsselte Verbindungen verwendet.
Dazu müsste man ja "nur" die passenden Zertifikate auf den Clients installieren.
Aber irgendwie macht das keiner.
Bei SOHO ist das mangelndes Wissen/Kompetenz/Manpower für den zu erwartenden Supportaufwand
Also:
Bring es etwas: Ja
Bringt es so viel wie die Hersteller versprechen wenn es so eingerichtet ist: Nein
Annähernd schon. Allerdings fraglich ob ein SOHO wirklich IDS, IPS etc benötigt oder Sinnvoll umsetzen kann.
was Schönes für den Montagmorgen worüber ich mich gerade aufgeregt habe.
Bringt doch nix sich aufzuregen Ganz konkret habe ich gerade die Betreung einer IT eines kleinen Kunden (5 MA) übernommen.
Die haben eine Firewall welche aber genau wie hier beschriben eingerichtet ist.
Es geht mir nicht um die grundlegende Sinnhaftigkeit von Firewalls.
Es geht bei SOHOs um den Zugewinn an Sicherheit in Verhältniss zu Störungen im Betrieb und den Kosten.
Bei vielen SOHOs die ich so sehe ist die Firewall wenig optimal konfiguriert.
1. Ausgehende Ports gesperrt
Sehr viele unfreundliche Programme nutzen inzwischen https ausgehend.
Eine Port-Sperre bringt hier kaum zusätzliche Sicherheit, stört aber Diense wie z.B. Adobe CC.
Wenn es richtig gemacht wird, ist das absolut Sinnvoll. Custom High ports sperren und dann entsprechend der Nutzung nur auf die benötigten Destinations zulassen.Die haben eine Firewall welche aber genau wie hier beschriben eingerichtet ist.
Es geht mir nicht um die grundlegende Sinnhaftigkeit von Firewalls.
Es geht bei SOHOs um den Zugewinn an Sicherheit in Verhältniss zu Störungen im Betrieb und den Kosten.
Bei vielen SOHOs die ich so sehe ist die Firewall wenig optimal konfiguriert.
1. Ausgehende Ports gesperrt
Sehr viele unfreundliche Programme nutzen inzwischen https ausgehend.
Eine Port-Sperre bringt hier kaum zusätzliche Sicherheit, stört aber Diense wie z.B. Adobe CC.
Allerdings besteht natürlich das Problem mit verschlüsselten Verbindungen über 443. Wenn man SSL Traffic aufbricht kann man da reingucken und entsprechend kontrollieren.
2. IDS/IPS/AV Proxy für http, smtp, imap und pop
Bringt kaum etwas, da inzwischen fast alles verschlüsselt ist.
Diese Systeme sind logischerweise nur dann Sinnvoll, wenn SSL Inspection auch genutzt wird.Bringt kaum etwas, da inzwischen fast alles verschlüsselt ist.
3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops
Fast irgendwo wird der Proxy auch für verschlüsselte Verbindungen verwendet.
Dazu müsste man ja "nur" die passenden Zertifikate auf den Clients installieren.
Aber irgendwie macht das keiner.
4. IDS/IPS auf der WAN Seite hinter einer Fritz!Box
Da könnte man jetzt lange disktuieren, aber hier gibt es einen Sicherheitsgewinn
Verstehe ich nichtDa könnte man jetzt lange disktuieren, aber hier gibt es einen Sicherheitsgewinn
5. White-Listing von Webseiten
Das wäre das Beste, aber die meisten wollen nun mal Google und die Suchergebniss sehen.
Völliger Unfug. Whitelisting funktioniert in der Realität nicht. Deshalb guckt man sich pauschal den Traffic an und filtert die Websites entsprechend ihrer Kategorien, Blacklists etc.Das wäre das Beste, aber die meisten wollen nun mal Google und die Suchergebniss sehen.
7. Portweiterleitungen
Aus irgendeinen Grund nutzen einige Kunden das VPN nicht und richten Portweiterleitungen auf interne Geräte ein.
Bequemlichkeit der Nutzer. mimimi VPN zu kompliziert mimimiAus irgendeinen Grund nutzen einige Kunden das VPN nicht und richten Portweiterleitungen auf interne Geräte ein.
8. Störungen
Jedes Geräte kann Störungen und Supportbedarf generieren.
Neulich hatte ich bei einem Kunden dass er nicht nach "Nudel" suchen konnte.
Die Firewall hat das Suchergebnis nicht angezeigt, da auch ein Penis dabei war.
Ich verstehe einfach nicht warum Geschäfte immer so ein Problem mit Nacktheit haben. Da wird schon mal jede Website gesperrt, die den String *Sex* enthält. Völliger Schwachsinn. Wenn man so einen Blödsinn implementiert muss man halt auch damit rechnen das man großflächig "gute" Webseiten abschießtJedes Geräte kann Störungen und Supportbedarf generieren.
Neulich hatte ich bei einem Kunden dass er nicht nach "Nudel" suchen konnte.
Die Firewall hat das Suchergebnis nicht angezeigt, da auch ein Penis dabei war.
Also:
Bring es etwas: Ja
Bringt es so viel wie die Hersteller versprechen wenn es so eingerichtet ist: Nein
Lohnt es sich: Dass muss der Kunde entscheiden
Nein, bitte nicht. Das ist wie mit den Backups. Das lohnt sich so lange nicht, bis es sich gelohnt hätte.
Moin,
das grundlegende Problem das Du hier ansprichst: Lohnt es sich eine Funktion zu kaufen die man dann nicht nutzt (en kann) weil man sie nicht beherrscht.
Eine Firewall mit erweiterten Funktionen (NG-Firewall, UTM etc) ist nichts was man irgendwo hinstellt, einen Assistenten laufen lässt und gut ist. Solche Geräte machen nur Sinn, wenn man sie sinnvoll einrichtet und dauerhaft wartet. Das können die Kunden in der Regel nicht selber leisten und ein Wartungsvertrag wird auch nur selten angeboten, noch seltener ein sinnvoller Wartungsvertrag.
Ob es sich lohnt ein solches Gerät zu betreiben ist eine rein kaufmännische Geschichte, hier wieder das alte Spiel von Kosten-Nutzen-Risikoabwägung, sprich: Springt im Worst-Case die Versicherung ein und wenn ja, akzeptiert die das der Kunde eine Fritzbox hatte und Windows Defender, oder erwartet die Versicherung mehr?
Und dann noch wichtig: Kann die Versicherung alle, auch die nicht wirtschaftlich sofort zu messenden, Schäden ausgleichen?
Bekommt der Erotikfotograf nochmal einen Auftrag wenn im Dorf bekannt wird das seine Bilder von einem Hacker in der Facebook-Dorfgruppe gepostet wurden?
Ergo: Ob so ein Gerät sinnvoll ist oder nicht muss der Kunde nach vernünftiger Beratung entscheiden, vor allem muss der Kunde die Kosten für Anschaffung und laufende Kosten kennen. Die meisten Geräte die wir sehen und wo sich Firmen über solche Geräte aufregen sind schlichte Beratungsfehlleistungen.
das grundlegende Problem das Du hier ansprichst: Lohnt es sich eine Funktion zu kaufen die man dann nicht nutzt (en kann) weil man sie nicht beherrscht.
Eine Firewall mit erweiterten Funktionen (NG-Firewall, UTM etc) ist nichts was man irgendwo hinstellt, einen Assistenten laufen lässt und gut ist. Solche Geräte machen nur Sinn, wenn man sie sinnvoll einrichtet und dauerhaft wartet. Das können die Kunden in der Regel nicht selber leisten und ein Wartungsvertrag wird auch nur selten angeboten, noch seltener ein sinnvoller Wartungsvertrag.
Ob es sich lohnt ein solches Gerät zu betreiben ist eine rein kaufmännische Geschichte, hier wieder das alte Spiel von Kosten-Nutzen-Risikoabwägung, sprich: Springt im Worst-Case die Versicherung ein und wenn ja, akzeptiert die das der Kunde eine Fritzbox hatte und Windows Defender, oder erwartet die Versicherung mehr?
Und dann noch wichtig: Kann die Versicherung alle, auch die nicht wirtschaftlich sofort zu messenden, Schäden ausgleichen?
Bekommt der Erotikfotograf nochmal einen Auftrag wenn im Dorf bekannt wird das seine Bilder von einem Hacker in der Facebook-Dorfgruppe gepostet wurden?
Ergo: Ob so ein Gerät sinnvoll ist oder nicht muss der Kunde nach vernünftiger Beratung entscheiden, vor allem muss der Kunde die Kosten für Anschaffung und laufende Kosten kennen. Die meisten Geräte die wir sehen und wo sich Firmen über solche Geräte aufregen sind schlichte Beratungsfehlleistungen.
Moin,
das mit den Firewalls für SoHo sehe ih genauso wie bei z.B. Sicherheitsgadgetsfeatures für's Auto:
Sicherheitsgurte nutzen nur dann etwas, wenn man sie richtig benutzt, z.B. keine dicken Jacken anzieht, sie nciht zu locker läßt, auf korrekte Wartung achte.
Oder ABS und ESP nutzen nur dann etwas, wenn man nicht im vertrauen darauf riskanter fährt.
Freisprecheinrichtungen nutzen nur dann etwas, wenn man sie gar nicht benutzt(!), denn Telefongespräche während der Fahrt lenken immer ab, egal ob mit oder ohne Freisprechanlage.
u.s.w.
Also:
Der Sicherheitsgewinn von Firewalls egal ob SoHo oder Enterprise hängt immer davon ab, ob die Leute das auch sinnvoll nutzen (können) oder nicht. Auf jeden fall ist Sicherheit imemr ein Zusatzaufwand, der vielen Leuten (leider) lästig ist.
Ich empfehle immer zumindest eine rudimentäre Firewall.
lks
das mit den Firewalls für SoHo sehe ih genauso wie bei z.B. Sicherheits
Sicherheitsgurte nutzen nur dann etwas, wenn man sie richtig benutzt, z.B. keine dicken Jacken anzieht, sie nciht zu locker läßt, auf korrekte Wartung achte.
Oder ABS und ESP nutzen nur dann etwas, wenn man nicht im vertrauen darauf riskanter fährt.
Freisprecheinrichtungen nutzen nur dann etwas, wenn man sie gar nicht benutzt(!), denn Telefongespräche während der Fahrt lenken immer ab, egal ob mit oder ohne Freisprechanlage.
u.s.w.
Also:
Der Sicherheitsgewinn von Firewalls egal ob SoHo oder Enterprise hängt immer davon ab, ob die Leute das auch sinnvoll nutzen (können) oder nicht. Auf jeden fall ist Sicherheit imemr ein Zusatzaufwand, der vielen Leuten (leider) lästig ist.
Ich empfehle immer zumindest eine rudimentäre Firewall.
lks
3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops
Fast irgendwo wird der Proxy auch für verschlüsselte Verbindungen verwendet.
Dazu müsste man ja "nur" die passenden Zertifikate auf den Clients installieren.
Aber irgendwie macht das keiner.
Eine Programme nutzen SSL-Pinning und funktionieren dann nicht mehr.
Fast irgendwo wird der Proxy auch für verschlüsselte Verbindungen verwendet.
Dazu müsste man ja "nur" die passenden Zertifikate auf den Clients installieren.
Aber irgendwie macht das keiner.
Eine Programme nutzen SSL-Pinning und funktionieren dann nicht mehr.
Von mir nur eine kurze Anmerkung hierzu. Wir hatten das eine Zeit lang genau so installiert. Das Problem ist hierbei, dass sämtliches Online-Banking ebenfalls von der UTM aufgebrochen und untersucht wird. Das ist nicht gewünscht und somit habe ich das wieder deaktiviert.
Seit dem läuft ein feiner eingestellter Application Filter, der die unerwünschten HTTPS Inhalte blockiert.
Zitat von @falscher-sperrstatus:
Ausgehende Ports sind genauso zu sperren, wie eingehende, man muss aber beide einmal definieren und ggf. pflegen. Ein Any-Any in irgendeine Richtung macht es natürlich, doof.
Ich habe grundsätzlich alle ausgehenden Ports erlaubt und finde das getue darum etwas merkwürdig. Wenn unsere Außendienstler mal beim Kunden sitzen müssen die oft erst unseren VPN Port entsperren und ich muss mir dann das Argument anhören das 5-stellige Ports ja grundsätzlich "böse" sind. Würde nicht eine Schadsoftware grundsätzlich eher einen "gewöhnlichen" Port wählen um sich unauffällig zu verbinden? Eine Sperre aufgrund des Ports macht doch nur Sinn um einen ganz bestimmten, seriösen aber unerwünschten Dienst zu unterbinden. Aber was hat das mit Sicherheit zu tun?Ausgehende Ports sind genauso zu sperren, wie eingehende, man muss aber beide einmal definieren und ggf. pflegen. Ein Any-Any in irgendeine Richtung macht es natürlich, doof.
Vielleicht fehlt mir hier auch die Erfahrung, ich betreue halt ein Netzwerk, nicht 100. Entgeht mir hier was?
Zitat von @ukulele-7:
Wenn unsere Außendienstler mal beim Kunden sitzen müssen die oft erst unseren VPN Port entsperren und ich muss mir dann das Argument anhören das 5-stellige Ports ja grundsätzlich "böse" sind.
Wenn unsere Außendienstler mal beim Kunden sitzen müssen die oft erst unseren VPN Port entsperren und ich muss mir dann das Argument anhören das 5-stellige Ports ja grundsätzlich "böse" sind.
Wieso müssen Eure Außendienstler überhaupt Internet beim Kunden schnorren? Ich als "Kunde" würde mir da ernsthaft Gedanken machen, wenn ein Lieferant da sich einfach in mein Netz hängen will.
Für Außendienstler gibt es LTE-Module im Laptop oder ein WLAN-AP im Mobiltelefon.
lks
PS: Dafür habe ich (und meine Kunden) natürlich ein Gastnetz, das nicht ganz so restriktiv ist.
Wieso müssen Eure Außendienstler überhaupt Internet beim Kunden schnorren? Ich als "Kunde" würde mir da ernsthaft Gedanken machen, wenn ein Lieferant da sich einfach in mein Netz hängen will.
Wenn die baulichen Gegebenheiten, wie bei uns, eine LTE-Verbindung nicht stabil zustande kommen lassen, sind manche froh, wenn man ein Gäste-WLAN anbieten kann (gibt es bei uns aber auch erst seit ein paar Wochen).
Zitat von @Looser27:
Wenn die baulichen Gegebenheiten, wie bei uns, eine LTE-Verbindung nicht stabil zustande kommen lassen, sind manche froh, wenn man ein Gäste-WLAN anbieten kann (gibt es bei uns aber auch erst seit ein paar Wochen).
Wieso müssen Eure Außendienstler überhaupt Internet beim Kunden schnorren? Ich als "Kunde" würde mir da ernsthaft Gedanken machen, wenn ein Lieferant da sich einfach in mein Netz hängen will.
Wenn die baulichen Gegebenheiten, wie bei uns, eine LTE-Verbindung nicht stabil zustande kommen lassen, sind manche froh, wenn man ein Gäste-WLAN anbieten kann (gibt es bei uns aber auch erst seit ein paar Wochen).
Wenn kein mobiles Internet da ist, so ist das halt Schicksal (oder der falsche Provider). GästeWLAN ist ja ok. Aber daß man für Gäste an der Firewall rumschrasuben muß ist ein Unding. Gäste (außer der IT-Dienstleister, der im LAN nach dem Rechten schauen muß) haben im normalen LAN nichts zu suchen. Und der "Gast" hat nicht über die Sinnhaftigkeit der Firewall-Regeln des Gastgebers zu urteilen.
lks
Und der "Gast" hat nicht über die Sinnhaftigkeit der Firewall-Regeln des Gastgebers zu urteilen.
Alles schon erlebt..... *g* Aber am Ende des Tages bestimmt dann doch die IT darüber, was erlaubt wird und was nicht...mit Rückendeckung der GF.
Back to topic: Um all das realisieren zu können, bedarf es nunmal einer gescheiten Firewall. Eine Fritzbox ist für Zuhause.....nicht für's Büro.
Und für Leute, die von Zuhause arbeiten, gibts VPN (auch inkl. Telefonie). Schließlich will ich nicht die privaten Netzwerke der MA auch noch verantworten müssen.....
Und für Leute, die von Zuhause arbeiten, gibts VPN (auch inkl. Telefonie). Schließlich will ich nicht die privaten Netzwerke der MA auch noch verantworten müssen.....
Zitat von @Lochkartenstanzer:
Moin,
das mit den Firewalls für SoHo sehe ih genauso wie bei z.B. Sicherheitsgadgetsfeatures für's Auto:
Sicherheitsgurte nutzen nur dann etwas, wenn man sie richtig benutzt, z.B. keine dicken Jacken anzieht, sie nciht zu locker läßt, auf korrekte Wartung achte.
[...]Moin,
das mit den Firewalls für SoHo sehe ih genauso wie bei z.B. Sicherheits
Sicherheitsgurte nutzen nur dann etwas, wenn man sie richtig benutzt, z.B. keine dicken Jacken anzieht, sie nciht zu locker läßt, auf korrekte Wartung achte.
lks
Aus eigener Erfahrung kann ich Dir sagen: Das mit der dicken Jacke ist falsch. Mir hat ein Sicherheitsgurt mit dickster Winterjacke das Leben gerettet.
Moin,
Gruß,
Dani
1. Ausgehende Ports gesperrt
Sehr viele unfreundliche Programme nutzen inzwischen https ausgehend.
Eine Port-Sperre bringt hier kaum zusätzliche Sicherheit, stört aber Diense wie z.B. Adobe CC.
Sicherheit fängt meiner Meinung aber genau da an. Viele machen sich immer Sorgen um Angriffe direkt aus dem Internet. Durch aus berechtigt, aber auch im LAN sollte die Regel "Was nicht explizit erlaubt ist, ist verboten" gelten. Das selbe übrignes auch für IP-Adressen. Gerade heute mit dem Malware Varianten eigentlich unverzichtbar. Bezüglich Programme wie Adobe CC gibt es bei verschiedenen Herstellern sogenannte Application Detection. Somit werden über eine entsprechende Regel die Anwendung erlaubt, unabhängig von den Ziel IP-Adressen. Das ist einfach den Trend der CDN geschuldet und anders auch nicht mehr administrierbar.Sehr viele unfreundliche Programme nutzen inzwischen https ausgehend.
Eine Port-Sperre bringt hier kaum zusätzliche Sicherheit, stört aber Diense wie z.B. Adobe CC.
3. Kein IDS/IPS/AV Proxy für https, smtps, imaps und pops
Eine Programme nutzen SSL-Pinning und funktionieren dann nicht mehr.
Die Anzahl der Programme ist aktuell überschaubar. Wobei wir inzwischen nach und nach wo es möglich ist, auf VPN zurückgreifen.Eine Programme nutzen SSL-Pinning und funktionieren dann nicht mehr.
5. White-Listing von Webseiten
Das ist ein komplexes Thema. Wir wenden dies ausschließlich auf senible Bereiche an, die 1-2-3-4-5 erreichen müssen.7. Portweiterleitungen
Aus irgendeinen Grund nutzen einige Kunden das VPN nicht und richten Portweiterleitungen auf interne Geräte ein.
RDP Server und PCs sowie Webinterface von NAS und anderen Gerätenm.
Kann man machen... unter bestimmten Voraussetzungen. Ich vermute aber das ist dort nicht gegeben . NoGo!Aus irgendeinen Grund nutzen einige Kunden das VPN nicht und richten Portweiterleitungen auf interne Geräte ein.
RDP Server und PCs sowie Webinterface von NAS und anderen Gerätenm.
Gruß,
Dani
Moin,
ich komme mal auf 3. IDS/IPS/AV Proxy für https zurück.
Das sehe ich bei SOHO als primären, wenn nicht gar einzigen, Funktionspunkt.
1. unnötig weil nicht mehr genutzt
2. unnötig weil nicht mehr genutzt
4. naja
5. bei SOHO nicht umsetzbar
6. Wenn eingesetzt, dann firewall, sonst nicht.
Da inzwischen 99% des gesamten Traffics, auch Trojaner ausgehend, https ist, sehe ich einen https Proxy als primären, wenn nicht einzigen, Funktionspunkt einer Firewall.
Ich habe aber inzwischen mehrere Programme gehabt, die damit nicht mehr funktionieren.
Dazu gehören Onlinebanking-Programme, Datev, 1-2 medizinische Programme und relativ viele Webseiten mit SSL-Pinning.
Also kann man diesen Punkt eigentlich auch vergessen.
Dann bleibt nichts mehr übrig für eine Firewall.
Wichtig: Wir sprechen hier immer nur von SOHO ohne eigenen ITler.
Warum dann nicht eine OPNsense mit xDSL-Modem oder NAT-Kaskade wenn "notwendig"?
VPN kann die auch, Updates gibt es dafür.
Stefan
ich komme mal auf 3. IDS/IPS/AV Proxy für https zurück.
Das sehe ich bei SOHO als primären, wenn nicht gar einzigen, Funktionspunkt.
1. unnötig weil nicht mehr genutzt
2. unnötig weil nicht mehr genutzt
4. naja
5. bei SOHO nicht umsetzbar
6. Wenn eingesetzt, dann firewall, sonst nicht.
Da inzwischen 99% des gesamten Traffics, auch Trojaner ausgehend, https ist, sehe ich einen https Proxy als primären, wenn nicht einzigen, Funktionspunkt einer Firewall.
Ich habe aber inzwischen mehrere Programme gehabt, die damit nicht mehr funktionieren.
Dazu gehören Onlinebanking-Programme, Datev, 1-2 medizinische Programme und relativ viele Webseiten mit SSL-Pinning.
Also kann man diesen Punkt eigentlich auch vergessen.
Dann bleibt nichts mehr übrig für eine Firewall.
Wichtig: Wir sprechen hier immer nur von SOHO ohne eigenen ITler.
Warum dann nicht eine OPNsense mit xDSL-Modem oder NAT-Kaskade wenn "notwendig"?
VPN kann die auch, Updates gibt es dafür.
Stefan
Was setzt du denn für Appliances ein?
Primär SecurePoint und Gateprotect (inzwischen ja R+S).
Die sind damit auch glücklich und das bleibt so.
Aber
"Ganz konkret habe ich gerade die Betreung einer IT eines kleinen Kunden (5 MA) übernommen.
Die haben eine Firewall welche aber genau wie hier beschriben eingerichtet ist."
Da bleibt mir eigentlich nur die Empfehlung die Firewall nicht kostenpflichtig zu verlängern, da der Nutzen ziemlich gering ist.
Sie schützt aktuell ja nicht mal beim surfen und VPN wird nicht genutzt. Was bleibt da noch übrig.
Stefan
PS: Ich finde es prima von Euch, dass bisher kein Hate-Kommentare dabei sind!
Die sind damit auch glücklich und das bleibt so.
Aber
"Ganz konkret habe ich gerade die Betreung einer IT eines kleinen Kunden (5 MA) übernommen.
Die haben eine Firewall welche aber genau wie hier beschriben eingerichtet ist."
Da bleibt mir eigentlich nur die Empfehlung die Firewall nicht kostenpflichtig zu verlängern, da der Nutzen ziemlich gering ist.
Sie schützt aktuell ja nicht mal beim surfen und VPN wird nicht genutzt. Was bleibt da noch übrig.
Stefan
PS: Ich finde es prima von Euch, dass bisher kein Hate-Kommentare dabei sind!
Also ich gebe zu ich nutze (eigene IT) Portweiterleitung für ActiveSync und einen kleinen FTP. Ich bin noch ganz glücklich über Country Blocking von Sophos.
Warum dann nicht eine OPNsense mit xDSL-Modem oder NAT-Kaskade wenn "notwendig"?
VPN kann die auch, Updates gibt es dafür.
VPN kann die auch, Updates gibt es dafür.
Halte ich für die Sinnvollste Alternative bei vernünftigen Kosten. Die Wartung kannst Du per VPN machen und die Teile laufen und laufen und laufen.....
Ob Du jetzt OPNSense oder pfSense nimmst, ist Geschmackssache.
Nun, wie ich bereits oft festgestellt habe ist es insbesondere bei deren Vertrieb als "Volksfirewall" so, dass die Leute sich bisher nur mit Fritzboxen umgaben und nun bessere Verkaufsmöglichkeiten sehen - aber effektiv wenig Ahnung von IT-Sec und Firewalling haben. Ist ja kein Problem, aber dann sollte man auch keine IT-Sicherheit verkaufen. Das ist demnach keine Frage nach (SoHo) Sicherheit, sondern nach "richtiger Betreuer".
Wie wir wissen setze ich als Sophos Partner zu fast 80% auf Sophos (paar Mikrotik, paar Forti). U.a ist es mir mindestens zwei mal als Systemhaus 2nd Level bewusst passiert; wenn meine Fragen zur Basic "Schnellhandhabung" mit Nichtaussagen quittiert werden, dann ist die Sache auch schon klar.
Dementsprechend würde ich mir nicht um die Grundlage Gedanken machen, die Firewall absichern ist bei mir immer mit auf den Grundübernahmejobs. Klar, weil auch jeder die Sache etwas anders sieht, ich sag nur obiges "von Innen nach aussen ist alles offen". Würde ich bei mir nicht so dulden, auch wenn oben wohl ein Grund dafür gegeben ist.
Christian
PS: Weshalb erwartest du denn Hate Kommentare?
Wie wir wissen setze ich als Sophos Partner zu fast 80% auf Sophos (paar Mikrotik, paar Forti). U.a ist es mir mindestens zwei mal als Systemhaus 2nd Level bewusst passiert; wenn meine Fragen zur Basic "Schnellhandhabung" mit Nichtaussagen quittiert werden, dann ist die Sache auch schon klar.
Dementsprechend würde ich mir nicht um die Grundlage Gedanken machen, die Firewall absichern ist bei mir immer mit auf den Grundübernahmejobs. Klar, weil auch jeder die Sache etwas anders sieht, ich sag nur obiges "von Innen nach aussen ist alles offen". Würde ich bei mir nicht so dulden, auch wenn oben wohl ein Grund dafür gegeben ist.
Christian
PS: Weshalb erwartest du denn Hate Kommentare?
Die Fritzbox hat ja im privaten Umfeld durchaus ihre Berechtigung. Für min. 80% der Haushalte reicht diese auch völlig aus, weil sie eben einfach einzurichten ist (exemplarisch mal das Prozedere von 1&1 genannt, welches die Box nach Eingabe eines Codes vollständig grundeinrichtet inkl. Telefonie).
Die Kunden der Fritzbox wollen sich aber auch nicht mit IT-Security und deren Feinheiten beschäftigen (Gründe sind vielfältig).
OPNSense & Co. halte ich nicht für die neue "Volksfirewall", da man sich hier schon sehr mit der Materie auseinandersetzen muss, zumal einige Fritzbox-Features (VOIP, DECT, WLAN) auf einem APU-Board zumindest zusätzlich verbaut werden müssen (WLAN) oder gar nicht verfügbar sind (VOIP, DECT).
Hier kommt dann noch weiteres Equipment ins Spiel, welches auch noch administriert werden muss.
Wer aber auf der Suche nach einer ALL-IN-ONE Lösung ist, wird zumindest bei den Produkten von Unifi fündig. Die sehe ich in dem Zusammenhang eher als "Volksfirewall".
Die Kunden der Fritzbox wollen sich aber auch nicht mit IT-Security und deren Feinheiten beschäftigen (Gründe sind vielfältig).
OPNSense & Co. halte ich nicht für die neue "Volksfirewall", da man sich hier schon sehr mit der Materie auseinandersetzen muss, zumal einige Fritzbox-Features (VOIP, DECT, WLAN) auf einem APU-Board zumindest zusätzlich verbaut werden müssen (WLAN) oder gar nicht verfügbar sind (VOIP, DECT).
Hier kommt dann noch weiteres Equipment ins Spiel, welches auch noch administriert werden muss.
Wer aber auf der Suche nach einer ALL-IN-ONE Lösung ist, wird zumindest bei den Produkten von Unifi fündig. Die sehe ich in dem Zusammenhang eher als "Volksfirewall".
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren
Ich freue mich einfach, dass wir hier so konstruktiv Gedanken austauschen können...
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren
Ich freue mich einfach, dass wir hier so konstruktiv Gedanken austauschen können...
Zitat von @StefanKittel:
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren
Naja, ich würde das nicht gerade als Hate-Kommentar bezeichnen. Er ist nur sehr direkt mit seinen Aussagen. Die meisten nehmen seine meist zwar sachlichen, aber durchaus "undiplomatischen" Antworten zu persönlich.
lks
Zitat von @StefanKittel:
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren
Ich freue mich einfach, dass wir hier so konstruktiv Gedanken austauschen können...
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren
Ich freue mich einfach, dass wir hier so konstruktiv Gedanken austauschen können...
Sehe dies nicht als Hass Kommentar.
Zitat von @Looser27:
Die Fritzbox hat ja im privaten Umfeld durchaus ihre Berechtigung. Für min. 80% der Haushalte reicht diese auch völlig aus, weil sie eben einfach einzurichten ist (exemplarisch mal das Prozedere von 1&1 genannt, welches die Box nach Eingabe eines Codes vollständig grundeinrichtet inkl. Telefonie).
Die Fritzbox hat ja im privaten Umfeld durchaus ihre Berechtigung. Für min. 80% der Haushalte reicht diese auch völlig aus, weil sie eben einfach einzurichten ist (exemplarisch mal das Prozedere von 1&1 genannt, welches die Box nach Eingabe eines Codes vollständig grundeinrichtet inkl. Telefonie).
Im Privaten ohne Frage!
Die Kunden der Fritzbox wollen sich aber auch nicht mit IT-Security und deren Feinheiten beschäftigen (Gründe sind vielfältig).
Ist auch irgendwie OK.
OPNSense & Co. halte ich nicht für die neue "Volksfirewall", da man sich hier schon sehr mit der Materie auseinandersetzen muss, zumal einige Fritzbox-Features (VOIP, DECT, WLAN) auf einem APU-Board zumindest zusätzlich verbaut werden müssen (WLAN) oder gar nicht verfügbar sind (VOIP, DECT).
Davon habe ich nicht gesprochen, aber bspw SecurePoint ist ein wenig in diese Krätsche gesprungen.
Hier kommt dann noch weiteres Equipment ins Spiel, welches auch noch administriert werden muss.
Das ist immer so, aber bei IT-Equipment kritischer.
Wer aber auf der Suche nach einer ALL-IN-ONE Lösung ist, wird zumindest bei den Produkten von Unifi fündig. Die sehe ich in dem Zusammenhang eher als "Volksfirewall".
Nunja, je nach dem, oder eine Volksvercloudung?
Zitat von @Lochkartenstanzer:
Ja, ungeschickt formuliert. Aber es gibt hier immer mal wieder Themen die totgetreten werden weil das halt so ist...Zitat von @StefanKittel:
Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren
Naja, ich würde das nicht gerade als Hate-Kommentar bezeichnen. Er ist nur sehr direkt mit seinen Aussagen. Die meisten nehmen seine meist zwar sachlichen, aber durchaus "undiplomatischen" Antworten zu persönlich.Weil das so ein Tot-Schlag-Thema ist
Frag mal Aqui ob er Dir helfen kann einen HP-Switch zu konfigurieren
Nunja, je nach dem, oder eine Volksvercloudung?
Nicht unbedingt. Bei mir läuft der Controller virtualisiert auf einem Intel NUC, weil ich nämlich genau keine Cloud möchte.
