Zum Inhalt wechseln


Foto

Firewall für kleines Unternehmen


  • Bitte melde dich an um zu Antworten
61 Antworten in diesem Thema

#1 SilentX

SilentX

    Gast

  • 3 Beiträge

 

Geschrieben 07. September 2006 - 12:30

Hallo all :)

Hab schon x1000 Seiten gegoogelt aber ich komm auf keinen Nenner.
Kann mir jemand von euch bei folgendem Rat geben?:

Ich suche eine Desktop (bevorzugt ) oder Hardware Firewall für ein klein-bis mittleres Unternehmen (ca. 25 Clients) für einen der 3 Win 2003 Server. Die Firewall muss kein Alleskönner sein sondern sich auf wesentlich Dinge wie eben Ports auf und zu, Verbindungsübersicht, etc. konzentrieren. So wie beispielsweise bei nem DSL Router.
Die Software-Sachen die ich bisher gefunden hab (Kerio, Bitdefender, Symantec, MCafee, Outpost, usw.) sind, was Firmenlösung betrifft immer Suiten (mit Virenscanner, AntiSpy, etc), aber keine "reine" Firewall Lösung. DIe Personal FWs darf man soweit ich weiß net auf Firmen Servern laufen lassen, zumal Win 2003 Unterstützung oft fehlt.
Momentan bin ich grad am durchgucken der "Tiny Firewall" für Server. Was haltet ihr von der? bzw. hat jemand eine andere Empfehlung?

Ich weiß, ist schwierig da das alles sehr induviduell betrachtet werden muss aber jeder Rat wär hilfreich :p

Vieles Merci :D

Greetz
Kai

#2 weg5st0

weg5st0

    Board Veteran

  • 2.924 Beiträge

 

Geschrieben 07. September 2006 - 12:38

Hallo Kai,

von "Personal Firewalls" auf dem Server rate ich dir unter allen Umständen ab.

Verwende eine kleine Hardware Firewall, wie bspw Watchguard X500, PIX 501 etc.
Gruss Götz
--------------------------------------------------------------------
englische Knowledgebase Artikel lassen sich rechts oben auch auf deutsch anzeigen: Article Translations - german

#3 RanCyyD

RanCyyD

    Board Veteran

  • 692 Beiträge

 

Geschrieben 07. September 2006 - 12:47

M0n0wall: m0n0wall (freie Software)

zusammen mit einem WRAP-PC:

Tronico.net OnlineShop - WRAP-Boards + Zubehör (PC Engines)
(Board+Gehäuse+Netzteil+SD-Karte+IDE-Adapter so um die 190,-€)
IDE-Adapter:
Tronico.net OnlineShop - CompactFlash-Adapter/-Karten

#4 CoolAce

CoolAce

    Board Veteran

  • 1.464 Beiträge

 

Geschrieben 07. September 2006 - 13:33

Collax,

läuft auf Linux, hat auch Web- Mail und andere Serverdienste drauf, bequem über Browser konfigurierbar und für Privatanwender kostenlos.

Collax: "Simply Linux" for small and medium businesses

Gruß

CoolAce
IT-Systemkaufmann; IT-Networkadministrator (IHK),MCP,
MCSA +M
"Es gibt Menschen mit einem Horizont vom Radius '0'.
Das nennen Sie dann Ihren Standpunkt!"
(A. Einstein)

#5 zero_cold

zero_cold

    Member

  • 302 Beiträge

 

Geschrieben 07. September 2006 - 13:38

wenn ihr noch ne alter linux kiste zu stehen habt, würde ich euch den ipcop empfehlen...
integriert noch viel mehr als ne firewall...aber alles gratis...natürlich....

Nichts ist so, wie es scheint!


#6 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 07. September 2006 - 13:52

Hi,

vielleicht sollte wir zuerst mal fragen für was die Firewall denn sein soll ;)

Willst du den Server direkt ans Inet ran hängen oder willst du den Server zu den internen Benutzern hin schützen?

Wenn du die Maschine direkt ans Inet hängen willst würde ich die auf jeden Fall von einer Firewall direkt auf dem Server abraten. Die paar Euronen mehr für eine richtige Leistungsfähige Lösung sollest du anlegen.

Liebe Grüße

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#7 Wäscherei

Wäscherei

    Member

  • 304 Beiträge

 

Geschrieben 07. September 2006 - 13:56

Hallo,

Netscreen 5GT von Juniper, dafür bekommt man auch venünftigen Support.
Frust macht unglücklich!

#8 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 08. September 2006 - 07:16

Rein prinzipiell:
jede Firewall ist Software :) manche läuft halt nur auf spezieller Hardware und in verbindung mit einem bestimmten OS

eine Firewall sollte nicht auf dem zu schützenden System laufen

reines Ports auf/zu bringt "garnichts"


Also zuerst mal zusammenfassen was genau du brauchst, wie viel du ausgeben kannst und wie gut du dich damit auskennst. Dann nochmal fragen.

#9 Lucyyyyyy

Lucyyyyyy

    Junior Member

  • 110 Beiträge

 

Geschrieben 08. September 2006 - 07:33

Rein prinzipiell:
jede Firewall ist Software manche läuft halt nur auf spezieller Hardware und in verbindung mit einem bestimmten OS


...jawoll, das stimmt... von daher gibt es keine hardwarefirewall, dennoch ist "hardware-firewall" im übertragenen sinne zu verstehen, gleich einer blackbox.

eine Firewall sollte nicht auf dem zu schützenden System laufen

...das wiederum stimmt nicht.
bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen ;) das geht garnicht anders.
NUR wer gegen den Strom schwimmt, wird die Quelle erreichen...

#10 WSUSPraxis

WSUSPraxis

    Expert Member

  • 4.128 Beiträge

 

Geschrieben 08. September 2006 - 08:14

Bei Rechensystemen mit direktem Anschluss an das Internet, Webservern, FTP- / Mai / DNS - Systemen hast du direkt auf dem laufenden System eine Firewall am laufen ;) Das geht garnicht anders.



Über diese Aussage würde ich doch nochmal nachdenken.....

--- Glaubst du Rechenzentren oder Webhoster haben keine Firewall´s
Arnd Rößner

WSUSPraxis.de = http://www.wsuspraxis.de
Blog.WSUSPraxis.de = http://blog.wsuspraxis.de

#11 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 08. September 2006 - 08:14

...das wiederum stimmt nicht.
bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen ;) das geht garnicht anders.


naja, auch Webserver Mailserver etc. sollten hinter einer dedizierten Firewall stehen und kein Fuß direkt im Internet haben.

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#12 Hr_Rossi

Hr_Rossi

    Board Veteran

  • 1.486 Beiträge

 

Geschrieben 08. September 2006 - 08:54

Hi !

Stichwort DoS !

lg
rossi

Nur weil wir alle unter einem Himmel leben, heißt das noch lange nicht, dass wir auch denselben Horizont haben.


#13 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 08. September 2006 - 09:17

Wie schon an anderer Stell erwähnt bietet ein Gerät, welches NAT kann (so ziemlich alle können NAT, fragt sich blos in welcher Ausbaustufe...) schutz genug, solange keine Dienste von aussen so wie ein Webserver verwendet werden. Dann muss man sich etwas mehr Gedanken über die Sicheheit machen (application layer protection: directory traversal attacks, etc.).

#14 Lucyyyyyy

Lucyyyyyy

    Junior Member

  • 110 Beiträge

 

Geschrieben 08. September 2006 - 09:56

hmmm ...ohjeee, da haben wir ja wieder etwas entfacht... :wink2:

--- Glaubst du Rechenzentren oder Webhoster haben keine Firewall´s

...davon war nie die rede, oder wo habe ich gegenteiliges behauptet?

Stichwort DoS !

Denial of Service... ja und? ...gegenmassnahmen kannst du auf dem System selbst, auf dem beispielsweise ein mailsystem läuft, auch ergreifen...
das fängt nicht zuletzt damit an, das du security patches durchführst, sie aufmerksam verfolgst und so die schwachstellen und lücken die DoS verursachen schliesst.

d.h. wenn man auf einem mailsystem lediglich den port 25 offen hält, von mir aus auch noch 465, ...dann muss man NUR den maildienst vor DoS Attacken schützen (security patches für den MTA ! ) und ggf. die firewall, die auch abstürzen könnte bzw. im zweifelsfall blockiert. (schutz also auf application ebene, kenn keine firewall die die pakete checkt, also deren inhalt... )
saubere administration, intrusiondetection und sorgfältiges logging... was kann man mehr dazu sagen.

Zitat von Lucyyyyyy
geht garnicht anders.

...das nehme ich gerne zurück ...weil, geht nicht anders ist wie "geht nicht" ...klar geht es anders.

eine dedizierte firewall für ein mailsystem heisst:
man betreibt nicht weniger aufwendiges, PRE-Routing (stichwort NAT -- SNAT, DNAT ) ...schreibt an der firewall umständlich quell-adressen um... um sie letztenendes doch zu dem "eigentlichen mail-system" zu leiten... der port 25 wäre auch auf der dedizierten firewall offen... oder?

ein einbruch auf der dedizierten firewall verschafft nur zeit, jedoch keine zusätzliche sicherheit.
ist die dedizierte firewall down... ist das mailsystem auch nicht mehr erreichbar...

angriffe auf systeme mit dem fuss ins internet sorgen dafür das diese systeme entweder nicht mehr erreichbar sind oder root zugriffe möglich sind.

nehmen wir an, es gelingt mir auf der dedizierten firewall einzubrechen... was hindert mich daran im nächsten schritt das dahinterliegende mailsystem anzugreifen ...AUF DEM JA KEINE FIREWALLinstalliert ist...

...aber wir können da gerne weiterphilosophieren.
das szenario möchte ich sehen, wo das was ihr machen wollt auch sinn macht

nehmen wir an ich habe 2 mailsysteme, ...ich brauche 2 dedizierte firewallsysteme da man ja den port 25 nur zu einem mailsystem forwarden kann... ? ist das die strategie? ...4 systeme für 2 anzubietene dienste? ...argh ^^

was ist mit FTP servern ?
...wenn ich daran denke das auf dem kommando kanal 21 ausgemacht wird, auf welchen port die daten ausgetauscht werden ... (ftp protokoll) ...guten tag dedizierte firewall...

naja ich bin noch keiner firewall begegnet, die sich die TCP/IP pakete auspackt... um beispielsweise mehr über den FTP datenport zu erfahren. ..klar gibt es aktiv und passiv FTP, dann jedoch nicht ohne einschränkungen...

...ich komm ja gern von meiner meinung runter, ...dann zeigt mir ein szenario wo das sinn machen sollte...

von daher ---> bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen, das macht sinn... (meine meinung)
alles andere ist unnützer, zusätzlicher, administartiver aufwand... , schafft zusätzliche flaschenhälse (meine meinung)
NUR wer gegen den Strom schwimmt, wird die Quelle erreichen...

#15 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 08. September 2006 - 10:42

was ist mit FTP servern ?
...wenn ich daran denke das auf dem kommando kanal 21 ausgemacht wird, auf welchen port die daten ausgetauscht werden ... (ftp protokoll) ...guten tag dedizierte firewall...


Nur als Beispiel:
Check Point FW-1 kann das. Der FTP Server ist in diesem Fall die Firewall, die widerum FTP Kommandos auf einen Server ausführt (transparent), und auch nur die Verzeichnisse und Kommandos die man dafür definiert hat (z.B. get, put, dir, etc.), und das ist nicht alles, was die kann....


Ausserdem sollte es ziemlich schwer sein auf einer 'dedizierten' Firewall 'einzubrechen', da drauf keine Dienste oder Deamons im eigentlichen Sinne laufen, man kann sie höchstens aufgrund Schwachstellen im OS oder der Applikation 'ausschalten'