Jump to content

Firewall für kleines Unternehmen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo all :)

 

Hab schon x1000 Seiten gegoogelt aber ich komm auf keinen Nenner.

Kann mir jemand von euch bei folgendem Rat geben?:

 

Ich suche eine Desktop (bevorzugt ) oder Hardware Firewall für ein klein-bis mittleres Unternehmen (ca. 25 Clients) für einen der 3 Win 2003 Server. Die Firewall muss kein Alleskönner sein sondern sich auf wesentlich Dinge wie eben Ports auf und zu, Verbindungsübersicht, etc. konzentrieren. So wie beispielsweise bei nem DSL Router.

Die Software-Sachen die ich bisher gefunden hab (Kerio, Bitdefender, Symantec, MCafee, Outpost, usw.) sind, was Firmenlösung betrifft immer Suiten (mit Virenscanner, AntiSpy, etc), aber keine "reine" Firewall Lösung. DIe Personal FWs darf man soweit ich weiß net auf Firmen Servern laufen lassen, zumal Win 2003 Unterstützung oft fehlt.

Momentan bin ich grad am durchgucken der "Tiny Firewall" für Server. Was haltet ihr von der? bzw. hat jemand eine andere Empfehlung?

 

Ich weiß, ist schwierig da das alles sehr induviduell betrachtet werden muss aber jeder Rat wär hilfreich :p

 

Vieles Merci :D

 

Greetz

Kai

Link zu diesem Kommentar

Hi,

 

vielleicht sollte wir zuerst mal fragen für was die Firewall denn sein soll ;)

 

Willst du den Server direkt ans Inet ran hängen oder willst du den Server zu den internen Benutzern hin schützen?

 

Wenn du die Maschine direkt ans Inet hängen willst würde ich die auf jeden Fall von einer Firewall direkt auf dem Server abraten. Die paar Euronen mehr für eine richtige Leistungsfähige Lösung sollest du anlegen.

 

Liebe Grüße

Link zu diesem Kommentar

Rein prinzipiell:

jede Firewall ist Software :) manche läuft halt nur auf spezieller Hardware und in verbindung mit einem bestimmten OS

 

eine Firewall sollte nicht auf dem zu schützenden System laufen

 

reines Ports auf/zu bringt "garnichts"

 

 

Also zuerst mal zusammenfassen was genau du brauchst, wie viel du ausgeben kannst und wie gut du dich damit auskennst. Dann nochmal fragen.

Link zu diesem Kommentar
Rein prinzipiell:

jede Firewall ist Software manche läuft halt nur auf spezieller Hardware und in verbindung mit einem bestimmten OS

 

...jawoll, das stimmt... von daher gibt es keine hardwarefirewall, dennoch ist "hardware-firewall" im übertragenen sinne zu verstehen, gleich einer blackbox.

 

eine Firewall sollte nicht auf dem zu schützenden System laufen

...das wiederum stimmt nicht.

bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen ;) das geht garnicht anders.

Link zu diesem Kommentar

...das wiederum stimmt nicht.

bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen ;) das geht garnicht anders.

 

naja, auch Webserver Mailserver etc. sollten hinter einer dedizierten Firewall stehen und kein Fuß direkt im Internet haben.

Link zu diesem Kommentar

Wie schon an anderer Stell erwähnt bietet ein Gerät, welches NAT kann (so ziemlich alle können NAT, fragt sich blos in welcher Ausbaustufe...) schutz genug, solange keine Dienste von aussen so wie ein Webserver verwendet werden. Dann muss man sich etwas mehr Gedanken über die Sicheheit machen (application layer protection: directory traversal attacks, etc.).

Link zu diesem Kommentar

hmmm ...ohjeee, da haben wir ja wieder etwas entfacht... :wink2:

 

--- Glaubst du Rechenzentren oder Webhoster haben keine Firewall´s

...davon war nie die rede, oder wo habe ich gegenteiliges behauptet?

 

Stichwort DoS !

Denial of Service... ja und? ...gegenmassnahmen kannst du auf dem System selbst, auf dem beispielsweise ein mailsystem läuft, auch ergreifen...

das fängt nicht zuletzt damit an, das du security patches durchführst, sie aufmerksam verfolgst und so die schwachstellen und lücken die DoS verursachen schliesst.

 

d.h. wenn man auf einem mailsystem lediglich den port 25 offen hält, von mir aus auch noch 465, ...dann muss man NUR den maildienst vor DoS Attacken schützen (security patches für den MTA ! ) und ggf. die firewall, die auch abstürzen könnte bzw. im zweifelsfall blockiert. (schutz also auf application ebene, kenn keine firewall die die pakete checkt, also deren inhalt... )

saubere administration, intrusiondetection und sorgfältiges logging... was kann man mehr dazu sagen.

 

Zitat von Lucyyyyyy

geht garnicht anders.

...das nehme ich gerne zurück ...weil, geht nicht anders ist wie "geht nicht" ...klar geht es anders.

 

eine dedizierte firewall für ein mailsystem heisst:

man betreibt nicht weniger aufwendiges, PRE-Routing (stichwort NAT -- SNAT, DNAT ) ...schreibt an der firewall umständlich quell-adressen um... um sie letztenendes doch zu dem "eigentlichen mail-system" zu leiten... der port 25 wäre auch auf der dedizierten firewall offen... oder?

 

ein einbruch auf der dedizierten firewall verschafft nur zeit, jedoch keine zusätzliche sicherheit.

ist die dedizierte firewall down... ist das mailsystem auch nicht mehr erreichbar...

 

angriffe auf systeme mit dem fuss ins internet sorgen dafür das diese systeme entweder nicht mehr erreichbar sind oder root zugriffe möglich sind.

 

nehmen wir an, es gelingt mir auf der dedizierten firewall einzubrechen... was hindert mich daran im nächsten schritt das dahinterliegende mailsystem anzugreifen ...AUF DEM JA KEINE FIREWALLinstalliert ist...

 

...aber wir können da gerne weiterphilosophieren.

das szenario möchte ich sehen, wo das was ihr machen wollt auch sinn macht

 

nehmen wir an ich habe 2 mailsysteme, ...ich brauche 2 dedizierte firewallsysteme da man ja den port 25 nur zu einem mailsystem forwarden kann... ? ist das die strategie? ...4 systeme für 2 anzubietene dienste? ...argh ^^

 

was ist mit FTP servern ?

...wenn ich daran denke das auf dem kommando kanal 21 ausgemacht wird, auf welchen port die daten ausgetauscht werden ... (ftp protokoll) ...guten tag dedizierte firewall...

 

naja ich bin noch keiner firewall begegnet, die sich die TCP/IP pakete auspackt... um beispielsweise mehr über den FTP datenport zu erfahren. ..klar gibt es aktiv und passiv FTP, dann jedoch nicht ohne einschränkungen...

 

...ich komm ja gern von meiner meinung runter, ...dann zeigt mir ein szenario wo das sinn machen sollte...

 

von daher ---> bei rechensystemen mit direktem anschluss an das internet, Webservern, FTP- / Mai / DNS - systemen hast du direkt auf dem laufenden system eine firewall am laufen, das macht sinn... (meine meinung)

alles andere ist unnützer, zusätzlicher, administartiver aufwand... , schafft zusätzliche flaschenhälse (meine meinung)

Link zu diesem Kommentar

 

was ist mit FTP servern ?

...wenn ich daran denke das auf dem kommando kanal 21 ausgemacht wird, auf welchen port die daten ausgetauscht werden ... (ftp protokoll) ...guten tag dedizierte firewall...

 

Nur als Beispiel:

Check Point FW-1 kann das. Der FTP Server ist in diesem Fall die Firewall, die widerum FTP Kommandos auf einen Server ausführt (transparent), und auch nur die Verzeichnisse und Kommandos die man dafür definiert hat (z.B. get, put, dir, etc.), und das ist nicht alles, was die kann....

 

 

Ausserdem sollte es ziemlich schwer sein auf einer 'dedizierten' Firewall 'einzubrechen', da drauf keine Dienste oder Deamons im eigentlichen Sinne laufen, man kann sie höchstens aufgrund Schwachstellen im OS oder der Applikation 'ausschalten'

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...