thomasreischer
Goto Top

Wozu braucht man eigentlich eine Hardware Firewall?

Hallo,

habe mich schon immer gefragt warum man eigentlich eine dedizierte Hardware Firewall braucht.. Es ist doch schon eine im Router und dann auch noch in den einzelnen Windoof PC's implementiert?

Content-Key: 283812

Url: https://administrator.de/contentid/283812

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: GuentherH
GuentherH 25.09.2015 um 00:10:32 Uhr
Goto Top
Es ist doch schon eine im Router

Im Router ist ein Router und sonst gar nichts face-wink

Was du meinst ist eine Appliance, eine Komination aus Router und Firewall und meistens auch noch ein Switch.

LG Günther
Mitglied: thomasreischer
thomasreischer 25.09.2015 um 00:38:42 Uhr
Goto Top
Naja ein Router hat ja eine "klassische" Firewall-Funktion, er blockiert also nicht-autorisierte anfragen aus dem Internet und die meisten aktuellen Router haben auch eine VPN Funktion integriert. Ein AV ist natürlich meistens nicht dabei aber den hat man ja auf den einzelnen Clients installiert.

Mir ergibt sich der Sinn einfach nicht ganz - sorry
Mitglied: 108012
108012 25.09.2015 um 00:43:49 Uhr
Goto Top
Hallo,

habe mich schon immer gefragt warum man eigentlich eine dedizierte
Hardware Firewall braucht..
Wer sagt das denn? Derjenige der den Bedarf hat braucht eine und wer den Bedarf hat
deckt Ihn dann auch dementsprechend und dabei spielt es keine "Geige" ob das nun
ein Router ist der "nur" SPI/NAT macht, eine Firewall, eine UTM Appliance oder gar
eine NG Firewall die Applikation´s basierend arbeitet.

Es ist doch schon eine im Router
Das ist in der Regel und je nach Hersteller und Modell immer nur eine rudimentäre
Firewall bis hin zu einer recht guten bzw. besseren als in "normalen" Routern.

und dann auch noch in den einzelnen Windows PC's implementiert?
Die ist eigentlich für den LAN Bereich gedacht denn da soll ja auch niemand
von überall auf alles zugreifen können!

- Ein Router routet Datenpakete von einem Netzwerk in ein oder mehrere Netzwerke.
- Eine Firewall trennt ein Netzwerk von einem oder mehreren Netzwerken.
- Ein Gateway ist ein Netzwerk-Knoten, der als Eingang zu einem anderen Netzwerk
fungiert in denen unterschiedliche Protokolle und Dienste zum Einsatz kommen
die im WAN und LAN Bereich benötigt werden und/oder angeboten werden müssen/können.

Das die Grenzen heute aber immer mehr und mehr verschwimmen da es auch Router
gibt die Firewallregeln setzen können und Firewalls die mit erweitertem Routingprotokollen
auf warten können ist eine ganz andere Sache.

auch ohne Gruß
Dobby
Mitglied: Pjordorf
Pjordorf 25.09.2015 um 01:38:53 Uhr
Goto Top
Hallo,

Zitat von @thomasreischer:
Es ist doch schon eine im Router
Nein, normalerweise nicht. Ein Router Routet. Eine Firewall trennt Netze. Eine UTM oder NG.... Nur nicht immer davon ausgehen das ein Speedport oder FritzBox oder HorstBox oder NetGear/D-Link/Zyxel usw. DSL Router der Stabdard sein. Es gibt bereiche wo ein Speedport oder fritzBox sehr wohl sinn machen und reichen. Es gibt aber auch Einsatzszenarien wo eine FritzBox nicht nur überfordert - sondern gar falsch am Platze sei. Stell die vor eine Fritzbox müsste das Tor ins Internet alleine nur für die Webseite von Aldi herhalten. Keine 5 Minuten würde das Teil überleben und keiner könnte die Aldi Angebote sehen....

und dann auch noch in den einzelnen Windows PC's implementiert?
Sicherheit besteht aus mehr als einer komponente. Am Beispiel TOR (The Onion Router - Zwiebelschalen) ist es gut dargestellt.

Gruß,
Peter
Mitglied: Anulu1
Anulu1 25.09.2015 um 07:59:40 Uhr
Goto Top
Du kannst mit einer Hardwarefirewall z.B. mehrere Netze voneinander Trennen. Wenn du eine Appliance wählst benötigst du mehrere Netze in der Appliance. Ich finde mit der Hardwarefirewall kann ich alles viel einfacher voneinander abtrennen.
Mitglied: aqui
aqui 25.09.2015 aktualisiert um 08:53:05 Uhr
Goto Top
Die meisten billigen Consumer Plastik Router haben keine SPI Firewall sondern was bei denen als "Firewall" bezeichnet ist, ist meisten nur der NAT Prozess, der quasi als Firewall wirkt aber keine wirkliche ist. Viele packen dann noch ein paar statische Accesslisten drauf und fertig ist die das was diese Anbieter solcher HW dann als "Firewall" bezeichnen und auf was Laien so wie du leichtgläubig reinfallen.
Daher rührt auch sicher deine Frage...
Eine Firewall die ihren Namen verdient ist einen stateful Firewall und kann auch sonst noch mehr als reines Firewalling.
Ist ja oben schon alles dazu gesagt und findet man übrigens auch auf Tante Google und Wikipedia !
Mitglied: thomasreischer
thomasreischer 25.09.2015 um 09:55:20 Uhr
Goto Top
Naja jede halbwegs aktuelle Fritzbox hat eine SPI Firewall. So viel weiß sogar ich als "Laie"
Mitglied: 108012
108012 25.09.2015 um 11:50:25 Uhr
Goto Top
Naja jede halbwegs aktuelle Fritzbox hat eine SPI Firewall. So viel weiß sogar ich als "Laie"
Und was kannst Du daran einstellen? Oder welche Regeln kann man damit setzen.

Was ist denn SPI? Das ist Netfilter und die Regeln für Netfilter in einem MikroTik Router
sind genau zwei 4 Zeilen lang! So und das soll nun eine Firewall sein wie IPCop, ZeroShell,
IPFire oder pfSense wo ich mehrere hundert Firewallregeln eingeben kann? Oder gar eine
Palo Alto bei der ich mehrere tausend Firewallregeln eingeben kann, die dann noch mittels
eines ASIC/FPGA in Sekunden abgearbeitet werden?

Ein Fiat Uno hat auch vier Räder, ein Lenkrad und einen Motor, genau wie der
Mercedes 600 S AMG, gar kein Thema, nur in welchem Auto möchtest Du sitzen
wenn es zu einem Unfall kommt!

Gruß
Dobby
Mitglied: AndiEoh
AndiEoh 25.09.2015 um 15:25:21 Uhr
Goto Top
Hallo,

die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing. Nahezu jede Firewall läuft als Software auf einem Stück Hardware. Die Unterscheidung wird üblicherweise daran festgemacht wie das Ganze verkauft wird, also als Bundle mit abgestimmter Hardware und vorgefertigter Software oder als installierbare Software. Wenn man also Hardware Firewall sagt meint man ein optimal abgestimmtes Gesamtpacket, bei Software Firewall geht man von zusammengeschustertem Flickwerk aus.
Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe, das Ergebnis ist technisch betrachtet dasselbe.

Gruß

Andi
Mitglied: 117471
117471 25.09.2015 aktualisiert um 16:36:57 Uhr
Goto Top
Vergleich' es mit einem Türsteher:

Ein Router lässt niemanden Neues rein, der nicht von einem Stammgast mitgebracht wird.

Eine Firewall macht sich die Mühe, guckt jeden neuen Besucher an, prüft ob der in den Club reindarf (Vorstrafenregister, Ausweiskopie, passender "Dresscode", Anweisung vom Clubbesitzer usw.) und schreibt für den Clubbesitzer ggf. auch eine Excel-Tabelle.

Das zum Einen.

Zum Anderen holen die meisten Firewall-Türsteher auch gerne mal einen Stammgast per VPN-Tunnel vom Flughafen ab (natürlich in der gepanzerten Limousine) und funktionieren auch gerne auch mal als Vermittler, wenn die Presse oder die Hells Angels (oder beide) vor der Tür stehen.

Wenn Du es auf diese Ebene reduzierst, gibt es übrigens keine Hardware-Firewalls (auf jeder Hardware läuft letztendlich eine Software). Das wesentliche Differnzierungsmerkmal ist meiner Meinung nach die Abgrenzung über (physikalische) mechanische Netzwerkschnittstellen.

Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen oder gar als Programm auf dem Hostsystem läuft (schauder!) wird zwar als Softwarefirewall bezeichnet, ich persönlich würde das aber nicht als Sicherheitslösung betrachten. Im Gegenteil - wenn der Anwender denkt, dass er von diesem Müll beschützt wird, handelt er u.U. nicht so umsichtig wie in dem Bewusstsein, dass er gerade nackig auf dem Marktplatz steht face-smile
Mitglied: 108012
108012 25.09.2015 um 19:00:33 Uhr
Goto Top
die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing.
Ganz im Gegenteil, bei einer Software Firewall wie zum Beispiel pfSense muss ich mir die
richtige und passende Hardware erst dazu suchen und dann habe ich meist keine richtigen
Hausnummern mit denn ich arbeiten kann oder an denen ich mich orientieren kann.

Bei einer Hardware Firewall bekomme ich eine Hardware und eine Software dazu die voll
und ganz auf die Belange des Kunden abgestimmt sind und die Software dazu ist natürlich
auch an die Hardware angepasst und 100% kompatibel.

Da scheitert nichts an der Treiberunterstützung und/oder man findet nicht die geeignete
Hardware zu der Software.

Nahezu jede Firewall läuft als Software auf einem Stück Hardware.
Das ist schon richtig nur wenn ich eine pfSense oder ähnliches auf einem Intel
Xeon E3-1286v3 System installieren, weiß ich natürlich das AES-NI Unterstützung
mit an Board ist und das ich Hardwareunterstützung für das VPN habe. Nur wenn
ich eine Hardwarefirewall kaufe und dann und dort ein Chip von Exar, Comtech oder
Cavium drinnen ist, weiß ich auch in etwa, dass ich einen Nummerngenerator habe
der xyz Schlüssel in xyz Sekunden schafft oder wie viele VPN Tunnel ich aufsetzen
kann bzw. mit was für einem Durchsatz ich rechnen kann.

Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne
das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe,
das Ergebnis ist technisch betrachtet dasselbe.
Stimmt aber nicht ganz, denn wenn Mercedes ein Auto baut und zulässt dann kann die
Zulassung für die ganze Serie gelten, wenn Du nun aber nur ein Auto zusammenbaust
und zwar selber, dann muss es jedes mal wieder neu zur Straßenzulassung gebracht
werden und jeder Rahmen bei jeder Neuanfertigung muss erneut überprüft werden.
Mercedes stellt sicher das sie in Serie gleichbleibende Qualität liefern und gut ist es.

Sagen wir mal bei Euch wird im Netzwerk eingebrochen und die Versicherung soll nun einen
Schaden begleichen weil Eure Kundenkonditionen kopiert worden und nun alle Kunden nach
und nach verschwinden und Euch verlassen, was sagst Du denn der Versicherung?
Ich habe eine super Firewall und alle anderen finden die auch super. Nur daran kann
die Versicherung nichts feststellen und das Prüfen auf Fehler dauert dann ewig und
kostet Unsummen. Und nun kommt jemand auf die Idee und sagt sich bei der Versicherung
wenn wir (die Versicherung) zahlen sollen und zwar in Höhe von xyz € dann muss die Firewall
mindestens ICSAs 2 geprüft worden sein! So und wenn jemand nun so eine Firewall kauft,
und dort wird eingebrochen muss nur noch schnell die Konfiguration und die Firmwareversion
überprüft werden, fertig! Deswegen gibt es Hardware Firewalls die in Serie gefertigt werden
wie das Auto bei Mercedes und geprüft werden.

Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen
Diese Firewalls können aber dynamisch mit der Unternehmensgröße mitwachsen.
Und wenn die Hardware mit dem Host OS kompatibel ist und sich "durchreichen"
lässt kann man sie auch schnell erweitern oder aufrüsten.

oder gar als Programm auf dem Hostsystem läuft (schauder!)
Also die interne OS Firewall von von MacOS ist eigentlich ganz gut finde ich,
aber die kleinen zusätzlichen Programm Waterroof und Little Snitch finde ich
eine gute Ergänzung dazu, zum einen als Frontend und zum anderen als Erweiterung.

wird zwar als Softwarefirewall bezeichnet, ich persönlich würde das aber
nicht als Sicherheitslösung betrachten.
Die Windows interne OS Firewall ist auch nur ein Stück Software, soll aber auch nur
für die Zugriffe im LAN schützen und nicht aus dem WAN oder zumindest nur rudimentär.

Gruß
Dobby
Mitglied: 117471
117471 26.09.2015 um 09:54:05 Uhr
Goto Top
Zitat von @108012:

Diese ganze Piddelpaddelkacke, die in virtuellen Maschinen

Diese Firewalls können aber dynamisch mit der Unternehmensgröße mitwachsen.

...aber da sie keinen Schutz bieten, kann man auch genau so gut darauf verzichten.

Eine Firewall, die auf der gleichen Hardware wie die zu schützende Ressource läuft, ist genau so wie "ein bisschen schwanger" und somit Ressourcenverschwendung.

Das fängt schon damit an, dass bei einer virtualisierten Firewall alle Server auf dem Host von einer externen DOS-Attacke betroffen sind und hört damit auf, dass der Angreifer bei StackOverflows Teile des Hostsystems (oder gar anderer Gäste) in die Finger bekommen könnte.

Der einzige Vorteil von virtualisierten Firewalls oder Softwarefirewalls ist aus meiner Sicht, dass das irgendwan einmal meine Kunden werden face-smile


In Anbetracht der Tatsache, dass eine gute(!) Hardwarefirewall keine 200 Euro kostet, erübrigt sich jede weitere Diskussion.
Mitglied: thomasreischer
thomasreischer 26.09.2015 um 11:55:43 Uhr
Goto Top
Welche firewall könntest du mir empfehlen für ~20 Arbeitsplätze mit einer 50k Anbindung und ca 100gb traffic pro Monat?
Mitglied: aqui
aqui 26.09.2015 um 12:54:03 Uhr
Goto Top
50 kBit/s Anbindung ?? Wo gibt es denn sowas heutzutage noch ??
Egal...diese Firewall erfüllt alle deine Anforderungen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mitglied: 117471
117471 26.09.2015 um 13:16:03 Uhr
Goto Top
Die Hardware: http://www.amazon.de/ALIX-2D13-ALIX-Bundle-Board-Engines/dp/B004ZPXOYK

Darauf dann ein IPCop: http://www.ipcop.org/

Ich denke, das ist für den SB-Bereich mehr als ausreichend.
Mitglied: Dani
Dani 26.09.2015 aktualisiert um 13:17:49 Uhr
Goto Top
@aqui,
er meinte sicherlich mit 50k = 50.000kBit/s. Ansonsten wären die 100GB Traffic kaum zu schaffen oder? face-wink


Gruß,
Dani
Mitglied: aqui
aqui 26.09.2015 aktualisiert um 13:38:40 Uhr
Goto Top
Darauf dann ein IPCop: http://www.ipcop.org/
Igitt... besser lieber nicht IPCop wenn man an der Konfig nicht verzweifeln will.
Nimm lieber eine pfSense. Das erleichtert das Leben ungemein !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Und dann auch kein 2D13 mehr das wäre Blödsinn, sondern gleich ein APU1D was nur unwesentlich teurer ist:
http://www.pcengines.ch/apu1d.htm

@Dani
OK, dann so oder so das APU1D mit Gig Interfaces.
Mitglied: 108012
108012 26.09.2015 um 15:24:40 Uhr
Goto Top
Hallo,

..aber da sie keinen Schutz bieten, kann man auch genau so gut darauf verzichten.
Lanner FW-8895 & FW- 8896 Hypervisor drauf und dann Deine Firewall VM, fertig.
Nebenbei kann man auch andere Router in eine VM setzen. Da laufen keine zu
schützenden Systeme drauf.

Der einzige Vorteil von virtualisierten Firewalls oder Softwarefirewalls
pfSense, ZeroShell, Endian, Sophos, Untangle, OPNSense, IPCop, SmoothWall,
und IPFire sind alle samt Softwarefirewalls! Ich glaube wir reden hier an einander
vorbei und Du meinst die integrierten Firewalls von den OSen.

Welche firewall könntest du mir empfehlen für ~20 Arbeitsplätze mit einer 50k
Anbindung und ca 100gb traffic pro Monat?
Welchen Durchsatz brauchst Du?
Welche Dienste werden angeboten?
Was ist mit VPN und vor allem dem Durchsatz?

Netgear FVS336Gv3
Juniper SSG Serie
Zyxel USG Serie

pfSense auf APU, SG-2440, SG-4860 oder SG-8860
pfSense, Endian oder Untangle auf Supermicro 2x58 Boards

Gruß
Dobby
Mitglied: thomasreischer
thomasreischer 26.09.2015 um 16:32:16 Uhr
Goto Top
Wir haben noch einen alten HP Proliant g5 bei uns rumstehen.. Werde wohl eher da PfSense installieren
Mitglied: 117471
117471 26.09.2015 um 19:21:48 Uhr
Goto Top
besser lieber nicht IPCop wenn man an der Konfig nicht verzweifeln will

Vielleicht haben wir einfach nur eine abweichende Intuition face-smile

Ich glaube wir reden hier an einander vorbei und Du meinst die integrierten Firewalls von den OSen.

Nein. Ich meine diejenigen Firewalls, die sich (Hardware-)Ressourcen mit Dingen teilen, die sie eigentlich beschützen sollten.

Dazu zähle ich zum einen die integrierten Firewalls der Betriebssysteme und zum Anderen z.B. Firewalls, die parallel zu den (virtualisierten) Servern in einer eigenen Hyper-V VM auf der gleichen Hardware laufen.
Mitglied: aqui
aqui 27.09.2015 um 16:18:19 Uhr
Goto Top
Vielleicht haben wir einfach nur eine abweichende Intuition
Vermutloch aber wer einmal das Setup eines IPCop gesehen hat und die Alternative kennt kann sich eigentlich nicht irren...
Wir haben noch einen alten HP Proliant g5 bei uns rumstehen.. Werde wohl eher da PfSense installieren
Auf alle Fälle der richtige Weg ! (Wenn man nicht so auf die Stromkosten sehen muss face-wink )
Mitglied: AndiEoh
AndiEoh 28.09.2015 um 10:20:19 Uhr
Goto Top
Zitat von @108012:

die Unterscheidung zwischen Software und Hardware Firewall ist eigentlich reines Marketing.
Ganz im Gegenteil, bei einer Software Firewall wie zum Beispiel pfSense muss ich mir die
richtige und passende Hardware erst dazu suchen und dann habe ich meist keine richtigen
Hausnummern mit denn ich arbeiten kann oder an denen ich mich orientieren kann.

Bei einer Hardware Firewall bekomme ich eine Hardware und eine Software dazu die voll
und ganz auf die Belange des Kunden abgestimmt sind und die Software dazu ist natürlich
auch an die Hardware angepasst und 100% kompatibel.

Da scheitert nichts an der Treiberunterstützung und/oder man findet nicht die geeignete
Hardware zu der Software.

Steht bei mir fast genauso in den nächsten Sätzen: Als "Hardware" Firewall wird ein Gesamtpacket betrachtet, bei "Software" Firewall muss man sich um Teile des Stacks selbst kümmern. Technisch gibt es trotzdem keine echte Unterscheidung.

Nahezu jede Firewall läuft als Software auf einem Stück Hardware.
Das ist schon richtig nur wenn ich eine pfSense oder ähnliches auf einem Intel
Xeon E3-1286v3 System installieren, weiß ich natürlich das AES-NI Unterstützung
mit an Board ist und das ich Hardwareunterstützung für das VPN habe. Nur wenn
ich eine Hardwarefirewall kaufe und dann und dort ein Chip von Exar, Comtech oder
Cavium drinnen ist, weiß ich auch in etwa, dass ich einen Nummerngenerator habe
der xyz Schlüssel in xyz Sekunden schafft oder wie viele VPN Tunnel ich aufsetzen
kann bzw. mit was für einem Durchsatz ich rechnen kann.

Ist natürlich Banane, da ich mir auch einen 600 S AMG zusammenstellen kann ohne
das Bundle zu kaufen wenn ich die entsprechende Kenntniss und Werkzeuge habe,
das Ergebnis ist technisch betrachtet dasselbe.
Stimmt aber nicht ganz, denn wenn Mercedes ein Auto baut und zulässt dann kann die
Zulassung für die ganze Serie gelten, wenn Du nun aber nur ein Auto zusammenbaust
und zwar selber, dann muss es jedes mal wieder neu zur Straßenzulassung gebracht
werden und jeder Rahmen bei jeder Neuanfertigung muss erneut überprüft werden.
Mercedes stellt sicher das sie in Serie gleichbleibende Qualität liefern und gut ist es.

Technisch betrachtet ist es dasselbe wenn ich die selben Komponenten mit dem selben Werkzeug und der selben Fertigkeit zusammenbaue, Zertifizierungen etc. sind eine andere Baustelle.

Sagen wir mal bei Euch wird im Netzwerk eingebrochen und die Versicherung soll nun einen
Schaden begleichen weil Eure Kundenkonditionen kopiert worden und nun alle Kunden nach
und nach verschwinden und Euch verlassen, was sagst Du denn der Versicherung?
Ich habe eine super Firewall und alle anderen finden die auch super. Nur daran kann
die Versicherung nichts feststellen und das Prüfen auf Fehler dauert dann ewig und
kostet Unsummen. Und nun kommt jemand auf die Idee und sagt sich bei der Versicherung
wenn wir (die Versicherung) zahlen sollen und zwar in Höhe von xyz € dann muss die Firewall
mindestens ICSAs 2 geprüft worden sein! So und wenn jemand nun so eine Firewall kauft,
und dort wird eingebrochen muss nur noch schnell die Konfiguration und die Firmwareversion
überprüft werden, fertig! Deswegen gibt es Hardware Firewalls die in Serie gefertigt werden
wie das Auto bei Mercedes und geprüft werden.

Meist ist es weniger das "praktische" prüfen sondern ein abwälzen von Verantwortung. Man bezahlt eine Menge Geld dafür das ein anderer in manchen Fällen die Veranwortung übernimmt bzw. die Versicherung zahlt. Aber natürlich sollte man diesen Fall auch genau betrachten, da das Interesse der Geschäftsführung meist auch nicht technischer Natur ist sondern monetärer face-wink

Gruß

Andi
Mitglied: Digi-Quick
Digi-Quick 28.09.2015 aktualisiert um 19:27:06 Uhr
Goto Top
Es gibt folgende Firewall Arten

- PF (Paketfilter / Portfilter) - läuft auf den meisten SoHo NAT Routern
Auswertung von Quell-und Ziel-IP sowie des Netzwerkportes
Das einzige was man heir Konfigurieren kann, ist eine Portweiterleitung - und ggf. einen "Exposed Host" aka "Pseudo DMZ"

- SPI (stateful Packet Inspection) - läuft auf den "besseren" Routern / VPN Gateways, id.R. in Kombination mit einer PF Firewall als Hybrid Firewall.
Auswertung des Dateiheaders
Filerung auf Anwendungsprotollebene (Http, FTP etc.)

- DPI (Deep Packet Inspection) - benötigt dedizierte Hardware, da hiefür Rechenleistung erforderlich ist
- Analyse der kompletten Datenpakete

Der Unterschied von den in den Routern/Gateways intergrierten Firewalls und den dedizierten Firewall Appliances liegt im Konfigurationsumfang und -Aufwand.
Bei Unilever arbeitet ein 5 Mann Team nur an den Firewall Regeln und der Überwachung derselben inkl. 24 h Bereitschaft für Europa, in Amerika und Asien nochmal das gleiche.

"Proxy Firewalls" sind im Prinzip Proxys, die zusätzlich auf Firewalls laufen (i.d.R. eher SPI oder DPI) und den Client auf Anwendungsprotokollebene vom Netzwerk trennen und als Zwischenspeicher fungieren

Die sogenannten Personal Firewalls auf den zu schützenden Rechnern sind nur noch "Schlangenöl"!
Wenn die Aktiv werden, ist der Einbruch ins Netz bereits vollzogen!
Mitglied: thomasreischer
thomasreischer 28.09.2015 um 19:23:25 Uhr
Goto Top
ENDLICH, dachte schon jemand wie Du kommt nie.. Besten Dank
Mitglied: thomasreischer
thomasreischer 28.09.2015 um 19:29:58 Uhr
Goto Top
Kannst du mir das mit den Firewall Regeln nochmal genauer erläutern? Wozu müssen die 24/7 angepasst werden?
Wird bei professionellen Firewalls grundsätzlich der gesamte Traffic geblockt und nur der "gewhitelistete" darf passieren?
Mitglied: Pjordorf
Pjordorf 28.09.2015 um 20:06:03 Uhr
Goto Top
Hallo,

Zitat von @thomasreischer:
Wozu müssen die 24/7 angepasst werden?
Weil der Mensch sehr erfinderisch ist. Wer sagt denn das die 2 Ziffern 2 immer 4 ergeben muss? Andere Rechenoperationen liefern auch eine 4 als Ergebnis. Und oftmals zählt nicht nur das Ergebnis, sondern auch der Weg zum Ergebnis. Natürlich haben Großkonzerne wie Unilever einfach den Anziehungseffekt ("Wird schon keiner merken" "Mal schauen was ich da abgreifen kann"). Ob das jetzt als Silvesterscherz oder tatsächlicher Angriff seitens der Marsmenschen zu werten ist, ist unerheblich. Der Pförtner hat das Tor zu zuhalten..... Und je Erfahrener und Erfinderischer der Mensch wird, umso mehr an Technik wird eingesetzt um das für ihn zu übernehmen (Oder kannst du 43.345.453.763,756 Milliarden Rechenschritte pro Sekunden machen. Erst mit den Computer wird dies machbar. Sozusagen Er ist sein eigner Feind

Wird bei professionellen Firewalls grundsätzlich der gesamte Traffic geblockt
Wäre schlimm wenn dies nicht wäre und dann bräuchte es auch keine Firewalls, selbst eine Frittenschleuder wäre dann Verschwendung. Was glaubst du was VW alles gemacht hat um zu verhindern das deren Information irgendwie an Firewalls etc. vorkam?

Gruß,
Peter
Mitglied: Digi-Quick
Digi-Quick 28.09.2015 aktualisiert um 22:56:38 Uhr
Goto Top
Prinzipiell gilt: Eine Firewall soll alles Blocken was nicht erlaubt ist.
Bei den meisten Firewalls ist entweder standardmässig von drinnen nach draussen alles erlaubt und von draussen nach drinnen alles gesperrt oder bereits durch einfache leichte Regeln definiert

Je nach Sicherheitsbedürfnis verlässt man sich auf Standardmässig vorkonfigurierte Firewalls, kauft Firewall Appliances mit regelmässigen Updates (Abo-Modell) oder überwacht und konfiguriert das Ganze selbst!
Unternehmen wie Unilever können halt nicht darauf warten, bis der Hersteller einer Firewall Appliance aktualisierte Firewall Regeln per Update liefert, ein Angrifffszenario muss sofort erkannt werden (über diverse vordefinierte Trigger), dann muss geschaut werden, was passiert da gerade und warum und entsprechende Gegenmaßnahmen durchgeführt werden - im Extremfall wird die komplette Verbindung nach aussen gekappt.


Anmerkung:
vor ein paar Jahren hatte einer meiner Lieferanten mal alle sogenannten "SoHo" Router Modelle die er im Lager hatte mitgenommen und einem Penetration Test unterziehen lassen von einem Bekannten der als Profi Pen-Tester arbeitet. Dem Guten war jeweils nur die Public-IP Adresse des Routers bekannt. Keiner hatte mehr als 10 Minuten standgehalten.

Daher: Unter einer soliden SPI Firewall sollte man gar nicht anfangen.
Über die SPI FW der Fritzboxen erlaube ich mir mal kein Urteil, denke aber daß die relativ schnell an ihre Grenzen kommen (Stichworte sind hier z.B. DoS, dDoS Angriffe).

Netgear ProSafe Serie, Juniper SSG Serie, Zyxel USG Serie sind hier sicherlich etwas besser (Professionelle Geräte).

Danach kommen halt dedizierte DPI Firewalls mit richtig Rechenleistung.
Mitglied: thomasreischer
thomasreischer 29.09.2015 um 08:40:16 Uhr
Goto Top
Okay und wie funktioniert der Spam-Schutz?
Werden E-Mails die in das "Spam-Muster" passen schlichtweg nicht durchgelassen? Lässt sich dieses Spam-Muster auch konfigurieren? (bspw. bei der Netgear ProSafe Serie)
Ich frage, weil wir viele Privat-Kunden haben, die gerne mal durch die Spam-Prüfung rasseln und wir diese dann immer manuell whitelisten müssen.
Mitglied: thomasreischer
thomasreischer 29.09.2015 um 08:42:30 Uhr
Goto Top
Außerdem frage ich mich wie die Firewall Malware/Viren erkennen kann.
Viele Viren setzen sich ja aus mehreren Dateien zusammen und erfüllen erst dann ihren Zweck.
Wie will die Firewall an den einzelnen Datenpaketen erkennen dass es sich um einen Virus handelt?
Mitglied: thomasreischer
thomasreischer 29.09.2015 um 09:27:47 Uhr
Goto Top
Und was genau passiert sobald ein Angreifer die Firewall "durchbrochen" hat?

Damit hat er ja letztenendes immer noch keinen Zugriff auf beispielsweise einen Win Server 2012 R2, oder?
Mitglied: TlBERlUS
TlBERlUS 29.09.2015 um 09:55:01 Uhr
Goto Top
Zitat von @thomasreischer:

Okay und wie funktioniert der Spam-Schutz?
Werden E-Mails die in das "Spam-Muster" passen schlichtweg nicht durchgelassen? Lässt sich dieses Spam-Muster auch konfigurieren? (bspw. bei der Netgear ProSafe Serie)
Ich frage, weil wir viele Privat-Kunden haben, die gerne mal durch die Spam-Prüfung rasseln und wir diese dann immer manuell whitelisten müssen.

https://www.google.de/?gws_rd=ssl#q=firewall+spam+filter
https://www.google.de/?gws_rd=ssl#q=firewall+malware
https://www.google.de/?gws_rd=ssl#q=firewall+attack+methods

Sicher das du Admin bist?
Mitglied: 117471
117471 29.09.2015 um 10:55:51 Uhr
Goto Top
Naja, sagen wir es mal so: Wer um der Aufmerksamkeit Willen klug###t, wird relativ zeitnah erwischt.

Und genau das ist der Grund, warum ich mich aus dieser Diskussion heraushalten. Meine IPCops laufen und der Rest interessiert mich nicht face-smile
Mitglied: 108012
108012 29.09.2015 um 12:33:22 Uhr
Goto Top
Und was genau passiert sobald ein Angreifer die Firewall "durchbrochen" hat?
Pick Pick Pick ein Loch in die "Wand", Neuen Benutzer anlegen, Rootkit installieren, StealthKit installieren,
RootKit auf den neuen Benutzer "verlinken", Logfiles kürzen, ab nach Hause und in drei Monaten kommt
er wieder.

Gruß
Dobby
Mitglied: kontext
kontext 29.09.2015 aktualisiert um 13:38:38 Uhr
Goto Top
Hallo @thomasreischer,

bitte lese dir die Regeln durch und befolge Sie - die Regeln sind ja nicht zum Spaß da.
Solche Kraftausdrücke werden hier nicht geduldet und werden ausnahmslos gelöscht - wie in deinem Fall.
Das nächste Mal entsorge ich gleich die ganze Frage - ohne Wenn und Aber.

Wir sind hier alle Erwachsen und können uns auch hoffentlich wie Erwachsene aufführen.
Wie auch in diesem Thread erwähnt, hättest du dir die Rückfragerei erspart, wenn du ein wenig mehr Text (Einleitung | Hauptteil | Schluss) geschrieben hättest.

So long - Thread wurde bereinigt.

Gruß
@kontext (mod)