adminit
Goto Top

Firewall empfehlung für ein Unternehmen!

Hallo zusammen,

ich habe eine Frage an alle Profis ;)

Ich bin gerade auf der Suche nach einer guten Firewall (Hardware) für unser unternehmen.
Wir haben ein:

- AD mit WIN 2003 Server..
- Standleitung
- ca. 200 Clients
- nutzen VPN
- eventuell später Email von zuhause abrufen über (http)

Ich habe mich mit ein paar bekannten unterhalten, die raten mir allerding schwer von MS ISA als Firewall ab! Wer hat den von Euch eine Saubere lösung?
Borderware wurde mir ebenfalls empfohlen, allerdings ist das ganze auf Englisch und der Support ist auch nicht gerade der Beste...

Ich hoffe jemand kann mir ein paar Tip geben..
danke

Content-Key: 56071

Url: https://administrator.de/contentid/56071

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: BartSimpson
BartSimpson 07.04.2007 um 13:04:53 Uhr
Goto Top
Am einfachsten ist immer noch eine Linuxkiste mit iptables.
z.B. RedHat oder CentOS je nach Budget.
Mitglied: adminit
adminit 07.04.2007 um 13:05:39 Uhr
Goto Top
Und wie soll das Butget aussehen?

Was heisst am einfachsten... an erster Stelle steht bei mir die Sicherheit! Es soll leicht einstellbar sein und vernünftige logs muss es denke ich auch haben.
Mitglied: BartSimpson
BartSimpson 07.04.2007 um 13:09:27 Uhr
Goto Top
Das musst du doch wissen, wie viel Kohle der Chef rausrückt.face-smile
Vom Funktionsumfang sind beide gleich. Bei RedHat gibt es jedoch direkt Support vom Hersteller.
Dafür ist CentOS kostenlos.
Mitglied: cykes
cykes 07.04.2007 um 13:17:17 Uhr
Goto Top
Hi,

Wenn Du wenig ausgeben willst (ausser für die passende Hardware) kannst Du Dir auch mal IPCop
ansehen, läuft unter Linux, braucht (wenn sonst nix drauf läuft) keine "Monstermaschine".

Für weitere Alternativen müsstets Du mal sagen, was Du ausgeben willst/kannst/darfst.

Gruß

cykes
Mitglied: adminit
adminit 07.04.2007 um 13:38:32 Uhr
Goto Top
Was meint Ihr den zu MS ISA??

Also ich denke Geld spielt in erster Linie kein Rolle.. sondern die Sicherheit!
Ich möchte einfach eine vernünftige und zimlich sichere Firewall die das kann, was ich oben aufgelistet habe..
Mitglied: Dani
Dani 07.04.2007 um 13:40:36 Uhr
Goto Top
Hi,
Ich habe mich mit ein paar bekannten unterhalten, die raten mir allerding schwer von MS ISA
als Firewall ab! Wer hat den von Euch eine Saubere lösung?
LOL....was für einen Beruf haben diese Bekannten? Falls Admins, wie groß ist das Netz.

Wir haben hier nur ISA am laufen. Da wir eine M$ Umgebung haben. Somit treten auch am wenigsten Fehler mit Freigaben von OWA usw... auf. Diese Lösung ist auch SAUBER (Wieso sollte die unsauber sein??).

Definitiv würde ich eine Hardwarefirewall nehmen. Ist war vom konfiguieren her ein bisschen aufwendiger, aber Sicherheit hat seinen Preis!! Wir haben dahinter nochmal einen ISA - Proxy geschaltet, der dann die Zugangskontrolle regelt und noch mal Ports und Protokolle filtert / durchlässt.
Ganz wichtig finde ich, den Proxy auf einer extra Maschine installieren oder aber ne VM. Bei der VM wirklich extra 2 Netzwerkkarten einbauen. Als Software empfehle ich dir VMWare Server.

Also Proxy-Alternative ist SQUID für Windows auch super. Hat die gleichen Feature's wie unter Linux und läuft auch stabil und ohne Probleme. => Freeware!


Grüße
Dani
Mitglied: BartSimpson
BartSimpson 07.04.2007 um 13:45:00 Uhr
Goto Top
Dann fährste mit RedHat 5 gut. MS Produkte würde ich nie an der "heißesten" Stelle betreiben. Alleine schon wegen der Problematik mit der Sicherheit. Da man ein Linux System so konfigurieren kann, das selbst ein Fehler in einer Anwendung nicht zum Gau führt.(Dank SELinux)
Mitglied: Dani
Dani 07.04.2007 um 13:46:03 Uhr
Goto Top
Hi,
ist ist nicht das Schlechteste, aber es gibt manchmal einfach seine Tücken (in Hinsicht der Konfiguration, welches Produkt hat das nicht). Wenn der ISA dann mal vollständig konfiguriert ist (nichts vergessen wurde), steht das Ding wie ne MAUER. face-smile
Wir hatten hier noch nie Probleme mit Angreifer o.ä.....und wir haben ein paar Proxys! face-smile

Auf Hinsicht der Zunkunftsvorhaben (VPN, eventuell später Email von zuhause abrufen über http) ist sicher ISA die bessere Wahl.


Grüße
Dani
Mitglied: BartSimpson
BartSimpson 07.04.2007 um 14:09:20 Uhr
Goto Top
Nur Das Problem bei Windows ist halt, biste einmal drin, kannste fast immer machen was du willst.
Mitglied: 16568
16568 07.04.2007 um 14:39:18 Uhr
Goto Top
@Dani:

Rein interesse-halber, setzt Du für Dein Heimnetzwerk auch ISA ein?
Ich hab' das ma gescannt, sollteste ein wenig überarbeiten face-big-smile

XXX
Dir zuliebe entfernt...


Lonesome Walker
Mitglied: Dani
Dani 07.04.2007 um 14:44:06 Uhr
Goto Top
Hi,
nee...ganz normaler Router! Der leider mal fertig konfiguriert werden möchte! *gg* Wie sollte ich mir den ISA leisten bzw. für was??


Grüße
Dani
Mitglied: BartSimpson
BartSimpson 07.04.2007 um 14:46:15 Uhr
Goto Top
Mit dem Scannen würde ich vorsichtig sein, da das strenggenommen schon strafbar ist.(Wenn man nicht beauftragt wurde, bzw. es nicht sein eigenes Netz ist)
Mitglied: 16568
16568 07.04.2007 um 14:48:09 Uhr
Goto Top
?

Sagt wer?

Laut aktueller Gesetzeslage nicht.

Scannen wird ab dem Aufgenblick illegal, wenn man dem Server schaden zufügt, bzw. dieser seine Arbeit nicht mehr gewohnt durchführen kann.
Wenn der Scann den Server (beweisbar) beeinträchtigt, erst das ist illegal.

Klar wollen die das ändern...


Lonesome Walker
Mitglied: BartSimpson
BartSimpson 07.04.2007 um 14:54:17 Uhr
Goto Top
Ganz so ist es nicht, denn es erfüllt schon den Tatbestand der Vorbereitung einer Straftat.
Und außerdem kann man strenggenommen keine Gerät scannen ohne das deren Funktionsfähigkeit beeinträchtigt wird.
Mitglied: Dani
Dani 07.04.2007 um 14:58:31 Uhr
Goto Top
Also das ist eigentlich nicht das Thema, aber ich geb einfach mein Wissen auch noch dazu.

Im Moment ist es eine dunkle Grauzone. Sprich macht man sowas mei Privatleuten (außgenommen Anwälte) wird dir in der Regel zu 95% nicht passieren. Jedoch bei Ärtzen, Kl. & gr. Firmen oder sogar ISP, kannst du sicher sein, dass auf dich was zukommen wird.

Stand: 23.03.2007

Und jetzt zurück zum Thema. face-smile


Grüße
Dani
Mitglied: 16568
16568 07.04.2007 um 15:01:55 Uhr
Goto Top
Dem kann ich nur entgegnen, daß das nicht so ist;
eine PN an BartSimpson ging gerade raus.

Hierzu wird sich aber in absehbarer Zukunft ein eindeutiges Gesetz ergeben, das alleine schon den Besitz von solchen "Tools" wie z.B. nmap unter Strafe stellt...
(auch für die Admins für's eigene Netz... welch Ironie)


Lonesome Walker
Mitglied: BartSimpson
BartSimpson 07.04.2007 um 15:02:07 Uhr
Goto Top
Jo besser währe es.
Denn dafür gibt es ja snortface-smile
Mitglied: Rafiki
Rafiki 07.04.2007 um 15:05:49 Uhr
Goto Top
Was nützt eine gute Linux oder Cisco Firewall, wenn sich Vorort niemand so richtig gut damit auskennt? Cisco Router können fast alles, aber insbesondere kann ein Cisco Router einen Anfänger so richtig zum fluchen bringen! Ich habe bisher noch niemanden kennen gelernt der innerhalb von 2 Wochen von 0 auf 100% alles über Cisco Router gelernt hat. Das gleiche gilt für auch Linux. Wie man grundsätzlich Auto fährt lernst du in 2 Stunden, aber ein Auto sicher und gut zu fahren erfordert sehr viel Fahrpraxis.

Lies dir das Handbuch der potenziellen neuen Firewall durch. Nix verstanden? -> Nix kaufen!

Als erste Firewall würde ich einen einfachen (DSL) Router empfehlen. Mit den einfachen, robusten Filterregeln kann man das meiste von draußen abfangen. z.B. darf der Webserver nur auf Port 80 erreichbar sein usw. Beispiele: Netgear, d-Link, Lancom oder Watchguard.

Als zweite Firewall bietet sich meistens ein Proxy an, der die Webseiten auf denen die Kollegen surfen dürfen filtert (Jugendschutz?) und Viren aus Downloads entfernt. Das kann z.B. der MS ISA Server mit Antivirus Software eines Drittanbieters sein. Oder auch InterScan VirusWall von TrendMicro
http://de.trendmicro-europe.com/enterprise/products/groups.php?prodgrou ...

Im extrem Fall eine Proxy der exakt protokolliert wer wann wohin surft bzw. "unanständige Inhalte" verbietet. http://marshal.com/WebMarshal/

Auf welcher der beiden Firewalls das VPN ankommt hängt stark von eurem Netzwerkdesign ab. Was soll denn für die VPN Benutzer erreichbar sein? Das gesamte Netzwerk oder nur einige wenige Server? Wenn die VPN Benutzer z.B. nur Emails abholen wollen, dann genügt die Verbindung bis in die DMZ zum E-Mail-Server.

Wie soll das VPN aufgebaut werden?
Von Lancon, Netgear und Cisco (und vielen weiteren) gibt es einen VPN Client, der auf dem Notebook installiert wird und seine Regeln (z.B. lokale Firewall an während VPN Verbindung) von der Firewall bekommt.
Von NetScreen und Cisco ASA und SSLexplorer (reine Softwarelösung) gibt es https basierte Java Clients die auf der remote VPN Seite bei der Anmeldung geladen werden. Ideal für VPN Verbindungen von Computern die nicht zu eurer Firma gehören wie z.B. Partnerfirmen. Sogenanntes SSL VPN.

Beispiel: SSL VPN-Access-Appliance von Juniper/NetScreen
http://www.juniper.net/products_and_services/ssl_vpn_secure_access/inde ...

Gruß Rafiki
Mitglied: 16568
16568 07.04.2007 um 15:09:23 Uhr
Goto Top
Und ohne jetzt eine Firma LANCOM verunglimpfen zu wollen, aber es gibt hier 2 Forums-Mitglieder, denen ich LIVE gezeigt habe, wie unsicher doch so LANCOM-Router sind...
(echt dumm, daß mich die Entwickler dort im Forum als dumm dargestellt haben... somit kann mich keiner zwingen/motivieren, denen zu verraten, wie das geht...)


Lonesome Walker
Mitglied: BartSimpson
BartSimpson 07.04.2007 um 15:09:33 Uhr
Goto Top
Als VPN Lösung gefällt mit OpenVPN sehr gut, da das aber mit wirkliche jedem Router gehtface-smile
Ich würde dir Raten, da es von allen Varianten (ISA,RedHat) Testversionen gibt, die einfach mal anzuschauen.
Mitglied: Rafiki
Rafiki 07.04.2007 um 15:18:45 Uhr
Goto Top
@lsw
Lancom Router hacking? Das würde mich interessieren!
Wärst du so nett uns zu verraten WAS and dem Lancom Router unsicher ist und welche Auswirkungen das dann hatte? Modell, Version LcOs, buffer overflow, DOS oder Traffic durchgeschmuggelt?

Oder bist du dafür einfach zu cool?

Gruß Rafiki
Mitglied: 2095
2095 07.04.2007 um 19:23:01 Uhr
Goto Top
Hi,

ich weiss ehrlich gesagt auch nicht, was gegen den ISA Server spricht....

generell sach ich halt : eine Firewall ist nur so gut wie der Admin selbst.....dürfte ja bekannt sein....(ich hoff dass hat hier noch keiner erwähnt...)..xD

ISa läuft an sich recht sauber...vorrausgesetzt das Regelwerk stimmt....Sicher Linux / und oder Cisco wäre auch angemessen, aber was bringt es einen "Frischling"---- Zudem gibt es weniger Probleme (wie schon erwähnt RPC...) ,

Der ISA ist zwar an sich auch nicht leicht, jedoch gibt es viel Threads um ihn einigermaßen sauber zu konfigurieren...."Do it Yourself"

Ich weiss jetzt nicht ob es hier erlaubt ist links einzubetten...einfach googeln nach msisafaq...

Ich rate dir einfach mal ne Testversion zu besorgen und dich mit der Sache auseinanderzusetzen.....

Zu LanCom setz ich von "Lonsome Walker" gleich noch eins drauf... Firmware instabil, werden verflucht warm....Schmieren desöfteren ab.....toll ...

Sicherheit? Kann ich nichts dazu sagen... Da bevorzuge ich lieber den ISA....

Gruß rooks..

Schöne Ostern noch...schau mer mal was der Osterhase denn dieses Jahr so alles an Überraschungen gelegt hat....hrhr..
Mitglied: 6741
6741 07.04.2007 um 19:23:28 Uhr
Goto Top
ich kann auch die Juniper/NetScreen Lösung empfehlen, die setzen wir auch ein und es läuft prima. Gut erreichbarer Support! Aber sicher muss die Kosten Frage gestellt werden.
Mitglied: GMLLERQ
GMLLERQ 08.04.2007 um 21:46:25 Uhr
Goto Top
Hallo


Ich arbeite seit Jahren mit dem Produkt Securepoint Firewall.

Ist jetzt in der neuen Version einfach zu konfigurieren (Grundkonfiguration mittels Wizard).
Spamschutz, Virenschutz, ... VPN-Server mit PPTP, IPSEC

Gibt es als reine Softwarelösung, bzw. inkl. Hardware.

Ist vom OS linuxbasierend (ich glaube RedHat)

Zum 30 Tage Test runterladbar (securepoint.de) und auf X86 Hardware installieren -
am besten mit 3 Netzwerkkarten von Realtek, Intel oder 3COM.

Support hat bis jetzt problemlos und empfehlenswert geklappt - wenn ich mal nicht weiterwußte.

Ich würde die uneingeschränkt empfehlen.


Schöne Ostern,
Gerhard