Hardware-Firewall für 3 User sinnvoll?

Moin.

Sinn oder Unsinn einer Hardware-Firewall ist keine Frage der User-Anzahl, die dahinter sitzen, sondern eine Frage danach, was dahinter betrieben werden soll. Wenn du -und so schliesse ich aus deinem Post- keinerlei Anwendungen im Netz hast, die du von extern erreichbar machen willst/musst, also keine Zugriff aus dem Internet auf einen Server in deinem Netz erfolgen sollen, benötigst du auch keine dedizierte Firewall.

Stattdessen nen einfachen Router verwenden, der nur dafür sorgt, dass alle Maschinen im lokalen Netz ins Internet gelangen - mehr brauchst du nicht.

Wobei mich die magere Performance der ZyWall hier doch wundert, soooo lahm sind die Kisten normalerweise nicht - was hast du für nen Zugang (DSL, Leased Line, Kabel, ...) und wie ist die ZyWall konfiguriert?
Und wo findet das ganze statt, also in welchem Land?
Ich hatte in Österreich schon öfter mal das Problem, dass die Verbindung nicht direkt aufgebaut wurde, sondern man erst einen VPN-Tunnel zum Anbieter aufbaufen musste, um dann online zu kommen (lange her, ich weiß, war aber mal so). Und genau damit senkt man zuverlässig den Datendurchsatz....

Cheers,
jsysde

Absolut nicht mehr richtig, eine Firewall schützt nicht nur vor Zugriffen aus sondern auch ins Internet, zusätzlich kommt dazu, dass eine UTM auch andere maliziöse Datenströme erkannt werden.

Eine HW Firewall ist immer sinnvoll wenn du wirklich sicher sein willst. Egal wieviele User !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Moin,

eine dedizierte Firewall ist auch bei nur einem User sinnvoll. Wenn sie Deinen up-/downlaod reduziert, hast Du sie bloß unterdimensioniert.

lks

Ich bin absolut Deiner Meinung, AV Schutz für Mail und HTTP, AntiSpam, ISD/IPS, DPI und
einen integrierten Proxy Server, darauf sollte man auf jeden Fall nicht verzichten, wenn der
Bedarf vorhanden ist!

Und sei es nur eine reine Firewall mit SPI/NAT, VPN und Firewallregeln die ist auch bei mir
zu Hause für zwei Leute im Einsatz (allerdings mit mehr Servern) und das ist auch gut so!!!

Dann würde ich mal genau den entgegen gesetzten Weg gehen wollen und eine Firewall
oder ein UTM Geräte kaufen was einfach einen höheren Durchsatz hat!!!

Es kommt auch leider immer noch vor, dass kleine Firmen und Heimarbeiter sich ein
SOHO Gerät zulegen oder so wie ihr es bestimmt getan habt, für nur drei Leute braucht
es nicht mehr als eine kleine Zywall 2 Plus oder Zyxel Zywall USG-100 und gut ist es.

Warum schaut keiner nach was man denn am WAN Interface für einen Internetzugang hat
und was der in der Lage ist zu liefern (250 MBit/s)!??? Warum keine Firewall die auch genug
"Wumms" unter der Haube hat und die 250 MBit/s durchlässt?

Es ist natürlich auch klar, das wenn man ein UTM Gerät beschafft und nutzt das der Durchsatz
dort gleich bis zu 5 Mal angegeben wird und da sollte man sich schon an dem richtigen orientieren!

Durchsatz:
- SPI/NAT "ohne alles" = 500 MBit/s
- Firewall - 100 MBit/s = da habt Ihr schon das erste Probelm
- IDS/IPS - 85 MBit/s = Einbruchserkennung
- VPN - 75 MBit/s = Gilt nur für VPN Verbindungen
- AV Email, Malware und HTTP - 50 MBit/s = der AV Schutz braucht auch Zeit um zu scannen
- DPI - 45 MBit/s = Deep Packet Inspection zum Aufspüren ungewolltem Netzwerkverkehr

Wenn man sich nun nur eine reine Firewall kaufen möchte, dann sollte der Durchsatz mit
SPI/NAT und Firewallregeln mindestens auf Eure 250 MBit/s kommen, obwohl es halt auch
immer so aussieht, dass alleine SPI/NAT rund 3 - 5 % Durchsatz "aufbrauchen" bzw.
ausbremsen denn dafür wird eben auch Zeit benötigt!

Also mal ehrlich wenn Ihr auf einem Server und den drei Klienten alle TrendMicro Worry Free
installiert ist das wohl auch in Ordnung, wenn dann noch das Backup regelmäßig und vernünftig
gemacht wird und die Software auch gepflegt wird (Updates, usw.) solltet Ihr auch mit einer
guten und starken Firewall auskommen die nicht ein UTM Gerät ist!!!

Wäre es heute zu Tage noch vertretbar für einen Polizisten ohne kugelsichere Weste
Dienst zu tun? Klar wäre das so möglich, nur ob dann bei einem Problem die Versicherung
noch mitspielt ist doch die Frage, oder?

Es kommt dann auch noch auf die Angaben der Hersteller an!!!!!!!
Nehmen wir mal ein Auto mit 450 - 600 PS, die bekommt man in der Regel nie auf die Straße
aber die Leistung ist vorhanden!

Ebenso ist es bei den UTMs dieser Welt, nehmen wir mal ein Beispiel von den Sophos UTMs
die SG 210 hat 11 GBit/s Durchsatz nur bei eingeschalteter Firewall, den erreicht man auch nie
und der ist auch nur rein rechnerisch vorhanden!

Also ab zum Händler und sich einfach ein Vorführgerät besorgen und dann messen,
genau so wie Du es schon gemacht hast!!!! Ohne Firewall und mit Firewall nachmessen
und dann erst kaufen! Das mit der UTM erhöht natürlich signifikant den Schutz des Netzwerks
und zusammen mit einem AV Schutz eines anderen Herstellers auf dem Server und den Klienten
ist das schon richtig wie ihr es zur Zeit habt.

Es kommt ja auch darauf an was man für Anforderungen stellt, ohne Mailserver
kann man auch schon einmal darüber nachdenken eine reine Firewall zu kaufen
und einen adäquaten Switch dazu dann läuft das schon alles schnell genug.

Es wäre ja auch einmal schön zu wissen was Ihr für einen Internetzugang habt und
was Euer Budget sagt!? Und ob ein Serverraum bzw. IT Raum vorhanden ist
bzw. ein Rack oder Serverschrank? Dann kann man auch ganz andere Aussagen
machen.

Gruß
Dobby

Mahlzeit
Full ACK - aber ist der Bedarf hier vorhanden?
Ich kann ihn nicht erkennen.

Cheers,
jsysde

Das kann von uns hier im Forum niemand!

In Kiel ist einer Firma mit 4 Mitarbeitern und das ist nur einer mehr als hier im Fall,
der Mailserver "gehackt" worden und man hat sie bei einer Ausschreibung unterboten!

So das war es dann für die Firma, die gibt es nicht mehr, die musste schließen, weil
das eben ein existenzieller Auftrag war!

Was soll ich nun bei 3 Leuten und einer SQL Datenbank sagen?
Weiß ich wie viele hunderttausend die in die Entwicklung gesteckt haben
und daher lieber an der Hardware bzw. Sicherheit gespart haben? Und wenn
das nun in China billig und für 10 € zuerst auf den Markt kommt und die Firma
auch pleite geht? Was dann.

Man kann da immer erst etwas zu sagen wenn man mehr weiß und am besten
immer vor Ort war.

Eventuell sollte ein MikroTik CCR1036-8G-2S+ und ein Cisco SG500X-24 reichen
und vor allem auch die Geschwindigkeit liefern. Ganz ohne UTM Funktionen.

Gruß
Dobby

Mahlzeit.

Ja, man kann in eine solche Anfrage viel hinein interpretieren.
Ich sehe hier ein Mini-Büro, dass keinerlei Zugriffe von extern benötigt und einfach nur den schnellen Internetzugang auch in voller Bandbreite nutzen möchte. Da sehe ich nun absolut keinen Bedarf, mit Kanonen auf Spatzen zu schiessen; hier wäre ein Witzbox "sicher" genug.

Wenn der TO jetzt noch erläutert, dass er mit hochgeheimen und brisanten Informationen hantiert undsoweiterundsofort - ja, dann kann auch ich den Bedarf für eine dedizierte HW-Firewall erkennen. Wie bereits geschrieben, aktuell kann ich das nicht.

Cheers,
jsysde

250 MBit/s reiner Durchsatz am DSL Port?

Gruß
Dobby

und genau solche Einstellungen von "Kollegen" machen den Aufbau eines wirklich runden IT Systems beim Kunden schwer - wenn alles per Fritte geht, warum dann Geld investieren (der kunde hat da meist noch weniger Ahnung) - wie oben schon geschrieben - es geht nicht um das, was rein geht (das ist meist kein problem) sondern auch darum, was raus geht und rausgehen darf und, wie das interne von aussen gesteuert werden könnte - und da kann ein dauerhaft gesprächiger Gast auch schon bei einer 08/15 Firma Schaden anrichten und das nur dadurch, dass die Konkurrenz eben a) einfach mal ein Vergleichsangebot ohne Akquisekosten erstellen kann oder b) eben mal die eine oder andere File manipuliert...Ne Fritte, die blockt das nicht.

...ist aber günstiger. ;)

Moin,

ganz ehrlich - ja, eine HW Firewall mag schön sein. Ja, die blockt ggf. auch Zugriffe von Innen nach aussen. Was mir jedoch auffällt wenn ich solche Techniker-Aussagen lese ist das hier gerne ein Punkt übersehen wird. Nämlich der Faktor VOR der Firewall. Ist in so einem kleinen Büro jemand vorhanden der sich mit der Thematik auskennt? Der grundlegend weiss was der da macht oder nicht macht? Und DAS ist einer der wichtigsten Punkte bei der Frage ob eine Firewall Sinn macht.

Hier behaupte ich mal das jede Fritzbox oder jeder Aldi-Billig-Router ggf. mehr Schutzfunktion bietet als die professionellen Firewalls. Einfacher Grund - bei letzteren wird ein gewisses Wissen vorrausgesetzt und man geht davon aus das derjenige davor die Zeit hat sich damit zu beschäftigen. Ist das aber nicht der Fall steht die Firewall ganz schnell auf "ANY/ANY" mit Protokoll "ANY" und "ACCEPT".

Von daher ist für mich der technische Aspekt eher der an zweiter Reihe... Denn auch eine Firma die mit 3-4 Entwicklern arbeitet muss leider Netzwerktechnisch keinerlei Ahnung haben ... genauso wie ein Übersetzungsbüro, eine Arztpraxis oder sonst was... Und bei denen hilft nur entweder eine externe Firma (meist zu teuer) ODER eben irgendwas verständliches...

Deswegen hat so eine firma einen Dienstleister wie mich, der die FW-Regeln nach Bedarf anpaßt und auch die Logs auswertet.

lks

Dann darf ich also keine Menschen mehr anstellen, weil ich sie - im Zweifelsfall - nicht "reparieren" kann? (Hommage an @keine-ahnung) Keine Autos nutzen, weil ich keine Auslesegeräte habe? ;- ) Sorry, aber das Argument gilt nicht. Natürlich geht mit dem Einsatz einer Firewall auch impliziert ein Wissen einher was man wie einzurichten hat.

Im Prinzip drückt es LKS in kurz aus - er und wir sind da in der Position, wie sonst eben der Arzt, der Handwerker, der Mechaniker ;)

Nur wenn Du vorher ein Medizinstudium absolviert hast,

lks

Message nicht verstanden :P

Die Menschen anstellen darf ich auch, wenn ich sie nur einsetze, aber nicht "warten", ergo medizinisch versorgen kann ;)

Doch. Ich gab die Schlußfolgerung aus dem Standpunkt von @maretz wieder.

lks

ah, Pardon ;)

Das stimmt vermutlich für einen Teil der Firmen... Aber es ging hier um die Frage ob sich eine HW-Firewall lohnt. Jetzt gibt es 2 Optionen:
a) Jede Firma hat entweder eigenens Know-How oder Leute wie dich -> dann ja
b) Wir leben in der Realität und es gibt div. Firmen die sich dieses Geld sparen - und bei denen lohnt die HW-Firewall nicht. Das hierbei ggf. ein höheres Risiko besteht liegt auf der Hand - genauso wie das gerne gesparte Geld für Backups natürlich nicht unbedingt klug sein muss.

Und was das andere Beispiel angeht: Natürlich kann ich auch Menschen einstellen die sich mit einer Tätigkeit nicht auskennen. Dies nennt sich dann "ungelernte Hilfskraft". Nur sollte man denen dann eben auch keine komplexen Aufgaben geben. Um euer Beispiel aufzugreifen: Würdet ihr euch wohlfühlen wenn diese ungelernte Hilfskraft an eurem PKW die Bremsen repariert? Hier kann man demjenigen gerne das passende Werkzeug geben - ich möchte danach trotzdem nich in dem Auto sitzen! Ich würde natürlich auch hoffen das eine solche Werkstatt dann einen entsprechend ausgebildeten Monteur ruft oder eine Person im Laden ist der/die das kann. Falls nicht dann wird das beste Werkzeug nicht helfen.

Hallo,

Recht gebe ich Dir ja das eine Firewall auch konfiguriert werden muss,
da sonst alles offen steht wie ein Scheunentor! Gar keine Frage tut
der richtig konfigurierte AVM Router einen besseren Dienst als eine
offene Zywall, ist doch überhaupt keine Frage, oder eben nur wieder
die des, Geldes, oder?

Oder jemand aus diesem Forum der Ihnen einen sehr schnellen
Router oder eine Firewall, nach Abschluss eines Vertrages
einrichtet und in regelmäßigen Abständen das Ding wartet
und das auch zu einem freundschaftlichen Preis und mit
einem Vertrag und einer Rechnung dazu.

Sicherlich nicht zwei Tage Maloche für 20 € und ne Bratwurst, das meinte
ich nicht, nur was soll es denn, wenn man meint das man ohne Firewall
auf 250 MBit/s kommt dann ist doch das gesamte Netzwerk offen oder
nackt über das Internet erreichbar und es ist gar kein Schutz mehr
vorhanden!! Weil alles so schön schnell ist!

Was man nicht kann, dafür holt man sich dann eben die richtigen Leute
oder glaubst Du mit was die Ihr Geld verdienen mit 3 Mann!?

Wenn der @aqui einen MikroTik Router und einen Cisco SG500X-24 einrichtet
wäre das sogar über VPN möglich.

Gruß
Dobby

Darum geht es aber nicht, wenn ich einen Auftrag an einen Installateur weitergebe, möchte ich nicht, dass meine Daten auf der Straße liegen (auch nicht per block -any any-any extern vs intern) mehr noch beim Arzt...

Es heisst ja nicht umsonst Schuster, bleib bei deinen Leisten.

Und da sind wir uns einig... Wenn ich sowas mitbekomme würde ich auch freundlich den Anbieter bitten alle meine Daten aus seinem System zu entfernen und dann freundlich getrennte Wege zu gehen... Leider erfährt man das nicht. Genauso würde ich mir als Eigentümer Gedanken machen - wenn ich so eine Leitung kaufe dann brauche ich entweder die Bandbreite (und dann sollte def. jemand mit Erfahrung das Netz machen falls keine Leute zur Hand sind) oder ich baller grad Geld raus wobei ich doch eigentlich nur ne ISDN-Leitung benötige...

Meine Aussage war eben lediglich das eine Firewall die aufgrund Wissensmangel auf "offen" gesetzt ist idR. schlechter ist wie eine Router-Firewall... Grade weil professionelle Firewalls im "ganz offen"-modus sich auch gerne von aussen Warten lassen (SSH, Web-IF). Da sind die meisten billig-Router wenigstens so gut das die das per Default blocken... Sonst hat man ganz schnell ganz viele neue Forwards drin ;)

OK, aber das ist keine Exklusivität bei High End UTMs ;) In freier Wildbahn triffst du auch gerne Fritten, die de facto schon ein Any Any drin haben - wobei ein Any-Any ist i.d.r Auch bei einer Fw nur schwer realisierbar - dazu gehört meist noch ein entsprechendes NAT. ;(nur mal so, um wieder ins technische zu kommen - das Any-Any ist bei der Fritte von innen nach außen natürlich immer drin /ecl: Gastnetz)

Das nicht, aber erstaunlch viele Handwerksmeister fahren mit S-Klasse oder einem Äquivalent herum.

Die frage ist doch, gibt es im netz irgendetwas, was besonderen Schutzes bedarfm z.B. weil die angestellten "Spielkidner" sind und oft auf youporntube auf den Kisten surfen? Müssen irgendwelche zugangsbeschränkungen einegrichtet sein, weil nciht jeder alles darf? danach richtet sich es, ob man da wirklich eine ordentliche Firewall braucht oder nicht. Udn man soltle eine Gegenrechnugn machen, was es den handwerker kostet, wenn doch mal etwas schiefgeht. Dann relativiert sich nämlich meist recht schnell der preis für eine Firewall.

Ansonsten, einfach eine 30€-Mikrotik nehmen udn den routen/natten lassen, Der sollte die 250MBit/s problemlos schaffen.

lks

Hallo,

nochmal, also das finde ich ja nun auch schon wieder ein
wenig sehr unverhohlen!

Erst wird geschrieben;
Was ist das denn nun genau für eine Zywall?
Diese hier ZyXEL ZyWALL 2 PLUS Internet Security Firewall
oder diese hier ZyXEL ZyWALL USG 100-PLUS

Ist ein UTM Gerät schon vorhanden oder eben nicht?
Wenn kein Geld vorhanden ist sollte es auch ein MikroTik Router
bringen, gar keine Frage! und die gibt es in verschiedenen
Ausführungen!

- RB450G ~100 €
- RB493G ~200 €
- RB800 ~300 €
- RB1100AHx2 ~350 €

Die schaffen das allesamt 250 MBit/s und später auch noch mehr
umzusetzen und durchzureichen! Die letztere sogar mit Hardware
VPN Beschleunigung!!!

Sollte Dir das RouterOS nicht liegen kann man auch auf die
RB450G, RB493G und RB800 OpenWRT installieren und
dann rennt es erst richtig los.

Das hätte man mal vorher anzeigen sollen, oder?
Denn wenn der normale Mitarbeiter mit dem normalen
Gehalt in ein Mercedes Autohaus geht und sagt er braucht
ein sicheres Auto da er von 365 Tagen 290 Tage auf der Autobahn unterwegs ist, wird man Ihm nicht Gehalts gerecht den A1 empfehlen
sondern ein anderes Modell.

Was habt Ihr denn zur zeit im Einsatz, und zwar bitte genau.

Die gibt es auch als 200 € oder 300 € Modelle!!! Nur eben nicht
mehr mit einer 10 GBit/s Anbindung für Server und Router.

Ein RB450G und eine Cisco SG300-28 sind ~500 €
Das reicht dann dicke für ganz lange und ja man wechselt
wohl eher den Server und nicht gleich die gesamte Netzwerkstruktur.

Sag uns doch einmal vorher was das Budget ist, was Du nun
genau willst und was vor Ort vorhanden ist.

Denn auf die Frage von oben, kann man nur sagen, ja lass bitte
eine Firewall davor und gut ist es! Und das kostet gar nichts!

Gruß
Dobby

Hallo zusammen
Nur noch eine Anmerkung zur Zyxel USG100. Diese Firewall ist am auslaufen. Es wird dafür keine 4er Firmware mehr geben.
Aus diesem Grund empfiehlt sich die Zyxel USG110.

Diese Info gab mir vor ein paar Monaten der Generalvertreter Studerus (CH).

Gruss
adminst

Ich hatte das selbe Problem mit lahmer HW, habe mir schlussendlich einen alten PC umgebaut und Sophos UTM Home Edition draufgeklatscht.