Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall empfehlung für ein Unternehmen!

Frage Sicherheit Firewall

Mitglied: adminit

adminit (Level 1) - Jetzt verbinden

07.04.2007, aktualisiert 08.04.2007, 6532 Aufrufe, 24 Kommentare

Hallo zusammen,

ich habe eine Frage an alle Profis ;)

Ich bin gerade auf der Suche nach einer guten Firewall (Hardware) für unser unternehmen.
Wir haben ein:

- AD mit WIN 2003 Server..
- Standleitung
- ca. 200 Clients
- nutzen VPN
- eventuell später Email von zuhause abrufen über (http)

Ich habe mich mit ein paar bekannten unterhalten, die raten mir allerding schwer von MS ISA als Firewall ab! Wer hat den von Euch eine Saubere lösung?
Borderware wurde mir ebenfalls empfohlen, allerdings ist das ganze auf Englisch und der Support ist auch nicht gerade der Beste...

Ich hoffe jemand kann mir ein paar Tip geben..
danke
Mitglied: BartSimpson
07.04.2007 um 13:04 Uhr
Am einfachsten ist immer noch eine Linuxkiste mit iptables.
z.B. RedHat oder CentOS je nach Budget.
Bitte warten ..
Mitglied: adminit
07.04.2007 um 13:05 Uhr
Und wie soll das Butget aussehen?

Was heisst am einfachsten... an erster Stelle steht bei mir die Sicherheit! Es soll leicht einstellbar sein und vernünftige logs muss es denke ich auch haben.
Bitte warten ..
Mitglied: BartSimpson
07.04.2007 um 13:09 Uhr
Das musst du doch wissen, wie viel Kohle der Chef rausrückt.
Vom Funktionsumfang sind beide gleich. Bei RedHat gibt es jedoch direkt Support vom Hersteller.
Dafür ist CentOS kostenlos.
Bitte warten ..
Mitglied: cykes
07.04.2007 um 13:17 Uhr
Hi,

Wenn Du wenig ausgeben willst (ausser für die passende Hardware) kannst Du Dir auch mal IPCop
ansehen, läuft unter Linux, braucht (wenn sonst nix drauf läuft) keine "Monstermaschine".

Für weitere Alternativen müsstets Du mal sagen, was Du ausgeben willst/kannst/darfst.

Gruß

cykes
Bitte warten ..
Mitglied: adminit
07.04.2007 um 13:38 Uhr
Was meint Ihr den zu MS ISA??

Also ich denke Geld spielt in erster Linie kein Rolle.. sondern die Sicherheit!
Ich möchte einfach eine vernünftige und zimlich sichere Firewall die das kann, was ich oben aufgelistet habe..
Bitte warten ..
Mitglied: Dani
07.04.2007 um 13:40 Uhr
Hi,
Ich habe mich mit ein paar bekannten unterhalten, die raten mir allerding schwer von MS ISA
als Firewall ab! Wer hat den von Euch eine Saubere lösung?
LOL....was für einen Beruf haben diese Bekannten? Falls Admins, wie groß ist das Netz.

Wir haben hier nur ISA am laufen. Da wir eine M$ Umgebung haben. Somit treten auch am wenigsten Fehler mit Freigaben von OWA usw... auf. Diese Lösung ist auch SAUBER (Wieso sollte die unsauber sein??).

Definitiv würde ich eine Hardwarefirewall nehmen. Ist war vom konfiguieren her ein bisschen aufwendiger, aber Sicherheit hat seinen Preis!! Wir haben dahinter nochmal einen ISA - Proxy geschaltet, der dann die Zugangskontrolle regelt und noch mal Ports und Protokolle filtert / durchlässt.
Ganz wichtig finde ich, den Proxy auf einer extra Maschine installieren oder aber ne VM. Bei der VM wirklich extra 2 Netzwerkkarten einbauen. Als Software empfehle ich dir VMWare Server.

Also Proxy-Alternative ist SQUID für Windows auch super. Hat die gleichen Feature's wie unter Linux und läuft auch stabil und ohne Probleme. => Freeware!


Grüße
Dani
Bitte warten ..
Mitglied: BartSimpson
07.04.2007 um 13:45 Uhr
Dann fährste mit RedHat 5 gut. MS Produkte würde ich nie an der "heißesten" Stelle betreiben. Alleine schon wegen der Problematik mit der Sicherheit. Da man ein Linux System so konfigurieren kann, das selbst ein Fehler in einer Anwendung nicht zum Gau führt.(Dank SELinux)
Bitte warten ..
Mitglied: Dani
07.04.2007 um 13:46 Uhr
Hi,
ist ist nicht das Schlechteste, aber es gibt manchmal einfach seine Tücken (in Hinsicht der Konfiguration, welches Produkt hat das nicht). Wenn der ISA dann mal vollständig konfiguriert ist (nichts vergessen wurde), steht das Ding wie ne MAUER.
Wir hatten hier noch nie Probleme mit Angreifer o.ä.....und wir haben ein paar Proxys!

Auf Hinsicht der Zunkunftsvorhaben (VPN, eventuell später Email von zuhause abrufen über http) ist sicher ISA die bessere Wahl.


Grüße
Dani
Bitte warten ..
Mitglied: BartSimpson
07.04.2007 um 14:09 Uhr
Nur Das Problem bei Windows ist halt, biste einmal drin, kannste fast immer machen was du willst.
Bitte warten ..
Mitglied: 16568
07.04.2007 um 14:39 Uhr
@Dani:

Rein interesse-halber, setzt Du für Dein Heimnetzwerk auch ISA ein?
Ich hab' das ma gescannt, sollteste ein wenig überarbeiten

01.
XXX 
02.
Dir zuliebe entfernt...

Lonesome Walker
Bitte warten ..
Mitglied: Dani
07.04.2007 um 14:44 Uhr
Hi,
nee...ganz normaler Router! Der leider mal fertig konfiguriert werden möchte! *gg* Wie sollte ich mir den ISA leisten bzw. für was??


Grüße
Dani
Bitte warten ..
Mitglied: BartSimpson
07.04.2007 um 14:46 Uhr
Mit dem Scannen würde ich vorsichtig sein, da das strenggenommen schon strafbar ist.(Wenn man nicht beauftragt wurde, bzw. es nicht sein eigenes Netz ist)
Bitte warten ..
Mitglied: 16568
07.04.2007 um 14:48 Uhr
?

Sagt wer?

Laut aktueller Gesetzeslage nicht.

Scannen wird ab dem Aufgenblick illegal, wenn man dem Server schaden zufügt, bzw. dieser seine Arbeit nicht mehr gewohnt durchführen kann.
Wenn der Scann den Server (beweisbar) beeinträchtigt, erst das ist illegal.

Klar wollen die das ändern...


Lonesome Walker
Bitte warten ..
Mitglied: BartSimpson
07.04.2007 um 14:54 Uhr
Ganz so ist es nicht, denn es erfüllt schon den Tatbestand der Vorbereitung einer Straftat.
Und außerdem kann man strenggenommen keine Gerät scannen ohne das deren Funktionsfähigkeit beeinträchtigt wird.
Bitte warten ..
Mitglied: Dani
07.04.2007 um 14:58 Uhr
Also das ist eigentlich nicht das Thema, aber ich geb einfach mein Wissen auch noch dazu.

Im Moment ist es eine dunkle Grauzone. Sprich macht man sowas mei Privatleuten (außgenommen Anwälte) wird dir in der Regel zu 95% nicht passieren. Jedoch bei Ärtzen, Kl. & gr. Firmen oder sogar ISP, kannst du sicher sein, dass auf dich was zukommen wird.

Stand: 23.03.2007

Und jetzt zurück zum Thema.


Grüße
Dani
Bitte warten ..
Mitglied: 16568
07.04.2007 um 15:01 Uhr
Dem kann ich nur entgegnen, daß das nicht so ist;
eine PN an BartSimpson ging gerade raus.

Hierzu wird sich aber in absehbarer Zukunft ein eindeutiges Gesetz ergeben, das alleine schon den Besitz von solchen "Tools" wie z.B. nmap unter Strafe stellt...
(auch für die Admins für's eigene Netz... welch Ironie)


Lonesome Walker
Bitte warten ..
Mitglied: BartSimpson
07.04.2007 um 15:02 Uhr
Jo besser währe es.
Denn dafür gibt es ja snort
Bitte warten ..
Mitglied: Rafiki
07.04.2007 um 15:05 Uhr
Was nützt eine gute Linux oder Cisco Firewall, wenn sich Vorort niemand so richtig gut damit auskennt? Cisco Router können fast alles, aber insbesondere kann ein Cisco Router einen Anfänger so richtig zum fluchen bringen! Ich habe bisher noch niemanden kennen gelernt der innerhalb von 2 Wochen von 0 auf 100% alles über Cisco Router gelernt hat. Das gleiche gilt für auch Linux. Wie man grundsätzlich Auto fährt lernst du in 2 Stunden, aber ein Auto sicher und gut zu fahren erfordert sehr viel Fahrpraxis.

Lies dir das Handbuch der potenziellen neuen Firewall durch. Nix verstanden? -> Nix kaufen!

Als erste Firewall würde ich einen einfachen (DSL) Router empfehlen. Mit den einfachen, robusten Filterregeln kann man das meiste von draußen abfangen. z.B. darf der Webserver nur auf Port 80 erreichbar sein usw. Beispiele: Netgear, d-Link, Lancom oder Watchguard.

Als zweite Firewall bietet sich meistens ein Proxy an, der die Webseiten auf denen die Kollegen surfen dürfen filtert (Jugendschutz?) und Viren aus Downloads entfernt. Das kann z.B. der MS ISA Server mit Antivirus Software eines Drittanbieters sein. Oder auch InterScan VirusWall von TrendMicro
http://de.trendmicro-europe.com/enterprise/products/groups.php?prodgrou ...

Im extrem Fall eine Proxy der exakt protokolliert wer wann wohin surft bzw. "unanständige Inhalte" verbietet. http://marshal.com/WebMarshal/

Auf welcher der beiden Firewalls das VPN ankommt hängt stark von eurem Netzwerkdesign ab. Was soll denn für die VPN Benutzer erreichbar sein? Das gesamte Netzwerk oder nur einige wenige Server? Wenn die VPN Benutzer z.B. nur Emails abholen wollen, dann genügt die Verbindung bis in die DMZ zum E-Mail-Server.

Wie soll das VPN aufgebaut werden?
Von Lancon, Netgear und Cisco (und vielen weiteren) gibt es einen VPN Client, der auf dem Notebook installiert wird und seine Regeln (z.B. lokale Firewall an während VPN Verbindung) von der Firewall bekommt.
Von NetScreen und Cisco ASA und SSLexplorer (reine Softwarelösung) gibt es https basierte Java Clients die auf der remote VPN Seite bei der Anmeldung geladen werden. Ideal für VPN Verbindungen von Computern die nicht zu eurer Firma gehören wie z.B. Partnerfirmen. Sogenanntes SSL VPN.

Beispiel: SSL VPN-Access-Appliance von Juniper/NetScreen
http://www.juniper.net/products_and_services/ssl_vpn_secure_access/inde ...

Gruß Rafiki
Bitte warten ..
Mitglied: 16568
07.04.2007 um 15:09 Uhr
Und ohne jetzt eine Firma LANCOM verunglimpfen zu wollen, aber es gibt hier 2 Forums-Mitglieder, denen ich LIVE gezeigt habe, wie unsicher doch so LANCOM-Router sind...
(echt dumm, daß mich die Entwickler dort im Forum als dumm dargestellt haben... somit kann mich keiner zwingen/motivieren, denen zu verraten, wie das geht...)


Lonesome Walker
Bitte warten ..
Mitglied: BartSimpson
07.04.2007 um 15:09 Uhr
Als VPN Lösung gefällt mit OpenVPN sehr gut, da das aber mit wirkliche jedem Router geht
Ich würde dir Raten, da es von allen Varianten (ISA,RedHat) Testversionen gibt, die einfach mal anzuschauen.
Bitte warten ..
Mitglied: Rafiki
07.04.2007 um 15:18 Uhr
@LSW
Lancom Router hacking? Das würde mich interessieren!
Wärst du so nett uns zu verraten WAS and dem Lancom Router unsicher ist und welche Auswirkungen das dann hatte? Modell, Version LcOs, buffer overflow, DOS oder Traffic durchgeschmuggelt?

Oder bist du dafür einfach zu cool?

Gruß Rafiki
Bitte warten ..
Mitglied: 2095
07.04.2007 um 19:23 Uhr
Hi,

ich weiss ehrlich gesagt auch nicht, was gegen den ISA Server spricht....

generell sach ich halt : eine Firewall ist nur so gut wie der Admin selbst.....dürfte ja bekannt sein....(ich hoff dass hat hier noch keiner erwähnt...)..xD

ISa läuft an sich recht sauber...vorrausgesetzt das Regelwerk stimmt....Sicher Linux / und oder Cisco wäre auch angemessen, aber was bringt es einen "Frischling"---- Zudem gibt es weniger Probleme (wie schon erwähnt RPC...) ,

Der ISA ist zwar an sich auch nicht leicht, jedoch gibt es viel Threads um ihn einigermaßen sauber zu konfigurieren...."Do it Yourself"

Ich weiss jetzt nicht ob es hier erlaubt ist links einzubetten...einfach googeln nach msisafaq...

Ich rate dir einfach mal ne Testversion zu besorgen und dich mit der Sache auseinanderzusetzen.....

Zu LanCom setz ich von "Lonsome Walker" gleich noch eins drauf... Firmware instabil, werden verflucht warm....Schmieren desöfteren ab.....toll ...

Sicherheit? Kann ich nichts dazu sagen... Da bevorzuge ich lieber den ISA....

Gruß rooks..

Schöne Ostern noch...schau mer mal was der Osterhase denn dieses Jahr so alles an Überraschungen gelegt hat....hrhr..
Bitte warten ..
Mitglied: 6741
07.04.2007 um 19:23 Uhr
ich kann auch die Juniper/NetScreen Lösung empfehlen, die setzen wir auch ein und es läuft prima. Gut erreichbarer Support! Aber sicher muss die Kosten Frage gestellt werden.
Bitte warten ..
Mitglied: GMLLERQ
08.04.2007 um 21:46 Uhr
Hallo


Ich arbeite seit Jahren mit dem Produkt Securepoint Firewall.

Ist jetzt in der neuen Version einfach zu konfigurieren (Grundkonfiguration mittels Wizard).
Spamschutz, Virenschutz, ... VPN-Server mit PPTP, IPSEC

Gibt es als reine Softwarelösung, bzw. inkl. Hardware.

Ist vom OS linuxbasierend (ich glaube RedHat)

Zum 30 Tage Test runterladbar (securepoint.de) und auf X86 Hardware installieren -
am besten mit 3 Netzwerkkarten von Realtek, Intel oder 3COM.

Support hat bis jetzt problemlos und empfehlenswert geklappt - wenn ich mal nicht weiterwußte.

Ich würde die uneingeschränkt empfehlen.


Schöne Ostern,
Gerhard
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (7)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Router & Routing
gelöst Empfehlung günstiges ADSL2+ nur Modem (10)

Frage von TimMayer zum Thema Router & Routing ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Switche und Hubs
Switch Empfehlung für KMU (11)

Frage von katzepuh zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...