Lancom Router vs Firewall Appliance (HW Firewall)

[Richard]

Hallo,

ich bin aktuell mit der Absicherung eines Business Netzwerks mit 50 PCs und 5 Servern beschäftigt. Die Firma setzt bereits einen Lancom Router mit der integrierten Lancom Firewall ein. Also eine Firewall der "ersten Generation".

Nun ist eine Diskussion über Begriffe wie Intrusion Prevention/Detection Systeme und "next gen firewalls" entstanden. Und somit steht die Frage im Raum, ob zu dem Lancom Router noch eine Firewall Appliance wie z.B. die Sophos SG angeschafft werden soll.

Wie ist eure Meinung dazu? Ist sowas ein Must Have mittlerweile oder nur PR? Würdet ihr zusätzlich zum Router eine Firewall aufsetzen? Und gibt es da was von Lancom?

[Christoph_vW]

Ich hatte die Sophos SG 330 letztens zum Test hier...

-Das Teil wollte standardmäßig nur NTLMv1 für AD Authentifizierung machen, nach einer Beschwerde hat dann ein Sophos Techniker wenigstens NTLMv2 über einen geheimen Befehl auf der Konsole freigeschaltet. Kerberos ging gar nicht erst...
-Beim rausfiltern von Werbung kommt es mit iFrames zu Problemen, da die Sophos den Inhalt durch eine eigene Fehlerseite ersetzt. Problem: Bei SSL Traffic passt das Zertifikat der Sophos nicht zu der blockierten URL - es gibt Zertifikatfehler im Browser. Die Sophos Hotline meinte daraufhin ich müsste ein Root Zertifikat auf die Sophos einspielen und den ganzen SSL Datenverkehr als MITM entschlüsseln - das sei ja schließlich auch viel sicherer. Das sehe ich allerdings anders - wenn jemand eine Lücke in der Firewall ausnutzen sollte, hätte der Angreifer sämtlichen Datenverkehr auf dem Präsentierteller...

Sicherlich bringt das Gerät mehr "Sichtbarkeit" beim Datenverkehr in Netzwerk, aber dafür meines Erachtens auch einen weiteren Angriffspunkt.

[garfield0815]

hmm
ich bin schon vor längeren komplett auf eine utm lösung umgeschtiegen
auch wenn es manche hir nicht höhren mögen

bei mir habe ich seitdem wesendlich höheren daten durchsatz
auch ohne vdsl (was aber demnächst kommt und meine lancom diese nicht mehr schaffen würden )

aktuell habe ich die endian firewall auf einem itx system am laufen ( ist freeware) und der kleind bruder der endian utm
hatte auch schon andere systeme getestet under anderen auch die sophos ich wand sie nicht schlecht nur das ich dan irgendwann was dafür zahlen hätte müssen

und seitdem ich mit utm's arbeite habe ich keine propleme mehr mit diversen viren würmer und trojanern
vorher hatte ich n paar rechner die ständig von diversen "behörden" gesperrt wurden und ich hätte strafe zahlen sollen

[Richard]

@Christoph_vW: Erstmal Danke für die Antwort und die Einschätzung. Sophos war nur ein Beispiel unter vielen. Auch geht es mir nur bedingt um das Filtern von Werbung sondern vor allem darum Angriffe zu verhindern (z.B. SPI Firewall) oder automatisiert zu erkennen und abzuwähren (z.B. Intrusion Prevention). Und da grundsätzlich um die Frage: Lohnt es sich in der Richtung Produkte zu vergleichen und ggf zu kaufen oder kann man auch alleine mit einem lancom router glücklich werden?

[Christoph_vW]

Probleme mit Viren und Trojanern haben wir auch ohne UTM keine.

Dafür gibt es AppLocker, BitLocker, Virenscanner und EMET. Natürlich zusätzlich zum Filtern der Mails durch postfix/amavis vor dem Exchange.


Ich habe vor der Sophos auch alle andere Produkte angeschaut die ich finden konnte, darunter auch die EndianFirewall. Für privat vielleicht zu gebrauchen, wir unsere Zwecke allerdings nicht. (300 Clients, 50 Server). Da kam die Sophos noch mit am besten weg.


Ich denke trotzdem sowas hier bietet da mehr Gegenwert:
https://www.microsoft.com/en-us/server- ... analytics/

[Richard]

@Christoph_vW:

Darf ich fragen, wie ihr den Zugang sichert? Mit einem einfachen Lancom Router oder was setzt ihr ein?

[garfield0815]

bei 300 clients und 50 server

da mag mit sicherheit die efw nicht die richtige sein
und wen man in den dimensionen arbeitet kan man auch etwas geld in die hand nehmen
und ggf die endian utm nehmen

ich würde sagen das die efw für netze bis ca 50 pcs ausreichend ist
und das durchaus auch gewerblich (kmu)

ja die sophos hat was ist ja auch der marktführer
was mich etwas gestöhrt hat ist die opjekt bezogene programirung
aber wie überall mus man sich erst reindenken

was ich aber über alle lösungen sagen kann wen man die software lösung mnimt kann man die dinger einfacher scaliren als jeden lancom
-> wen die leistung nicht mehr ausreicht einfach die hardware unten drunter austauschen
oder die utm als vm auf einem server mitlaufen lassen

bei den tools die auf den arbeitsstationen mitlaufen

(Dafür gibt es AppLocker, BitLocker, Virenscanner und EMET)

da sehe ich oftmahls das proplem das der user da eingreifen kann und im schlimsten fall die sicherheit aushebeln bzw ausschalten kann
was bei einer utm / vorgeschaltetem filter nicht geht

[Christoph_vW]

Naja, letztlich kann man vieles was die Sophos kann auch mit OpenSource Tools abdecken, dann hat man natürlich nicht so eine schöne GUI.

Für uns hat sich die Frage gestellt welchen Mehrwert das Teil für uns bietet, die SG330 im Active/Passive sollte ca. 16000 EUR netto kosten.

-Proxy - ja nett - geht aber auch mit squid, dann fehlen nur die hübschen Statistiken.
-IDS - geht auch mit Snort/AlienVault - aber letztlich - wie oft kommt da denn mal was brauchbares bei raus - lässt man das vor dem Router / der Firewall laufen, hat man ne Menge Datenmüll, hängt man es dahinter macht es auch nur eingeschränkt Sinn
-Mail Sicherheit - dafür gibt es postfix/amavis
-VPN - dafür haben wir LANCOM und DirectAccess

@garfield
an AppLocker und Co können die User nicht rumspielen - die können dadurch kein einziges Programm starten, das nicht explizit zur Ausführung erlaubt ist (z.B. durch Zertifikate)

[garfield0815]

für mich stand einfach auch die frage der hardware im raum

ein 1821+ kan halt kein vdsl mit 50 +

und dafür nu neue kaufen die dan dsl und vpn verwalten währe n bissi übertrieben


hatte die hardware sowiso rumliegen
die vdsl modems (die guten speedport 300hs ) hab ich für unter 20 € bekommen
und sie machen alles das was ich brauche

klar kan man einiges mit tools abdecken
wen ich aber n linux mit amvis und proxy selber aufbauen muss
nehm ich doch gleich n open sorce und hab dan weniger arbeit
gut die tollen stats brauch ich auch nicht unbedingt

[Richard]

Also ich finde einen selbst gemachten HTTP-(HTTPS-)Proxy mit squid eigentlich eine saubere und auch schnell zu realisierende Lösung. Ein Mailserver (mit Virenscanner) ist bereits im Einsatz. Plus die Lancom Router Firewall müsste eigentlich alles abgedeckt sein, was eine UTM auch anbieten kann. Bis auf Intrusion Prevention. Ich hatte leider noch nicht die Möglichkeit mit einem Signatur-Basierten IDS/IPS zu arbeiten. Daher kann ich nicht einschätzen wie sinnvoll sowas ist.

[Christoph_vW]

@garfield0815
>ein 1821+ kan halt kein vdsl mit 50 +
Wer hat denn noch so antike Teile? Ich habe hier noch mind. 10 1781(V)AW als Reserve im Schrank liegen...


>die guten speedport 300hs
Auch wenn das Produkt durch die anfälligen Kondensatoren nicht der Hit war...
Wobei es sehr schade ist das Sphairon pleite gegangen ist, hat mir Spaß gemacht da zu Arbeiten.

[garfield0815]

@ Christoph_vW

wiso soll ich mir irgendwelche teueren vdsl lancoms kaufen wen meine 1821+ bzw 1722 noch einwandfrei seinen dienst tuhen
und da bei mir NOCH nur adsl verfügbar ist

wobei die bei mir nur noch isdn sip proxy spielen alles andere machen bei mir die endian firewalls mit saphire adsl modems
und seltsammerweise wahren die auch an zu dem zeiten als sie an den den lancoms angeschlossen wahren schneller und stabiler als das lancom interne modem

die neuen lancoms können an der leitung nicht mehr auser mir das geld aus der tasche zihen


und zum thema kondensatoren
damit kann ich leben ich hab nen lötkolben und ich kann auch damit umgehen

und mit sicherheit schon 100 st in den verschiedensten geräten ausgetauscht ( fernseher netzteile mainbords heitungssteuerung .....)
und bei 20 € für leg ich mir einen in den schrank dan kann ich schnell austauschen wen wieder einer hoch geht
und inzwischen hab ich auch n zimliches arsenal an ersatz elkos rumliegen


und die dinger gehen auch in den lancom netzteilen kaput
da diese china massenwahre ist


und da wo du lancoms rumligen hast hab ich "pcs und server" hardware rumliegen