Hallo Zusammen,
es tut mir leid, wenn ich jetzt ein bisschen plump fragen muss, aber mich interessieren eure Meinungen.
Szenario ist ein kleines Netzwerk in einem Bürogebäude mit lauter Einzelfirmen. D.h. 20 verschiedene Parteien, aber alles 1 Mann Firmen mit 1 bis maximal 2 Clients (der Switch ist mit Vlan unterwegs).
Nun geht bei eingeschalter Firewall das Theater los.
Z.B. kann 1 Client nicht seine VPN Verbindung nach draußen aufbauen. VPN am Router ist uninteressant in dem Fall und Zeit & Geld für das Konfigurieren von Firewall Regeln gibt es auch erstmal nicht. Es sei denn man klappert ein bisschen mit dem Sargdeckel.
Vorher wurde ein billig Router eingesetzt. Consumer Klasse, 60 Euro, keine "echte Firewall" wie bei dem schönen Lancom. Dort hat man sich quasi auf Schutz durch NAT verlassen.
Daher überlege ich mir nun, ob sich durch das Ausschalten der Lancom Firewall der generelle Schutz im Vergleich zu früher verschlechtert oder ob es zumindest von der Wertigkeit gleich bleibt?
Ich freue mich auf euer Feedback
Firewall Off, Lancom 1781, Risikoabschätzung?
Moderator: Lancom-Systems Moderatoren
-
NettimNetz
- Beiträge: 4
- Registriert: 09 Apr 2012, 20:09
Hi,
vorab, dies hier ist nur meine Meinung, an die ich mich in der Vergangenheit nicht immer selbst gehalten habe. Bei Produktiv-Einheiten allerdings habe ich mich strikt daran gehalten.
In meinen Augen ist der Einsatz eines Geräts, das mehr Einstellungen bietet, die man aber nicht versteht, eher eine Sicherheitslücke. Während dein Consumer-Gerät einfach zu konfigurieren war und wenigstens "zuverlässig" nichts falsch machen konnte, weil er schlicht gar nichts machen konnte, kannst du mit einem Lancom schnell eine unbeabsichtigte Brücke bauen, die eigentlich gar nicht existieren darf. In meinen Augen ist eine falsch konfigurierte Firewall unter Umständen gefährlicher als gar keine Firewall.
Es kommt natürlich immer auf dein Netz an, wie gefährlich ein Eindringling dann ist. Wenn ihr ein paar Surf-Stations habt, um im Jugendzentrum das Online-Gehen zu ermöglichen, ist das etwas anderes, als wenn Mailserver oder FileServer hinter dem Router werkeln, auf die eventuell von außen zugegriffen werden soll.
Daher mein Tipp: Ihr habt euch den Lancom ja sicherlich angeschafft, weil der andere Router nicht mehr gereicht hat. Irgendeine Funktion muss daher ja wichtig gewesen sein. Skizziere genau die Anforderungen an dein Netzwerk, dann resette den Router inkl. aller Einstellungen und richte ihn ausschließlich per Assistenten ein. Und dann fängst du an, die Sonderwünsche hier nacheinander mithilfe der Anleitung, viel Zeit (ja, die hat man nie), Recherche und auch (nicht ausschließlich!) Rückfragen hier im Forum einzurichten. Ich habe am eigenen Leib gemerkt, dass die Leute hier extrem zuvorkommend sind, wenn man nicht erwartet, dass sie die eigentlich eigene Arbeit übernehmen sollen.
Das ist vermutlich die praktikabelste Lösung, die du wählen kannst.
Gruß,
Sebastian
vorab, dies hier ist nur meine Meinung, an die ich mich in der Vergangenheit nicht immer selbst gehalten habe. Bei Produktiv-Einheiten allerdings habe ich mich strikt daran gehalten.
In meinen Augen ist der Einsatz eines Geräts, das mehr Einstellungen bietet, die man aber nicht versteht, eher eine Sicherheitslücke. Während dein Consumer-Gerät einfach zu konfigurieren war und wenigstens "zuverlässig" nichts falsch machen konnte, weil er schlicht gar nichts machen konnte, kannst du mit einem Lancom schnell eine unbeabsichtigte Brücke bauen, die eigentlich gar nicht existieren darf. In meinen Augen ist eine falsch konfigurierte Firewall unter Umständen gefährlicher als gar keine Firewall.
Es kommt natürlich immer auf dein Netz an, wie gefährlich ein Eindringling dann ist. Wenn ihr ein paar Surf-Stations habt, um im Jugendzentrum das Online-Gehen zu ermöglichen, ist das etwas anderes, als wenn Mailserver oder FileServer hinter dem Router werkeln, auf die eventuell von außen zugegriffen werden soll.
Daher mein Tipp: Ihr habt euch den Lancom ja sicherlich angeschafft, weil der andere Router nicht mehr gereicht hat. Irgendeine Funktion muss daher ja wichtig gewesen sein. Skizziere genau die Anforderungen an dein Netzwerk, dann resette den Router inkl. aller Einstellungen und richte ihn ausschließlich per Assistenten ein. Und dann fängst du an, die Sonderwünsche hier nacheinander mithilfe der Anleitung, viel Zeit (ja, die hat man nie), Recherche und auch (nicht ausschließlich!) Rückfragen hier im Forum einzurichten. Ich habe am eigenen Leib gemerkt, dass die Leute hier extrem zuvorkommend sind, wenn man nicht erwartet, dass sie die eigentlich eigene Arbeit übernehmen sollen.
Das ist vermutlich die praktikabelste Lösung, die du wählen kannst.
Gruß,
Sebastian
-
NettimNetz
- Beiträge: 4
- Registriert: 09 Apr 2012, 20:09
Das mit der eigenen Meinung ist wunderbar. So war es angefragt 
Vom Bauchgefühl bin ich absolut bei Dir. Und danke auch für die Antwort.
Mir geht es jetzt wirklich erstmal - auch ein wenig aus akademischen Interesse - um eine Abschätzung. Die Firewall ist ein Regelpaket das auf Ports, Dienste etc... geht.
Wenn ich beidseitig ALLES ERLAUBE, habe ich doch faktisch den gleichen Status wie bei OFF, oder?
Da ich ohnehin NAT habe (ja...ich weiß....), ist das Problem der direkten Sichtbarkeit auch nicht gegeben.
Wie gesagt... Abschätzung.... reales Risiko wenn OFF.... vielleicht kann da jemand mal ein praktisches Beispiel zum Besten geben?
Der Lancom war vor allem aus Qualitätsgründen angeschafft und wegen diverser Features. Sicherheit stand jetzt weniger im Vordergrund. Ich bin übrigens kein Teil des Netzwerks, sondern stehe hier eher zur Hilfe bereit. Und eine Firewall für sehr viele Einzelparteien zu pflegen kostet Zeit wenn es individuell wird.
viele Grüße
Vom Bauchgefühl bin ich absolut bei Dir. Und danke auch für die Antwort.
Mir geht es jetzt wirklich erstmal - auch ein wenig aus akademischen Interesse - um eine Abschätzung. Die Firewall ist ein Regelpaket das auf Ports, Dienste etc... geht.
Wenn ich beidseitig ALLES ERLAUBE, habe ich doch faktisch den gleichen Status wie bei OFF, oder?
Da ich ohnehin NAT habe (ja...ich weiß....), ist das Problem der direkten Sichtbarkeit auch nicht gegeben.
Wie gesagt... Abschätzung.... reales Risiko wenn OFF.... vielleicht kann da jemand mal ein praktisches Beispiel zum Besten geben?
Der Lancom war vor allem aus Qualitätsgründen angeschafft und wegen diverser Features. Sicherheit stand jetzt weniger im Vordergrund. Ich bin übrigens kein Teil des Netzwerks, sondern stehe hier eher zur Hilfe bereit. Und eine Firewall für sehr viele Einzelparteien zu pflegen kostet Zeit wenn es individuell wird.
viele Grüße
Hi NettimNetz
Was meinst du mit eigentlich "direkter Sichtbarkeit"? Daß sich die einzelnen Firmen untereinander nicht sehen können? Das ist definitiv nicht der Fall! Das LANCOM routet zwischen allen lokalen Netzen - es sei denn du verhinderst das über Firewall-Regeln oder die Nutzung Routing-/Interface-Tags (Stichwort: ARF)
Zurück zu deinem ersten Posting:
in der LANCOM-Knowledgebase findest du für viele Szenarien vorgefertigte Scripte, mit denen du die Firewall sinnvoll konfigurieren kannst:
http://www2.lancom.de/kb.nsf/1275/D70A6 ... enDocument
Gruß
Backslash
nicht nur faktisch... obwohl: bei OFF wird auch die IDS/DOS-Prüfung nicht mehr gemacht, aber ansonsten ist es gleich...Wenn ich beidseitig ALLES ERLAUBE, habe ich doch faktisch den gleichen Status wie bei OFF, oder?
aber ein NAT heißt nicht unbedingt, das niemand von aussen reinkommt, da z.B. zumindest bei UDP *alles*, was von aussen auf dem gemapten Port gesendet wird, angenommen werden muß, weil sonst z.B. STUN nicht funktioniert. D.h. du solltest zumindest eine Regel haben, die Traffic von aussen nach innen verbietet, um solche "Lücken" zu fangen....Da ich ohnehin NAT habe (ja...ich weiß....), ist das Problem der direkten Sichtbarkeit auch nicht gegeben.
Was meinst du mit eigentlich "direkter Sichtbarkeit"? Daß sich die einzelnen Firmen untereinander nicht sehen können? Das ist definitiv nicht der Fall! Das LANCOM routet zwischen allen lokalen Netzen - es sei denn du verhinderst das über Firewall-Regeln oder die Nutzung Routing-/Interface-Tags (Stichwort: ARF)
Zurück zu deinem ersten Posting:
da mußt du schauen, was der Client nutzt, i.A. UDP-Ports 500 und 4500 und eine Regel erstellen, die das erlaubt...Z.B. kann 1 Client nicht seine VPN Verbindung nach draußen aufbauen. VPN am Router ist uninteressant in dem Fall und Zeit & Geld für das Konfigurieren von Firewall Regeln gibt es auch erstmal nicht. Es sei denn man klappert ein bisschen mit dem Sargdeckel.
in der LANCOM-Knowledgebase findest du für viele Szenarien vorgefertigte Scripte, mit denen du die Firewall sinnvoll konfigurieren kannst:
http://www2.lancom.de/kb.nsf/1275/D70A6 ... enDocument
Gruß
Backslash