Hardware-Firewall

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo Forum,

    für meinen Berufsstand ist zukünftig der Einsatz einer Firewall für die beruflich genutzte IT gesetzlich Pflicht. Der Einsatz einer HARDWARE-Firewall wird da strengstens empfohlen. Das hat entsprechende Dienstleister auf den Plan gerufen, die Pakete aus Hardware, Installation und Wartungsvertrag zu wahrhaft saftigen Preisen anbieten. Dem würde ich gerne entgehen. Daher meine Frage an das geschätzte Forum:

    Gibt es hier jemanden, der eine separate Hardware-Firewall (also nicht einfach Router mit Firewall-Funktion) einsetzt, die halbwegs erschwinglich ist und auch von jemandem eingerichtet werden kann, der IT-interessiert, aber nicht gerade hauptberuflich Netzwerk-Spezialist ist? Mich würden eure Erfahrungen/Meinungen zum Thema interessieren. :)

  • Ich habe eine Netgate pfSense Appliance (SG-3000).

    Die gibt es nicht mehr, entweder eine SG-2000 oder SG-4000.

    Ich bin auch in der IT zu Hause, aber nicht in der Netzwerktechnik. Mit ein wenig Einlesen konnte ich das Teil aber auch einrichten, samt Durchleitung der VoIP Ports zur Fritzbox und Einrichtung von VPN bin auch sehr zufrieden.

    Ist natürlich etwas komplexer als eine Fritte, aber machbar. Alternativ könnte man auch mit OpnSense auch einem Mini-PC arbeiten.

    Mir war die Appliance aber lieber.

    Gruss

    P.S. Natürlich sollte man einen Plan B haben, wenn die Firewall ausfällt ;) .

  • N’Abend,

    also prinzipiell kann man sich problemlos in das Thema einarbeiten, es gibt Informationen in Text- Bild- und Videoform ohne Ende. Die Klassiker sind hier für mich die Apu-Boards zB apu2b4 mit OPNsense/PFsense. Auf der anderen Seite kostet dich das auch Zeit und damit Geld wenn du dich selbst damit auseinander setzen möchtest. Ab einem gewissen Aufwand lohnt sich wieder ein externer Dienstleister. PFsense/OPNsense sind zumindest ohne Lizenzkosten einsetzbar, hier wäre also nur die Hardware und der Dienstleister zu zahlen… und das wichtigste. Eine fehlerhaft eingerichtete Firewall bringt absolut keinen Mehrwert in Sicherheit, eher das absolute Gegenteil.

    Grüße M.

  • Aber heutzutage hast du überall SW in der HW

    Und ich dachte da sitzt einer drinnen und sagt:

    Du kommst hier nicht rein!

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    :shy:

  • Ich habe eine Netgate pfSense Appliance (SG-3000).

    Die gibt es nicht mehr, entweder eine SG-2000 oder SG-4000.

    ...

    Alternativ könnte man auch mit OpnSense auch einem Mini-PC arbeiten.

    Die Klassiker sind hier für mich die Apu-Boards zB apu2b4 mit OPNsense/PFsense.

    Das sind schon einmal gute Stichworte für den Start! Werde mal versuchen, mich in die Materie weiter zu vertiefen. OpenSource-Lösungen klingen für mich sympathisch - es sei denn, Proprietäres wäre für den Nicht-Profi einfacher?

    Neben den Kosten für die angebotenen Fertigpakete finde ich es nicht so toll, mich in weitere Abhängigkeiten von Dienstleistern zu begeben. Falls machbar, habe ich lieber selber den Überblick. Ich muss mal schauen, ob ich mir zutraue, mir das nötige Grundwissen anzueignen ...

  • Noch eine Verständnisfrage für den Anfang: In ersten Beschreibungen, die ich mir zum Einsatz von OPNsense auf einem Mini-PC angesehen habe, wurde die Hardware als Ersatz für den Standardrouter eingesetzt. D.h. der vom Provider gelieferte Router musste deaktiviert werden, indem die Box in den Modem-Mode versetzt wurde, was wohl nicht immer ohne weiteres unkompliziert geht. Habt Ihr auch diese Lösung gewählt, oder kann man eine solche OPNsense-basierte Hardware-Firewall auch an den vorhandenen Router anhängen?

  • ..., oder kann man eine solche OPNsense-basierte Hardware-Firewall auch an den vorhandenen Router anhängen?

    Ja das kann man. Z. B. bei einem Business-Tarif mit zusätzlicher statischer externer IPv4-Adresse und dem Router im RIP-Modus. Dann ist die OPNsense-basierte Hardware-Firewall ein "border device".

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ja das kann man. Z. B. bei einem Business-Tarif mit zusätzlicher statischer externer IPv4-Adresse und dem Router im RIP-Modus. Dann ist die OPNsense-basierte Hardware-Firewall ein "border device".

    Danke für die Info. Wenn eine statische IP erforderlich ist (hab ich leider nicht), wird die Sache doch komplizierter. Außerdem befürchte ich, dass mein "Router" Easybox mit seinen geizigen Einstellungs- und Konfigurationsmöglichkeiten ein Strich durch die Rechnung machen wird. Ich glaube, ich werde den Gedanken an eine externe DIY-Firewall wohl doch wieder verwerfen :| ...

  • die EasyBox im Routermodus fungiert meiner Meinung nach auch als Firewall

    Das stimmt, allerdings erfüllt diese rudimentäre Firewall nicht die gesetzlichen Sicherheitsanforderungen, da sie weitergehende Funktionen wie die Protokollierung erfolgter Angriffsversuche, das Herausfischen von Schadsoftware aus dem laufenden Traffic und andere Features nicht beherrscht. Daher muss zwingend eine separate hardwarebasierte Firewall angeschafft werden.

  • Wenn eine statische IP erforderlich ist (hab ich leider nicht), wird die Sache doch komplizierter.

    Das war nur ein Beispiel. Es geht auch (ohne statische bzw.) ohne externe/öffentliche IP-Adresse für die Firewall, verbunden mit dem Router. D. h. die Firewall muss nicht "border device" sein.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Das war nur ein Beispiel. Es geht auch (ohne statische bzw.) ohne externe/öffentliche IP-Adresse für die Firewall, verbunden mit dem Router. D. h. die Firewall muss nicht "border device" sein.

    Das ist doch ermutigender. Vielleicht ist es im Rahmen einer Double-NAT-Lösung doch gar nicht so kompliziert. Wenn ich es richtig lese, wird das zwar aus Perfomancegründen nicht empfohlen, da aber auf den abzusichernden Rechnern vorwiegend Office-Anwendungen laufen, wären Einbußen da nicht so tragisch. Hab gerade diese Anleitung gefunden:

    https://homenetworkguy.com/how-to/use-opn…another-router/

  • Ich hatte ursprünglich auch eine Easybox, habe die aber fast sofort gegen eine Fritte getauscht.

    Die habe ich später mit einem Modem und die pfSense ersetzt. Das Modem kann beide Modi: Bridge und Router. Bei mir steht es auch Bridge. Ich habe aber auch noch eine öffentliche IPv4 (dynamisch).

    Von der Seite gibt es daher keinerlei Einschränkungen.

    Gruss

  • Ich habe hier noch einen Mini-PC. Ich glaube, wenn ich noch einen LAN-Switch anhänge, müsste er die Mindestanforderungen von OPNSense erfüllen. Ich werde das einfach mal installieren und schauen, wie weit ich damit komme ...

    Die habe ich später mit einem Modem und die pfSense ersetzt.

    Wenn's prinzipiell mit mir und der Firewall klappt, würde ich das langfristig auch so machen wollen. Welches Modem hast du genau? Und muss man für den Wechsel auf Fritzbox bzw. Modem irgendwelche Dinge bei Vodafone veranlassen, oder kann man die Geräte einfach in Eigenregie tauschen?

  • So, nur kurz zur Rückmeldung: Habe mich aufgrund eurer Hinweise nun etwas einarbeiten können.

    Bei der Aussschau nach geeigneter Hardware bin ich auf dieses Modell gestoßen, das unter den für mich passenden Varianten das beste Preis-Leistungs-Verhältnis hatte: https://www.amazon.de/gp/product/B09SG41H8D/ref=ppx_yo_dt_b_asin_title_o02_s00?ie=UTF8&psc=1&tag=psblog-21 [Anzeige]

    Zur WLAN-Erweiterung habe ich diesen Router zum Kampfpreis als Access-Point hinzugefügt:

    https://www.amazon.de/gp/product/B08DFSS245/ref=ppx_yo_dt_b_asin_title_o03_s00?ie=UTF8&psc=1&tag=psblog-21 [Anzeige].

    Die Firewall hängt hinter dem Provider-Router, der leider nicht in den Modem-Modus versetzt werden kann. Jetzt stehen da quasi 3 Router in Reihe. Vielleicht kann man das im Laufe der Zeit wieder verschlanken - aber das Wichtigste: es funktioniert erst einmal alles einwandfrei. Das Einarbeiten in Netzwerk- und Firewall(OPNsense)-Themen ist für mich mit Startwissen nahe bei 0 zwar ganz schön komplex, aber es macht Spaß, langsam immer mehr Wissen und Verständnis zu gewinnen. Deshalb noch einmal besten Dank für eure Hinweise! :)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!