Jump to content

Hardwarefirewall - Intrusion Detection notwendig?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Dann braucht man auch über keine Sicherheitsmaßnahmen nachdenken, lohnt nicht.

 

Eventl. verstehst du mich falsch.

 

Umkreis meint das Einzugsgebiet meines DSL-Einwahlpunktes.

 

Von außen (d.h. vom Intenret) prallen Kazaa und auch eDonkey Paket auf den Router, natürlich gibt es keinen Datenfluss von innen nach außen und es werden auch keine entsprechenden Pakete nicht ins LAN geroutet.

 

Nach einem IP Wechsel gibt es meist noch einen Strom von alten Bittorrent Pakten, dieser reist aber nach ca. 30 min ab.

 

Aber alles in allem bekommt man einen sehr schönen Eindruck, was im Netz alles so passiert und worauf man reagieren müsste (also eine Art lowlevel IDS).

 

mfg

Link zu diesem Kommentar
Hi,

 

ich würd eher sagen, du machst dir zu wenig bzw. die falschen Gedanken ;)

 

 

@nerd

Naja, das ist ja so auch nicht richtig. Dann hätte ich den Beitrag garnicht erst geschrieben. ;)

 

Es handelt sich um Kundendaten, die dürfen nicht nach außen gelangen.

 

Was wäre denn deiner Meinung nach eine adäquate Lösung?

 

Im Prinzip ist es ja das typische SBS Umfeld.

 

Nehmen wir mal eine SBS Standard mit 10 Usern. Es soll OWA zur Verfügung stehen. Was wird hier als Firewall/ Gateway genutzt? Was würdest du empfehlen?

Dieses Szenario ist ja auf meine Umgebung zu übertragen.

 

Niemand stellt den SBS in eine DMZ, oder?

 

mfg

Carlos03

Link zu diesem Kommentar

Hi,

 

als absolutes minimum würde ich eine ausgewachsene Firewall einsetzen die Funktionen wie einen reverse Proxy (Webseite und ggf. OWA) sowie einen SMTP Proxy (Mailempfang) bietet.

 

Welches Produkt du dafür einsetzt hängt wesentlich von deinem KnowHow und deinen weiteren Anforderungen ab. Es gibt auf dem Segment alles von kostenlosen Selbstbaulösungen bis hin zu Enterprise Class Systemen (z. B. Checkpoint).

 

Wenn du einen Produktnamen hören möchtest, dann könnte ich dir für das SBS Umfeld (einfache Handhabung bei moderaten Kosten) Astaro empfehlen. Ich setzte ein solches System bei mir zuhause für die o. g. Szenarien ein und bin bis jetzt sehr zufrieden.

Link zu diesem Kommentar
Vielen Dank, das klingt interessant.

 

Kannst du mir ein geeignetes Produkt von astaro nennen, welches die Anforderungen an eine SBS Umgebung erfüllt? In welchem Preisbereich bewegt man sich dann?

Genaue Preise kann ich dir nicht nennen - frag am besten mal einen der reseller. Du kannst dir vorab (zum Test) aber auch eine virtuelle installation downloaden. Damit kannst du dir die Funktion genau ansehen. Als Produkt kommt wohl nur die kostenpflichtige "Astaro Security Gateway" in Frage.

Wo liegt denn der technische Vorteil einer solchen Lösung?

 

 

- ständige Security updates

- stabile und Sichere OS Basis

- genau auf die Funktion zugeschnitten (kleiner Footprint)

- einfaches Management

- ausgewachsene Firewallfunktionen bis hin zu Clusterfähigkeit

uvm

Link zu diesem Kommentar

@nerd

 

Ich habe mir das Portfolio von astaro kurz angesehen.

Demnach gibt es sowohl Hardware Aplliance als auch die reine Software.

 

Die Live-Demo macht natürlich einen anderen Eindruck, als die Oberfläche eines Draytek.

 

Verstehe ich es richtig, dass die Astaro Geräte auch mit Updates arbeiten?

Das heißt ich muss regelmäßig Signaturen updaten?

 

Interessant ist die Sache ja auf jedenfall. Aber ich kann derzeit nicht abschätzen, wo man dort preislich landet, in Bezug auf die vorhanden SBS Umgebung.

 

mfg

Carlos03

Link zu diesem Kommentar

also ne kleine Astaro Security Gateway bekommst du so zwischen 1000 und 2000 Euro.

 

Du musst natürlich regelmäßig Signaturen updaten. Da laufen 2 Virenscanner drauf und die SPAM Filterregeln wollen ja auch upgedated werden, also hast du natürlich auch Jährliche kosten. Aber die hast du bei jedem anderen Produkt auch.

 

Nimm die kleinste Astaro, dann hast du mehr als du brauchst.

 

Wobei meiner Meinung nach würde auch der Draytek reichen, wenn du nur den Port 443 nach innen durchreichen möchtest und sonst NICHTS.

443 ist verschlüsselt und das einzige was dann erreichbar bzw. Angreifbar ist, ist dein IIS. Dieser sollte natürlich immer auf dem aktuellen Stand sein.

Wenn du mehr sicherheit für den IIS haben willst, hilft dir nur ein Reverse Proxy und da kannst du dir auch eine virtuelle Maschiene mit Squid ( ich meine Squid kann reverse Proxy) bauen und schaltest diese zwischen den Draytek und dem IIS. Dann landen Verbindungsversuche oder Angriffe erst auf dem Proxy und vom Proxy wird die Verbindung neu zum IIS aufgebaut.

 

Weil, wenn du nur die Astaro nimmst und den Port 443 auf den IIS weiterleitest, bist du genausoweit wie mit dem Draytek, hast nur ne Menge mehr Geld ausgegeben.

 

Ob Astaro nun ab Version 8 ReverseProxy kann, kann ich dir leider nicht sagen.

 

Edit: Also wir haben hier zig webserver gehostet ohne ReverseProxy.

 

Sind deine Daten auf dem SBS "sooo wichtig" das man diese unbedingt haben möchte? Bzw. wie hoch besteht das Interesse an den Daten?

Link zu diesem Kommentar

@snoopy

 

Danke für deine Ausführungen.

 

Preislich haut mich das natürlich schon um, das muss ich zugeben.

 

Wir sind ein Planungsbüro. Es handelt sich um Kundendaten.

Im Prinzip sind es die Daten die auch jeder Tischler von seinen Kunden hat.

Aber wenn jemand an Grundrisszeichnungen kommt, dann kann man damit ja auch schon was anstellen.

 

Mir stellt sich die Frage, wieviel Zeit jemand bereit ist zu investieren, wenn er doch eigentlich nicht weiß was sich hinter der Firewall verbirgt.

 

 

Nen Scriptkiddie sollte ja auch an dem Draytek scheitern.

 

Mich wundert ein bisschen das es nicht DIE Lösung für mein Problem gibt, denn eigentlich handelt es sich doch um eine ganz simple und tausendfach eingesetzte Small Business Umgebung.

 

mfg

Carlos03

Link zu diesem Kommentar

moin,

wenns rein um IIS mit HTTPS geht, dann muss ich snoopy20004 auf jeden fall zustimmen. in https kannst du eh nur reinschauen wenn du es komplett aufbrichst, keine ahnung was appliances kosten die solche späße können -meiner meinung nach, sind sie für deinen zweck rausgeschmissenes geld.

 

und mal ganz ketzerisch: wenn dein webserver das internet nicht "verträgt" dann hätte er nicht webserver werden sollen. wenn du diem IIS nicht vertraust, dann nimm halt nen apachen, ngix, lighty oder alternatives dem du mehr HTTPS fähigkeiten zutraust und leite intern um.

 

gruß

werner

Link zu diesem Kommentar

@werner008

 

Die Applikation läuft nur auf dem IIS.

 

Mir geht es eigentlich darum, für die Außendienstler den Zugriff von außen zur Verfügung zu stellen.

Die Idee war das per SSL VPN zu machen. Der vorhandene Draytek macht das ja schon.

 

In meinen Augen wäre es natürlich einfacher ohne VPN, weil man dann ja doch flexibler ist.

 

An diesem Punkt stellt sich dann die Frage wie ich das am Besten mache.

Das war der Grund meines Beitrages.

 

Ich habe ja nun schon eine Menge Meinungen gehört. Teilweise auch ein wenig widersprüchlich.

 

Wirklich schlauer bin ich nun auch nicht. ;)

 

mfg

Carlos03

Link zu diesem Kommentar

Hi,

 

wirkliche "out of the box" Lösungen gibt es in der IT sehr selten. Jeder hat eigene Anforderungen etc.

 

@https Direktverbindung: Jungs, glaubt mir - das ist keine gute Idee. Es gibt bei solchen Szenarien viel zu viele Möglichkeiten Angriffe zu starten. Ich gebe euch recht, dass das per heute (kann morgen schon anderst sein) einfache script kiddies nicht viel damit anfangen können.

 

Astaro kann in der 8er Version reverse proxy Funktionen bereitstellen. Auch die Pflege der Firewall ist recht einfach. Du kannst z. B. einstellen, dass er die Patterns selbst aktualisiert und dich z. B. informiert wenn ein update der software durchgeführt werden muss...

Link zu diesem Kommentar
also ne kleine Astaro Security Gateway bekommst du so zwischen 1000 und 2000 Euro.

Nein, das ist nicht richtig.

Aktuelle Promo bis ende März:

bei 3 Jahren Full Guard gibt es eine Hardware-Appliance kostenfrei,

bei 5 Jahren Full Guard gibt es zwei Hardware-Appliances kostenfrei (HA)

 

- ASTARO ASG 110 mit Full Guard 3 Jahre Net/Web/Mail Subscriptions 1.545 €

- ASTARO ASG 110 mit Full Guard 5 Jahre Net/Web/Mail Subscriptions 2.315 €

Das ASG 110 schützt maximal 10 IP-Adressen (+10% ist erlaubt). Und für das Komplettpaket inklusive aller Updates mal auf die einzelnen Jahre gerechnet also absolut in Ordnung.

 

Einfach nochmal die Features anschauen.

Link zu diesem Kommentar

@stephan

Super, die Preise kommen wie gerufen.

Ich habe heute Mittag einen lokalen Reseller gebeten uns ein Angebot zu erstellen.

Ich nehme deine Preise jetzt mal als Referenz bzw. Vergleichsangebot. :D

 

@all

Ich sehe ja ein, dass man nen Webserver nicht mit nem Speedport absichern kann.

Auf der anderen Seite muss es auch wirtschaftlich passen.

Der Einsatz der Webapplikation beruht auf Kostenvorteilen. Diese sollen natürlich erhalten bleiben.

 

Wäre es denn eine Alternative, das Ganze nur mit VPN zu realisieren.

Also den Draytek weiter nutzen und der IIS steht im Lan.

Die Außendienstler stellen eine VPN (z.B. SSL VPN) Verbindung zum Draytek her und bekommen dann nur Zugriff auf den Webserver?

 

Ist das eine brauchbare / sichere Alternative? ;)

 

mfg

Carlos03

Link zu diesem Kommentar

jetzt mal ganz anders, kann sein das ic hdas überlesen oder missverstanden habe.

 

WAS willst du ins Internet stellen? Geht es darum eine https Webseite mit deinen Kunden Daten? Geht es um Remotesitzungen, um auf den gesamten Server zuzugreifen?

Bei 1. Würd ich vielleicht sagen, nimm nen 2. Server, stell diesen in die DMZ und lass hier deine Webseite laufen, der dann SQL Querys an den internen SQL Server macht, wo deine Kundendaten liegen.

 

Soll es eine Remotesitzung sein. Schau dir mal Citrix im zusammenspiel mit Safeword an. Da hast du eine 3Faktorauthentifizierung.

Das bedeutet, jeder User hat einen Benutzernamen, ein Kennwort und zusätzlich ein Token.

Das Webinterface zur Authentifizierung lässt du in einer DMZ laufen und lässt in die DMZ weder von dem LAN noch von dem Internet irgendetwas anderes rein als das was wirklich benötigt wird. Und du lässt dann NUR von der DMZ ins LAN deine ICA Sitzung zu.

Dann bist du ziemlich sicher und wenn das jemand knackt, dann kann der auch ganz andere Sachen mit deinem System machen.

 

Und du kannst deinen Draytek Router weiter nutzen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...