Heimnetzwerk absichern - Hardware-Firewall sinnvoll?

Hallo und guten morgen zusammen,

ich beabsichtige in den kommenden Tagen mein Heimnetzwerk umzustellen bzw. auch zu erweitern und mache mir daher auch Gedanken zur Sicherheit und dem Schutz der vorhandenen Daten.

Meine geplante Konstellation sieht wie folgt aus bzw. wird demnächst so aussehen:
=> siehe Attachment


Um die Datensicherheit nunmehr nochmals zu steigern (die künftig geplante Fritzbox leistet hierbei ja bereits ihren Beitrag) habe ich mir die Anschaffung einer Hardware-Firewall überlegt, um die dahinter liegenden Geräte entsprechend zu schützen (Macbook oder auch die Netzlaufwerke). Das Grundmann an Internetsicherheit erfülle ich derzeit denke ich schon (kein Besuch dubioser Seiten oder Downloads von nicht vertrauenswürdiger Inhalte etc). Da ich die Daten auf den Netzlaufwerken jedoch zusätzlich schützen möchte oder die WLAN Kameras vor fremden Blicken verbergen möchte, mache ich mir Gedanken zur Anschaffung zusätzlicher Sicherheitskomponenten. Sensible Daten wie Bankinformationen oder Gesundheitsunterlagen liegen selbst verständlich lediglich analog vor, so dass hierauf digital nicht zugegriffen werden könnte. Nichts desto trotz möchte ich den privaten Schriftverkehr oder Bilder etc schützen. Bei den Netzlaufwerken handelt es sich um ein Synology-NAS (sofern dies noch wichtig wäre).

Könntet ihr mir eure Meinung zu den Überlegungen meinerseits mitteilen und eventuelle Empfehlungen aussprechen bzw. Tipps und Ratschläge geben? Angesehen habe ich mir bisher mal jenes Gerät
Netgear FVS336G-300EUS ProSafe Dual WAN Firewall

Um die Sicherheit entsprechend herzustellen, müsste die Hardware Firewall meiner Einschätzung nach direkt hinter die Fritzbox gehangen werden, die WLAN Verbindungen dann auch erst nach der Firewall aufgebaut werden, damit diese nicht über die Fritzbox Verbindung "übergangen" wird - nehme ich mal an.


Für Tipps und Ratschläge (jeglicher Art) bin ich offen und sehr dankbar.

Soweit besten Dank vorab und einen schönen Sonntag zusammen

Was soll dir diese "Firewall" genau bringen? Gegen welche exakten Angriffsszenarien soll sie dich schützen?
Wenn du diese Fragen nicht beantworten kannst brauchst du keine "Firewall".

gelöscht.

Die interne Firewall der FRITZ!Box und Surfen mit eingeschaltetem Gehirn sind vollkommen ausreichend. Hardwarefirewalls sind etwas für Firmen, die aktiv von ganzen Botnetzen angegriffen werden und bei denen es Daten zu holen gibt, die sich zu fünf- oder sechsstelligen Beträgen machen lassen.

Es ist besser, Geräte und Dienste vernünftig zu konfigurieren, anstatt sie schlampig oder gar nicht zu konfigurieren und dann ein teures Stück Hardware hinzusetzen, das man nicht versteht, aber das Sicherheit herbeizaubern soll.

Generell: Biete keine Dienste an, die du nicht benutzt. → UPnP im Router gehört deaktiviert, Portweiterleitungen wenn nötig selbst eingerichtet. Webinterface-Logins auf Router, NAS und sonstige Geräte werden wenn überhaupt nur aus dem LAN zugelassen, nicht aber aus dem WAN. FTP- oder SMB-Freigaben nach außen hin anzubieten, ist heute keine gute Idee mehr.

Eine Lösung, mit der du alles erschlägst, ist eine VPN-Verbindung. Da du eine FRITZ!Box hast, läßt sich das einfach einrichten. AVM bietet für jedes Modell eine Anleitung, auch Apps für Android und iOS. Mit einer VPN-Verbindung kannst du auf alle Geräte von draußen so zugreifen, als säßest du bei dir im heimischen LAN.

Das Problem an der Sache ist, einfach nur eine Hardwarefirewall vorschalten reicht nicht aus. In deinem Szenario sollte die Fireawall dann auch vor der Fritzbox setzen, sofern die Box nicht nur als Modem genutzt wird.

Eine Firewall will aber auch konfiguriert und überwacht werden. Auf der anderen Seite lässt auch eine Fritzbox keine Verbindungen von aussen zu, die du nicht konkret zugelassen hast. Gegen Sicherheitslücken im Betriebssystem deiner Computer, Smartphones, Fernseher etc. hilft eine Firewall auch nicht unbedingt. Der nächste Schritt wäre ein IDS/IPS (intrusion detection/prevention system), aber auch das muss konfiguriert, gepflegt und überwacht werden.

Für ein Heimnetzwerk ist das alles absoluter Overkill, sofern du dich nicht sowieso mit diesen System auskennst... aber dann würdest du hier wohl nicht deine Fragen stellen

Belass es bei der Fritzbox, öffne keine Ports nach aussen und spiel immer schön die aktuelle Firmware auf. Dazu ein aktuelle Virenscanner und gesunder Menschenverstand und du wirst auch weiterhin sicher im Internet unterwegs sein.

Alle Dienste die du nach außen hin aufmachst sind eine Schwachstelle, egal ob bei der FB oder in einer extra Firewall.
Auch VPN ist ein möglicher Angriffspunkt, wenn auch kompliziert.

Du musst entscheiden was dir lieber ist: selber von unterwegs auf deine Daten zugreifen zu können und damit eine Schwachstelle schaffen oder einfach darauf verzichten

Ich nutze eine Zywall usg20 für private Zwecke. Ob sie sinnvoll ist? Naja, wohl eher nicht, aber für mich persönlich eine tolle Spielerei.
Ich hätte es nie für möglich gehalten wie viele Clients in meinem LAN versuchen ständig nach außen zu "telefonieren" und vor allem wie viele Zugriffe auf zufällige Ports aus dem WAN auf mein LAN täglich stattfinden. Allein mein NAS in der DMZ blockt täglich eine zweistellige Anzahl an Zugriffen auf die Ports 80 und 443 aus dem WAN, den Rest blockt die Hardwarefirewall.
Ich finde es sehr interessant direkt zu sehen wer, wann auf was zugreift, aber wirklich nötig ist eine HW Firewall wohl nicht.

Die Sinnhaftigkeit einer Firewall liegt im Auge des Betrachters. Grundsätzlich hat jeder handelsübliche Router bereits eine Firewall integriert. Das äußert sich darin, dass der Router Anfragen von außen ohne eine passende eingerichtete Portweiterleitung schlichtweg ignoriert.

Es ist wie immer eine Frage der Zielsetzung. Möchte man beispielsweise Teile des Netzwerks voneinander isolieren, zB ein Gast-(W)LAN, dann reicht ein 08/15-Router nicht mehr aus. Da du eine Fritzbox verwendest, wäre ein Gast-WLAN aber machbar. Will man mehr Kontrolle oder hat spezielle Anforderungen an diese Abschottung, kommt eine Hardware-Firewall ins Spiel. Genau dafür ist sie gedacht, um Datenverkehr von einem Netzwerk ins andere zu reglementieren. Das setzt allerdings auch ein gewisses KnowHow des Admins voraus. Sonst blockiert man mehr als man wollte oder weniger als man sollte.

In einem Szenario, in dem man Zugriff auf bestimmte Ressourcen im Netzwerk (zB NAS) von außen ermöglichen will, würde ich grundsätzlich nur den Weg über ein VPN gehen. Stellt man Endgeräte wie ein NAS direkt ins Internet (also mit direkten Portweiterleitungen), ist man stets darauf angewiesen, dass der Hersteller die Firmware pflegt und Sicherheitslücken zeitnah schließt. Selbstredend ist der Admin selbst für die eigentlichen Updates zuständig. Bei einem VPN ist das etwas anders. VPNs sind explizit für diesen Zweck vorgesehen und entsprechend stark verschlüsselt. Sicherheit ist gewissermaßen die Kernkompetenz eines VPNs, im Gegensatz zu einem NAS, das primär nur Daten zur Verfügung stellt. Statt für jedes Endgerät, das von außen erreichbar sein soll, im Router eine Tür zu öffnen (im Zweifelsfalle nur eine Papptür), die einem Hacker einen potentiellen Angriffsvektor bietet, ist im Router nur eine dicke verschlüsselte Stahltür für das VPN. Da eine Fritzbox von Haus aus VPN beherrscht, bietet sich das förmlich an.


Lange Rede kurzer Sinn: Eine Hardware-Firewall ist nicht immer sinnvoll und bedarf für die Konfiguration einiges an KnowHow.

was nützt dir die sicherste firewall, wenn du die nicht konfigurieren kannst?

wenn du alles komplett von der aussenwelt abschneiden möchtest, brauchst du nicht nur eine firewall, sondern einen proxy-server, der alle ein und ausgänge kontrolliert.. aber auch da gilt: es ist nur so sicher, wie dein wissensstand ist.

die heutigen fritzboxen bieten dir von anfang an genügend schutz da es eine trennung zwischen netzwerk und internet hat, auch hier gilt: je mehr du konfigurierst, desto angreifbarer bist du, und je mehr gerät nach aussen erreichbar sein müssen (NAS, Kameras usw..) desto grösser die gefahr..