Hardwarefirewall

[ArrorRT]

Hallo alle zusammen,

ich erhielt kürzlich ein schreibe von meiner Versicherung (Cyberversicherung) in der sie nun zum einen die Beiträge erhöht, aber auch eine erweiterte Firewall fordert, also nicht die in der Fritz!Box integrierte Firewall.

Wir sind ein kleines Unternehmen mit 9 Mitarbeitern, 9 PCs und ein Windows Server.

Kann jemand eine Hardwarefirewall empfehlen, die für diese Zwecke reicht?
Wir haben und benötigen keine VLANs, da wie gesagt das Unternehmen dafür einfach zu klein ist.

In die Einrichtung werde ich mich dann reinarbeiten, da ich mit Hardwarefirewall bisher nicht gearbeitet habe.
Ich wurde von den Dokumentationen der Hersteller bisher nicht enttäuscht, daher sollte das in meinen Augen machbar sein (natürlich wird das Zeitintensiv keine Frage).

 

[Mr. Smith]

Ich nutze das Unifi USG und bin sehr zufrieden.
Kost nix, ist einfach einzurichten und benötigt auch keine regelmäßigen Update-Lizenzen etc.

 

[snakesh1t]

Auch wenn du es nicht gerne hören möchtest, aber:
SYSTEMHAUS!

Es macht keinen Sinn, dass du dich selbst da rein arbeitest.
Selbst wenn du eine Firewall/USG ans laufen bekommst, heißt es noch lange nicht, dass es sicher ist.
Wenn du die Fragen nicht kennst, die auf dich zu kommen, dann kannst du auch nicht fragen.
Ein Systemhaus weiß in dem Fall welche Besonderheiten es gibt und wie man es konfiguriert.
Ich glaube auch nicht, dass es ratsam für die Cyberversicherung ist wenn ein Laie eine solch anspruchsvolle Firewall konfiguriert.

 

[cartridge_case]

(Cyberversicherung) in der sie nun zum einen die Beiträge erhöht, aber auch eine erweiterte Firewall fordert, also nicht die in der Fritz!Box integrierte Firewall.

Perfekter Zeitpunkt für die Kündigung!

 

[Fujiyama]

Vlt ist es auch einfach die Versicherung zu wechseln die diese Anforderung nicht hat. Grundsätzlich sollte man aber im Unternehmen schauen das die IT-Sicherheit gewährleistet ist. Das würde ich auch jemand anderen überlassen und selbst ich mit IT-Ausbildung und Studium traue mir das nicht zu.

 

[Maggus-Desire]

Systemhaus ist deine Antwort.
Lass dich beraten.
Bei der Größe und der Anforderung eine XGS107.

Und auch bei nur einem Server:
Client und Server-LAN gehören getrennt.

 

[nciht]

Kann jemand eine Hardwarefirewall empfehlen, die für diese Zwecke reicht?

Ruf bei der Versicherung an, was genau da gefordert wird. "erweiterte Firewall" muss nicht mal zwingend eine besonders teure Hardware-Firewall sein. Wenn das Teil nicht korrekt konfiguriert wird, bringt aber jegliche Anschaffung nix, daher würdet ihr euch mit der Info von der Versicherung eh an jemanden wenden müssen, der die auch einrichten kann.

 

[andy_m4]

aber auch eine erweiterte Firewall fordert

Definitieren die denn genau, was die abdecken muss?
Der Begriff "erweiterte Firewall" ist ja recht schwammig. Das kann alles mögliche sein.

 

[ArrorRT]

@Mr. Smith das werde ich mir ansehen danke.

@snakesh1t da gebe ich dir absolut recht, leider ist dafür das Budget einfach nicht da und witzigerweise soll lediglich der Nachweis erbracht werden, da eine existiert und mehr nicht.

@cartridge_case haben wir bereits, aber alle neuen wollen das ebenso.

Zum Thema erweiterte Firewall, wir haben von der Versicherung auch keine genaueren Infos bekommen, das war ein Zitat aus dem Schreiben

 

[Raijin]

Insbesondere wenn es um Anforderungen der Versicherung geht, sollte man tendenziell eher einen Fachmann darauf ansetzen, sei es ein Systemhaus/IT-Dienstleister oder ggfs ein entsprechender Freelancer. Unternehmens-IT ist auch bei kleinen Unternehmen eher schlecht als recht in den eigenen Händen aufgehoben, sondern bedarf auch hier fachkundigen Personals.
Solange aber keine konkreten Anforderungen bekannt sind, ist es müßig darüber zu diskutieren welche Firewall die Kriterien erfüllt.

Ansonsten kann man natürlich jetzt Begriffe reinwerfen wie pfSense, OPNsense, Sophos, dies, das und Co, aber das ist stets eine Frage der persönlichen Präferenz und je länger der Thread wird, umso mehr Auswahl wirst du bekommen - was dir am Ende kaum weiterhilft, weil tendenziell irgendwann der komplette Markt erwähnt wurde.

 

[Blutschlumpf]

Was genau fordern die denn bzw. wie definieren die "erweitert"?

Edit: zu spät

 

[Maggus-Desire]

Das kann alles mögliche sein.

Für mich heißt das schlicht: Überhaupt eine Firewall haben.
Eine Fritzbox ist keine Firewall. Sie sperrt maximal ein paar Ports. Ist trotzdem unsicher wie ein löschriges Scheunentor und hat in einer Firma nichts als Perimeterschutz zu suchen.

Wenn es vom Anschluss nicht anders geht, dann halt für ein Doppel-NAT VOR einer Firewall. Aber niemals als einziger Schutz, wenn mehr wie Cloud Only Devices im Einsatz sind.

 

[thealex]

Wir sind ein kleines Unternehmen mit 9 Mitarbeitern, 9 PCs und ein Windows Server.

Perfekte Größe um nach einem erfolgreichen Angriff direkt die Türen zusperren zu können. Je nachdem wie die Backupstrategie denn so aussieht.

Erkundige dich bei der Versicherung, was genau gefordert ist, und dann schaue dich um, wer dir das bereitstellen kann. Egal ob kleines, mittleres oder großes Unternehmen. Es hängen immer Existenzen dran. Und der Bereich Cybersecurity ist mittlerweile so wichtig, dass er nicht vernachlässigt werden darf.

da gebe ich dir absolut recht, leider ist dafür das Budget einfach nicht da und witzigerweise soll lediglich der Nachweis erbracht werden, da eine existiert und mehr nicht.

Das Budget muss dafür da sein. Denn sonst: Siehe mein erster Satz.

 

[ArrorRT]

Was Backups angeht, sind wir gut ausgestattet, aber man muss es ja nicht drauf ankommen lassen

 

[cartridge_case]

aber alle neuen wollen das ebenso.

Wer hat denn bestimmt, dass ihr eine benötigt? Ich schrieb ja absichtlich von Kündigung, nicht von Wechsel.

 

[Maggus-Desire]

Das Budget muss dafür da sein. Denn sonst: Siehe mein erster Satz.

So sieht es aus. Als Mietfirewall kostet was kleines unter 300 Euro im Monat bei vollem Support und Austausch im Fehlerfall sowie Wartung.
Wenn eine Firma das nicht aufbringen kann, hat die Firma andere Probleme und eine Cybersecurityversicherung moniert wahrscheinlich vollkommen zu Recht den Zustand der Umgebung.

@ArrorRT
wie sieht die Backup Strategie denn aus?
Was geschieht im Desasterfall? Wie schnell könnt ihr mit welchem Risiko eines Datenverlustes wieder online kommen?
Setzt ihr auf eine Endpoint Security?
Wie ist der Server geschützt?
Was für ein ServerOS ist es denn überhaupt? Zum Beispiel 2012R2 hat bald keinen Support mehr und gehört ausgetauscht. Von noch älteren OS Versionen komplett abgesehen.

 

[ArrorRT]

@Maggus-Desire ja IT Technisch ist die Firma nicht so gut aufgestellt.

Wir haben 2 Backups direkt im Firmengebäude, und 2 die in einem anderen Gebäude sind.
Sprich im absoluten Ausfall könnte alles in ca. 6 Stunden wiederhergestellt werden (grob geschätzt)
Es handelt sich um einen Windows-Server 2019

 

[Drakonomikon]

Ist trotzdem unsicher wie ein löchriges Scheunentor [...]

Mich interessiert in diesem Zusammenhang wieso die Fritzbox Firewall einer externen Firewall unterlegen sein soll. Warum ist das so? Was kann eine externe Firewall, was eine Fritzbox nicht kann?

 

[nitech]

Denke die Versicherung denkt bei einem "erweiterten" Firewall an einem UTM Firewall wie den oben genannten Sophos, kann evt. auch Lancom z.b. UF-160 /260 empfehlen. Was dabei zu beachten ist: meist ist die Hardware nicht mal so teuer, es kommen noch die UTM-Lizenzen dazu, und die sind dann jährlich/3-jährig in Euer IT-Budgetsystem einzuplanen.

Ergänzung (25. Juli 2023)

Mich interessiert in diesem Zusammenhang wieso die Fritzbox Firewall einer externen Firewall unterlegen sein soll. Warum ist das so? Was kann eine externe Firewall, was eine Fritzbox nicht kann?

Wenn es eine UTM Firewall ist: scannen des Datenverkehrs z.b. auf Viren, schon bevor die Daten des interne Netzwerk erreichen, und noch einiges mehr. Ein guter Firewall kontrolliert zudem auch den ausgehenden Traffic. Bei den Lancoms z.b. muss man jedes Port das nach außen geht einzeln freischalten (also auch 80, 443 usw).

 

[Maggus-Desire]

@Drakonomikon
sehr sehr vereinfacht gesprochen (wenn es dich in Tiefe interessiert, kann ich dir da auch eine zwei wöchige Schulung zu verkaufen ):
eine externe Firewall (Hardware oder als VM ist egal) bietet mehr, wie einfach nur Port auf oder Port zu. Du hast Sicherheitsfeatures für deine Webservers, DDoS Schutz, Intrusion Prevention, Application Filter (vieles ist halt TCP443 und damit macht ein Port-Filter wenig Sinn), Web Filter usw usf.