Firewall: FritzBox vs. opnsense/ipfire

[eehm]

In unserem neuem Zuhause würde ich gerne Vieles gewachsene bzgl. IT-Sicherheit erneuern und vieles auf den Prüfstand stellen ....!
Wir bekommen mehrere IP-Kameras im Haus, welche ich wirklich sicher vom Internet trennen will, aber im lokalem Netz sollen sie natürlich verfügbar sein.
Dann würde ich zwar gerne alle PCs im Haus an die Netzwerkdosen anschließen, allerdings sollen nicht alle Rechner auch Zugang zum Internet bekommen (z.B. alter Win7 Rechner der Frau).

Kann ich dies alles noch mit meiner FritzBox 7530 realisieren oder wäre hier eine Hardwarefirewall auf Basis von 'Opnsense' bzw. 'ipfire' deutlich im Vorteil?

Ein wenig Netzwerkkenntnisse sind vorhanden und ich wäre auch bereit einiges an Zeit zu investieren, aber es sollte am Ende machbar sein. Da bin ich mir eben leider bzgl. 'Opnsense' und 'ipfire' nicht so ganz sicher ....!
Wie schätzt ihr das ein bzw. hat einer von euch vielleicht sowas in Betrieb und kann es empfehlen bzw. klar abraten?

 

[till69]

Alternative wäre ein ER-X (oder ein anderer Router, z.B. OpenWRT) hinter der Fritzbox

 

[Engaged]

Kannst Geräten zb deinen Kameras ganz einfach Internet verbieten in der Fritzbox, dazu brauchst du keine Kenntnisse usw.

 

[madmax2010]

Egal was deine Firewall macht, es gibt Sicherheitslücken in Windows 7,gegen die keine Firewall und kein antiviren Programm mehr was ausrichtet.
Ob opensense, ipsense, openfire oder sonst was: die ganzen Firewall distris laufen entweder mit pf, bpf oder iptables.
Dafür musst du keine Hardware kaufen, das lässt sich auch easy auf einem raspi installieren

 

[Engaged]

Nebenbei bemerkt, man kann doch win 10 immer noch gratis von Win7 updaten, bei heise haben die mit nem win 7 Key sogar das geleakte win 11 aktiviert!

 

[DFFVB]

Ich habe mich auch damit beschäftigt, und mir gedacht ich müsste hier aufrüsten. Am Ende vom Lied bin ich erstmal bei der Kombi Fritzbox plus zweiter Router geblieben. Sofern Du nur mit der Fritzbox klarkommst, würde es ich es dabei belassen, und erst wenn Du ein "echtes" Requirement hast, man bildet sich hier auch gerne viel ein, und muss sich nach den Vorteilen fragen. Ich habe OPNSense und Sophos XG getestet, Du musst Dich hier einarbeiten, und auch mit Regeln zu Firewalls. Mir persönlich sind Aufwand / Nutzen nicht im richtigen Verhältnis. Denn das Risiko doch etwas falsch zu konfigurieren, ist mir zu groß, da bietet eine FB mehr schutz out of the box.

Vom Edge Router rate ich ab, der ist im default offen wie ein Scheunentor.

@madmax2010 Kannst Du deine Aussage auch belegen? AFAIK basieren OPNSsense und PFsense auf BSD; und das gibts nur für x64, nicht aber arm. Abgesehen davon hat der Raspi nur einen Netzwerkport, und USB Ethernet ist von den Latenzen, Stabilität und auch Kompatibilität eher meh...

 

[leipziger1979]

wäre hier eine Hardwarefirewall auf Basis von 'Opnsense' bzw. 'ipfire' deutlich im Vorteil?

Gegenüber einer FB ist sowas immer, KnowHow vorausgesetzt, besser.

Wenn du aber nur den Kameras bzw. dem Win7 Rechner das Internet wegnehmen willst vergib bei den Geräten doch statische IPs und lasse den Gateway weg.

 

[Pille]

Egal was deine Firewall macht, es gibt Sicherheitslücken in Windows 7,gegen die keine Firewall und kein antiviren Programm mehr was ausrichtet.
Ob opensense, ipsense, openfire oder sonst was: die ganzen Firewall distris laufen entweder mit pf, bpf oder iptables.

Quark, Gibts genug Sachen. zB Intrusion Prevention System, Thread Protection usw die sowas verhindern oder zumindest deutlich minimieren können. Kostet halt nur Geld und kann kostenlos Opensource-Kram meistens nicht oder weniger. Weil da stecken Resourcen hinter, die Geld kosten.

 

[Web-Schecki]

...

Welche konkreten Lösungen gibt es denn, um Windows-7-Rechner abzusichern? Darf auch gerne ein bisschen was kosten.
Alle Intrusion Prevention Systeme, die ich kenne, sind nämlich wirklich nur open source und haben mit genanntem Szenario rein garnichts zutun, deshalb würde mich das sehr interessieren.

 

[snaxilian]

Kostet halt nur Geld und kann kostenlos Opensource-Kram meistens nicht oder weniger

Viele der vermeintlich teuren Lösungen nutzen unter der Haube auch nur die entsprechenden Open Source Tools. Der Mehrwert steckt in der Integration in andere Dienste oder die Open Source Produkte werden überwiegend von $Anbieter entwickelt. Bekanntestes Beispiel dürfte SNORT sein und wird primär von Cisco entwickelt und steckt auch in IDS Lösungen von Cisco. Bei letzterem gibt es eben Komfortfunktionen "drum herum".

Kann ich dies alles noch mit meiner FritzBox 7530 realisieren

Ja, kannst du definitiv indem du den Geräten bzw. IPs in der Fritzbox den ausgehenden Internetzugriff abklemmst.
Eine opensense/pfsense/ipfire nehmen zu wollen und auf der anderen Seite Win 7 zu nutzen zeugt von einem falschen Verständnis, was Firewalls leisten können. Firewalls sind ein Baustein aber das Ziel ist Defense in Depth, also die Kombination von verschiedenen Maßnahmen. Keine Einzelmaßnahme ist perfekt und hat Löcher so wie manch Käse. Aber trotzdem kann man trotz der Löcher nicht durch einen Laib durch gucken

Ein IDS/IPS ist nett und kann vieles aufzeigen aber erfordert viel Zeit und Kenntnis bei der regelmäßigen Auswertung. Was ist "guter" Traffic und was nicht? Was soll dann bei einem Fund passieren?

Als jemand der einige Jahre im IT Ops Bereich gearbeitet hat und inzwischen in die IT Security gewechselt ist und selbst privat noch ne Fritzbox verwendet, rate ich dir: Kümmere dich lieber um funktionierende und getestete Backups aller Systeme, minimale Berechtigungen aller Accounts (ergo nicht als Admin und mit deaktivierter UAC tagtäglich am PC sitzen), Verringerung der Angriffsfläche (Deinstallation nicht benötigter Software) und stete Aktualisierung der notwendigen Software, Nutzung eines Passwortsafes, Bonuspunkte für 2FA/MFA wo möglich aber auch hier gilt besonders: Gute Sicherung oder mehrere 'zweite' Faktoren falls einer verloren oder kaputt geht sonst sind die damit gesicherten Services und Accounts weg! und generell eine gewisse Skepsis an den Tag legen.

 

[Hayda Ministral]

Welche konkreten Lösungen gibt es denn, um Windows-7-Rechner abzusichern?

Ein Lösungsansatz wäre Win7 in eine VM von Virtualbox, VMWare, Hyperwave,.... zu packen. Das gibt's für Privatleute kostenlos und ist zusammen mit Brain 2.0 eine oftmals erfolgreiche Kombination. Fordert aber Disziplin und etwas Einarbeitung und ist letztlich nur ein neuer, auf hochglanzpolierter, Sattel den man einem toten Gaul aufsetzt.

 

[Raijin]

Kann ich dies alles noch mit meiner FritzBox 7530 realisieren oder wäre hier eine Hardwarefirewall auf Basis von 'Opnsense' bzw. 'ipfire' deutlich im Vorteil?

Das ist eine Frage des Blickwinkels. Hardwarefirewalls sind nicht per Definition "besser" als ein 08/15 Router. Bugs außen vor kochen alle nur mit Wasser. Ein 08/15 Router ist im Endeffekt nicht weniger sicher als OPNsense und Co.

Die Sicherheit einer Firewall kommt nicht durch den Namen, sondern durch die Konfiguration.

Eine ab Werk vernünftig konfigurierte Fritzbox-Firewall schlägt eine blind und ohne Sachverstand einem Youtube-Video nachgeklickte Konfiguration einer OPNsense um Längen. Solche Videos stammen nämlich nicht selten von Leuten, die ihr KnowHow auch nur aus anderen Youtube-Videos haben. Ausnahmen bestätigen sicherlich die Regel, aber als Laie kann man (technich) gute Tutorials nicht von den schlechten unterscheiden.


Der eigentliche Vorteil von OPNsense und Co ist daher nicht die Sicherheit, sondern die Konfigurierbarkeit. Die Firewall in einem 08/15 Router lässt sich nur durch Wizards minimal anpassen. Beispielsweise Portweiterleitungen oder "Haken" für Kindersicherung, Gastnetzwerk und dergleichen. Alles links und rechts daneben wird dem Benutzer gar nicht angeboten damit "der dumme Benutzer" auch ja nichts kaputtkonfigurieren kann.
Bei OPNsense, etc. kann man alles konfigurieren, aber das ist Segen und Fluch zugleich, weil man dementsprechend genau wissen muss was man da tut.



Für das beschriebene Szenario, in dem Kameras und PCs das Internet abgedreht werden soll, braucht man ggfs noch nicht mal irgendwelche besonderen Funktionen im Router. Klar, über die Kindersicherung (ich glaube darunter läuft das bei AVM?) kann man gezielt bei bestimmten Geräten die Internetverbindung blockieren. Man kann allerdings genauso gut auch in den Netzwerkeinstellungen der fraglichen Kamera das Standard-Gateway leer lassen oder auf eine bewusst falsche IP stellen. Ebenso bei PCs, mit dem Unterschied, dass das natürlich einen Nutzer des PCs nicht davon abhalten kann, das Gateway wieder einzutragen.

 

[0-8-15 User]

es gibt Sicherheitslücken in Windows 7,gegen die keine Firewall und kein antiviren Programm mehr was ausrichtet.

Spielt aber quasi keine Rolle, wenn das Teil nicht am Internet hängt.

vergib bei den Geräten doch statische IPs und lasse den Gateway weg

Security by Obscurity.

Eine opensense/pfsense/ipfire nehmen zu wollen und auf der anderen Seite Win 7 zu nutzen zeugt von einem falschen Verständnis, was Firewalls leisten können.

Ich seh den Widerspruch ehrlich gesagt nicht.

 

[Web-Schecki]

Ein Lösungsansatz wäre Win7 in eine VM von Virtualbox, VMWare, Hyperwave,.... zu packen.

Mmh, das klingt nach Aufwand. Andauernd frische images einspielen, weil man ja nicht weiß, ob die alten kompromittiert sind, das Host-System muss man trotzdem irgendwie absichern und wenn das auch mit Windows 7 läuft, hat man nicht soo viel gewonnen.
Wo da nun aber Intrusion Prevention zum Einsatz kommt, sehe ich immer noch nicht...

 

[snaxilian]

@0-8-15 User Natürlich kann man auch beides betreiben aber die eigene Freizeit ist begrenzt und anstatt bei den vorhandenen Geräte für Ordnung zu sorgen, macht man lieber eine weitere Baustelle auf die viel Zeit verschlingt wenn man sich erst einarbeiten will/muss?
Wenn es zwingende Gründe gibt warum man Altsysteme weiter betreiben will/muss (industrielle Steuerungssysteme für $Anlagen, etc) dann sollte man diese Systeme netztechnisch separieren und die vorhandenen Risiken durch andere Maßnahmen (Firewall, IDS/IPS, etc) verringern aber das kostet Geld und Zeit.

@Raijin hat es doch wunderbar zusammen gefasst:

Die Sicherheit einer Firewall kommt nicht durch den Namen, sondern durch die Konfiguration.

Die Anforderung vom TE, also einzelnen Geräten auch ausgehend Internetzugriff zu verbieten, lässt sich auch mit einer Fritzbox umsetzen.
Die Lernkurve im Bereich Netzwerk und IT-Sicherheit steigt sehr schnell sehr steil an. Was der durchschnittliche Anwender davon zuhause sieht, mitbekommt und konfiguriert sind ein minimaler Bruchteil dieses Themengebiets. Weitere Komplexität wird durch geführte Wizards und Einrichtungsassistenten vor dem Anwender versteckt.

 

[0-8-15 User]

dann sollte man diese Systeme netztechnisch separieren und die vorhandenen Risiken durch andere Maßnahmen (Firewall, IDS/IPS, etc) verringern aber das kostet Geld und Zeit

Ich hatte @eehm so verstanden, dass er genau das tun möchte.

Die Lernkurve im Bereich Netzwerk und IT-Sicherheit steigt sehr schnell sehr steil an.

Das trifft auf fast alles zu, wenn man tiefer einsteigen will.

 

[snaxilian]

Dann überinterpretierst du aber
Lies nochmal den Eingangspost, habe ich auch gerade gemacht. Gewisse Systeme und Komponenten sollen keinen Internetzugang bekommen aber im lokalen Netzwerk erreichbar sein.
Nicht konfiguriertes Gateway oder zentral an Fritzbox unterbundenes Gateway erfüllt die Anforderungen bereits vollständig.

Natürlich kann man es auch direkt übertreiben und sich ne sophos/opensense/pfsense/ipfire oder vergleichbares hinstellen, dazu einen managed Switch für VLANs und ne handvoll VLAN-fähige APs und alles in einzelne Subnetze werfen, vor allem den ganzen IoT/'Smarthome' Elektroschrott wo sich die Hersteller in den seltensten Fällen um IT-Sicherheit kümmern. Anschließend lernt man dann, dass manch solche Software mit Broadcasts arbeitet also muss man raus finden, wie man diese zwischen VLANs/Subnetzen hin- und herschieben kann. Oder sucht generell erst einmal verzweifelt nach brauchbarer Dokumentation welche Geräte denn welche Ports und Protokolle für einen reibungslosen Betrieb notwendig sind. Kann man alles so machen, ist dann halt Overengineering.