Hardwarefirewall
- Ersteller ArrorRT
- Erstellt am
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 17.944
@Maggus-Desire : Alles richtig, aber das setzt natürlich auch voraus, dass man all diese Features kennt und auch zu konfigurieren weiß. Die Sicherheit kommt ja nicht allein durch den Aufdruck am Gehäuse "Sophos" (o.ä.).
Deswegen ist dein Hinweis auf ein Mietgerät inkl. Support umso wichtiger. Weil "In die Einrichtung werde ich mich dann reinarbeiten, da ich mit Hardwarefirewall bisher nicht gearbeitet habe." wie @ArrorRT es schreibt, nicht selten dazu führt, dass man aus Unwissenheit sinnvolle Features gar nicht nutzt oder ggfs unzureichend konfiguriert. Am Ende hat man womöglich die Anforderung der Versicherung zwar erfüllt, aber de facto ein unsichereres bzw. unzuverlässigeres System als zuvor.
In etwa vergleichbar mit einem Sportwagen. Nur weil man sich einen Porsche kauft, kann man noch nicht am Porsche Cup teilnehmen, weil man schlicht und ergreifend kein ausgebildeter Rennwagenfahrer ist. In Eigenregie "reinfuchsen" kann man sich da auch nicht, weil man sich eher früher als später an der nächsten Streckenbegrenzung umgebracht hat - mal krass ausgedrückt
Deswegen ist dein Hinweis auf ein Mietgerät inkl. Support umso wichtiger. Weil "In die Einrichtung werde ich mich dann reinarbeiten, da ich mit Hardwarefirewall bisher nicht gearbeitet habe." wie @ArrorRT es schreibt, nicht selten dazu führt, dass man aus Unwissenheit sinnvolle Features gar nicht nutzt oder ggfs unzureichend konfiguriert. Am Ende hat man womöglich die Anforderung der Versicherung zwar erfüllt, aber de facto ein unsichereres bzw. unzuverlässigeres System als zuvor.
In etwa vergleichbar mit einem Sportwagen. Nur weil man sich einen Porsche kauft, kann man noch nicht am Porsche Cup teilnehmen, weil man schlicht und ergreifend kein ausgebildeter Rennwagenfahrer ist. In Eigenregie "reinfuchsen" kann man sich da auch nicht, weil man sich eher früher als später an der nächsten Streckenbegrenzung umgebracht hat - mal krass ausgedrückt
Bzgl. Möglichkeiten einer UTM wurden ja schon genannt, was aber im Zusammenhang mit Versicherungen auch wichtig ist und eine Fritzbox schlichtweg nicht kann ist die entsprechende Protokollierung des Datenverkehrs zur Nachvollziehbarkeit im Angriffsfall. Eine Fritzbox ist viel aber als Firewall in einem Unternehmen in dem Geld verdient wird schlicht ungeeignet.Drakonomikon schrieb:
Blutschlumpf
Fleet Admiral
- Registriert
- März 2001
- Beiträge
- 20.075
Das macht sie aber erstmal nicht per se unsicherer und schon gar nicht zu einem offenen Scheunentor.
Wenn ich bedenke was unsere Fortigates in den letzten Jahren alles an kritischen Sicherheitslücken hatten, dann dürften die selber als Geräte in Summe eher unsicherer gewesen sein als ne Fritzbox.
Und ausgehenden Traffic nach Ports zu filtern ist auch eher Placebo, zum einen verhindert das im Grunde fast nichts weil jeder Bot auch einfach mit HTTP(S) nach außen kommunizieren kann und zum anderen ist es natürlich viel mehr Aufwand es zu pflegen sofern die Clients nicht nur mit dem Browser nach außen kommunizieren.
Ausgehend filtern hilft nur dann wenn man die Gegenseite selber eingrenzen kann und nicht nur den Port.
Also im Grunde nur umsetzbar wenn man nen Proxy nutzt.
Wenn ich bedenke was unsere Fortigates in den letzten Jahren alles an kritischen Sicherheitslücken hatten, dann dürften die selber als Geräte in Summe eher unsicherer gewesen sein als ne Fritzbox.
Und ausgehenden Traffic nach Ports zu filtern ist auch eher Placebo, zum einen verhindert das im Grunde fast nichts weil jeder Bot auch einfach mit HTTP(S) nach außen kommunizieren kann und zum anderen ist es natürlich viel mehr Aufwand es zu pflegen sofern die Clients nicht nur mit dem Browser nach außen kommunizieren.
Ausgehend filtern hilft nur dann wenn man die Gegenseite selber eingrenzen kann und nicht nur den Port.
Also im Grunde nur umsetzbar wenn man nen Proxy nutzt.
Moderne UTMs wie die SG tun genau das. Sie agieren wie ein Proxy und analysieren dabei den Traffic. Das geht vom simplen "welcher Port" hin zu was für eine konkrete Anwendung will welche Daten wohin senden und agiert dort natürlich mit Sperren zu bekannten C&C Servern als auch entsprechenden Heuristiken.Blutschlumpf schrieb:
Alles Dinge die eine Fritzbox nicht kann aber helfen können wenn ein unbedachte Mitarbeiter eben doch Mal den Bösen Makro ausführt.
Das Thema Sicherheitslücken kannst du nicht direkt vergleichen, auch wenn du natürlich Recht hast das die höhere Komplexität mehr Angriffsfläche bieten kann.
redjack1000
Fleet Admiral
- Registriert
- März 2022
- Beiträge
- 10.212
ArrorRT schrieb:
Hast Du das mal getestet? Also ein DesasterRecovery in ca. 6 Stunden (grob geschätzt)!
Cu
redjack
@redjack1000 jup aber mit etwas anderen Bedingungen, daher könnte es jz auch eventuell etwas länger dauern aber in jedem Fall unter 24 Stunden
nitech
Commander
- Registriert
- Mai 2009
- Beiträge
- 2.262
Das war jetzt ein Beispiel und etwas das ein Laie evt. am einfachsten versteht, willst du jemanden der bis jetzt mit der integrierten Firewall einer Fritzbox zufrieden war, anfangen alle Unterschiede einer UTM vs in für den Hausgebrauch gedachten Routern integrierte Firewall auflisten?
Dass keine Firewall der Welt am Ende die brain.exe ersetzen kann (aka nicht auf jeden link klicken der per Mail von einer 1000% sicherem Kontakt kommt) sollte klar sein.
Es geht ja nur darum die Latte so hoch zu setzten dass man als Angriffsziel uninteressant wird weil der Aufwand den Nutzen bei weitem Übersteigt.
Dass keine Firewall der Welt am Ende die brain.exe ersetzen kann (aka nicht auf jeden link klicken der per Mail von einer 1000% sicherem Kontakt kommt) sollte klar sein.
Es geht ja nur darum die Latte so hoch zu setzten dass man als Angriffsziel uninteressant wird weil der Aufwand den Nutzen bei weitem Übersteigt.
Ähnliche Themen
- Angepinnt
- Artikel
