Seperater PC als Netzwerkfilter ?

[edis]

Hallo Leute,

wir sind ein kleines Büro mit mehreren PCs und NAS Speicher.
Mir wurde von einem Profi angeraten mir einen seperaten PC als Sicherheit für etwaige Cyberangriffe einzubauen, sodass dieser quasie als Vorfilter zum NAS dient . Virusprogramme alleine an den PCs würden nicht reichen.

Ist so eine Vorgehensweise gängig ?

Vg

 

[M-X]

Das was der "Profi" da Netzwerkfilter nennt soll wohl eine Firewall mit IDS mit ggf IPS sein ? Gängig ist sowas schon muss aber sauber aufgesetzt und gemanaged werden. Je nach Größe eures Netzwerks ist das auch nicht ganz billig.

 

[Nilson]

Nennt sich (Hardware-)Firewall. Gibt es als Komplettlösungen oder als Software für den "Eigenbau".
Aber ohne zu wissen wie man die richtig einrichtet und betreibt, bieten die kein Mehrwert, wiegen dich in falscher Sicherheit und machen ggf. noch Probleme.
Euer Router hat schon eine Firewall verbaut. So auch so gut wie jeder PC und NAS. Eine extra Firewall bringt nur was, wenn die Funktionen nicht ausreichen.

 

[madmax2010]

Virusprogramme alleine an den PCs würden nicht reichen.

antiviren Programme besser meiden, so lange sie nicht benötigt werden um Pflichten gegenüber euren Vertragspartnern zu erfüllen
abgesehen davon: budget?Welche Fähigkeiten gibt's in house?

 

[edis]

Erstmal vielen Dank für die hilfreichen Antworten. Vertragspartnertechnisch bestehen keine Verpflichtungen. Für mich war die Lösung auch ein wenig zu viel. Ist es nicht destotrotz besser zumindest Kaspersky Lizenzen auf den Pcs zu haben, statt nichts ?

 

[redjack1000]

Welches Betriebsystem läuft auf den PC´s?

CU
redjack

 

[Tornhoof]

zumindest Kaspersky Lizenzen

Keine Ahnung was der aktuelle Stand ist, aber wegen der Krise in Russland wurde damals explizit von Kaspersky abgeraten.

 

[JumpingCat]

Du könntest als Router eine https://opnsense.org/ aufsetzen und dort IDS machen. Aber wer betreut das?

 

[Redundanz]

die firewall-funktionalität moderner anständiger router (fritzbox etc.) genügt. von aussen kommt da nichts rein. außer man konfiguriert es so. diese boxen sind ja im auslieferungszustand technisch gesehen "deny all" auf dem wan interface.

was ids/ips angeht oder sowas wie squid + clamav geht das wie erwähnt über opnsense oder pfsense.
aber das ist ohne entsprechendes monitoring und nachhalten auch eher verkomplizierend als nützlich.
sprich wenn ihr mit den alerts vom ids know-how-technisch nichts anfangen könnt, wird das eher verwirren und zu "false-positive-panik" führen als zweckdienlich sein.

sinnvoll wäre eine solche firewall-appliance natürlich, wenn ihr eine art standleitung habt und noch gar keine firewall (in form eines normalen consumer-routers) zwischen eurem büro und dem internet steht.

 

[madmax2010]

Ist es nicht destotrotz besser zumindest Kaspersky Lizenzen auf den Pcs zu haben, statt nichts ?

nein. Antiviren richten oft mehr Schaden an als sie nutzen und hebeln gut funktionierende Sicherheitsmaßnahmen aus.
Wenn dich keine Versicherung und kein Kunde dazu zwingt -> nicht nutzen
Undwie @Tornhoof schon sagt.. Selbst mit Kasperksy wird das durch die BSI Warnung nichts.

Nochmal zur Firwewall:
Was sind die Schutzziele? Was sind die Schäden, die zu erwarten sind, wenn was passiert?
Was soll geschützt werden?
Budget?

 

[edis]

Betriebsysteme sind bei allen pcs windows 11, diese waren dabei. Im Prinzip ist nichts Weltbewegendes drauf. Ich habe im Moment eine Digitalisierungsbox von Telekom , wir haben so einen Business Telefonanlage Cloud PBX oder so was in der Art. Von den Antivirusprogrammen halte Ich dannn eher Abstand.

 

[blaulila]

habe für 6€ einen VS server gemietet da proxmox drauf gemacht.. (für weitere 6€ ein weiterer VS für proxmox backupserver) da kann man dann sich die container aufbauen .. und in einem seperatem container wird Ip-hole eingerichtet über welchen der ganze traffic läuft.. auf jeden pc ist wireguard als tunel drauf.. so hat man die kontrolle deiner daten sieht in pihole alle webseiten die geblockt werden könne oder besucht wurden. dazu werden 9 millionen toxic webadressen automatusch geblockt. wir sind vier leute und iphole blockt 20% der anfragen ... eine firewall von proxmox ist auch dabei aber vll. geht auch wie der kollege schreibt opensense.. mit kaspersky würde ich vorsichtig sein die haben über zwei jahre einen trojaner im system gehabt und sind vor einigen wochen erst drüber gestolpert.

 

[andy_m4]

einen VS server gemietet da proxmox drauf gemacht..

Eine VPN auf einen externen Server versetzt Dich natürlich nur in die Lage, den IP-Verkehr zu kontrollieren, den Du quasi selbst verursachst. Was sonst so direkt auf Deinen Internetanschluss einprasselt wird damit nicht berücksichtigt. Gut. Das kann natürlich der Home-Router wegblocken.

sieht in pihole alle webseiten die geblockt werden könne oder besucht wurden.

Pi-Hole arbeitet ja so, das es als DNS-Server fungiert. Wenn Du den auf einen "externen Server" hast, bedeutet das, das jede poplige DNS-Abfrage (selbst wenn sich schlussendlich "geblockt" wird) quasi übers Internet muss.

 

[blaulila]

Eine VPN auf einen externen Server versetzt Dich natürlich nur in die Lage, den IP-Verkehr zu kontrollieren, den Du quasi selbst verursachst. Was sonst so direkt auf Deinen Internetanschluss einprasselt wird damit nicht berücksichtigt. Gut. Das kann natürlich der Home-Router wegblocken.

Pi-Hole arbeitet ja so, das es als DNS-Server fungiert. Wenn Du den auf einen "externen Server" hast, bedeutet das, das jede poplige DNS-Abfrage (selbst wenn sich schlussendlich "geblockt" wird) quasi übers Internet muss.

An sich gehe ich diesen Weg weil ich nach aussen nur die IP des Servers zeige, dann habe ich und nur ich die Kontrolle über diesen VS (6€ ist ja nichts) .. und so habe ich auch wenn nicht zu erwarten einen besseren Ping als wenn ich über meinen Provider (50Mbit) mich ins Internet einlogge.. Liegt wohl am Wireguard Tunnel der direct zum Gigabit Server weiterleitet und so mit dem Internet schneller arbeitet.
Auch finde ich es Super dass ich diese Sachen Extern auf einen VS laufen habe und das Backup gibt mir die Sicherheit beim ausfall.. weil ich so mit jedem Handy/ Smartphone über den Ip-hole DNS (meinen) ins Netz gehe .. so gibt es erstens die 9Millionen toxische Adressen/Tracking Blockade und meine IP vom Telefon ist nie zu sehen sondern die vom VS.

Das Läuft jetzt locker fünf Monate ohne Probleme... mit Portainer für Docker ist das auch ziemlich einfach zu verwalten.
Ps. Mit dem VS/Tunnel erhalte ich auch bei Dayz die Meldung nicht mehr Instabile Verbindung .. und wenn ich es ausmache, bricht die Verbindung zum Spielserver leider ab und das seit zwei Jahren :/

 

[andy_m4]

An sich gehe ich diese Weg weil ich nach aussen nur die IP des Servers zeige

Ich verstehe nicht, was Du damit meinst.

und nur ich die Kontrolle über diesen VS

Was heißt denn Kontrolle?

 

[blaulila]

Da ich in einen CT pihole(DNS) habe. Im anderen CT ist Wireguard (alles im proxmox drin auf dem 6€ VS) geht mein ganzer Traffic erst über Wireguard zum DNS (iphole) (das mache ich mit jedem Telefon und PC ... so sehen die nur die IP des Servers (mein Standort ist nicht sichtbar) das ist mir wichtig.

Kontrolle bedeutet dass ich keinen anderen VPN Anbieter vertrauen muss, dass er meine Daten nicht weiter verkauft oder ein Scoring draus erstellt. .. Ich entscheide welche Webseiten meine Rechner ohne mein Wissen Pingen oder eine API sich anmeldet im Hintergrund.. da ist so viel Mist was man im IPhole dann sieht und auf die Blacklist setzen kann .. .. stelle ich die fonts.gstatic.com adresse bei PIhole auf die Blocklist ist das schon mal viel Wert aber besucht mal https://d3ward.github.io/toolz/adblock.html und schau was dein Wert ist .. ich habe da 99% und das mit allen Geräten .. der Freundin/Mutter die kein Plan hat vom EDV.. Sie muss nur einen Knopf drücken im Wireguard Tunnel auf dem Handy.. u

 

[redjack1000]

mit kaspersky würde ich vorsichtig sein die haben über zwei jahre einen trojaner im system gehabt und sind vor einigen wochen erst drüber gestolpert.

Gibt es dafür auch belastbare Artikel, Daten und/oder Fakten?

Cu
redjack

 

[madmax2010]

@redjack1000 vermutlich bezieht sich @blaulila hierrauf: https://media.ccc.de/v/37c3-11859-o...at_you_get_when_attack_iphones_of_researchers
wobei die Aussage war, dass dieser Angriff Jahre lang möglich war, nicht das sie verifizieren konnten, dass sie das seit Jahren bei sich im System hatten

 

[redjack1000]

@madmax2010

Danke dafür, da geht um IOS.........

Cu
redjack

 

[blaulila]

Gibt es dafür auch belastbare Artikel, Daten und/oder Fakten?

Cu
redjackDer @madmax2010 sagte das schon