Suche Firewall für kleines Unternehmen

[Raijin]

Bei Netzwerksegmentierung habe ich an Subnetting gedacht, muss aber feststellen, dass mglw. der erhoffte Effekt einer Segmentierung garn icht erreicht wird.

Subnetting beschreibt ja letztendlich nur das Design der Subnetze, also IP-Bereiche. Das ist absolut banal. Allerdings setzen verschiedene Subnetze eine autarke Infrastruktur mehr oder weniger voraus, da es bei mehreren Subnetzen (Layer 3) im selben Layer 2 Netzwerk zu Problemen mit Broadcasts kommen kann und zudem keine Trennung der Subnetze zu erreichen ist, weil sich jeder Client einfach eine entsprechende IP verpassen kann.
Das Stichwort lautet hierbei also Netzwerksegmentierung im Sinne von physisch separaten oder virtuell mittelt VLAN getrennten Netzwerken, in denen die jeweiligen Subnetze konfiguriert werden, mit eigenem DHCP-Server, etc. und der Firewall dazwischen, die die gegenseitigen Zugriffe verbietet oder erlaubt.

Gibt es hier eventuell noch Alternativvorschläge für Routerhardware, die evtl. leichter zu konfigurieren sind als ein Opnsense gerät?

Leichter zu konfigurieren ist eigentlich nur Zeug aus dem Consumer-Markt, das dann in der Regel diverse Features einfach nicht bietet - wie zB VLANs - und von der Konfiguration her fast ausschließlich mit Wizards arbeitet, die dem Anwender ohne Hintergrundwissen die Detailarbeit abnehmen.

Im Endeffekt ist es aber so, dass man mit nahezu allen Firewall-OS klarkommt, wenn man die technischen Grundlagen verstanden hat. Weiß man beispielsweise, dass eine Portweiterleitung aus zwei Teilen besteht, einer DNAT- und einer Firewall-Regel, kann man sie problemlos in jeder Firewall mit etwas Aufmerksamkeit konfigurieren, wenn das OS nicht gar ebenfalls einen Wizard dafür bietet wie es bei Fritzbox und Co der Fall ist.

Bei der Firewall an sich geht es letztendlich nur darum, dass man sich an gewisse Regel der best practice hält. Sowas wie allow established/related ganz weit oben, um hergestellte Verbindungen mittels shortcut durchzuwinken, ohne für jedes Paket erneut die komplette Liste an Regeln durchzugehen.


Hast du dir *sense denn mal als VM angesehen und ausprobiert ob du damit klarkommst? Kannst dir sonst auch ein paar Videos bei Youtube anschauen, in denen die Bedienung erklärt wird.

 

[WhiteHelix]

Kannst du mir kurz sagen was du mit offizielle Appliance von OPNsense meinst?

OPNsense und pfSense. Die von dir verlinkte von Nitrokey ist da preislich absolut nicht zu verachten, wenn da das Budget schon scheitert dann würde ich aber das Projekt allgemein bleiben lassen bzw. abgeben.

Wirklich kompliziert sind die jetzt auch nicht zu konfigurieren, was da noch helfen kann gerade wenn du nicht so Sicherheitstechnisch versiert bist, ist imho ne neue Sophos XGS. Die bringen schon jede Menge fertiger Filter mit, welche dann möglicherweise unsichere Websites, Dateitypen oder ungewünschte Verbindungen blockieren können.

 

[Snakeeater]

Ich find die Nitrokey sehr sympathisch und wenn die P/L von vielen hier als gut eingestuft wird, dann werde ich der Firma das Ding einfach aufschwatzen und mich dann durch die Config von OPNsense hangeln.

Danke für all die Rückmeldungen hier.