Hallo und guten Abend Zusammen,
ich denke es wird langsam bei uns Zeit unser System mit einer Firewall sauber abzusichern. Ich will mich nicht außschließlich auf die Portsperren der FritzBox verlassen, bzw auch nicht auf die die Windows schon mitliefert.
Hat jemand von euch Erfahrungen mit Firewalls?
Von der Idee her denke ich - und um das System auf dem IPS läuft nicht noch mehr zu stressen - ist eine Hardware-Next-Genaration-Firewall die beste idee.
jep, ich habe seit jeher eine Hardwarefirewall hinter der Fritzbox. In dem Bereich laufen dann sämtliche Geräte einschliesslich der PCs. Wenn ich mir das Protokoll der Firewall-Angriffe ansehe, wird mir schlecht, was die FB noch so durchlässt.
Bin zwar nicht Axel aber ich kann pfSense als Softwarelösung hier empfehlen, das ich jetzt eine Zeit lang sehr stabil einsetze. Das einfachste Setup mit 2 Ethernet Ports für WAN und LAN würde das gröbste schon mal sichern. Dazu noch beispielsweise den pfBlockerNG als Adblocker und fertig
Dann nehmt Ihr für das WLAN einen zusätzlichen Accesspoint - der auch „hinter“ der Firewall liegt?- Technisch liegt ja das WLAN der Fritzi vor der Extra Firewall und damit sind die WLAN Client ja net geschützt…
Sophos geht mit jedem Access Point. Er muss nur extra verwaltet werden. Auch die Hotspot Funktionalität der Sophos kann damit problemlos genutzt werden.
Die UTM ist komplizierter, die XG gut verständlich.
XG läuft auch auf alter UTM Hardware, z:B. UTM120 v4 oder v5.
Iphone VPN Zugang sehr leicht mit OpenVPN App und Sophos SSL VPN
Hatte früher auch die Sophos UTM hinter meiner FritzBox und seit etwa einem Jahr die Sophos XG. Für das WLAN habe ich ebenfalls UniFi im Einsatz (Netze über VLAN getrennt).
Ich persönlich finde die Sophos UTM einfacher zu bedienen, hatte diese aber auch über Jahre im Einsatz. Aber seit XG Version 17 (ist kurz vor dem öffentlichen Release) ist diese endlich mal „ok“ und kann man auch empfehlen (zumindest für Privat).
Bei der UTM hat man in der kostenlosen Home-Edition nur 50 IP-Adressen frei für das Heimnetzwerk! Da könnten so einige Leute schnell drüber kommen… Bei der Sophos XG ist man nur bei der Hardware (CPU/RAM) eingeschränkt (aber für privat locker ausreichend) - und damit wohl die bessere Wahl.
Also ich habe seit gut 2 Jahren ne Sophop UTM laufen mit einem AP15 und einem AP55C.
(Ich verkaufe gerade einen AP15, bei Interesse melden)
Als Hardware habe ich ein Gigabyte GA-N3150N im Einsatz mit 4GB Arbeitsspeicher, ner günstigen 60GB SSD und das ganze sehr Formschön im Chieftec IX-01B.
Die AP’s sind einfach nur perfekt - ohne VLAN kann man durchleiten was man möchte - an jedem Anschluss und durch den AP55C kann ich mit meinem Lenovo P50 bis zu 60mb/s prügeln. (nicht mbit!)
Das Mainboard schafft mit meiner 100mbit Leitung und IPS eingeschaltet ungefähr 70mbit/s and Durchsatz.
(IPS kostet Leistung, halte ich aber für wichtig)
Dazu gibts noch 12 Lizenzen für Sophos Endpoint-Protection (Antivirus läuft auch auf Windows Server und muss nicht zwangsweise im gleichen Netz hängen) gratis dazu.
Dazu nutze ich die Email-Protection für meinen Exchange an eigener Domain (habe ne feste IP) und nutze für Exchange und IPS die Web-Application-Protection. Funktioniert alles allerbestens, das VPN ist ruck-zuck eingerichtet und auch auf Clients installiert.
Kleines Goodie (für mich jedenfalls): über SNMP kann man mit wenig Aufwand den Up- und Downstream auslesen und loggen (Skript stelle ich die Tage mal in Skripte rein, evtl. gleich noch, ich mache den Link zu Thread hier drunter).