Du bist nicht mit dem Internet verbunden.

Firewall

Hat dein Unternehmen wertvolle Daten, die geschützt werden müssen? Dann brauchst du eine Firewall. Mit einer Firewall werden verschiedene Netzwerke mittels Regeln voneinander getrennt.
Die Firewall ist der zentrale Punkt, den alle Daten passieren müssen. Damit dient die Firewall auch als Logfile, da alle Aktivitäten eine Weile vorgehalten werden. Im Falle eines Angriffs findet der Administrator auf der Firewall wertvolle forensische Informationen. Er kann zudem den benötigten Durchsatz verfolgen und sicherstellen, dass der Provider ausreichend Bandbreite zur Verfügung stellt.

Um die Sicherheit zu erhöhen, gibt es verschiedene Ansätze. Der simpelste ist der Paketfilter. Er verlässt sich darauf, dass verschiedene Protokolle (wie HTTP oder FTP) auf bestimmten Ports kommunizieren. Diese werden für verschiedene IP-Adressen entweder erlaubt oder verboten. Der simple Paketfilter bietet einen soliden, aber rudimentären Schutz. Denn bösartige Daten können problemlos über HTTP und andere Protokolle getunnelt werden und den Paketfilter aushebeln. Die meisten Firewall-Router, also Router mit grundlegenden Sicherheitsfunktionen, arbeiten nach diesem Prinzip.

Deutlich weiter entwickelt sind Firewalls, die die einzelnen Datenpakete genauer untersuchen, eine sogennante Stateful Packet Inspection (SPI). Die Firewall «inspiziert» jedes Datenpaket und ordnet es einer Verbindung (Session) zu. Die Kommunikation zwischen Quelle und Ziel kann zueinander in Verbindung gebracht werden: Der Client aus dem internen Netz hat eine Verbindung aufgebaut, das Ziel im Internet gibt Antwort. Scheinbar unverdächtige Datenpakete werden verworfen, wenn sie nicht zuvor angefordert worden sind. Firewalls mit SPI brauchen viel Arbeitsspeicher, weil sie in einer Tabelle alle aktiven Verbindungen speichern müssen. Im Fachjargon wird von maximal möglichen Sessions gesprochen, die die Firewall gleichzeitig verarbeiten kann.

Den modernsten Ansatz bietet die Application Layer Firewall. Sie greift aktiv in die Kommunikation ein: Gegenüber dem Client verhält sie sich als Server, gegenüber einem Server als Client. Dieser Typ Firewall schaut sich nicht nur die Metadaten von Datenpaketen an, sondern untersucht den konkreten Inhalt in seinem Kontext. So kann eine Application Layer Firewall bösartige Kommandos für eine SQL-Injection erkennen und herausfiltern. Eine Application Layer Firewall ist mit jährlichen Lizenzen verbunden. So holt sie sich regelmässig aktuelle Informationen über bekannte Angriffsarten, die der Hersteller pflegt.

Die meisten Firewalls haben neben den Basisfunktionalitäten weitere Features wie Virenschutz, Contentfilter, VPN und Intrusion Detection an Bord.

Einige Modelle sind mit Antiviren-Software ausgestattet und können Unternehmensnetzwerke zuverlässig vor Viren und Trojanern schützen. Wie bei einem Desktop-Programm musst du jährliche Lizenzgebühren zahlen. Mit Contentfiltern können Inhalte anhand von Schlüsselwörtern oder Dateitypen gefiltert werden. Contentfilter sind an Schulen weit verbreitet, um den Zugriff auf gewalttätige oder pornografische Seiten zu unterbinden. Mit Contentfiltern können aber auch bestimmte Dateitypen – etwa Flash-Dateien – blockiert werden.
Ein Virtual Private Network (VPN) ist nützlich, wenn Benutzer aus dem Internet ins interne Netz zugreifen müssen. Das VPN ermöglicht das verschlüsselt und sicher. Unternehmen, die wertvolle oder sensible Daten speichern, möchten sich mit einem Intrusion Detection System (IDS) oder einem Intrusion Prevention System (IPS) schützen. Es erkennt anhand typischer Angriffsmuster unerwünschte Eindringlinge und schlägt Alarm. Das Prevention System reagiert auf Angriffe selbständig.

Aufgepasst: Eine Firewall schützt nicht automatisch vor allen Gefahren des Internets. Sie ist immer nur ein Baustein eines umfassenden Sicherheitskonzepts
Wir führen Firewalls für 19”-Racks, aber auch Desktop-Geräte, die für KMU geeignet sind.
mehr

Diskussion über Firewall

User Anonymous

Firewall <-> Router

Guten Tag die EXPERTEN

Ich möchte gerne wissen was der Unterschied zwischen Firewall und Router ist. Ist eine Firewall gleichzeitig auch ein Router? Ein Router ist ja oft auch gleichzeitig eine Firewall. Die meisten Firewall bieten ja auch NAT an was ja fürs Routing ist zudem bieten Firewalls auch OSPF etc. andere Routingsprotkolle an. Also ist es doch auch ein Router?

Die Firewall distribution PfSense kann man alles mögliche an Einstellungen vornehmen (NAT, OSPF...) obwohl es eine Firewall ist und kein Router steht ja bei Wikipedia auch so.

Macht es Sinn überhaupt einen Router und eine Firewall zu kaufen?

Dank fürs klären der Fragen.


Gruss
Nicolas

13.10.2015
35 Beiträge
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User DavidRappl

Wenn du eine Gbit Anbindung hast, kann es durchaus Sinn machen, die Firewall separat zu kaufen. SFP Router (Consumer Bereich) kriegen meist nicht 1 Gbit durch, wenn gleichzeitig die einzelnen Pakete von der Firewall überprüft werden müssen.

13.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User DavidRappl

Kurzer Nachtrag: Die Hersteller geben z.T. den Durchsatz mit und ohne Firewall in den Produktinformationen an. Oft wirst du dann sehen, dass der Router zwar 1Gbit kann und auch durchkriegt, aber nur ohne aktive Firewall. Mit dieser aktiv wirst du meist auf 2/3 der Geschwindigkeit kommen.

13.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Danke für deine Nachricht.

Zur ersten Nachricht:

SFP ist ja mit GIBICs mit Fiberanschluss. Das habe ich nicht und macht im privaten Bereich glaube noch wenig Sinn oder?

Zweiten Nachricht:

Also verstehe ich das richtig das es mehr Sinn macht Router und auch eine Firewall separat zu kaufen? Ist es den Möglich auch nur eine Firewall zu kaufen und keinen Router? Den in der Firewall ist der Router inbegriffen oder wie oben Erklärt kann ja die PfSense gleichzeitig auch Routen obwohl die PfSense ja eigentlich eine Firewall Distrubution ist.

14.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Da ich alle Zeichen aufgebraucht habe:

Soll man nun einen Router und eine Firewall kaufen oder nur eine Firewall da eine Firewall auch gleich Routen kann?

14.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Fears313

Die Frage ist immer, für welchen Anwendungsfall. Herkömmliche Geräte vereinen Modem, Router und Firewall. Theoretisch kannst du alles trennen. Wenn du lust zum basteln hast, empfehle ich dir wärmstens, einen alten Rechner zu packen, min. 2 Netzwerkkarten und pfsense oder ipfire zu installieren und den Modem/Router vom Provider nur noch Modem sein lassen.

14.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User abakuki

Die meisten FIrewalls können auch routen. Eine Firewall per se ist bloss ein Paketfilter aber eben, wird oft kombiniert. Wichtigste Kriterien für den Stateful Inspection Durchsatz sind die CPU und die Netzwerkkarte, bei pfSense sollten es Intel NICs sein (Interrupts!). Wirespeed mit 1Gbit/s kriegst du mit heutigen CPUs problemlos hin, problematisch wirds bei VPNs und irgendwelchen IDS/Addon-packages.

14.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Gleich zu beginn eine ganz andere Frage:
Wo liegen die unterschiede zwischen der Firewall Art: stateFUL inspection firewall, stateLESS inspection firewall und Deep Packet Intrusion?

Zu Fears313 also heisst das meisten Firewalls sind auch gleichzeitig Router und können gleichzeitig die gleichen Funktionen wie ein Router übernehmen? Ich möchte halt lernen dazu möchte ich eine richtige Hardware-Firewall kaufen um zu sehen wie das Funktioniert. Die interne ZyXEL Firewall des Routers ist unbrauchbar.

Achso, gute idee einen normalen PC als Firewall zu nutzen nur brauche ich dazu noch NICs...

22.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Da mir die Zeichen ausgingen: Weiter zu Fears313, ich überlege mir eher so eine kleine Box zu kaufen mit der Grösse eines Routers damit ich nicht zuviel Platz benötige...

Zu abakuki du sagst Firewalls sind Paketfilter aber es gibt ja Firewalls die auch mit SPI arbeiten oder Firewall mit SSA oder UTM Firewalls? Was sind den IDS/Addons-packages? Beim Ziel ist es in Zukunft mittels IPsec zwei Standorte zu verbinden deshalb sollte die Firewall auch das hinbekommen und genug Traffic verarbeiten können.

22.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User abakuki

SPI ist standard, SSA/UTM sind buzzwords. IDS ist intrusion detection, also Analyse/Korrelation von Angriffen mittels Signaturen usw. Was in deinem Fall wirklich an der CPU saugen wird sind VPNs, bei IPSEC AES256-CBC kannst du pro Thread (xeon 25xxx) bei pfsense mit ca 300-500Mbit/s pro tunnel und thread rechnen, das ist nota-bene mehr als jede mittelgrosse Zywall/Cisco ASA ohne ASIC. Intel AES-NI crypto accelleration auf freebsd (pfsense) bringt aus meiner Erfahrung nix. Dedizierte Linux VPN Kisten (mit AES-CGM) sind da effizienter. Setz einfach zwei billige Kompis mit Intel NICs in HA auf.

22.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Wo liegen die Unterschiede zwischen der Firewall Art: stateFUL inspection firewall, stateLESS inspection firewall und Deep Packet Intrusion?
Was meinst du mit der Bezeichnung: "buzzwords"? Wie meinst du das mit pro Thread 300-500 MBit/s. Du scheinst viel zu wissen. Ich weiss, dass Prozessoren in Kerne und virtuelle Prozessoren unterteilt sind auch das es Prozesse gibt und die Prozesse haben Threads die Threads wiederrum Handles. Wo liegen die ganzen Unterschiede? Was hat der Datendurchsatz mit Prozessor zu tun?
Wieso zwei Kompis? Eine Firewall reicht doch oder? PfSense ist nicht gut?

26.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User abakuki

Stateful merkt sich die connections, stateless nicht (stateful = sicherer, hast mit der identischen Hardware jedoch niedrigeren Durchsatz bzw, saugt mehr am RAM). Ein thread=1 core, wenn du also 4 cores hast mit je 300-500Mbit/s Durchsatz bringst du mit vier VPN Tunnel total 1200Mbit/s-2000Mb/s durch, vorausgesetzt deine NIC ist in 802.3ad WAN oder 10Gbit/s etc. Mit 2 Kompis meinte ich: Anstatt eine superteuere Firewall mit zwei Netzteilen u.ä. zu kaufen kann du mit zwei billigen Kompis ein stabiles Failover mit pfSense haben. pfSense rulez im >1Gbit/s Bereich, bei >1Gbit/s sind ASICs King.

26.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User abakuki

Stateful merkt sich die connections, stateless nicht (stateful = sicherer, hast mit der identischen Hardware jedoch niedrigeren Durchsatz bzw, saugt mehr am RAM). Ein thread=1 core, wenn du also 4 cores hast mit je 300-500Mbit/s Durchsatz bringst du mit vier VPN Tunnel total 1200Mbit/s-2000Mb/s durch, vorausgesetzt deine NIC ist in 802.3ad WAN oder 10Gbit/s etc. Mit 2 Kompis meinte ich: Anstatt eine superteuere Firewall mit zwei Netzteilen u.ä. zu kaufen kann du mit zwei billigen Kompis ein stabiles Failover mit pfSense haben. pfSense rulez im >1Gbit/s Bereich, bei >1Gbit/s sind ASICs King.

26.10.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Was ist ASICs? Also wenn ich meinen Task-Manager öffne sind aktuell 1312 Threads offen dabei habe ich nur einen Prozessor mit 4 Logischen Prozessoren (core's). Also kann das doch mit einem Thread = 1 Cores nicht sein oder versteh ich da etwas falsch?

03.11.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Nochmals bezüglich StateFULL und StateLESS. Stateless verzeichtet auf eine "dynamische Zustandstabelle" oder? Aber das macht doch gerade die Technik SPI aus ohne Zustandstabelle ist es ja mehr oder weniger nur ein Paketfilter?

03.11.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User abakuki

Yo ein IPSEC wird dir mit entsprechender Bandbreite den Core 'füllen'. Klar du kannst zig-tausende Threads haben (wie jedes OS), die saugen allerdings kaum am Prozi/Interrupts, IPSEC (vorausgesetzt Bandbreite/NICs vorhanden) und jede andere CPU intensive Applikation (Bitcoin, Seti@home etc.) ziehen das Maximum von der CPU heraus. Es gibt Tricks wie AES-NI und AES GCM etc. um das zu beschleunigen aber das ist ein anderes Thema. Zum 2. Punkt: Korrekt, stateless hat keine 'Zustandstabelle', kein connection tracking und entsprechend anfälliger auf egress/ingress Angriffe.

03.11.2015
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Bitte melde dich an um einen neuen Beitrag zu dieser Diskussion zu erfassen.