IT-Sicherheitsrichtline KBV ab 1.1.21

[Macros]

Und ohne das jetzt zu negativ darstellen zu wollen...

Ich persönlich werde jetzt wahrscheinlich in der Praxis auf Ubiquiti umstellen inkl. des entsprechenden Gateways.

Ihr ganzes Konzept ist eine Blackbox - Sie haben keine Möglichkeit zu sehen, was die Ubiquiti-Geräte wirklich tun.

Moin,

das verstehe ich nicht, wieso meinen Sie, das die Ubiquiti Geräte eine Blackbox sind? Sie meinen das OS? Dann ja, ...
Die Richtlinien nein, die defniere ich ja

Gruß
J

[bofh]

Die Richtlinien [...], die defniere ich ja

Ja schon,

Aber welche Regeln sollen das sein? Turbomed stellt beispielsweise keine Liste Bereit, welche Internetadressen (nicht Ports!) ausgehend erlaubt sein müssen, damit alles läuft. Andere Anbieter tun das auch nicht. Wie soll ich dann durch die Firewall nur erlaubte Ziele zulassen ....?

Das ist auch genau meine Erfahrung mit der TM-Hotline. Nach der zweiten Nachfrage heißt es, der DVO soll helfen. Der weiß aber auch nichts (oder will nichts wissen ohne extra viele €€€).

Die CGM TI-Hotline hat es nicht mal für notwendig befunden, zu antworten. Dabei sollten die doch genau wissen, wohin und womit der Konnektor nach Hause telefoniert und was er sonst noch so braucht.

[pysker]

Hallo Zusammen,

selbst die KBV geht in Ihrer Handreichung "lediglich" von einer Endpointfirewall und keiner Appliance aus - wir fühlen uns hinter einer Firewall Hardware irgendwie sicherer: https://www.kbv.de/media/sp/PraxisWisse ... erheit.pdf
Anlage 1 Nummer 32
HINWEIS: Eine Firewall ist ein Programm, das
Computer oder Netzwerke vor unerwünschten
Zugriffen schützen soll. Eine IP-Adresse macht in
einem Netzwerk die daran angeschlossenen Geräte
erreichbar (adressierbar). Ports sind während einer
Verbindung die jeweiligen Endstellen. Kommu
nikationsprotokolle bilden eine Grundlage für
die Vernetzung. Die Datenübertragung zwischen
mehreren Parteien wird hier definiert, also wie die
Kommunikation erfolgt.

[W. Steuber]

Eine "Appliance" ist nix Anderes als Software (Firewall) auf Hardware aufgesetzt und so verkauft.
Ein Beispiel: der Intranator von Intra2net wird als Appliance angeboten, aber auch als reine Software.
Einen Unterschied, ob ich nun das ganze Paket ("Appliance") nehme, oder alleinig die Software auf einem eigenen Gerät bereitstelle (insb. VM), gibt es nicht.
Entscheidend sind die Einstellungen der Firewall.

[nmndoc]

Eine "Appliance" ist nix Anderes als Software (Firewall) auf Hardware aufgesetzt und so verkauft.
Ein Beispiel: der Intranator von Intra2net wird als Appliance angeboten, aber auch als reine Software.
Einen Unterschied, ob ich nun das ganze Paket ("Appliance") nehme, oder alleinig die Software auf einem eigenen Gerät bereitstelle (insb. VM), gibt es nicht.
Entscheidend sind die Einstellungen der Firewall.

Nicht ganz.
HW-Appliace - üblicher Weise eine Box - also Hardware, Betriebssystem + Anwendung alles aus einer Hand
Soft-Appliace: zB als .ISO - auch inkl. Betriebssystem zur Installation auf eigener HW oder VM
Dann gibt es doch - ich weiß nicht ob zB bei Intranator - die eigentliche Software/Anwendung - also zB Proxy, Server, evtl. auch Firewall o.ä. zur Installation auf einem eigenen System - großer Unterschied - für das eigentliche Betriebssystem inkl. Updates, Sicherheit etc ist man selbst verantwortlich.

[W. Steuber]

Um's kurz zu machen:
eine Appliance wie Intranator macht firewall und proxy, Domainkontroller, postmaster, auf Wunsch groupware und sogar Fax etc.
Geht im fix&fertig Karton (also Hardware) ab Werk, oder auch als Software in VM (kritisch Fax, dass dann nur via PCI-passthrough auf Fritzkarte o.ä.).

Was ich damit aber eigentlich sagen wollte, ist, dass eine Hardware-Firewall doch nix Anderes ist als eine Software, die auf Hardware läuft, die vom Lieferanten ausgesucht und zur Verfügung gestellt wird.
Da sitzt kein extra speziell ausgebildeter Bonsai-Samurai in dem Kistchen und wehrt alle Angriffe mit seinem Schwert ab...

[nmndoc]

Da sitzt kein extra speziell ausgebildeter Bonsai-Samurai in dem Kistchen und wehrt alle Angriffe mit seinem Schwert ab...

Also bei uns schon - ist aber auch eine Pro-Version

Wikipedia sagt: "Als Appliance (engl. appliance, Vorrichtung) wird ein Ansatz zum Design für ein kombiniertes System aus Computer-Hardware und speziell auf diese Hardware optimierter Software bezeichnet".

Vermutlich ist für Manche tatsächlich "Hardware-Firewall" o.ä. verwirrend - es könnte ja, wie Sie sagen, auch eine VM sein - obwohl das dann ja virtuelle HW ist - und ich persönlich außer für bestimmte Anwendungen kein Freund von virtuellen Firewalls bin - zumindest nicht wenn es die einzige ist. Egal - ich denke im Praxis-Szenario kann man schon froh sein, wenn es eine vernünftige gibt und die korrekt konfiguriert ist.
Mich persönlich erstaunt etwas, das sin der Richtlinie wohl eine SW-Firewall (genauer: Host/Client-FW) ausreichend ist - speziell wenn man sieht, welchen Aufwand man an anderer Stelle betreibt bzw betreiben will. Den Nutzen einer Client-FW würde ich zumindest mal stark in Zweifel ziehen.