Hardwarefirewall

[Lazarus]

Heute kam ein FAX vom VP über eine CGM Firewall (Panda Adaptive Defence 360 inkl. Antimalwareschutz, Firewall, Web- und Mailfilter) für 1839 netto inkl. 30 min. Remoteservice....zzgl. 360 für Wlan......(Panda mag ich nicht)
Leider kann ich nicht erkennen, was da wo hardwaremäßig eingebaut wird und welche Auswirkungen das auf Telefonie, Fax, Kim, TI u.s.w hat.
30 min Support finde ich etwas dürftig, weil es wahrscheinlich nicht sofort funktioniert.....Das Angebot sagt mir nicht wirklich zu, weil typisch intransparent (und als FAX unleserliches Kleingedrucktes....)
Gibt es vernünfige Alternativen?

[Thomas]

In der Hoffnung, jetzt nicht gesteinigt zu werden...

Für die Otto-Normalpraxis würde ich aus technischer Sicher gar keine Hardware-Firewall nehmen. Man kann darüber unendlich lange philosophieren, aber letztendlich ist in der üblichen Praxis (eine Handvoll PCs mit Benutzern, die volle Admin-Rechte am PC haben), das Problem ganz woanders. Ich will damit nicht ausdrücken, dass so ein einfacher "Otto-Normalpraxis"-Ansatz grundsätzlich schlecht ist - hat alles seine Vor- und Nachteile. Ist ja eigentlich wie eine Besteckschublade zu Hause: Da kann jeder ran und sich mit den Messern und Gabeln beliebige Wunden zufügen, macht nur halt normalerweise niemand, weil eine gewisse Sorgfalt antrainiert ist. So ist das letztendlich auch mit der PC-Sicherheit. Man kann eine Hardware-Firewall einbauen (quasi die Schublade mit einem Schloss sichern), handelt sich dabei aber andere Probleme und Unannehmlichkeiten ein, was in der täglichen Praxis einen Komfortverlust bedeutet und meist hinderlich ist.

Man kann sich also eine Hardware-Firewall ins Netzwerk hängen, muss dann aber ggfs. mit den bestens geschilderten Problemquellen rechnen (TI, VPN für Heimarbeitsplätze, Telefonie). In jedem Fall muss man das Gesamtkonzept betrachten, also insbesondere den Viren-/Spam-Schutz bei E-Mail, die Sicherheit beim Surfen und den physikalischen Zugriff auf Rechner (unbeobachtete Patienten in Sprechzimmern mit eingeschalteten PCs) usw. Die Firewall ist da nur ein Punkt unter vielen.

(ICH selbst habe eine Watchguard T40 mit Basic Security, weiß also grundsätzlich, wovon ich rede ) Und wenn es wirklich eine sein soll, würde ich eine Watchguard Txx nehmen (T20 mit Basic Security reicht). Aber wie gesagt, in dem meisten Fällen dürfte das nur ein Alibi sein in der Art von "Ja, das BSI will das und die KBV auch, also habe ich eine Hardware-Firewall installiert." (Löst zwar keine echten Probleme, beruhigt aber auf den ersten Blick.)

Viele Grüße
Thomas

[Lazarus]

ok, warchguard fand ich auch besser, nur war keine richtige Anleitung auf Anhieb zu finden.

Dann fand ich endlich das:
https://www.firatboyan.com/en/watchguar ... ation.aspx

Jetzt weiß ich wenigstens, dass es hinter den Router kommt. Mal sehen, ob mein VPN, die Telefonie und das hl. FAX das überstehen.

Welche Ausstattung ist sinnvoll? Basis ider TOTAL?

[RAMöller]

Wer sparen möchte und etwas Zeit und Nerven hat, kann das natürlich auch "diy" mit einem älteren Rechner machen:
https://hessburg.de/diy-firewall-fuer-35-euro/
Wobei 35€ etwas untertrieben sind
Ist vielleicht etwas für zu Hause

[Thomas]

Die T15 ist eine ältere Generation, die lt. https://www.watchguard.com/de/wgrd-trus ... ife-policy bereits im März 2027 auslaufen wird. Nehmen Sie lieber eine T25 oder T25-W.

Appliance mit Basic Security Suite
Basic Security Suite: beinhaltet "WatchGuard 24x7 Standard Support"; Sie erhalten kostenfreie Support Incidents bei WatchGuard (Ansprechzeit 24x7); Sie können immer die aktuelle Softwareversion nutzen (Software Maintenance), und bei Technischem Defekt liefert WatchGuard innerhalb von 1-2 Werktagen ein kostenfreies Austauschgerät. Bei den neuen Modellen ist das Access Portal bereits enthalten (außer bei T20/T20-W, T25/T25-W oder T35-R), bei den Modellen M270, M370, M470, M570, M670, FireboxV und Firebox Cloud ist die Total Security Suite erforderlich. Weiterhin sind die zusätzlichen Security Services WebBlocker, spamBlocker, Gateway Antivirus, Intrusion Prevention Services, Reputation Enabled Defense, Application Control, Network Discovery und WatchGuard Cloud Visibility mit 1 Tag Datenaufbewahrung enthalten.

Appliance mit Total Security Suite
Total Security Suite: beinhaltet "WatchGuard 24x7 Gold Support"; Sie erhalten unbegrenzt kostenfreie Support Incidents bei WatchGuard (Ansprechzeit 24x7 mit kurzen Reaktionszeiten); Sie können immer die aktuelle Softwareversion nutzen (Software Maintenance), und bei Technischem Defekt liefert WatchGuard innerhalb von 1-2 Werktagen ein kostenfreies Austauschgerät. Weiterhin sind die zusätzlichen Security Services WebBlocker, spamBlocker (nicht bei FireboxV), Gateway Antivirus, Intrusion Prevention Services, Reputation Enabled Defense, Application Control, Network Discovery (nicht bei FireboxV), APT Blocker, Threat Detection and Response, DNS Watch, Dimension Command, IntelligentAV und Access Portal (beide nicht bei T20/T20-W, T25/T25-W oder T35-R), ThreatSync (XDR) und WatchGuard Cloud Visibility mit 30 Tagen Datenaufbewahrung enthalten.

Wenn es also wirklich eine Hardware-Firewall sein sollte (ich würde in den meisten Fällen davon abraten!) dann reicht die Basic Security. Und dran denken, dass die in 3 Jahren verlängert werden will... Und die Privathandys, die keinen Praxiszugang brauchen, sollten ins WLAN vor die Firewall, also z.B.

Fritzbox (hier WLAN an und die Privathandys dort rein) -> Firewall -> Praxis-LAN mit eigenen Accesspoints für Praxis-WLAN-Geräte (sofern vorhanden, z.B. WLAN-Dokumentenscanner). Geräte, die keinen Zugriff auf den Server und sonstige Praxis-Netzwerkgeräte brauchen (z.B. die IP-Telefone) können problemlos an die Fritzbox und sind dann aus der Hardware-Firewall-Komplexität raus.

Aber wo ich das gerade schreibe: Wir berühren hier wirklich Themen der grundsätzlichen Planung der Praxis-IT. Gerade die Anzahl, Art, Sicherheitskonfiguration, Platzierung und Verbindung von WLAN Accesspoints ist ein großes Thema für sich... Und was ich hier alles so schreibe gilt nur für die Beispielkonfiguration, die mir als "Otto-Normalpraxis" im Kopf ist. Bei jeder anderen Praxis muss man sich individuelle Gedanken machen und die Sache planen.

[Thomas]

Ach ja, für mein Beispiel wäre die T25 (ohne WLAN) ausreichend, da WLAN ja nicht unmittelbar von der Firebox gemacht wird.

[Thomas]

Wer sparen möchte und etwas Zeit und Nerven hat, kann das natürlich auch "diy" mit einem älteren Rechner machen:
https://hessburg.de/diy-firewall-fuer-35-euro/
Wobei 35€ etwas untertrieben sind
Ist vielleicht etwas für zu Hause

Sieht auf den ersten Blick gar nicht so schlecht aus. (Für zukünftige Leser, sollte der Link nicht mehr gehen: Es geht im einen RasPi >=3b oder ähnliches mit ipfire drauf.) Allerding: Üblicherweise deaktiviert man das Fritzbox Regelwerk, indem man dort eine Freigabe für die Firewall als "exposed Host" einträgt - sonst muss man alle eigehenden Regeln in der Fritzbox UND der Firewall machen, was mit ziemlicher Sicherheit früher oder später zu Chaos führt. Nun hängt der Kleinrechner mit ipfire komplett frei im Internet und das Praxisnetzwerk dahinter. Jeder Bug in ipfire wirkt sich dann katastrophal auf das Praxisnetzwerk (bzw. dessen Sicherheit) aus. Ich will ipfire nicht schlechtreden, aber aus dem Bauch heraus würde ich einem Hersteller wie Watchguard da mehr Kompetenz und Zuverlässigkeit andichten. (Und hoffe, dass die ihre - gutbezahlten - Hausaufgaben auch wirklich richtig machen, denn natürlich besteht dabei grundsätzlich das gleiche Problem, weshalb die sorgsame Pflege der Firewall und das Installieren der Updates absolute Pflicht ist - und das Verlängern des Supportvertrags nach 3 Jahren auch.)

[FortiSecond]

Hmm, brauchen wir einen Mini-Workshop für OPNsense in einer Praxis?

Das ist in der Grundinstallation bereits "mehr" als eine Fritzbox. Und damit meine ich wirklich "nur installieren, die Schnittstellen einmal definieren und dann eine Seite ans LAN, die andere ans WAN und läuft".

Alles "darüber" ist, solange man nicht versehentlich "alles freigibt", eine Verbesserung.
Kosten? Passende alte Hardware oder VM + Null Euro für das System.

Hier kam gerade eine Anfrage für eine solche Box samt Intrusion Detection, Gäste-WLAN (VLAN) und so weiter.
Vorsorglich werde ich dann mal die komplette Installation per HDMI-Grabber und OBS protokollieren.
In diesem Fall wird es keine VM, sondern ein ausgemusterter Mini-PC mit zwei zusätzlichen USB-Ethernet-Adaptern als Basis herhalten.

[W. Steuber]

Pfsense läuft in einer VM gaaanz schlank kalkuliert mit 1 Prozessorkern, 1 GB RAM und und minimal 1 GB Festplatte (ok, für die Installation braucht's erstmal mehr).
Läuft bei mir nebenbei auf dem Linux-Server zur Bereitstellung des VPN zu Red Medical.
Einmal justiert (alle any-any überprüft und ggf. geändert) und danach alles gut.
Extra Hardware (außer 1 Netzwerkkarte für's WAN) war nicht nötig.

[bofh]

Allerding: Üblicherweise deaktiviert man das Fritzbox Regelwerk, indem man dort eine Freigabe für die Firewall als "exposed Host" einträgt - sonst muss man alle eigehenden Regeln in der Fritzbox UND der Firewall machen, was mit ziemlicher Sicherheit früher oder später zu Chaos führt. Nun hängt der Kleinrechner mit ipfire komplett frei im Internet und das Praxisnetzwerk dahinter. Jeder Bug in ipfire wirkt sich dann katastrophal auf das Praxisnetzwerk (bzw. dessen Sicherheit) aus.

Bei 0815 Kleinpaxis:

Wieso sollte man das tun wollen (Firewall als exposed Host eintragen)? Der Sinn der Firewall vor dem Praxisnetz liegt doch darin, dass aus dem Praxisnetz nicht beliebig nach draußen kommuniziert werden kann. Verbindungen von Normal-LAN ins Praxisnetz sollten generell nicht möglich sein.

Und von ganz aussen (WAN bzw. Internet) sollte doch sowieso niemand rein kommen. Da schadet es auch nicht, wenn auch die Fritzbox zusätzlich dicht macht.

[bofh]

Quote ist verrutscht. Wo ist der "edit" Knopf?

[FortiSecond]

Pfsense läuft in einer VM gaaanz schlank kalkuliert mit 1 Prozessorkern, 1 GB RAM und und minimal 1 GB Festplatte (ok, für die Installation braucht's erstmal mehr).
Läuft bei mir nebenbei auf dem Linux-Server zur Bereitstellung des VPN zu Red Medical.
Einmal justiert (alle any-any überprüft und ggf. geändert) und danach alles gut.
Extra Hardware (außer 1 Netzwerkkarte für's WAN) war nicht nötig.

Geht mit beiden (pf/OPN) auf ´ner Himbeere.

Wenn man allerdings so spaßige Features wie Reverse Proxy, Zenarmor, Squid Cache und Co. nutzen möchte, dann geht´s munter nach oben mit RAM und Disk. Und manchmal auch CPU, speziell bei VPN mit mehreren Clients an dicker Leitung.
Hier zeigt sich die Flexibilität im Vergleich zu den geschlossenen Appliances der unteren Preisklasse. Ein i5 der 4. Generation steckt das alles gut weg, und wer Strom sparen will, kann auch mit i5-4xxxU an den Start gehen. i3-6xxx tut´s auch, weil fehlende Features gegenüber i5 weitgehend kompensiert werden.

Das sollte dennoch nicht darüber hinwegtäuschen, dass jedes Feature für sich prinzipiell eine weitere potenzielle Schwachstelle und Fehlerquelle ist.
Updaten ist stets Pflicht, und USV oder Auto-Poweron nach Stromausfall sind auch ratsam.

@bofh und Thomas:
Ja, die grundsätzliche Überlegung ist zuerst die erwünschte Netzwerkstruktur.

1) Einfach ist es, die FW als solche zwischen Fritte und internes Netz zu packen und die FW als Exposed Host einzutragen (Fritz schiebt alles durch zur Firewall, die macht dann die Arbeit). Dahinter kann dann das Praxisnetz kommen.
2) ODER hinter 1 mehrere Netze via zusätzliche LAN-Adapter oder alternativ schlauen Switch mit VLAN-Tauglichkeit ansetzen. Also ein Subnetz für sichere Praxis, eines für Hotspot oder so, eines für Internet-PC, eines für Telefonie... naja, es ginge viel

3) Besser wäre natürlich dann noch, gar keine Fritte, sondern einen für das jeweilige WAN (DSL, Glasfaser, LTE) geeignetes Modem vorzuschalten und die _sense die Einwahl erledigen zu lassen. Beseitigt doppeltes NAT und allerlei Besonderheiten.

a) Eine FW zwischen eine Fritz und einen "geschützten Teil" allein zu setzen, ist irgendwie verschwenderisch. Da kann man auch eine Fritzbox als IP-Client zwischensetzen (im richtigen Modus ist die zum vorgelagerten Netz so dicht wie sonst auch zum Internet).

b) Die Fritte weiterhin als Paketfilter zu nutzen und ein eigenes Netz betreiben zu lassen, kann sinnvoll sein, wenn man dort noch zwingend die Telefonie, ggf. ein Gäste-WLAN oder sowas nutzen will. Dennoch entgehen dabei eventuell relevante Dinge wie Freigaben, Reverse Proxy und sowas. Okay, gezielte Weiterleitungen wären eine Idee für sowas...

->
Der Idealzustand ist immer praxisabhängig und eine Frage des Willens und der Ressourcen, da tief einzusteigen.
Die "komplexeren" Lösungen gehören hier auch nicht her: Wer sowas in Eigenregie machen will, wird das System verstehen können und ggf. die passenden Anleitungen dazu finden.

Ich merke, es geht vielleicht so zu weit, eine reine Basislösung als How-To zu bauen. Zu groß ist das Risiko, dass man versucht, irgendwelche weiteren Sachen zu aktivieren und dabei Scheunentore öffnet. Wobei: Das geht auch mit einer Serien-Firewall sehr leicht :>

[FortiSecond]

Quote ist verrutscht. Wo ist der "edit" Knopf?

Ich frag´ mal nach...

EDIT: Hab´ einen gefunden

[FortiSecond]

Wieso sollte man das tun wollen (Firewall als exposed Host eintragen)? Der Sinn der Firewall vor dem Praxisnetz liegt doch darin, dass aus dem Praxisnetz nicht beliebig nach draußen kommuniziert werden kann.

Verbindungen von Normal-LAN ins Praxisnetz sollten generell nicht möglich sein.

Und von ganz aussen (WAN bzw. Internet) sollte doch sowieso niemand rein kommen. Da schadet es auch nicht, wenn auch die Fritzbox zusätzlich dicht macht.

1) Siehe oben. Exposed Host heißt nur, dass ALLE eingehenden Pakete der Fritte mit Ausnahme eigener Funktionen direkt durchgeleitet werden an die Firewall. Eingehend ist bei der FW erstmal alles dicht, und ausgehend an sich alles offen. Im nächsten Schritt lässt man nix mehr raus außer Verbindungen zu bestimmten Ports, also 80,443,53,465,993 und was manche Geräte so brauchen. Konnektor bekommt exklusiv Zugang zu den Telematik-Einwahlpunkten... also so in der Art.

2) Warum nicht? RDP oder auch Heimarbeit mit RDP wäre eine Idee. Natürlich über VPN, was dann ins Praxisnetz führt.

3) Siehe 2)

Dennoch durchaus berechtigte Fragen, um die man sich Gedanken machen sollte.
(So langsam wird klar, warum die Einrichtung einer FW durch fachkundige Dienstleister so teuer ist: Man sollte praxisnah und sattelfest sein)

[Thomas]

Man kann darüber unendlich lange philosophieren

Tja, ich hatte meine Beiträge in diesem Thread genau deshalb so formuliert, weil ich just diese Diskussion vermeiden wollte. Man kann das alles prima so oder so oder so machen... es gibt da bei n Technikern und x Netzen n^x^y (mit y eine beliebige Zahl>1) Lösungsansätze. Wir könnten ja mal ein Buch schreiben...

Ohne jetzt hier irgendeinem Leser zu nahe treten zu wollen: Die Praxis-Netzwerksicherheit ist ein Thema, das man vielleicht doch besser einem erfahrenen IT'ler anvertrauen sollte. (Der aber erst einmal gefunden sein will - der übliche CGM-TM-DvO ist da nicht zwingend die erste Wahl .) Hier hat man es wirklich nicht mit einem Plug-and-Play-Teil zu tun - auch, wenn es so aussehen mag. Die Tücken stecken im Detail und bei falscher Konfiguration hat schon mancher Anwender plötzlich seine Daten ins Netz gestellt oder es funktionieren plötzlich irgendwelche Dinge nicht, die vorher noch liefen.

Aber das sind nur meine Gedanken. Ich halte hier jetzt den Mund.

[FortiSecond]

@Thomas: Word!
(Aber eines noch: Was nützt eine 4.000-Euro-Firewall, die lediglich als besserer Paketfilter eingerichtet wird und somit nicht für mehr Sicherheit, sondern für mehr Frust sorgt? Oder sollte die Frage beginnen mit "WEM nützt..." )

[Lazarus]

@Thomas: Word!
Oder sollte die Frage beginnen mit "WEM nützt..." )

Das Angebot von CGM ist intransparent.
30 min Online-Service gratis reichen niemals aus, um das reibungslos zum Laufen zu bringen, außer man nutzt sehr wenige Funktionen.
Vielleicht gibt es demnächst Erfahrungsberichte