Erfahrungen mit Hardware-Firewalls?

Peter1980

Neuer User
Mitglied seit
13 Jun 2016
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
Ich bin auf dem Gebiet neu also verzeiht mir wenn die Frage zu banal erscheint: Ich überlege mein Heimnetzwerk - in Anbetracht der ganzen Cyberattacken die in letzter Zeit durch die Medien - umfassender zu schützen und bin kürzlich über den Begriff der Hardware-Firewall gestolpert wie sie etwa in Firmen eingesetzt werden soll. Meine Frage: Ist das in einem Heimnetzwerk realisierbar und sinnvoll? Falls ja wie gehe ich vor und was muss ich beachten? Ganz habe ich auch noch nicht durchblickt, wie genau die verglichen mit einer softwareseitigen Lösung überhaupt arbeitet. Es ist im Moment aber eher eine theoretische Überlegung zum Sinn und Unsinn davon.

Ich würde mich über ein paar grundlegende Infos sehr freuen und hoffe hier an der richtigen Stelle zu sein!

Gruß

Peter
 
Moins


Firewalls kenn ich nur als Soft-, aber nicht als Hardware.
Wenn es Hardwurde :D dann mit mehreren Netzwerkkarten, um die Netze auch schön physikalisch zu trennen.
So wie es zum Beispiel mit IPCop realisiert werden kann.
1x für/zum Router (unsicheres Netz = Internet)
1x für die LAN Klienten
1x für das WLAN (Accesspoint)
1x für ein DMZ

Mir persönlich reicht zuhause die Trennung vom LAN, mittels Gastzugang.
...darüber surfe und maile auch ich, und nicht nur meine Gäste.

Basen, Repeater, Drucker, IP-Telefone (lokal registriert) und IP-Kameras sind bei mir fürs Internet komplett gesperrt.
 
Möglich: Ja
Sinnvoll: Nein, z. B. gegen Fehler des Nutzers können sie nicht helfen.
 
Auch gegen Trojaner ect. hilft es eher nicht, die lassen ja quasi alles raus. Auch löst die Firewall keine Sicherheitsbugs in Software auf dem PC ect.

Und eingehende Verbindungen blockt eh schon Firewall im Router ab, mit Ausnahme der Weiterleitungen.

Frage ist also, was willst konkret mit bewirken? Ich halte die für verzichtbar, sowohl privat als auch Firmen, kann man ggf. auch anders Regeln im Switch wer mit wem kommunizieren darf oder Zentral über Server wo eh Anmeldungen ect. laufen.
 
Zuletzt bearbeitet von einem Moderator:
Möglich: Ja
Sinnvoll: Nein, z. B. gegen Fehler des Nutzers können sie nicht helfen.

Sorry für das Fullquote aber das musste jetzt mal sein da ich diesem Beitrag inhaltlich voll und ganz zustimme und es mehr eigentlich auch nicht zu sagen gibt, daher sollte eine Wiederholung ausnahmsweise mal nicht schaden. ;)

Wer wegen sog. "Cyberattacken" sich überlegt eine sog. "Hardware-Firewall" zuzulegen (man muss ja u.a. auch in der Lage sein diese sinnvoll zu konfigurieren und zu warten) um sich damit abzusichern/sicher zu fühlen ist m.E. schlicht und ergreifend auf dem Holzweg.

Eine wirklich gute Absicherung gegen Cyberattacken ist übrigens das Abschalten/Kündigen des Internetzuganges, dabei auch den/die über Mobilfunk nicht vergessen.
 
worum geht es in diesem Thread eigentlich? Um die Verwendung einer Firewall im allgemeinen oder die Vor/Nachteile einer Hardware- gegenueber einer Softwarefirewall?

Bei den im Privatbereich anzutreffenden Bandbreiten (insbesondere zum Internet hin) duerfte eine Hardwarefirewall gegenueber dem Software-Pendant eher etwas oversized sein:)
 
Falls es seine Portokasse her gibt, könnte ich ja eine CISCO PIX empfehlen. ;)
(das lag mir die ganze Zeit schon auf der Zunge, nur als #2 wollte ich es nicht schon schreiben)
 
Zuletzt bearbeitet:
Hardware-Firewall kaufen, oder einfach auf einem alten Rechner eine pfSense installieren. Das ist wohl das beste, was es an Software-Firewalls gibt, zumindest nach meiner halbwegs umfangreichen Suche. Der Strom für den Rechner kostet natürlich immer noch.

Ansonsten gilt, was die anderen schon gesagt haben: das steht und fällt mit Zeit und Wissen des Administrators, also dir.

Wenn du also nicht mehrere Wochenenden damit verbringen möchtest, und ich vermute, es wären sehr viele, dann wäre es am besten, die Finger davon zu lassen.

Eine halbwegs aktuelle Fritzbox, wie es sie oft aus 1&1 Verträgen bei Ebay für 50Euro gibt kann schon so ziemlich alles, um ein normales Heimnetzwerk zu schützen. Da laufen dann keine intelligenten Heuristiken mit, die Angriffe von alleine erkennen würden, aber auch bei jeder anderen Variante ist das entweder sehr aufwendig selber zu machen oder sehr teuer. Und für alles andere ist sie sehr sicher, zumal, wenn das Auto-Update aktiviert sit.
 
  • Like
Reaktionen: noli.melavo
Der letzte Beitrag ist vom 2.7.2016 !

Hardware-Firewall kaufen, oder einfach auf einem alten Rechner eine pfSense installieren. Das ist wohl das beste, was es an Software-Firewalls gibt, zumindest nach meiner halbwegs umfangreichen Suche. Der Strom für den Rechner kostet natürlich immer noch.

Wie wäre es mit zB einem Raspberry Pi ?
 
Der Rasberry ist dafür nicht geeignet. Die Hardware Firewalls sind für Privatpersonen zu teuer (die einfachen fangen ab 700 Euro an). Die haben auch entsprechende Anzahl Ethernet-Ports (4-8 Ports). Je nach HW Firewall ist die auch in der Lage, einiges an Müll rauszufiltern bzw zu Blocken (Trojaner, Bots, Viren,.........). Selbst in SSL Verbindungen kann diese in den Datenstömen nach Schadsoftware gucken. Im Auslieferzustand wird fast kein Port Rein oder Rausgelassen. (Im Gegensatz zu den Home-Firewalls, die fast alle Ports rauslassen).
Bei meinen HW-Firewall Favoriten werkeln MIPS-CPU´s, und somit nicht mit den einfachen PC Schadsoftprogrammen auszuhebeln.
Wie schon welche vorher geschrieben haben, hängt die Sicherheit natürlich von dem Admin der Firewall ab.
 
Also, ich persönlich habe noch nie so eine Hardwarefirewall genutzt. Ich benutze dafür eine Software, die mich bisher immer ganz gut geschützt hat. Eine Hardwarefirewall ist denke ich mal teurer und komplizierter, als eine einfache Firewall in Form einer Software. Vielleicht solltest du es erst mal mit so einer probieren, bevor du dich an so etwas ran machst. :)
 
Falls du mich meinst, kenne ich zumindest die Hardware Firewalls von Sonicwall....
 
Moin zusammen,

wollte nur meine Meinung kurz äusern.
Im privaten Bereich, ist eine Firewall schon im Providerrouter aktiv. Die lässt fast keine "Angriffe" von außen durch und, in normale Fälle reicht es vollkomm aus.
Wenn du dich aber mehr mit der Thema Hardwarefirewall beschäftigen möchtest, hast du dann ein paar andere Sachen zu beachten:
1. Falls du als Wan-Anschluss eine DSL Leitung hast, brauchst du ggf. einen passenden DSL-Modem (Draytek Vigour 165 z.B.), oder ein Kabel-Modem im Bridge-Modus.
2. Die Hardware-Appliance muss du auch auf deine Bedürfnisse anpassen. VPN und Packet-Inspection (IPS) benötigen mehr CPU Leistung.
3. pFsense ist eigentlich die beste Lösung, da keine Lizenzgebühren bezahlt werden müssen. Ansonsten sind da sogut wie keine Firewallhersteller die so eine Appliance ohne jährliche Lizenzen zur Verfügung stellen (Ausnahme Sophos).
4. Eine Hardwarefirewall muss du selber konfigurieren. Da ist recht einfach ohne eine tiefgreifende Eefahrung, deine ganze Internetleitung komplett zu sperren. Dann brauchst du ggf. die Appliance komplett zu resetten und neu anzufangen.

Ich nutze eine Hardwarefirewall seit Jahren, da ich dies ja auch berüflich mache.
Als Vorschlag:
1. such auf aliexpress nach Qotom. Eine Appliance mit Intel i5 soll genug sein. Bitte für pFsense immer Intel Netzwerkkarten.
2. Kannst auch auf ebay nach Sophos 125 suchen. Die lassen sich auf eine Home Lizenz umstellen (es gibt genuge Beiträge dafür zu finden).
3. Eine Lancom Box ist auch zu empfehlen. Die laufen super stabil, sind aber eher kompliziert zu konfigurieren. Eine andere Empfehlung wäre die Black Dwarf G3 von Securepoint (Terra/Wortmann). Muss du aber mit der Lizenz eine Lösung finden.
 
Zuletzt bearbeitet:
Ich streue mal nur ein, dass es z.B. für Telekom IPTV kaum Hardwarefirewalls gibt, die mit dem benötigten IGMPv3 klarkommen. Das hängt auch damit zusammen, dass IGMPv3 als Sicherheitsrisiko betrachtet und im Businessbereich nicht benötigt wird.
 
Ich meine bei pfSense ist das seit einigen Jahren kein Problem mehr

Ich weiß nicht, ob man das wirklich so schlicht sagen kann, daß sowas angesichts einer Routerfirewall ("kann schon so ziemlich alles") über ist. Das ist schon eine leicht andere Welt oder?

Was die vorgeschlagenen Leistungen angeht: Die allermeisten die Pi-hole nutzen, hören schon ab einem Pi3B+ zu stöhnen.
Ich selbst hab mir mal kurz - leider, der Kollege ist jetzt auch in ein anderes Bundesland gezogen - pfSense auf einem Dell R210II hinter 1Gbit DSL angeschaut. Es wurden nur die beiden Buchsen genutzt (keine Netzwerkkarte). Da war grad oben sein Zocker zugange, wir haben noch 1x Netradio angemacht, 1x irgendwas in 4k auf YT und dann am PC des Hausherren normal gesurft. Sollte so eine Art worstcase sein :)
Im anderen Tab das Monitoring aufgerufen.

Mit einem vollen Sack regeln hat der 210II das SPIELEND erledigt. Die Kiste hatte 2x 8GB und eine WDGreen SSD. Die CPU war ein Xeon E3-1220L v2. Das ist eine max. 17 Watt CPU... Sie hat das alles im Vorbeigehen gemacht. Das Netradio zuckte nicht einmal. Imho also sollte schon ab eben der (Rechen)Leistungsklasse alles safe sein ;) Egal wie alt oder wie neu
 
17W für die CPU ist ja das eine, aber nicht alles...
Außerdem ist die Kiste sacklaut
 
Die Kiste ist natürlich richtig laut, wenn das Ding startet. Danach nicht mehr. Und es ist bisschen lauter als leise, wenn Steckkarten genutzt werden. Dann wird eine andere "Lüfterkurve" gefahren. Sehr beliebt ist die Dell I350-T4, aber das braucht nicht gleich jeder.
SONST ist die Box richtig leise. Das ist aber natürlich trotzdem nicht dafür gedacht im Wohnzimmer als Unterlage für den 165 zu dienen :p Das sollte ja klar sein. In einem Wohnraum-Rack mit Glasfront ist es aber bereits unhörbar.

Der Verbrauch (Steckdose) liegt bei knapp 30W (!) 230 bis 899 Gulden für einen lüfterlosen MicroPC der dafür taugt, kann man natürlich machen. Wenns ok ist.
Möchte man nicht direkt was von Netgate, muss man eben mit sowas klarkommen:
Ist übrigens nicht direkt schlecht ;)

Ich weiß auch nicht ob die v3 Platform da noch soviel weniger zieht. Sprich, Dell R220. Glaube nicht daran. Mit einem E3-1220L v3 (der dann mit max. 13W läuft). Die CPU ist dann aber auch nicht nur auf dem Papier halb so schnell wie der v2. Kein Plan wie sich der v3 machen würde. Der 1220L v3 war für mich aus der technischen Sicht schon immer einer dieser FAILS bei Intel.
17W zu 13W und single wie multicore die halbe Rechenleistung zum Vorgänger. Mal ehrlich... :rolleyes:

Den R220 haben aber wohl nur sehr wenige in diesem Einsatz, weil kaum jemand damit irgendwo in den Foren auftaucht. Ist ja auch kontinuierlich einen halben Sack teurer als der R210II. Der R210II ist irgendwann quasi die Standardmaschine für 19" Senses geworden.

EDIT:
Es ging aber (falls ich das richtig gepeilt habe) erstmal weniger um die mögliche Hardware als um die allgemeine Sinnhaftigkeit :cool: Ich sehe die an sich schon gegeben. Bzw. was die Leute sich dabei denken.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.