Beitrag
von clarius » 6. Jul 2019 20:46
Ich habe als Firewall eine Sophos UTM SG105 mit der Full-Guard Lizenz. Die macht Firewall mit Länderfilter und Intrusion Prevention, diverse Proxies für Netzwerkdienste wie DNS, NTP, www und Mail, kann Internetseiten auf Viren bzw. nach unerwünschten Inhalten untersuchen und ggf. filtern, macht e-Mail Virenscanner und Spamschutz und sichert nach außen freigegebene Dienste wie OWA, Exchange ActiveSync, Remote Desktop Gateway und ERP-System mit einem Remote-Proxy inkl. Virenschutz. Das ganze zu konfigurieren ist ein nicht unerheblicher Zeitaufwand, aber es erhöht die Sicherheit an vielen Stellen.
Der Länderfilter klingt banal, aber ich würde keine Firewall mehr einsetzen, die keinen hat. Beim Surfen kann kein Inhalt geladen werden, der in einem gesperrten Land auf einem Server liegt. Das minimiert das Risiko während des Internet-Surfens per Drive-By-Download mit einer Schadsoftware infiziert zu werden. Wenn eine Schadsoftware anderweitig den Weg auf den Rechner gefunden hat, kann diese aufgrund des Länderfilters wahrscheinlich keinen Kontakt mehr zum Command-und-Controlserver aufnehmen bzw. keine Schadsoftware mehr nachladen. Wenn Dienste ins Internet freigegeben werden, also OWA, Exchange ActiveSync, Remote Desktop Gateway, Warenwirtschaft, Datenbanken, Clouddienste oder Zeiterfassung, dann verhindert der Länderfilter, dass die ganze Welt 24 Stunden am Tag versucht, in den Server einzubrechen und irgendwelches schlimmes Zeug mit dem Server anzustellen.
DMZ klingt erstmal gut, ist aber bei kleinen Netzen mit nur einem Server meistens nicht zielführend. In einem DMZ sollten Server laufen, die im eigenen Gebäude stehen, aber aus Sicherheitsgründen nochmal per Firewall vom eigentlichen Netzwerk getrennt sind. Das ist für Webserver und Mailserver geeignet. In kleinen Windows-Netzwerken macht es aber keinen Sinn, Server oder Rechner aus der Windows-Domäne in eine DMZ zu packen, weil das Sicherheitskonzept DMZ damit hinfällig wird.
Nach außen freigegebene Dienste können mit einem Reverse-Proxy gesichert werden. Hier kann man auch Dienste verschiedener Server unter dem gleichen Port über unterschiedliche Dienstnamen freigeben. Also unter dem Port 443 sind über den Dienstnamen OWA Outlook Webaccess und Exchange ActiveSync erreichbar, der Dienstname RDG macht das Remote Desktop Gateway erreichbar und der Dienstname WAWI könnte einen Webdienst von der Warenwirtschaft über das Internet zur Verfügung stellen. Der ReverseProxy in Verbindung mit dem Länderfilter macht die Angriffsfläche von außen sehr klein. Den Rest erledigen weitere Firewalldienste wie z.B. Intrusion Prevention.
Es gibt von Sophos WLAN Accesspoints, die über die UTM Geräte gemanaged werden können. Ich habe die aber bisher nirgendwo im Einsatz. Hier im Netzwerk läuft eine Fritzbox als VOIP-Telefonanlage und WLAN Accesspoint. Im WLAN sind mehrere 1750E Repeater als Mesh konfiguriert. Über Geschwindigkeitsprobleme kann ich nicht klagen.