Bescherming klein bedrijf met firewall *

Verwijderd schreef op zaterdag 17 september 2005 @ 14:25:
Hi,

mijn vraag; een klein bouwbedrijf (5 werkstations, + DSL internet toegang en 1 server) heeft mij gevraagd of het voor hun interessant is om een hardwarematige firewall aan te schaffen, momenteel zijn ze beveiligd via de DSL router (NAT protocol) en via softwarematige firewalls (norton internet security).

Ik zelf heb ze aanbevolen om geen hardwarematige firewall aan te schaffen, maar ik ben wel eventjes benieuwd naar jullie mening.

Let wel; hun uitgangspunt is dat ze goed beveiligd willen zijn, tegen een niet al te hoge prijs. Ik weet dat deze twee zaken niet zo goed met elkaar samen gaan, maar een gulden (of is dit nu ook al euro geworden) middenweg moet er toch zijn.

Alvast bedankt voor jullie reacties.

gulden=oudnederlands voor gouden

Ok, excuses heren moderatoren....

Yofresh_750 schreef op zaterdag 17 september 2005 @ 14:29:
[...]


gulden=oudnederlands voor gouden

Ok, excuses heren moderatoren....

Whatthefuck is dit nou voor antwoord. Die jongen maakt gewoon een grapje en jij gaat er met een dom serieus antwoord op in Maar goed, inhoudelijk.

Kijk eens naar SonicWALL producten, die hebben aardige firewalls voor kleine bedrijfjes, wij hebben op de zaak een TZ170, daar waren we voor 10 PC's nog geen 400 euro voor kwijt geloof ik.

Oh, iets meer dan 400 euro, namelijk € 473. Goed te configureren, kan ook VPN en handig te upgraden naar bijvoorbeeld 25 users.

[ Voor 16% gewijzigd door TheLunatic op 17-09-2005 14:33 ]

Een firewall staat of valt bij een goede configuratie, als je de tijd wilt nemen om dit te configureren, is dan een dedicated-linux firewall niet iets?

Magic schreef op zaterdag 17 september 2005 @ 14:33:
Een firewall staat of valt bij een goede configuratie, als je de tijd wilt nemen om dit te configureren, is dan een dedicated-linux firewall niet iets?

Alsof een server aanschaffen om de hele dag te firewallen goedkoop (en handig) is.

[ Voor 3% gewijzigd door TheLunatic op 17-09-2005 14:34 ]

wat een voordelige oplossing kan zijn is bijvoorbeeld een netgear fvs318 router. deze kan zowel inkomend als uitgaand verkeer filteren, kost slechts zo'n 150 euro, vreet weinig stroom en is gemakkelijk webbased te configureren. (nee, ik heb geen aandelen netgear )

mits updates e.d. met regelmaat worden uitgevoerd zou ik niets aan de situatie daar veranderen..
aangezien het niet teveel geld mag kosten zal je de situatie namelijk toch niet kunnen verbeteren t.o.v. hoe het nu gaat..

'Niet veel geld' is natuurlijk relatief, wat is je budget?

er bestaan geen hardware matige firewalls... (hoe dacht je dat dat zou werken, 1 jumpertje per poort)

omgeacht voor welk merk je gaat is het altijd software op een server, het enige voordeel wat je hebt is dat de server dan dedicated is en dat de drivers en hardware ge-optimezed zijn.

het nadeel van dit soort apliences vindt ik altijd dat je er wijnig mee kan anders dan dat waar het voor gemaakt is.

met andere woorden als de web interface down is kan je niets anders dan de hele machine uit zetten.
wij hebben op mijn werk een appliance voor het printen van HP, hier zat een bugje in dat hij zijn log files niet weg gooide... normaal is zoiets makkelijk zelf op te lossen maar aangezien je niet bij het filesystem kan komen moet je dus wachten op een oplossing van HP.

mijn voorstel is dus zet zelf een doosje in elkaar en zet daar een goeie firewall op en zoveel mogelijk andere zooi uit.

wij gebruiken hiervoor een Sun doos met Check Point.

Verwijderd schreef op zaterdag 17 september 2005 @ 14:25:
mijn vraag; een klein bouwbedrijf (5 werkstations, + DSL internet toegang en 1 server) heeft mij gevraagd of het voor hun interessant is om een hardwarematige firewall aan te schaffen, momenteel zijn ze beveiligd via de DSL router (NAT protocol) en via softwarematige firewalls (norton internet security).

Ik zelf heb ze aanbevolen om geen hardwarematige firewall aan te schaffen, maar ik ben wel eventjes benieuwd naar jullie mening.

Let wel; hun uitgangspunt is dat ze goed beveiligd willen zijn, tegen een niet al te hoge prijs. Ik weet dat deze twee zaken niet zo goed met elkaar samen gaan, maar een gulden (of is dit nu ook al euro geworden) middenweg moet er toch zijn.

Alvast bedankt voor jullie reacties.

Met een NAT router heb je het eigenlijk al goed voorelkaar. Om uitgaande ellende af te vangen, mocht er onverhoopt toch een trojan of virus actief zijn, kan je volstaan met een softwarematige firewall op de computers zelf. Liefst een betere dan de standaard windowsfirewall, die doet niet veel nuttigs als je toch al een NAT ervoor hebt zitten.

De meeste DSL routers hebben al een firewall aan boord. Een cisco 501 of een netfilter zijn weliswaar specifiek op dit doel ontworpen en derhalve wat makkelijker/beter in te stellen, maar over het algemeen is de firewall van zo'n DSL router echt meer dan afdoende hoor..

Een Cisco PIX 501 (zoals hierboven al vermeld) is erg goed en betaalbaar. Voordelen:
- Java Webbased interface (PIX Device Manager)
- Mogelijkheid tot blocken outbound traffic op exotische poorten (een goede systeembeheerder doet dit)
- Banner filtering (Telnet naar een exchange server laat normaal het versienummer enzo zien, als banner filtering aanstaat zie je alleen maar tekens zoals *@**@******@*@**@*)


Volgens mij standaard VPN mogelijkheden, zal je even moet checken.
Succes!

De 501 heeft standaard de EasyVPN van cisco, maar ook custom VPN tunnels geen probleem. De Java Webbased interface zou ik niet gebruiken, maar is er idd wel.

DaPoztMaster schreef op zaterdag 17 september 2005 @ 15:08:
Een Cisco PIX 501 (zoals hierboven al vermeld) is erg goed en betaalbaar. Voordelen:
- Java Webbased interface (PIX Device Manager)
- Mogelijkheid tot blocken outbound traffic op exotische poorten (een goede systeembeheerder doet dit)
- Banner filtering (Telnet naar een exchange server laat normaal het versienummer enzo zien, als banner filtering aanstaat zie je alleen maar tekens zoals *@**@******@*@**@*)


Volgens mij standaard VPN mogelijkheden, zal je even moet checken.
Succes!

Die banner filter is niet echt prettig, omdat dit te maken heeft met sender-id en reverse dns

er bestaan wel degelijk hardware firewalls. dat zijn gewoon machines die 'dedicated' hun taak als firewall uitvoeren.

de voordelen van een hardware firewall:
* het zijn machines die geoptimaliseerd zijn op het verdedigen van het netwerk tegen hack attempts
* ze voeren hun scans uit op een laag niveau (dicht bij de fysieke laag) met packet inspection en dergelijke
* ze zijn meestal gemakkelijk te configureren

een probleem kan zijn, dat ze uitgaand verkeer als geauthoriseerd beschouwen. een verkeerde klik in je internet explorer kan al een keylogger installeren op een pc, dus als die keylogger lekker passwords naar buiten stuurt hang je alsnog.

de voordelen van een software firewall op elke computer:
* je kunt per computer aangeven welke programma's informatie naar buiten mogen sturen. dit is een groot voordeel in mijn ogen.

nadelen?
* ddos aanvallen en hackattempts kunnen een software firewall langzaam maken,
* je kunt met 1 software firewall dus maar 1 machine verdedigen

en een aanrader: begin met de software firewalls .. dan heb je in jouw geval maar zo'n 5 licenties nodig (ik dacht dat ik iets over 5 computers las). koop er ook een goed antivirus pakket bij zodat de keyloggers enzo buiten de deur blijven. en als je geld over hebt, kijk dan OOK nog voor een hardware firewall, als extra verdediging.

TheLunatic schreef op zaterdag 17 september 2005 @ 14:34:
[...]

Alsof een server aanschaffen om de hele dag te firewallen goedkoop (en handig) is.

Ja, aangezien de specs erg laag zijn (pII voldoet doorgaans al) en de interface minstens even makkelijk is als die van een hardware-firewall..

Kijk eens naar securityu linux (Mandriva MNF, Astaro (beide betaald) of M0n0wall en PFsense (beide gratis, op FreeBSD gebasseert. De laatste is nog vrij expirimenteel, maar ik draai hem nu een maand zonder problemen)

drclaw schreef op zondag 18 september 2005 @ 12:17:
er bestaan wel degelijk hardware firewalls. dat zijn gewoon machines die 'dedicated' hun taak als firewall uitvoeren.

Er bestaan geen hardware firewalls. Een Pix501 is bijvoorbeeld geen hardware firewall, het ding draait gewoon software.

Sommige mensen zeggen foutief 'hardware firewall' en bedoelen dit in de definitie zoals jij 'm geeft.

Wat meestal met 'hardwarematige firewall 'bedoeld wordt, is dat je een apparaat hebt dat je eigen pc van die functie ontlast . Maar in wezen is ook zo'n hardware-firewall weer een processor die gewoon software draait, vaak een aangepaste linux-versie ofzo. Uiteindelijk komt alles neer op de software .

Zullen we het wat minder over de vorm en wat meer over de inhoud hebben?

Move PNS > BV