Hardware firewall voor small bussiness netwerk

SBS 2003 Standard of Premium? Heb je 1 of 2 nics.

Zorg in ieder geval dat je 2 NICs hebt, dan hang je het netwerk aan de ene en het internet aan de andere. Dat maakt de beveiliging alweer een stuk beter. Wanneer je de Premium editie hebt dan heb je ook ISA 2004 en dat is een perfecte firewall.

Thuiswerken via https is net zo veilig als via een VPN. Maar als jij liever een VPN gebruikt dan kan dat natuurlijk ook. Zorg dat je gebruikers het template Mobile User over zich heen hebben gekregen, ga naar RWW en download de Connection Manager. In je router wel even poort 1723 en het GRE protocol aanzetten.

Hoe dan ook, in principe hoef je je met deze opstelling nergens zorgen om te maken. Wel is belangrijk dat je de server up-to-date houdt en dat je gebruikers sterke wachtwoorden hebben. Maar dat geldt natuurlijk voor alle servers die aan het internet hangen.

[ Voor 89% gewijzigd door Jazzy op 02-12-2007 23:04 ]

Afhankelijk van wat voor internet-abonnement je gebruikt, zou je kunnen kiezen voor een Cisco ASA firewall, bijv. de ASA 5501. Deze heeft heel goede VPN en firewall mogelijkheden.
Het is dan wel van belang dat je meerdere IP's tot je beschikking hebt, dus een zakelijk internet abonnement (KPN Zakelijk DSL bijvoorbeeld).

Verwijderd schreef op zondag 02 december 2007 @ 23:17:
De server is SBS standard en heeft 1 NIC, als VPN en https even veilig zijn, ga ik toch voor de https gezien dit makkelijker werkt, gewoon naar de browser en klaar is kees. Helaas heb ik maar 1 ip adres (Standaar kpn abonnent). Server is altijd netjes up to date en workstations ook.

Het certificaat dat we momenteel gebruiken voor de https is echter een standaard certificaat van de server, geeft dus een melding dat het niet vertrouwd is, is het verstandig om bijvoorbeeld een VeriSign certificaat te nemen of is deze net zo veilig?

Je zegt dus dat de speedtouch een firewall heeft die veilig genoeg is, de server heeft namelijk geen firewall....

In die speedtouch heb je (naar ik aanneem) alleen poort 443 en 4125 geforward naar de server, en mischien 25. Dat scheelt al een hele boel namelijk, dan zullen hackers niets met rare urls op poort 80 kunnen, geen ftp uploaden via poort 21, etc.

Als je de beveiliging wilt vergroten dan voeg je een tweede nic toe aan je server en draai je de CEICW opnieuw. Je server gaat nu tussen het internet en de clients zitten en dat is altijd beter. Ook een standaard server heeft een firewall, alleen niet zo geavanceerd als ISA.

Dat certificaat dient alleen maar zodat de client zeker weet dat hij zijn wachtwoord gaat geven aan de juiste server en niet iemand die doet alsof hij je server is (man in the middle attack). Het verschil met een Verisign certificaat is dat de gebruiker geen melding meer krijgt. Daar wordt de beveiliging niet direct beter of slechter van, de verbinding is nu eenmaal versleuteld en dus niet af te luisteren.

Edit: Mobile User hoef je ze alleen maar te maken als je ze het Connection Center wilt laten installeren op kun laptop of thuiswerkplek. Zo kunnen ze direct een VPN opzetten naar je server, mits je je router hebt aangepast dus.

[ Voor 8% gewijzigd door Jazzy op 02-12-2007 23:37 ]

Dat regelt SBS voor je, daarom moet je de CEICW draaien.

Ik denk dat de beveiliging nu van een redelijk tot goed niveau is, omdat https wordt gebruikt en (zie eerdere opmerking) niet alle poorten geforward zijn naar de server toe.

Als je het goed wilt doen, kijk dan naar een Cisco PIX 515 of 515E. Deze zijn qua prijs nog wel te doen en de laatste firmware kan er nog in. De PIX en ASA (nieuwe lijn) zijn goed in het inspecteren van pakketten en zijn in staat om verdacht verkeer te detecteren. VPN zit erin en de mogelijkheden zijn enorm. Zo "snapt" de firewall verkeer door realtime de pakketten te bekijken. Als je dan bijvoorbeeld zegt dat FTP uitgaand mag, hoef je alleen maar te zeggen dat poort 21 uitgaand wordt toegestaan. De dataverbinding, of het nu actief of passief is vogelt de PIX zelf uit.

Een PIX kan voor zover ik weet niet als PPTP client fungeren, kan dus een probleem zijn met KPN.

De stabiliteit en mogelijkheden van een PIX zijn van een heel ander niveau (en prijs) als een SpeedTouch. Een PIX installeren is alleen niet voor de beginner, het kost wat uitzoekwerk.

Ik werk zelf met Sonicwall firewalls.
Deze is door zijn webinterface volgens mij wat gebruiksvriendelijker als de hiervoor genoemde cisco's. Er is ook iets van Gateway antivirus mogelijk, maar daar heb ik zelf nooit mee gewerkt.
Tov de speedtouch denk ik toch wel een stevige verbetering in firewalling.
(Sonicwall kun je licenseren voor kleinere aantallen clients, waarmee je de prijs aardig kunt drukken.)

My 2 cents

[ Voor 14% gewijzigd door Blabla13 op 10-12-2007 07:30 ]

Je blijft de vraag maar herhalen. Waarom zou je iets anders komen, bevalt McAfee niet?

Het zelfde geldt voor de firewall. Waarom ben je niet tevreden met de huidige situatie, wat zou je graag anders willen? Welke eisen stel je? Waarom vervang je hem niet door een Linksysje en zet je alles van binnen naar buiten dicht?

De ASA5505 is er in een 10, 50 en unlimited user variant. Daarnaast is er een -SEC variant met o.a. ondersteuning voor .1Q trunks en failover. Configuratie kan men doen via de command line en met de grafische ASDM. ( Als je op Cisco.com een CCO account aan maakt kun je een demo versie via bovenstaande link downloaden. )

De ASA5505 heeft wel een expansion slot. Maar welke modules hier voor gemaakt worden is niet bekend.
Als je een antivirus gateway wil hebben moet je minimaal kijken naar een 5510 met CSC10 module (met 50 user licentie) Een plus licentie voor anti phising / anti spam / URL filtering is optioneel. De AV engine die hier op draait is van Trend Micro. Standaard zit hier 1 jaar updates bij. Na dit jaar moet je renewalls aanschaffen.

Een antivirus gateway is geen vervanging van de AV software op de client PC's. Het is een "second line of defense." Mijn advies is dan ook om AV software van een andere fabrikant te kiezen, dan de AV engine van de gateway. Je vangt dan meer af.

De ASA is het nieuwe firewall platform van Cisco. Alle nieuwe ontwikkelingen worden voor dit platform ontwikkelt. Zolang de PIX nog verkoopt, verkoopt het. Maar het zal dan snel End of Sale gaan. Software release 7 en 8 zijn niet uitgekomen voor de PIX501 en 506.

Waar je ook naar kan kijken is een ISR router. Bijvoorbeeld een 1801 voor ADSL of een 1811 / 1812 voor ethernet interfaces. Hier draait IOS firewalling op. Bovendien kun je netwerkverkeer dieper inspecteren m.b.v. IOS IPS. (op bijvoorbeeld wormen.) Dit is echter geen geautomatiseerd proces en IPS rules dienen regelmatig gefinetuned te worden. ( IPS kan ook op de ASA, maar dan heb je wederom een extra module nodig, wat dus neer komt op een ASA5510. )

SSL VPN kan ook op de ISR routers, maar dit is minder feature-rijk dan op de ASA.
( Zo kan je bij de ASA een complete SSL portal bouwen. )

IOS IPS heeft redelijk impact op de performance van de router. ( Daarom 18xx serie )
Vind je IOS IPS niet nodig, dan kun je ook kijken naar een 870 router.
De 870 doet 2 concurrent SSL VPN sessies, de 18xx max. 10.

In het algemeen geldt dat als je een AV gateway / UTM wil hebben, je een stuk duurder uit bent.
Waar je bijvoorbeeld ook naar kan kijken is een UTM van NetASQ. Deze heeft standaard een engine ClamAV en met een upgrade een engine van Kaspersky. Support / documentatie is wel minder t.o.v. bijvoorbeeld Cisco.