none
Firewall-Lösung für SBS2008 RRS feed

  • Frage

  • Hallo zusammen,

    ich weiß, es wurde schon öfter hier gefragt: Wie sieht Eurer Meinung nach aktuell eine vernünftige Firewwall-Lösung für den SBS2008 aus (jetzt, da ich meinen geliebten ISA2004 nach und nach mit den Umstellungen SBS2003Premium-->SBS2008 aufgeben muß, *schnief*)?

    Tobias, Du hattest vor einiger Zeit hier beispielhaft die UAG-Appliance von Secureguard für kleinere Unternehmensumgebungen genannt.
    Wie so oft, fehlt es den Kunden am Geld - ca. 1000,00 € zusätzlich sind den meisten Kleinstkunden leider zuviel.

    Mir fehlt es an schlüssigen Argumenten, außer "die Lösung integriert sich hervorragend in MS-Umgebungen" ;) und "UAG filtert auf Anwendungsebene und nicht nur port-basiert".

    In den USA wird seit einiger Zeit ja Calyptix im SBS-Umfeld "gehyped": www.calyptix.com.
    Wäre das vielleicht eine Alternative? Scheint aber preislich auch nicht gerade zielgruppengerecht...

    Und konkret: Welches Risiko (mal in Wahrscheinlichkeiten ausgedrückt) hat ein Kunde, der nur einen Business-Router (wie den Lancom 821+ DSL) einsetzt, daß er durch die beiden hauptsächlich von extern zu erreichenden Dienste RWW (443) und SMTP (25) gehackt/sonstwie von extern  geschädigt werden könnte?

    Falls Ihr der Meinung seid, daß ein Businessclass-Router ohne zusätzliche Firewall, die auch auf Anwendungsebene filtert, nicht ausreichend ist, um ein SBS2008-Netzwerk wirkungsvoll zu schützen, würde ich auch noch vehementer auf die Kunden zutreten können und beispielweise UAG unbedingt/zwingend empfehlen.

    Ich danke Euch für Eure Hife.

     

    Viele Grüße,

    Max

    • Bearbeitet Max Habermehl Sonntag, 12. Dezember 2010 20:46 Tippfehler und Formatierung geändert.
    Sonntag, 12. Dezember 2010 20:45

Antworten

  • Hi Max,
     
    > ich weiß, es wurde schon öfter hier gefragt: Wie sieht Eurer Meinung nach
    > aktuell eine vernünftige
    > Firewwall-Lösung für den SBS2008 aus (jetzt, da ich meinen geliebten
    > ISA2004 nach und nach
    > mit den Umstellungen SBS2003Premium-->SBS2008 aufgeben muß, *schnief*)?
    >
    > Tobias, Du hattest vor einiger Zeit hier beispielhaft die UAG-Appliance
    > von Secureguard für
    > kleinere Unternehmensumgebungen genannt.
    > Wie so oft, fehlt es den Kunden am Geld - ca. 1000,00 € zusätzlich sind
    > den meisten Kleinstkunden
    > leider zuviel.
    >
    > Mir fehlt es an schlüssigen Argumenten, außer "die Lösung integriert sich
    > hervorragend in
    > MS-Umgebungen" ;) und "UAG filtert auf Anwendungsebene und nicht nur
    > port-basiert".
    >
    > In den USA wird seit einiger Zeit ja Calyptix im SBS-Umfeld "gehyped":
    > www.calyptix.com.
    > Wäre das vielleicht eine Alternative? Scheint aber preislich auch nicht
    > gerade zielgruppengerecht...
    >
    > Und konkret: Welches Risiko (mal in Wahrscheinlichkeiten ausgedrückt) hat
    > ein Kunde, der nur
    > einen Business-Router (wie den Lancom 821+ DSL) einsetzt, daß er durch die
    > beiden
    > hauptsächlich von extern zu erreichenden Dienste RWW (443) und SMTP (25)
    > gehackt/sonstwie
    > von extern geschädigt werden könnte?
     
    Solche Fragen lassen sich nie pauschal beantworten und unterliegen einer
    vorangegangenen Analyse des Bedrohungspotential und Sicherheitsanforderungen
    des entsprechenden Unternehmens.
     
    Beispiel: Sex ohne Kondome kann jahrelang "gut" gehen, sicher ist es dennoch
    nicht..
     
     
    > Falls Ihr der Meinung seid, daß ein Businessclass-Router ohne zusätzliche
    > Firewall, die auch auf
    > Anwendungsebene filtert, nicht ausreichend ist, um ein SBS2008-Netzwerk
    > wirkungsvoll zu
    > schützen, würde ich auch noch vehementer auf die Kunden zutreten können
    > und beispielweise
    > UAG unbedingt/zwingend empfehlen.
     
    Als erstes solltest Du mit dem Kunden eine ehrliche Diskussion führen,
    welche Sicherheit er fordert UND welche Sicherheit er benötigt (z.B. durch
    Danteschutzbestimmungen, Versicherungsschutz usw.)
     
    Aus Diesen gesammelten Daten, die pro Unternehmen zu erheben sind, kannst Du
    dann zusammen mit dem Kunden (und ggf. einem Spezialisten Deiner Wahl) eine
    passende Lösung zusammenstellen.
     
    Aber merke: Security hört nicht am Gateway auf, sondern beinhaltet eine
    umfassende Strategie im GANZEN Unternehmen - und das auch nicht nur in der
    technischen IT.
     
     
    Als erste Wahl für die Edge-Security ist ein(e) TMG(-Appliance) (respektive
    UAG-Appliance inkl. DirectAccess im Zusammenspiel mit SBS 2011 und Windows 7
    Pro) mit zugehörigen Sicherheitserweiterungen (s.
    http://technet.microsoft.com/en-us/library/ee207139.aspx und
    http://technet.microsoft.com/en-us/library/ff686709.aspx) im Zusammenspiel
    mit den Microsoft Technologien eines SBS zu empfehlen.
     
    Hintergrundinformationen dazu:
     
    TMG, or UAG: that is the question
    http://retrohack.com/tmg-or-uag-that-is-the-question/
     
    TechNet - Forefront Network (Edge) Access and Protection
    http://technet.microsoft.com/en-us/library/ff684069.aspx
     
     
    Ist dies aus Kostengründen bzw. aus dem jeweiligen Anforderungsprofil nicht
    möglich respektive notwendig, dann wäre eine Stufe darunter eine
    UTM-Appliance (s. http://en.wikipedia.org/wiki/Unified_Threat_Management)
    eine mögliche Lösung
     
    Hier ist IMO wichtig, eine AD-Integration zu gewährleisten.
     
    Beispiele hierfür sind:
     
    Cisco Small Business Security Solutions
    http://www.cisco.com/cisco/web/solutions/small_business/products/security/index.html-tab-SecuritySolutions
     
    SonicWALL Unified Threat Management (UTM)-Firewalls
    http://www.sonicwall.com/de/116.html
     
     
    S.a.:
     
    Top-10-Liste Unified Threat Management - Die beliebtesten UTM-Appliances
    http://www.tecchannel.de/sicherheit/management/2028975/unified_threat_management_top_10_liste_beliebteste_utm_appliances/
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Dienstag, 14. Dezember 2010 12:10
    Moderator

Alle Antworten

  • Hallo Max,
     
    wie hoch ist die Sicherheitsanforderung? Ist das auch die Arztpraxis?
     
    Wichtig ist halt eine richtige Konfiguration und Rechtevergabe (kein Open Relay, kein User mit Admin-Rechten, Lese-/Schreibrechte, ...), sonst nützt die beste Firewall nix.
     
    Volker
    Montag, 13. Dezember 2010 12:03
  • Hallo Volker,

     

    danke für Deine Antwort.

     

    > wie hoch ist die Sicherheitsanforderung? Ist das auch die Arztpraxis?

    Ich würde hier am liebsten nicht unterscheiden wollen, ob Arztpraxis oder Krämerladen, sondern will einfach die möglichst sicherste/optimalste Lösung für alle Kunden haben (sichere Konfiguration derselben vorausgesetzt).

    Hauptsächlich geht es meistens nur um die zwei o. g. Dienste/Ports /SMTP und RWW).
     
    > Wichtig ist halt eine richtige Konfiguration und Rechtevergabe (kein Open Relay, kein User mit Admin-Rechten, Lese-/Schreibrechte, ...), sonst > nützt die beste Firewall nix.

    Das haben wir, denke ich, im Griff.

    Wie machst Du es/welche Lösungen setzt Du bei Deinen Kunden ein (Fritz!Box/Businessclass-Router/TMG-Appliance)?

    Viele Grüße,

    Max

     

    Montag, 13. Dezember 2010 19:12
  • Hallo Max,
     
    wenn es Dir um die sicherste Lösung geht, dann TMG. Da aber auch immer die Kosten zu berücksichtigen sind kommt halt auch oft "nur" ein Router zum Einsatz. Und da eben alles verbieten und nur benötigtes zulassen, sowohl rein als auch raus. Wir schalten auch den Fernzugriff vom Inet im Router aus.
     
    Volker
    Dienstag, 14. Dezember 2010 06:43
  • Hi Max,
     
    > ich weiß, es wurde schon öfter hier gefragt: Wie sieht Eurer Meinung nach
    > aktuell eine vernünftige
    > Firewwall-Lösung für den SBS2008 aus (jetzt, da ich meinen geliebten
    > ISA2004 nach und nach
    > mit den Umstellungen SBS2003Premium-->SBS2008 aufgeben muß, *schnief*)?
    >
    > Tobias, Du hattest vor einiger Zeit hier beispielhaft die UAG-Appliance
    > von Secureguard für
    > kleinere Unternehmensumgebungen genannt.
    > Wie so oft, fehlt es den Kunden am Geld - ca. 1000,00 € zusätzlich sind
    > den meisten Kleinstkunden
    > leider zuviel.
    >
    > Mir fehlt es an schlüssigen Argumenten, außer "die Lösung integriert sich
    > hervorragend in
    > MS-Umgebungen" ;) und "UAG filtert auf Anwendungsebene und nicht nur
    > port-basiert".
    >
    > In den USA wird seit einiger Zeit ja Calyptix im SBS-Umfeld "gehyped":
    > www.calyptix.com.
    > Wäre das vielleicht eine Alternative? Scheint aber preislich auch nicht
    > gerade zielgruppengerecht...
    >
    > Und konkret: Welches Risiko (mal in Wahrscheinlichkeiten ausgedrückt) hat
    > ein Kunde, der nur
    > einen Business-Router (wie den Lancom 821+ DSL) einsetzt, daß er durch die
    > beiden
    > hauptsächlich von extern zu erreichenden Dienste RWW (443) und SMTP (25)
    > gehackt/sonstwie
    > von extern geschädigt werden könnte?
     
    Solche Fragen lassen sich nie pauschal beantworten und unterliegen einer
    vorangegangenen Analyse des Bedrohungspotential und Sicherheitsanforderungen
    des entsprechenden Unternehmens.
     
    Beispiel: Sex ohne Kondome kann jahrelang "gut" gehen, sicher ist es dennoch
    nicht..
     
     
    > Falls Ihr der Meinung seid, daß ein Businessclass-Router ohne zusätzliche
    > Firewall, die auch auf
    > Anwendungsebene filtert, nicht ausreichend ist, um ein SBS2008-Netzwerk
    > wirkungsvoll zu
    > schützen, würde ich auch noch vehementer auf die Kunden zutreten können
    > und beispielweise
    > UAG unbedingt/zwingend empfehlen.
     
    Als erstes solltest Du mit dem Kunden eine ehrliche Diskussion führen,
    welche Sicherheit er fordert UND welche Sicherheit er benötigt (z.B. durch
    Danteschutzbestimmungen, Versicherungsschutz usw.)
     
    Aus Diesen gesammelten Daten, die pro Unternehmen zu erheben sind, kannst Du
    dann zusammen mit dem Kunden (und ggf. einem Spezialisten Deiner Wahl) eine
    passende Lösung zusammenstellen.
     
    Aber merke: Security hört nicht am Gateway auf, sondern beinhaltet eine
    umfassende Strategie im GANZEN Unternehmen - und das auch nicht nur in der
    technischen IT.
     
     
    Als erste Wahl für die Edge-Security ist ein(e) TMG(-Appliance) (respektive
    UAG-Appliance inkl. DirectAccess im Zusammenspiel mit SBS 2011 und Windows 7
    Pro) mit zugehörigen Sicherheitserweiterungen (s.
    http://technet.microsoft.com/en-us/library/ee207139.aspx und
    http://technet.microsoft.com/en-us/library/ff686709.aspx) im Zusammenspiel
    mit den Microsoft Technologien eines SBS zu empfehlen.
     
    Hintergrundinformationen dazu:
     
    TMG, or UAG: that is the question
    http://retrohack.com/tmg-or-uag-that-is-the-question/
     
    TechNet - Forefront Network (Edge) Access and Protection
    http://technet.microsoft.com/en-us/library/ff684069.aspx
     
     
    Ist dies aus Kostengründen bzw. aus dem jeweiligen Anforderungsprofil nicht
    möglich respektive notwendig, dann wäre eine Stufe darunter eine
    UTM-Appliance (s. http://en.wikipedia.org/wiki/Unified_Threat_Management)
    eine mögliche Lösung
     
    Hier ist IMO wichtig, eine AD-Integration zu gewährleisten.
     
    Beispiele hierfür sind:
     
    Cisco Small Business Security Solutions
    http://www.cisco.com/cisco/web/solutions/small_business/products/security/index.html-tab-SecuritySolutions
     
    SonicWALL Unified Threat Management (UTM)-Firewalls
    http://www.sonicwall.com/de/116.html
     
     
    S.a.:
     
    Top-10-Liste Unified Threat Management - Die beliebtesten UTM-Appliances
    http://www.tecchannel.de/sicherheit/management/2028975/unified_threat_management_top_10_liste_beliebteste_utm_appliances/
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Dienstag, 14. Dezember 2010 12:10
    Moderator