Firewall für Büro

[DerNeueDa]

Hallo,

ich suche eine Firewall für's Büro. Zu sichern ist nur ein PC, der aber äußert vertrauliche Daten wie interne Unterlagen und Geschäftspläne, also alles keinesfalls für die Öffentlichkeit bestimmt, enthält. Der PC wird ausschließlich für die Erstellung und Bearbeitung dieser verwendet.

Im Prinzip möchte ich den ein- und ausgehenden Verkehr komplett dicht machen, außer um Windows-Updates zu installieren und ggf. für Aktualisierung von Anti-Viren-Software.

Habt ihr eine Firewall die ihr mir hierfür empfehlen könnt?

Hatte mir schon die ZyXel ZyWall USG 20 angeschaut, was meint ihr dazu?

Freundliche Grüße

 

[justustheis]

Warum nicht komplett dicht?

Im Prinzip möchte ich den ein- und ausgehenden Verkehr komplett dicht machen, außer um Windows-Updates zu installieren und ggf. für Aktualisierung von Anti-Viren-Software.

mhh wenn du alles dicht machen willst warum nicht komplett von Netz nehmen? Damit wären die Daten absolut sicher

 

[DerNeueDa]

Damit ich trotzdem Updates für Windows und Anti-Viren-Programm unkompliziert runterladen kann und auch mal Steuererklärungen verschicken kann

Und der (sehr potente) PC hat zwei Installationen auf getrennten Festplatten, die hardwareseitig an- und ausschaltbar sind.. und die andere brauch zwingend Internet.. und da will ich ungerne das Stecker-Rein-Raus-Männchen spielen

 

[justustheis]

ok

ja. Gut in dieser hinsicht verständlich.

Auf den ersten Blick macht das Gerät einen ganz guten Eindruck. Preis scheint auch zu stimmen.
Lies dir dazu doch auch mal die Amazon Bewertungen durch:

http://www.amazon.de/ZyWALL-Firewall-SSL-VPN-100Mbit-Firewall-Durchsatz/dp/B00415VI6U/ref=sr_1_1?ie=UTF8&qid=1351717152&sr=8-1

Wenn man sehr paranoid ist, kann man die Daten zusätzlich noch in ein virtualisiertes Linux legen. Nur so als Idee

 

[blupp1]

Du könntest bei einem der beiden Betriebssysteme auch einfach die Netzwerkkarte (softwareseitig) deaktivieren.

 

[DerNeueDa]

Naja, dann muss ich immer de- und aktivieren und bin für die Zeit ungeschützt..

Nutzt hier jemand keine Firewall Daheim oder im Büro?

 

[tomasini]

Wenn man ein sehr hohes Maß an Sicherheit möchte, dann muss man auch bereit sein, bei der Usability bzw. Bequemlichkeit Abstriche zu machen.

Die mit Abstand sicherste Lösung wäre - wie bereits angesprochen - den Rechner einfach stand-alone zu betreiben, ihn also erst gar nicht in's Netzwerk einzubinden. Bewährt hat sich hier z.B. eine Air Gap-Strategie:

http://de.wikipedia.org/wiki/Air_Gap

Das Erstellen von Arbeits-, Projektplänen bzw. Steuerunterlagen benötigt ja keine wirklich großen Ressourcen. Dafür brauche ich also keinen potenten PC. Allein der Umstand, dass da bei euch ein und der selbe Rechner für Alltagsaufgaben und die Bearbeitung hochsensibler Daten genutzt wird, stellt für mich schon ein eklatantes Sicherheitsrisiko dar. Man darf sich nämlich nicht nur Gedanken über virtuelle Angriffe machen, sondern auch um physische. Wenn ich an Unternehmensdaten ran möchte, dann ist es immer noch am einfachsten, bei dem betreffenden Unternehmen einfach einzubrechen und dort sämtliche Hardware mitzunehmen. Dagegen hilft auch keine Firewall. Im Worst Case kann man dann nur hoffen, dass die gestohlenen Daten gut verschlüsselt waren.

Anstatt hier jetzt primär nach einer technischen Lösung zu suchen, müsste man die Sache jetzt also erst einmal von der organisatorischen Seite angehen. Und abschließend sei noch angemerkt, dass ich für die richtige Konfiguration einer Firewall auch über das entsprechende Fachwissen verfügen muss, inkl. anschließendem Penetration Testing, um zu überprüfen, ob das Ding dann auch wirklich das tut, was es vorgibt zu tun.

Nutzt hier jemand keine Firewall Daheim oder im Büro?

Heutzutage hängt ja i.d.R. kein Rechner direkt am Internet. Alleine das stellt bereits einen sehr großen Sicherheitsgewinn dar. Der DSL-Router (z.B. FritzBox, Speedport) deines Providers übernimmt bereits wesentliche Funktionen einer Firewall. Zusätzliche Hardware bringt da nur bedingt einen echten Mehrwert. Wenn ich mir jetzt eine zusätzliche Firewall kaufe, erkaufe ich mir dadurch nicht automatisch mehr Sicherheit. Und nein, ich betreibe weder zuhause, noch im Büro eine dedizierte Firewall. Ich verwende auch keine Antiviren-Software und auf meinen Mailservern laufen keine Anti-Spam-Programme. All diese Dinge gaukeln m.A. nur Sicherheit vor.

 

[DerNeueDa]

Allein der Umstand, dass da bei euch ein und der selbe Rechner für Alltagsaufgaben und die Bearbeitung hochsensibler Daten genutzt wird, stellt für mich schon ein eklatantes Sicherheitsrisiko dar.

Weshalb?

Gegen Einbruch kann ich mittels Überwachungskameras vorbeugen und mich durch wegsperren der Festplatten im Tresor (vorhanden) davor schützen.

-> Kennt jemand einen guten Wechselrahmen für 2,5"-Festplatte/SSD?

Verschlüsselung ist natürlich Pflicht!

Ich könnte auch mit dem physischen trennen der Netzwerkverbindung leben, wenn ihr eine vernünftige Möglichkeit für das Einspielen von Updates kennt? Bei Windows ist das, wie ich finde, nicht so das wahre.. es ist ja nicht so einfach herauszufinden welche man noch alle benötigt.

DSL-Router ist übrigens eine FRITZ!Box 7390.

 

[Xulunix]

Für was benötigst du auf einem offline PC Updates?
Malware kommt von Draußen und entsteht nicht auf dem PC?

 

[mr_brain]

Für was benötigst du auf einem offline PC Updates?
Malware kommt von Draußen und entsteht nicht auf dem PC?

USB-Sticks

 

[Xulunix]

Der PC wird ausschließlich für die Erstellung und Bearbeitung dieser verwendet.

Von Datentransfer ist nicht die rede.

 

[justustheis]

???

ich verstehe nicht wieso du so an der Idee hängst den PC sowohl für die sehr sensiblen Daten als auch für alltägliche Aufgaben zu nutzen.
Nimm dir lieber einen alten Rechner installiere Debian darauf. Auf diesen lädst du nun die Daten.

Den jetztigen Rechner benutzt du weiter für Büroarbeit.

 

[DerNeueDa]

Ich halte daran fest, weil es doch keine Nachteile, sondern nur Vorteile hat?

Ein PC:

- zwei getrennte Festplatten
- zwei getrennte Installationen
- Festplatten hardwareseitig ausschaltbar (vom Strom getrennt) -> keine Möglichkeit die andere Installation zu infizieren
- gewohnt gute Performance
- benötige nur eine Firewall oder ziehe immer den Netzwerkstecker

Zwei PCs:
- zusätzliche Hardware, damit auch zusätzlicher Platzverbrauch und Kosten
- zusätzliche Maus/Tastatur/Bildschirm oder Umschalter notwendig
- ältere langsamere Hardware

Ich denke mit einem PC ist es durchaus optimal. Perfekt würde es dann mit entnehmbarer Festplatte werden, die man bei Nichtnutzung wegsperrt.

Es geht mir nur um den netzwerkseitigen Schutz oder da sinnvolle Offline-Einspielen von Updates. Updates beheben nicht nur Sicherheitslücken, sondern auch andere Fehler.. das hätte ich schon gerne.

 

[basstscho]

Dann installier dir wegen den Updates halt nen WSUS / Proxy (dann brauchst aber auch nen zweiten PC). Fakt ist, wenn das Teil am Netzwerk hängt (auch mit Firewall oder sonst was) ist er angreifbar - es steigt dann u.U. der Aufwand für den Einbruch, aber es ist theoretisch möglich. Wenn die Daten also so sensibel (und begehrt) sind, dass wir schon von verschlüssen und wegsperren der Platten reden, dann solltest du vlt. wirklich auf die Updates verzichten oder dir eben die Mühe machen und diese manuell einspielen.
PS: Monitorkabel schirmen!

 

[blupp1]

Wozu brauchst du eigentlich "gewisse" Updates, wenn die Kiste eh offline ist? (Windows Updates). Ich gehe mal davon aus, dass man sonstige Updates auch anderswo runterladen kann.

 

[tomasini]

Ich beobachte hier folgendes Problem: nicht die Sicherheit steht bei dir an erster Stelle, sondern die Kosten und die Bequemlichkeit. Das ist leider der grundlegend falsche Ansatz.

 

[DerNeueDa]

blupp1, wenn ich mir jetzt Windows 7 installiere dann hat das in der Anfangsversion schon noch einige Fehler, die mit Updates und Service Packs mittlerweile behoben wurden.. die kann man ja auch manuell herunterladen.. nur kennt jemand eine Möglichkeit den Bedarf an Updates irgendwie ordentlich offline zu ermitteln?

tomasini, das tut mir leid wenn das so rüber kam.. ich bin durchaus bereit Geld auszugeben und auf Bequemlichkeit zu verzichten.

Ich weiß nur noch nicht, warum ich einen zweiten PC wirklich dafür verwenden soll bzw. was am meinem Plan unsicher ist.

Mein Plan, Stand jetzt: Seperate Festplatte mit seperater Installation, die Daten liegen in einem mit TrueCrypt verschlüsselten Container mit Passwort und Keyfile auf USB-Stick. Der USB-Stick mit Keyfile wird bei Nichtnutzung weggeschlossen. Das Netzwerkkabel ist bei Nutzung herausgezogen.

 

[Marentis]

Wie sicherst Du dann die Daten der zweiten Platte? Mit einem Stand Alone ist das ja relativ einfach möglich aber in diesem Fall müsstest Du die Platte immer wieder "anstöpseln" um die Daten zu sichern.

 

[Saint2000]

Moin,

warum nimmst du dir nicht Virtualbox. In der Virtuellen Umgebung bearbeitest du deine sensiblen Sachen, Netzwerk deaktivierst du in der VM, Datenaustausch per USB Einbindung. Auf dem Host kannst du den anderen Kram machen und USB Sticks vorher Scannen bevor du den Content in die VM packst. Einmal im Quartal kannst du auf der VM, wenn du Lustig bist, dann auch Windows Updates machen.

 

[Xulunix]

Haste recht, dann kann wenn einer die Daten will gleich die ganze VM kopieren
Wenn VM dann unbedingt mit Festplattenverschlüsselung