Karl: Firewall für Unternehmen

Hallo,

welche Firewall ist für ein Kleinunternehmen empfehlenswert?
Die Internetanbindung läuft über einen WLAN-DSL-Router(mit Standard-Firewall). Macht eine Personal-Firewall wie Zonealarm noch Sinn? Meine Idee war Zonealarm + AntivirXP Workstation. Was meint ihr dazu?

Gruß
Karl

  1. Moin!

    welche Firewall ist für ein Kleinunternehmen empfehlenswert?
    Die Internetanbindung läuft über einen WLAN-DSL-Router(mit Standard-Firewall). Macht eine Personal-Firewall wie Zonealarm noch Sinn? Meine Idee war Zonealarm + AntivirXP Workstation. Was meint ihr dazu?

    Gegen welche Gefahren soll die Absicherung erfolgen?

    - Sven Rautenberg

    --
    My sssignature, my preciousssss!
    1. Moin!

      welche Firewall ist für ein Kleinunternehmen empfehlenswert?
      Die Internetanbindung läuft über einen WLAN-DSL-Router(mit Standard-Firewall). Macht eine Personal-Firewall wie Zonealarm noch Sinn? Meine Idee war Zonealarm + AntivirXP Workstation. Was meint ihr dazu?

      Gegen welche Gefahren soll die Absicherung erfolgen?

      • Sven Rautenberg

      Nun, mein Chef hat von irgendeinem "IT-Spezi" gehört, dass es auf jeden Fall sicherer sei, eine PF zu installieren. Geschützt soll eigentlich nur vor Viren werden. Ich bin auch der Meinung das die Standard-Firewall im Router vor Hackern im groben reichen sollte. Nur mir fehlt das technische Wissen meinem Chef davon zu überzeugen.

      Gruß
      Karl

  2. gudn tach!

    welche Firewall ist für ein Kleinunternehmen empfehlenswert?

    eine hardware-firewall.

    Die Internetanbindung läuft über einen WLAN-DSL-Router(mit Standard-Firewall).

    genau, sowas genuegt i.a.r. schon.

    Macht eine Personal-Firewall wie Zonealarm noch Sinn?

    nein, imho dann nicht mehr. siehe ein aelteres posting von mir.

    prost
    seth

  3. Hallo,

    welche Firewall ist für ein Kleinunternehmen empfehlenswert?

    Eine die vernünftig konfiguriert ist =).

    Macht eine Personal-Firewall wie Zonealarm noch Sinn?

    Nein. Eine Firewall dient zur Reglementierung von Zugriffen auf Netzwerkdienste. Also im Prinzip: Darf Host/IP usw. auf Subnetz/Port/IP usw. zugreifen? Wenn du in einem kleinen Netz hinter einem Router hängst, dann weiß der Rest der Welt sowieso nichts von deinem privaten Netzwerk dahinter. Kann also auch nicht auf die Rechner zugreifen. Einen vernünftig konfigurieren Router vorausgesetzt. Und leider erhöht eine Personal-Firewall nicht die Sicherheit deiner Rechner.

    Meine Idee war Zonealarm + AntivirXP Workstation. Was meint ihr dazu?

    Hmmm ... naja. AntiVir hat auf jeden Fall nen onaccess Scanner und regelmäßige Updates. Wenn du dann ruhiger schlafen kannst, dann installiere halt auch Zonealarm ... ist aber meiner Meinung nach unsinnig und macht nur Arbeit.

    Grüße, Ulli

    1. Hallo Ulli,

      Wenn du dann ruhiger schlafen kannst, dann installiere halt auch Zonealarm ...

      Das ist *genau* die falsche Einstellung. Nur, weil man irgend eine ominöse Software auf seinem Rechner hat, ist man deswegen noch lange nicht sicher. Sicherheit heißt vor allem, dass man selbst wachsam ist und eben nicht auf jeden Scheiss draufklickt, der einem irgendwie zugeflogen kommt. Warum wohl waren die ersten ernstzunehmenden Würmer (Melissa und ILOVEYOU) solche, die man noch manuell starten musste und keine automatischen? Weil die Leute dachten, sie wären "sicher". Jemand, der *bevor* er eine Personal Firewall installiert hat nicht ruhig schlafen konnte, es hinterher aber kann, hat von Sicherheit absolut nichts verstanden. Daher halte ich diesen Tipp (insbesondere in der Formulierung) für *sehr* gefährlich.

      Viele Grüße,
      Christian

      --
      "I have always wished for my computer to be as easy to use as my telephone; my wish has come true because I can no longer figure out how to use my telephone." - Bjarne Stroustrup
      1. Hallo,

        Wenn du dann ruhiger schlafen kannst, dann installiere halt auch Zonealarm ...

        Das ist *genau* die falsche Einstellung. Nur, weil man irgend eine ominöse Software auf seinem Rechner hat, ist man deswegen noch lange nicht sicher.

        Genau das habe ich in meinem Posting gesagt. Ich wollte nur zum Ausdruck bringen, dass die Installation von Zonealarm ansich nichts schlimmes ist.

        Daher halte ich diesen Tipp (insbesondere in der Formulierung) für *sehr* gefährlich.

        Dann hast du mein Posting leider falsch verstanden.

        Grüße, Ulli

        1. gudn tach!

          Das ist *genau* die falsche Einstellung. Nur, weil man irgend eine ominöse Software auf seinem Rechner hat, ist man deswegen noch lange nicht sicher.
          Genau das habe ich in meinem Posting gesagt.

          ja, und das ist auch der grund, warum z.b. ich dein posting nicht als "nicht hilfreich" eingestuft habe. aber dieser letzte satz von dir hat mich auch davon abgehalten, das posting als "hilfreich" einzustufen.

          Ich wollte nur zum Ausdruck bringen, dass die Installation von Zonealarm ansich nichts schlimmes ist.

          und das ist eben zu relativieren. zum einen wiegen sich viele user durch die installation in scheinbare sicherheit. zum anderen ist jede zusaetzliche software ein sicherheitsrisiko, erst recht dann, wenn sie ueber ein- und ausgang von draussen entscheidet. wenn jemand eine boesen e-mail-anhang oeffnet oder sowas sonstwoher zieht, kann auch eine pfw nicht verhindern, davon deaktiviert zu werden, ohne dass es der anwender (zunaechst) merkt.

          prost
          seth

        2. Hallo Ulli,

          Wenn du dann ruhiger schlafen kannst, dann installiere halt auch Zonealarm ...

          Das ist *genau* die falsche Einstellung. Nur, weil man irgend eine ominöse Software auf seinem Rechner hat, ist man deswegen noch lange nicht sicher.
          Genau das habe ich in meinem Posting gesagt.

          Nunja, den Satz, den Du meinst, stand in einem Kontext, der den Sachverhalt, auf den ich hinaus wollte, absolut nicht zur Geltung gebracht hat, sprich: ich hab's so gelesen: "Weil Dein Router Dich schützt, brauchst Du keine PF mehr, da unnötig." Stimmt zwar auch, rückt das eigentliche Kernproblem aber nicht in den Vordergrund.

          Ich wollte nur zum Ausdruck bringen, dass die Installation von Zonealarm ansich nichts schlimmes ist.

          Nunja, ich persönlich würde, wenn ich schon eine PF einsetzen müsste, etwas anderes nehmen. Aber grundsätzlich hast Du Recht, die Installation einer PF ist per se nichts schlimmes (bringt allerdings auch nichts); der Satz in Posting, auf den ich mich mit meiner Kritik bezogen habe, kam bei mir jedoch anders an.

          Viele Grüße,
          Christian

          --
          "I have always wished for my computer to be as easy to use as my telephone; my wish has come true because I can no longer figure out how to use my telephone." - Bjarne Stroustrup
    2. Hmmm ... naja. AntiVir hat auf jeden Fall nen onaccess Scanner und regelmäßige Updates. Wenn du dann ruhiger schlafen kannst, dann installiere halt auch Zonealarm ... ist aber meiner Meinung nach unsinnig und macht nur Arbeit.

      Dem stimme ich nicht zu: Eine Personal Firewall wie Zonealarm kann die Zugriffsrechte einzelner Applikationen auf das Internet regeln - eine externe Firewall kann das nicht.

      Es gibt zwar einen gewissen Aufwand zu Beginn, bis man die Rechte der Applikationen eingestellt hat, danach hat sie aber den Vorteil, daß alle Zugriffe von Applikationen, die z.B. Hintertüren enthalten, oder heimlich mit irgendjemandem kommunizieren, sofort auffallen.

      Ein Virenscanner ist zwar unerläßlich, ist aber keine Vollkaskoversicherung gegen jeden nur erdenklichen Virus, weil er nur Viren erkennen kann, die er kennt.

      Gruß,

      Houyhnhnm

      1. Hmmm ... naja. AntiVir hat auf jeden Fall nen onaccess Scanner und regelmäßige Updates. Wenn du dann ruhiger schlafen kannst, dann installiere halt auch Zonealarm ... ist aber meiner Meinung nach unsinnig und macht nur Arbeit.

        Dem stimme ich nicht zu: Eine Personal Firewall wie Zonealarm kann die Zugriffsrechte einzelner Applikationen auf das Internet regeln - eine externe Firewall kann das nicht.

        Es gibt zwar einen gewissen Aufwand zu Beginn, bis man die Rechte der Applikationen eingestellt hat, danach hat sie aber den Vorteil, daß alle Zugriffe von Applikationen, die z.B. Hintertüren enthalten, oder heimlich mit irgendjemandem kommunizieren, sofort auffallen.

        Ein Virenscanner ist zwar unerläßlich, ist aber keine Vollkaskoversicherung gegen jeden nur erdenklichen Virus, weil er nur Viren erkennen kann, die er kennt.

        hi Houyhnhnm,

        und welche PF kannst du für ein kleinunternehmen(3 arbeitsplätze) empfehlen?

        gruß
        karl

        1. Hallo karl,

          ich benutze ZA. c't ist eine gute Informationsquelle für solche Dinge.

          Gruß,

          Houyhnhnm

          1. Hallo karl,

            ich benutze ZA. c't ist eine gute Informationsquelle für solche Dinge.

            naja, bin student, kann mir abos nich leisten... ;)

            gruß
            karl

      2. gudn tach!

        danach hat sie aber den Vorteil, daß alle Zugriffe von Applikationen, die z.B. Hintertüren enthalten, oder heimlich mit irgendjemandem kommunizieren, sofort auffallen.

        genau das eben nicht.
        (nicht nur) der ccc hat schon vor jahren programme praesentiert, die den pfws durch die lappen gehen. mit einer pfw kann man den programmen einhalt gebieten, die sowieso nur harmlose daten an ihre hersteller mailen, was man i.d.r. allerdings ohnehin auch durch die richtige einstellung im jeweiligen programm selbst unterbinden kann.
        wirklich boese sachen werden sich aber kaum als "achtung! ich bin malware" zu erkennen geben. auch (bzw. erst recht) fuer eine pfw nicht.

        prost
        seth

      3. Moin!

        Dem stimme ich nicht zu: Eine Personal Firewall wie Zonealarm kann die Zugriffsrechte einzelner Applikationen auf das Internet regeln - eine externe Firewall kann das nicht.

        Die Betonung liegt auf "KANN".

        Denn wenn sich die Applikationen an die Regeln halten, dann kann die Personal Firewall das erkennen und den Zugriff erlauben oder verbieten.

        Wenn sich die Applikation NICHT an die Regeln hält, dann kann die Personal Firewall das nicht verbieten.

        Als Beispiel ausgedrückt: So mitteilungsbedürftige Programme wie der RealPlayer werden also tatsächlich dran gehindert, nach Hause zu telefonieren. Aber wenn erstmal ein Schadprogramm gestartet wurde, dann wird das höchstwahrscheinlich typische, für das Internet zugelassene Software (wie z.B. den Internet Explorer, Firefox oder Outlook) fernsteuern, um nach Hause zu telefonieren.

        danach hat sie aber den Vorteil, daß alle Zugriffe von Applikationen, die z.B. Hintertüren enthalten, oder heimlich mit irgendjemandem kommunizieren, sofort auffallen.

        Nein, das eben gerade NICHT! Dieser Irrglaube ist aber leider weit verbreitet und wird von den Firewallherstellern auch werblich weiter verbreitet.

        Ein Virenscanner ist zwar unerläßlich, ist aber keine Vollkaskoversicherung gegen jeden nur erdenklichen Virus, weil er nur Viren erkennen kann, die er kennt.

        Wenn ein Virenscanner nur die Viren erkennt, die bekannt sind - wie wahrscheinlich ist es, dass das Testergebnis "Die per Attachment von unbekanntem Absender erhaltene Datei enthält keinen Virus" wirklich mit der Realität übereinstimmt?

        - Sven Rautenberg

        --
        My sssignature, my preciousssss!
        1. Hallo Sven,

          Wenn sich die Applikation NICHT an die Regeln hält, dann kann die Personal Firewall das nicht verbieten.

          Wenn man diese Argumentationslinie auf Türschlösser anwendet, sieht jedes Kind sofort, daß Türschlösser deshalb nicht überflüssig sind.

          Als Beispiel ausgedrückt: So mitteilungsbedürftige Programme wie der RealPlayer werden also tatsächlich dran gehindert, nach Hause zu telefonieren. Aber wenn erstmal ein Schadprogramm gestartet wurde, dann wird das höchstwahrscheinlich typische, für das Internet zugelassene Software (wie z.B. den Internet Explorer, Firefox oder Outlook) fernsteuern, um nach Hause zu telefonieren.

          Bei mir müssen sämtliche Browser selbst um Erlaubnis fragen, ob sie raus dürfen - haben sie die Erlaubnis, dann gilt die zwar bis zum Beenden des Browsers, da ich aber auch viel in der trusted zone in meinem LAN arbeite, wird das Zeitfenster, in dem eine böswille Applikation den laufenden Browser mißbrauchen kann, recht klein.

          Nein, das eben gerade NICHT! Dieser Irrglaube ist aber leider weit verbreitet und wird von den Firewallherstellern auch werblich weiter verbreitet.

          Aus meiner Praxis kann ich nur sagen, daß ich bisher auf diese Weise schon einige Applikation erkannt und von meinem Rechner verbannt habe. Im übrigen ist natürlich die beste Firewall/Virenscanner kein Schutz gegen jeden Dreck, wenn man sich vorsätzlich darin suhlt.

          Wenn ein Virenscanner nur die Viren erkennt, die bekannt sind - wie wahrscheinlich ist es, dass das Testergebnis "Die per Attachment von unbekanntem Absender erhaltene Datei enthält keinen Virus" wirklich mit der Realität übereinstimmt?

          Die Wahrscheinlichkeit ist deutlich kleiner als 1 - wie einige aktuelle Berichte auf Heise Security zeigen.

          Absolute Sicherheit gibt es nirgends. Das ist aber kein Argument gegen Sicherheitsmaßnahmen - siehe Türschloß. Erhöhung der Sicherheit heißt immer nur, den Aufwand für die Überwindung der Sicherheitsmaßnahmen zu erhöhen. Man kennt das Muster aus der Natur: Die Koevolution von Wirt und Parasit oder Beutegreifer und Beute.

          Sehr wichtig auf diesem Sektor ist die Artenvielfalt auf dem Sektor der Betriebs- und Sicherheitssoftware. Je mehr verschiedene Konstellationen im Feld auftreten, um so schwieriger wird es für die Virenautoren, unerkannt ihr Unwesen zu treiben.

          Nur muß die Sicherheitssoftware auch zum Einsatz kommen und gepflegt werden, denn sie ist auch ein Instrument, das die Community warnen kann - über Meldungen an die Virenbekämpfer, die ihrerseits die Scanner an neue Schädlinge anpassen.

          Gruß,

          Houyhnhnm

          1. Moin!

            Bei mir müssen sämtliche Browser selbst um Erlaubnis fragen, ob sie raus dürfen - haben sie die Erlaubnis, dann gilt die zwar bis zum Beenden des Browsers, da ich aber auch viel in der trusted zone in meinem LAN arbeite, wird das Zeitfenster, in dem eine böswille Applikation den laufenden Browser mißbrauchen kann, recht klein.

            Du bist ein (hoffentlich) informierter Benutzer deines Computers. Aber glaubst du wirklich, ein normaler Computeranwender läßt es sich gefallen, jedesmal, wenn er den Browser startet, erstmal eine Erlaubnis klicken zu müssen.

            Da wird dann sehr schnell ein Automatismus draus: Popupfenster kommt hoch - klick auf OK. Was der Browser da gerade wollte, welche Seite er aufgerufen hat, oder warum er überhaupt gestartet wurde - das interessiert den normalen Benutzer nicht die Bohne.

            Aus meiner Praxis kann ich nur sagen, daß ich bisher auf diese Weise schon einige Applikation erkannt und von meinem Rechner verbannt habe. Im übrigen ist natürlich die beste Firewall/Virenscanner kein Schutz gegen jeden Dreck, wenn man sich vorsätzlich darin suhlt.

            Auch das ist lediglich für die Systemadministratoren wirklich interessant. Denn ein normaler Benutzer kann einfach nicht unterscheiden, ob der Request, den die Firewall da jetzt gerade nachfragt, ein regulärer und gewünschter ist, oder ein bösartiger.

            Wenn ein Virenscanner nur die Viren erkennt, die bekannt sind - wie wahrscheinlich ist es, dass das Testergebnis "Die per Attachment von unbekanntem Absender erhaltene Datei enthält keinen Virus" wirklich mit der Realität übereinstimmt?

            Die Wahrscheinlichkeit ist deutlich kleiner als 1 - wie einige aktuelle Berichte auf Heise Security zeigen.

            Ich würde sie tendentiell nur unwesentlich größer als 0 ansetzen.

            Wie sinnvoll ist also die Installation eines Virenscanners - alternativ zur Schulung der Mitarbeiter, solchen Viren gar nicht erst auf den Leim zu gehen.

            Nur muß die Sicherheitssoftware auch zum Einsatz kommen und gepflegt werden, denn sie ist auch ein Instrument, das die Community warnen kann - über Meldungen an die Virenbekämpfer, die ihrerseits die Scanner an neue Schädlinge anpassen.

            Und da schließt sich der Kreis: Sind solche automatischen Meldungen an Virenscannerhersteller erwünschte Requests, die durch die Firewall durchgehen dürfen, oder werden da nicht eventuell unkontrolliert Dateiinhalte mit Betriebsgeheimnissen verschickt, was man unterbinden muß.

            - Sven Rautenberg

            --
            My sssignature, my preciousssss!
            1. Aber glaubst du wirklich, ein normaler Computeranwender läßt es sich gefallen, jedesmal, wenn er den Browser startet, erstmal eine Erlaubnis klicken zu müssen.

              ...

              Wie sinnvoll ist also die Installation eines Virenscanners - alternativ zur Schulung der Mitarbeiter, solchen Viren gar nicht erst auf den Leim zu gehen.

              Die Gegenüberstellung dieser beiden Teilzitate zeigt Dein Dilemma: Auf der einen Seite willst Du dem Anwender keine Klicks zumuten, bei denen er etwas denken muß, auf der anderen Seite willst Du ihn schulen - wozu eigentlich?

              Ich sehe die Sache pragmatisch: Sicherheitsprogramme - wenn sie aus einer *vertrauenswürdigen* Quelle stammen und laufend aktualisiert werden - können einem verständigen Benutzer sehr wohl bei der Absicherung seiner Maschine eine große Hilfe sein und sind es in der Praxis auch. Er hätte nämlich bei dem rasenden Fortschritt auf diesem Sektor ansonsten keine Zeit, neben der permanenten Schulung auch noch was produktiv zu arbeiten.

              Die Wahrscheinlichkeit ist deutlich kleiner als 1 - wie einige aktuelle Berichte auf Heise Security zeigen.

              Ich würde sie tendentiell nur unwesentlich größer als 0 ansetzen.

              Das ist deutlich zu pessimistisch. Ich beobachte seit Jahren auf einem Linux-System eine EMail-Adresse, die man eigentlich nur als verbrannt bezeichnen kann, denn außer Spam kommt dort wirklich fast nichts an. Es sind jetzt gegen 15.000 Spammails, die ich interessehalber von Zeit zu Zeit von mehreren aktuellen Virenscannern absuchen lasse. Von den Mails mit Anhang, die älter als 3 Monate sind - deren potentielle Virenfracht also den Scannern wahrscheinlich bekannt sein dürfte - werden nur sehr wenige, die vom Provider nicht als verseucht gekennzeichnet wurden, nachträglich als infiziert erkannt.

              Ich verstehe Deinen Sicherheitsnihilismus nicht.

              Gruß,

              Houyhnhnm

  4. Hallo!

    welche Firewall ist für ein Kleinunternehmen empfehlenswert?
    Die Internetanbindung läuft über einen WLAN-DSL-Router(mit Standard-Firewall).

    Ich habe in einer Firma, durch ein IT-Sicherheitsfirma, eine NetScreen-5GT installieren lassen. Das hat sich mehr als gelohnt.

    Es gibt professionelle Firewalls für kleine Büros bis hin zu Firewalls für Provider, Rechenzentren etc.

    Ports über denen sich in der Regel Würmer etc. verbreiten, sind geblockt. Ports die gar nicht benötigt werden, sind auch geschlossen. Es ist nur das offen, was man an Diensten in einem kleinen Büro benötigt. Das bringt einiges an Sicherheit.

    Die Betriebssysteme sollten trotzdem regelmäßig gepatcht werden. Um das in die Griff zu bekommen und den Überblick zu behalten, suche mal bei Google nach "WSUS".

    Macht eine Personal-Firewall wie Zonealarm noch Sinn? Meine Idee war Zonealarm + AntivirXP Workstation. Was meint ihr dazu?

    Frage: Wie schützt Du deine Wohnung?
    Antwort A: Du schließt alle Zimmer ab und lässt die Haustür offen!
    Antwort B: Du schließt die Haustür ab und lässt alle Zimmer offen!

    Du musst auf allen Workstations die FW pflegen! Mit einer zentralen Firewall, pflegst Du das Regelwerk nur an einer Stelle.

    Was den Virenschutz angeht, solltest Du Dich mal nach Lösungen für Firmen umschauen. Bei diesen Lösungen kann von einem zentralen Rechner (in der Regel ein Server) im Büro, die Virenscanner installiert und verwalten werden. Schaue mal bei den Antivirensoftwareherstellern nach Lösungen für den Bereich "Kleine und mittlere Unternehmen" bzw. "Small Business".

    André Laugks

    --
    Die Frau geht, die Hilti bleibt!