Vorhandene Firewall durch Dream Machine Pro Max ersetzen: IDS/IPS Durchsatz WAN vs. LAN ?

Es gibt 12 Antworten in diesem Thema, welches 1.025 mal aufgerufen wurde. Der letzte Beitrag () ist von Tomcat.

    Guten Tag,


    eine Verständnisfrage zum Durchsatz.


    Wie ist der Durchsatz von 3,5 Gbps (UDM Pro) und die 5 Gbps (UDM Pro Max) beim IDS/IPS zu verstehen? Bezieht sich das auf den WAN Traffic oder auch auf den LAN Traffic (was ich vermuten würde).


    Der Hintergrund ist wie folgt: Das Gerät soll die vorhandene Firewall ersetzen. Im Netzwerk sind u. a. bereits auch 10 GB/s Clients und ein USW-Aggregation verbaut. Limitiere ich mir mit dem Wechsel auf die UDM Pro Max bei aktiviertem IDS/IPS nun die interne Bandbreite im gesamten Netzwerk auf maximal 5 Gb/s? Entsprechend würde ja bei aktiviertem IDS/IPS jeder 10 GB/s-Client in seinem Durchsatz erheblich beschränkt werden.


    Vielen Dank für eine Klarstellung.

    Zitat von MLG

    Wie ist der Durchsatz von 3,5 Gbps (UDM Pro) und die 5 Gbps (UDM Pro Max) beim IDS/IPS zu verstehen? Bezieht sich das auf den WAN Traffic oder auch auf den LAN Traffic (was ich vermuten würde).

    Nei, es geht dabei um den externen Traffic, weil der ja böse und gefährlich ist.

    Interne Geschichten auf deine Switch kommen grundsätzlich gar nicht an der UDM vorbei.

    Aber eine andere Frage. Was hast du für eine FW?

    Unifi ist nicht unbedingt eine Firma bei der FW eine hohe Priorität hat. Sprich, Einstellungen sind eher rudimentär ggü. einer echten FW.

    Hängt halt von den Ansprüchen ab, im geschäftlichen Bereich würde sie mir nicht reichen, wenn da wichtige Daten liegen und Anwendung laufen. Gegenüber einfache Nutzer, Schule/Hotel, ist es okay.

    Für eine Firma würde ich auch eher zu einer richtigen Firewall raten.

    Da bietet z.b. eine OPNSense als Hardware-Appliance je nach Hardware deutlich mehr Performance und vor allem mehr Möglichkeiten.

    Als Business-Edition bekommst dann auch Support vom Hersteller, der dem von Unifi um Welten überlegen ist ( eigene Erfahrungen )

    Danke für die Klarstellung hinsichtlich meiner Fragestellung.


    Zu Deiner Frage... Wir haben eine Sophos. Diese nervt aus diversen Gründen: teure Lizenzen, komplizierte Bedienung, Fachmann erforderlich (der dann selten adhoc Zeit hat).


    Ausgereizt wird die Lösung auch nicht. Denn anstatt per se alles zu verbieten und nur dediziert Traffic freizugeben, wird pauschal alles auf Durchzug geschaltet. Das kann man natürlich so machen. Allerdings braucht man sich dann m. E. auch keine Sophos leisten. Die ganzen Möglichkeiten der Lösung werden nicht mal ansatzweise genutzt. Warum? Weil es keiner administriert bekommt, es sei denn er macht das täglich.


    Bitte versteht mich nicht falsch. Mir ist völlig bewusst eine dediziertes Firewall-Lösung ist natürlich besser als eine lediglich als Beischmuck integrierte Lösung im unifiOS. Nun mache ich aber auch wirklich keine komplizierten Dinge. Das Ding dient lediglich dazu das Netz vor Angriffen von außen abzusichern und eine VPN-Einwahl sicherzustellen. Mehr nicht.


    Ich hätte es daher gerne simpler. Draytek Vigor für die Einwahl ins Internet, Dream Machine dahinter als Controller samt eingebauter Firewall (wo ich von mir aus nur rudimentär - dafür aber selbst - einstellen kann), dann mein Netzwerk dahinter und fertig.


    PS: Ich nutze kein Windows.

    Ich verstehe Dich vollkommen.
    Als erstes, die Sophos ist top, aber ja, die Lizenzen finde ich gerade für kleine Betriebe überteuert.

    Und für die Sophos benötigt man schon etwas Hintergrundwissen, wie Netzwerke ticken. Aber schmeiße die Sophos nicht weg. Die Sophos haben alle Intel-Mainboards. Somit kann man sehr gut OPNSense darauf installieren, Anleitung/Videos gibt es zu Hauf. OPNSense ist etwas pflegeleichter als eine Sophos, aber auch hier muss man sich etwas einarbeiten.

    Nur auch bei der UDM ist es nicht unbedingt nur mit IDS/IPS getan. Unterschiedliche Netze für verschiedene Bereiche sollte man auch dort anlegen und sie gegeneinander abzusichern. Was natürlich sehr gut funktioniert, ist, dass du die privaten Geräte schön bequem in ein Gast-Netz sperren kannst, dies ist bei Sophos mehr Arbeit.

    Und ich gebe dir recht; ein Netzwerk Admin, der nicht zeitnah zur Verfügung steht, ist nicht sehr hilfreich, meist wird deshalb ja zu viel aufgemacht.

    Mein Tipp: Wenn die Sophos-Liz. Tot sind wechseln auf die UDM, parallel die Sophos Hardware neu bespielen mit OPNSense und da ein wenig sich Einarbeit. Alles, was du da lehrst, hilft dir auch, die UDM sicherer zu machen. Und dann kannst du ja auch immer noch die Sophos davor hängen. Stellt sich nur die Frage, ob du die Zeit dafür bekommst vom Chef. Ansonsten die Finger weg vom Ganzen.

    Zitat von Tomcat

    Das ist kein Grund auf eine sichere Firewall im Firmennetz zu verzichten.

    Das habe ich ja auch nicht vor.


    Habe ich Dich korrekt verstanden, dass Du die in unifi OS eingebaute Firewall somit als unsicher bezeichnen würdest?


    Was ich aber noch nicht verstehe ist, wieso die UniFi Firewall für "Firmennetz" per se Schrott ist bzw. Sophos & Co hier grundsätzlich besser sind, selbst wenn die dort zusätzlich möglichen Einstellungen gar nicht genutzt werden? Ich stelle dabei gar nicht in Abrede man kann dort filigraner einstellen. Nur, braucht man das in allen Fällen? Muss ich bspw. zwingend zahlreiche VLANs einrichten und alles was möglich ist nutzen? Am Ende kann man sich damit auch vollbeschäftigen. Wird es damit aber auch wirklich deutlich sicherer?


    Zu Hause habe ich bspw. das einfache Cloud Gateway. Läuft wunderbar. Port Scan ergibt null offenen Ports. Somit ist das Haus von außen schon mal dicht. Und Traffic nach außen kann ich dann ja wunderbar mit wenigen Klicks einschränken. Wieso ist das jetzt unsicherer als mit einer Sophos, Securepoint oder sonstigen Alternativen? Kann man mit dem Ferrari nicht umgehen, ist es vielleicht nicht das richtige Auto. Aber mit günstigeren Fahrzeugen kommt man evtl. auch sicher an Ziel, oder etwa nicht?


    Zitat von phino

    Ich verstehe Dich vollkommen.
    [...]

    Mein Tipp: Wenn die Sophos-Liz. Tot sind wechseln auf die UDM, parallel die Sophos Hardware neu bespielen mit OPNSense und da ein wenig sich Einarbeit.

    [...]

    Also ich mache es kurz. Die Entscheidung für UniFi ist bereits gefallen. Die Lizenz ist auch quasi abgelaufen. Es geht nur noch darum, welches Gerät ausreichend dimensioniert ist.


    Natürlich werfe ich die Sophos nicht in den Müll. Von OPNSense habe ich bereits gehört. Jedoch mangelt es mir momentan an Zeit mich da einzuarbeiten. Schaue ich mir aber gerne mal an. Sorge habe ich davor, hier wieder ständig fummeln zu müssen.

    Die Unifi Firewall macht per default quasi nichts. Alles ist erlaubt. Man muss also arbeiten für Sicherheit. Weil eigentlich handelt es sich um einen Router und der soll routen.


    Die klassischen professionellen Firewalls sind in der Regel zu und man muss arbeiten damit manche Dinge funktionieren.


    Wie sicher die Geräte sind hängt davon ab was konfiguriert ist/wird.

    Zitat von MLG

    Habe ich Dich korrekt verstanden, dass Du die in unifi OS eingebaute Firewall somit als unsicher bezeichnen würdest?

    Der größte Schwachpunkt einer Firewall sitzt vor der Tastatur - das ist nun mal Fakt


    Unifi verkäuft Router, die auch ne Firewall-Funktion haben. Was mich dabei am meisten stört, das die intern zwischen Netzen offen wie ein Scheunentor ist, vom Internet her ist ja soweit alles dicht, solange man nicht mit Portfreischaltung spielt.


    Ne Sophos ist ein Profiprodukt, das setzt entsprechendes KnowHow voraus, diese ordentlich einzurichten, leider lassen die sich auch alles teuer bezahlen. Wir haben Juniper eingebaut, die sind deutlich günstiger, aber aber sehr mächtig, weil alles können, was man brauchte ( Loadbalancing, mehrer WAN-Ports, VPN, usw. ) und man die eben in der Hardwarekonfiguration nimmt, die man leistungsmässig benötigt.

    Allerdings sind die auch sehr aufwendig in der Konfig, das setzt Knowhow voraus.

    Ich persönlich ziehe ne OPNSense voraus, in Europa entwickelt, Opensource-Software, kostenlos nutzbar, aber für professionelle Einsätze eben auch aus Hardware-Appliance in unterschiedlichen Leistungen inkl. Business-Support zu bekommen.

    Und vor allen kann man die beliebig konfigurieren und mit Zusatzsoftware noch erweitern.


    Und gerade Support ist bei einem Einsatz im Firmenumfeld ein wichtiger Faktor und der ist leider bei Unifi ein Großbaustelle.


    Und fummeln an ner Firewall macht man schon mal garnicht, die wird eingerichtet und dann in Ruhe gelassen. Änderungen werden nur dann gemacht, wenn z.b. das Netzwerk erweitert oder umgebaut wird und man das Regelwerk abpassen muss - das hast bei Unifi aber genauso

    Zitat von Tomcat

    Was mich dabei am meisten stört, das die intern zwischen Netzen offen wie ein Scheunentor ist

    Ja, aber mit einer einzigen zusätzlichen Firewall-Regel ist jeder Unifi-Router auch "intern zwischen den Netzen" genau so dicht wie jede Sophos/OPNsense.


    Zitat von MLG

    Denn anstatt per se alles zu verbieten und nur dediziert Traffic freizugeben, wird pauschal alles auf Durchzug geschaltet

    Du hast sehr richtig erkannt, dass es ohne entsprechende Konfiguration keinerlei Sicherheitsgewinn bringt, eine teure Firewall einzusetzen. Mit der allseits beliebten "Scheunentor-Regel" (Allow Any --> Any) schützt eine Firewall genauso viel oder wenig wie jeder herkömmliche Router.


    Was einem leider kaum ein Händler, Dienstleister oder bunter Werbekatalog erzählt: Firewalls bringen nur durch deren Anschaffung überhaupt keinen Sicherheitsgewinn. Sie sind ein (potentes) Werkzeug, mit dem man sein Sicherheitskonzept durchsetzen kann. Setzt aber eben voraus, dass man überhaupt ein Sicherheitskonzept hat und auch Personen, die sich mit allem zumindest grundlegend auskennen und bereit sind, sich weiter einzuarbeiten.

    Zitat von MLG

    Was ich aber noch nicht verstehe ist, wieso die UniFi Firewall für "Firmennetz" per se Schrott ist bzw. Sophos & Co hier grundsätzlich besser sind, selbst wenn die dort zusätzlich möglichen Einstellungen gar nicht genutzt werden? Ich stelle dabei gar nicht in Abrede man kann dort filigraner einstellen. Nur, braucht man das in allen Fällen? Muss ich bspw. zwingend zahlreiche VLANs einrichten und alles was möglich ist nutzen? Am Ende kann man sich damit auch vollbeschäftigen. Wird es damit aber auch wirklich deutlich sicherer?

    Wenn wir mal von IPv4 ausgehen, ist der »Router« UDM erst einmal dicht. Das Problem ist ja, wenn durch die Nutzung von Clients das Internet von innen aufgemacht wird. Hier setzt IDS/IPS an. Leider kann man IDS/IPS nur an und aus schalten und über eine Vorauswahl die Erkennung für verschiedene Bereiche aktivieren.
    Bedauerlicherweise geht dies nur global für alle VLAN, die man aktiviert, eine Unterscheidung gibt es da nicht.

    Des Weiteren ist die Kommunikation zwischen allen VLAN im Standard frei. Hier sollte man sich genau anschauen, wer wohin Zugriff haben soll. Zum Beispiel, wenn es um Datenbankzugriffe etc. Dann das VLAN dicht machen und nur die notwendigen Ports aus bestimmten VLAN (Endnutzer) zulassen.
    Man bekommt es auch bei der UDM ganz gut geregelt. Da aber der Schwerpunkt nicht auf FW liegt, ist es dort schnell unübersichtlich mit langen Listen.
    Du hast es sicher schon gesehen, wie übersichtlich so etwas bei Sophos ist.


    #

    Womit es bei Unifi schlecht aussieht, ist das Loggen und dies zu betrachten.

    So etwas wie den Log-Viewer bei Sophos gibt es nicht.


    #

    Zitat von Networker

    Du hast sehr richtig erkannt, dass es ohne entsprechende Konfiguration keinerlei Sicherheitsgewinn bringt, eine teure Firewall einzusetzen. Mit der allseits beliebten "Scheunentor-Regel" (Allow Any --> Any) schützt eine Firewall genauso viel oder wenig wie jeder herkömmliche Router.


    Was einem leider kaum ein Händler, Dienstleister oder bunter Werbekatalog erzählt: Firewalls bringen nur durch deren Anschaffung überhaupt keinen Sicherheitsgewinn. Sie sind ein (potentes) Werkzeug, mit dem man sein Sicherheitskonzept durchsetzen kann. Setzt aber eben voraus, dass man überhaupt ein Sicherheitskonzept hat und auch Personen, die sich mit allem zumindest grundlegend auskennen und bereit sind, sich weiter einzuarbeiten.

    Danke! Und genau das ist der Grund meiner Entscheidung. :winking_face:


    Das teure Highend-Werkzeug wird aktuell überhaupt nicht adäquat genutzt. Und dann bringt es mir auch nichts bzw. kann gleich mit dem im Router eingebauten, gröberen Funktion leben. So ausgefuchste Dinge was ihr hier alle macht, VLANs für jede Komponenten-Gruppe o. ä., nutze ich bei weitem nicht. Entsprechend muss ich die auch nicht untereinander abschirmen. Und selbst wenn, wäre es ja recht einfach mit einer Regel zu bewerkstelligen.

    Zitat von phino

    Dann das VLAN dicht machen und nur die notwendigen Ports aus bestimmten VLAN (Endnutzer) zulassen.
    Man bekommt es auch bei der UDM ganz gut geregelt. Da aber der Schwerpunkt nicht auf FW liegt, ist es dort schnell unübersichtlich mit langen Listen.
    Du hast es sicher schon gesehen, wie übersichtlich so etwas bei Sophos ist.

    Danke für die Screenshots mit den direkten A/B-Vergleichen.


    Dann gehöre ich offenbar zur seltenen Gruppe der Menschen, die eine cleane übersichtliche Listendarstellung gegenüber einer verspielt-bunten, merkwürdige layouteten Darstellung bevorzugen. Ich gebe Dir recht, bei übermäßig vielen Listen wird die Listendarstellung irgendwann unübersichtlich. Da müsste man sich dann schon ein einheitliches Wording für die Listen überlegen. Es richtet sich offenbar vornehmlich an die Zielgruppe, welche mit einigen wenigen Listen auskommt. Sprich, nicht die Universität, sondern Café X oder Arztpraxis Y.

    Zitat von Networker

    Ja, aber mit einer einzigen zusätzlichen Firewall-Regel ist jeder Unifi-Router auch "intern zwischen den Netzen" genau so dicht wie jede Sophos/OPNsense.

    Das ist richtig.


    Ist aber genau der Punkt, egal ob Unifi UDM, Sophos oder OPNSense, wenn man die als Firewall sauber konfigurieren will - und das soll/muss der Anspruch im Firmennetz immer sein - bedarf es einer Einarbeitung und vor allem das Verständniss für die Arbeitsweise einer Firewall.

    Das macht man nicht mal eben nebenher, wie es aus meiner Erfahrung in viele kleineren Firmen aber leider oft der Fall ist, das ein Mitarbeiter auch der Gelegenheits-Admin für alles ist. Das muss jemand machen, der weiß was er tun, gerade wenn es um die Einrichtung von Internet-Seitigen Zugängen oder ner DMZ geht.