UDM Pro + FritzBox + TK-Anlage / UDM als Firewall verwenden

Es gibt 79 Antworten in diesem Thema, welches 8.540 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

    Hallo Leute ich bin neu hier im Forum (aus gegebenem Anlass):


    Ich betreue als Nicht-Netzwerk-Experte ein Unernehmen mit etwa 20 Angestellten.

    Das seit etwa 5 Jahren erfolgreich und bisher jkonnte ich immer alle Schwierigkeiten bewältigen, wenn auch teilweise unter großer Anstrengung.

    Ja ja ich weiß, was sucht der Laie an der Front, aber der Mensch wächst mit seinen Aufgaben und das Gehirn sollte immer schön gefordert werden um Alzheimer vorzubeugen :smiling_face:

    Ich habe natürlch im Laufe meines Lebens ordentlich Erfahrtung gesammelt, aber hatte halt nie eine fundierte Ausbildung in Sachen Netzwerke.

    Daher bitte ich vorab um Vergebung ....


    Aktuell gab es ein Virus-Problem weil ein Angestellter verseuchte Ware aus dem Internet geholt hat.

    Fazit:

    Aufrüstung der Infrastruktur mit Software-Lösung (AntiVir+Firewall) + zusätzlich geplant UDM pro als Hardware-Firewall.


    Aktueller Aufbau:
    FritzBox als Router (VPN-Verbindung zu weiterer FB im Außenbüro inkl Anbindung der dortigen IP-Telefone)

    zentraler Server für verschiedene lokale Dienste
    2 große Switches
    einige kleine Switches
    ca 40 Klienten (IP-Telefone mit fester IP + 20 PC mit fester IP + WLAN-Klienten großteils per DHCP)

    FB hat wie gesagt VPN-Dauerverbindung zu einem entfernt gelegenem Büro mit dortiger FB (Lan2LAN)
    Dort sind IP-Telefone als Nebenstelle der Haupt-TK-Anlage eingebunden + Zugriff auf lokale Dateien am Standort des lokalen Servers


    Nun will ich die UDM als Hardware-Firewall nutzen.

    Das Problem:

    Der Router hat 192.168.0.1 und diente bisher als DHCP-Server
    Ich kann ja die UDM nicht als Klient ins 192.168.0.1er Netz einbinden so dass sie denoch jeglichen Netzwerk-Datenverkehr (Traffic) kontrolliert oder gibt es da eine Möglöichkeit die mir bisher noch nicht eingefallen ist?
    Oder kann ich die so biegen?
    Wäre es ausreichend die UDM überall (auf wirklich allen Klienten) als Gateway zu hinterlegen, so dass jeglicher Datenverkehr ins Internet komplett über die UDM läuft?

    Falls ja, wie wäre die IP-Konfiguration der UDM und der FB?


    Sonst müsste ich ein komplett neues IP-Konzept erstellen und alle Klienten mit fester Ip noch mal einzeln in die Hand nehmen.

    Mein Bedenken sind die VPN-Verbindungen.


    Gruß Chris

    Nunja, da hängen an der EDV dann doch einige Arbeitsplätze und an der Sicherheit wohl nicht nur die Existenz dieser, sondern u.U. auch die der gesamten Firma.


    Unter diesem Gesichtspunkt -sorry- erscheint das, was Du da bisher gestrickt hast, etwas halbgewalkt :frowning_face: Zum einen gehören an die Netzwerkkanten in solch einer Umgebung richtige NG-VPN-Firewalls (also solche mit Email Protection, Network Protection, Web-Schutz, Zero-Day-Schutz und ordentlicher VPN-Bandbreite) und keine Fritzboxen (auch eine dahintergeschaltete UDM verbessert da nichts) und zum anderen macht es bei 20 PCs durchaus Sinn, einen Active Directory Server aufzusetzen, welcher dann nicht nur gleich DHCP und DNS macht (auch über VPN), sondern bei der Rechteverwaltung für die 20 PCs samt deren Nutzern eigentlich unentbehrlich ist.


    Übrigens - die Hardware für die Firewalls und den AD-Server muss auch nicht besonders leistungsfähig und damit teuer sein, so begnügt sich z.B. ein W19-Server durchaus mit einem mittelprächtigen Intel-NUC:



    und als FW empfehlen sich gebrauchte und nicht allzu alte FW-Appliancen, z.B. von Sophos mit entweder Opn-/PFsense, der kostenlosen Home-Version von Sophos (pst.. nicht weiter sagen) oder anderen Community-Versionen. Auf diese Weise bekommst du auf jeden Fall Grund und Sicherheit in Deine Netze - Fritzbox + UDM wird nur Gebastel - überleg Dir das mal :smiling_face:

    Ich stimme bic zu aber das könnte man auch mit Lancom machen und hätte deutsche Ansprechpartner.

    schon mal Danke für die Anregungen lieber bic.

    Ich habe das Gebastel von meinem Vorgänger übernommen der quasi gar keine Sicherheit hatte außer kostenlosem Antivir auf dem Server und den PCs.


    Das Ganze ist dann quasi organisch gewachsen ohne jegliches gescheites Konzept.


    Ziel ist es nun das gröbste an Gefahren abzuwehren.

    Dabei soll das alles im finanziellen Rahmen bleiben, also eine Art 80% Lösung.


    Ich habe gehofft das mit dem UDM einigermaßen verbessern zu können.

    Das ganz große Fass kann ich nicht aufmachen ohne fremde bezahlbare Hilfe.

    Einmal editiert, zuletzt von lapetos ()

    Um es ganz krass zu formulieren: Geräte von Ubiquiti sind als FW in dem Umfeld ungeeignet.
    Der Vorschlag mit der Sophos würde ich befürworten, wenn es eingerichtet ist, ist sie im Betrieb auch mit geringen Kenntnissen zu betreiben.
    Ich würde es so einschätzen, dass du zum Start mit einer kleine Sophos XG 125 Rev. 2 (Home-Editon, gebraucht zum Üben) schon mal sehr gut aufgestellt wärst. Als Erweiterung dann noch ein SD-RED (Remote Edge Devices) für den 2. Standort. Wird zentral administriert, es läuft an jeden Internetzugang (auch LTE) ohne dass der Nutzer sich drum kümmern muss.
    Du solltest aber das Netz grundlegend neu strukturieren. Telefone und PCs in eigene Netzwerksegmente, dasselbe für alles was Serverdienste leistet. Nur dann kannst du für die verschiedene Bereiche sinnvolle Regeln erstellen. Dies auch mit einem ActiveDirectory verbunden. Bei 20+ PC und Außenstelle gibt es auch Fluktuation bei Personal, dies will berücksichtigt sein.

    Zitat von lapetos

    Sonst müsste ich ein komplett neues IP-Konzept erstellen und alle Klienten mit fester Ip noch mal einzeln in die Hand nehmen.

    Mein Bedenken sind die VPN-Verbindungen.

    Bei den Clients sollte man auf DHCP setzen und mit Policies für die Mitarbeiter setzen. Wird einfacher bei Defekt oder Aufrüstung.
    Feste IP nur für Serverdienste/Drucker.

    Und an dieser Stelle solltest du dir Hilfe holen von jemand, der schon mal solch ein Netz geplant hat.
    Und du musst dich auf viel Schelte von den Kollegen gefasst machen :winking_face: Erstens, weil so ein Neustart holprig ist für alle Beteiligten und weil du sinnvollerweise ihre Rechte beschneidest. Also vorher auch Gespräche führen mit dem Chef und den Kollegen.
    Grundsätzlich sollte man Chef und Kollegen klarmachen, dass daran der Verdienst von 20 Arbeitsplätze (geschätzt 80.000 € Lohnkosten/Monat) hängt.

    Einmal editiert, zuletzt von phino ()

    Zitat von phino

    Der Vorschlag mit der Sophos würde ich befürworten, wenn es eingerichtet ist, ist sie im Betrieb auch mit geringen Kenntnissen zu betreiben.

    Nicht nur wenn diese eingerichtet ist, auch das Einrichten selbst ist wesentlich freundlicher als z.B. bei den Sensen. Hier hilft auch der seit vor 1,5 Versionen neu hinzugekommene Assistent:


    Zitat von bic

    Nicht nur wenn diese eingerichtet ist, auch das Einrichten selbst ist wesentlich freundlicher als z.B. bei den Sensen. Hier hilft auch der seit vor 1,5 Versionen neu hinzugekommene Assistent:

    Da gebe ich dir recht. Aber man sollte schon ein schlüssiges Konzept vorliegen haben und etwas geübt sein mit VLAN und Netzwerkmasken. Und sich in FW-Regeln hineindenken, muss man sich auch erst aneignen (da tickt ja jede FW-Hersteller etwas anders).
    Auch ein AD ist nicht so simpel, trotz Assistenten.

    ich bin absolut eurer Meinung, das gehört in fachkundige Hände bei der Ersteinrichtung!

    Und da muss einmalig ein Betrag im Bereich 3-5k Euro in die Hand genommen werden bis das rund läuft.


    Aber bitte stellt euch Folgendes vor:

    ein Computer der grottenlangsam läuft und darum dessen Nutzer mehr zuschaut als arbeitet wurde von mir so dem Chef erklärt:

    Ein langsamer Computer kostet am Jahresende wesentlich mehr Geld als ein neuer oder wenigstens ein gebrauchter mit einigermaßen! Leistung.


    Kommentar Chef:

    Für so was hab ich jetzt kein Geld...


    Fazit:
    Wir wollen nicht viel ausgeben und müssen dafür mit einer gewissen Gefahr leben.
    Ich für meinen Teil muss da eine kleine Grundsicherheit rein bringen im Bereich bis ca 1.000 Euro.

    Aktuelle habe ich wenigstens mal 25 Lizenzen für Avira-Pro besorgt und auf allen Netzwerk-PCs installiert.

    Zitat von lapetos

    Kommentar Chef:

    Für so was hab ich jetzt kein Geld...

    Ich habe so etwas befürchtet.
    Ich vermute, dass eine 1-2-3 Backup-Strategie mit externem Backup auch nicht dazu gehört.
    Mache das Geld locker für eine Sophos-Home und probiere dich daran erst einmal zu Hause. Hoffentlich hast du Heranwachsende, da kannst du dann deinen Spaß haben. :face_with_tongue:

    ja eben, ich kann mir nicht nebenberuflich alles Wissen mal ebenso aneignen um da keine Fehler zu machen.


    Natürlich habe ich erweiterte Grundkenntnisse, sonst hätte ich das nicht machen können all die Jahre.

    Aber für ein gutes Schutzkonzept inkl. AD fehlt mir die Erfahrung.


    Plan A:

    jemand ist wirklich fit und richtet alles für ein überschaubares Geld ein (auf Basis von bezalhbarer Hardware+Freeware)


    Plan B:

    es bietet sich eine Cloud-Lösung an (man zahlt für Sicherheit)


    Plan C:

    wir wurschteln weiter rum mit etwas mehr Sicherheit in Zukunft
    da bin ich dankbar für alle Ideen :smiling_face:

    Zu A schau mal in deine PM, wäre vielleicht eine Lösung.

    Cloud wäre aus mein Sicht eher etwas für Backup-Strategie.

    Bei Punkt C machst du dir nur Magenschmerzen, und sei es das wichtige Mail etc. gelöscht wurden.

    Ich weiß nicht welche Art euer Unternehmen ist, aber die Wahrscheinlichkeit ist exterm :winking_face: hoch, dass ihr mit personenbezogenen Daten (Kundendaten) arbeitet.
    Dies wäre dann für den Chef und der Firma auch noch so ein Fallstrick, z.B. wenn Daten abwandern, mit dem Weggang von Mitarbeiter. Inhouse-Angriffe sind häufiger bei Kleinbetriebe als externe.
    Auch so etwas könnte man zumindest eingrenzen/verifizieren mit einer AD.
    Aber auf dem Ohr sind Betriebe in der Größe meist taub, das fängt mit Arztpraxen schon an.

    Es wurden bereits auf einem PC Daten durch einen Hacker verschlüsselt, weil der PC-Nutzer einen "Youtube-Downloader" installiert hatte.

    Also alles auf 5 nach 12 in dem Laden...

    Hab den PC neu aufgesetzt, die Daten vom Server mal auf externer HDD gesichert und MAGENTA-cloud gebucht für die Zukunft um das Schlimmste abzuwenden...


    Diese Firma ist wie viele andere sicher auch ohne Daten komplett verloren....
    Die verantwortlichen Leute wollen es nicht kapieren wie das heutzutage läuft.

    Mein Job:


    1. Daten mehrfach sichern um den Laden am Laufen zu halten
    2. Zugriff von außen verhindern so gut ich kann (100%-Lösung nicht möglich)


    Am liebsten würde ich aussteigen da die Verantwortung hoch und die Einsicht denkbar gering...


    Ich suche nach der "Kopf aus der Schlinge"-Lösung um
    a) Firma nicht im Stich zu lassen
    b) nicht am Ende für alles verantwortlcih zu sein.

    PS:
    vielen lieben Dank für all eure Antworten!
    es tut gut zu wissen das man nicht alleine ist...

    Zitat von lapetos

    Am liebsten würde ich aussteigen da die Verantwortung hoch und die Einsicht denkbar gering...

    Das kennen bestimmt einige hier. :angry_face:


    Hier mal eine Anleitung, um dein Projekt zu Papier zu bringen und dem Chef vorzulegen. Damit hast du dann festgehalten, was man mindestens tun sollte. Abgesehen von einem Datenschutzkonzept :grinning_squinting_face:

    Download kostenlos: Vorlagen für IT-Projektmanagement und Projektverwaltung

    Zitat von lapetos

    Aktuell gab es ein Virus-Problem weil ein Angestellter verseuchte Ware aus dem Internet geholt hat.

    Fazit:

    Aufrüstung der Infrastruktur mit Software-Lösung (AntiVir+Firewall) + zusätzlich geplant UDM pro als Hardware-Firewall.


    Hier müsste wohl viel mehr als nur die Infrastruktur geändert werden. Ist die Frage, wie ist es überhaupt dazu gekommen, das ein Angestellter verseuchte Software aus dem Internet laden konnte und diese auf dem Rechner dann auch noch ausführen konnte. Und hier wäre es ratsam weitere Untersuchungen im Netzwerk und auf den Endgeräten durchzuführen. Hat sich vielleicht weitere Malware breitmachen können? Also was ich damit sagen will ist, das es nicht ausreichend ist nur die entsprechende Infrastruktur-Änderungen vorzunehmen, hier muss ein Sicherheitskonzept erstellt und umgesetzt werden. Nicht nur auf Basis von Hard- und Software, sondern die Mitarbeiter müssen entsprechend geschult werden.


    Wenn man da nicht im Thema drin ist, sollte man sich auf den Fall externe Hilfe holen.


    Wenn die Firma keine Cyberversicherung abgeschlossen hat, könnte es für den Inhaber viel teuer werden.

    Zitat von sliderffm

    Cyberversicherung

    das Thema muss behandelt werden! da hst Du recht..

    Mitarbeiter die es nicht schaffen den PC abends herunter zu fahren -> da bin ich asl Admin machtlos wenn der Chef nicht durchgreift...

    die Lage in vielen kleinen Firmen ist unvorstellbar schlecht was das Thema Sicherheit betrift.

    Da gibt es sicherlich viele die Ähnliches berichten können.

    An den Admins hängt dann viel Verantwortung bei geringem Budget...

    Daher wieder zurück zur Idee: 80%-Lösung
    nicht perfekt aber viel besser als gar nix...

    Zitat von lapetos

    Und da muss einmalig ein Betrag im Bereich 3-5k Euro in die Hand genommen werden bis das rund läuft.

    Nö - um die zwei Fritten zu er- und nen AD-Server aufzusetzen braucht man keine 1.000,--. Zwei von den Dingern (und noch ein bißchen verhandeln) + 250,-- für nen NUC (vielleicht steht gar was Brauchbares rum) und ne günstige Serverlizenz (hier geht auch Server 2012 Rev.2) und das wars. Da der TE den Eindruck macht, nicht so ganz unbeleckt zu sein, bekommt er die Installation auch allein hin. Selbst das Aufsetzen eines ADs ist keine Raketenwissenschaft und Dank eingebauter und Onlinehilfe schnell erledigt, solange man im (für den aktuellen Fall ausreichenden) 0815-Bereich bleibt. Mehr als das.



    brauchts für den Anfang nicht und die erforderlichen Features werden ja auch gleich mitinstalliert. In den (riesigen) Rest kann man sich dann (über die Jahre :smiling_face:) einarbeiten.


    Übrigens - auf Vlans würde ich in diesen Umfeld verzichten - wozu auch, um die Telefone von den PCs zu trennen? Die stören sich nicht gegenseitig und wenn man es mag, kann man die Netze später immer noch trennen (ich selbst habe übrigens lediglich das SAN per portbasierten Vlan abgetrennt).


    Die Zugriffs- und sonstigen Rechte der einzelnen Nutzer/Hosts kann man im AD schön regeln und dass ein Mitarbeiter irgendwelche Software installieren kann, fällt von vornherein aus. Kann man dann noch die eingehenden Emails (pop3/imap) z.B. mit einer Sophos auf Malware und Viren scannen und nutzt deren eingebauten sonstigen next generation Schutzmaßnahmen, ist man schon ganz weit vorn mit dabei :smiling_face:

    Wir können dir hier nur Tipps geben und dir etwas bei Hard- und Software Auswahl helfen.
    Mache ein Konzept, gehe zum Chef und sehe, was du herausholen kannst und wie der Rückhalt ist, letztendlich ist er für die Firma verantwortlich.
    Dann kannst du dir überlegen, ob es für dich dann okay ist.

    Zitat von lapetos

    Mitarbeiter die es nicht schaffen den PC abends herunter zu fahren

    Wozu? Die Kisten können doch an bleiben, machen wir bei uns schon wegen der Updaterei auch so. Nichts ist schlimmer, als wenn sich so ein Teil erst runderneuern will, wenn der Kollege sich nun schon mal doch dazu überwunden hat, mit der Arbeit anzufangen :winking_face_with_tongue: