Firewall ins Netzwerk holen

Es gibt 40 Antworten in diesem Thema, welches 12.877 mal aufgerufen wurde. Der letzte Beitrag () ist von tomtim.

    Hallo Ubi-Freunde,

    ich möchte gerne mein Netzwerk erweitern.

    - 2 x Nanos AP

    - Cloud Key2
    - Switch 24 Gen2


    Demnächst Cloud Key2 Plus und 2-3 Kameras.

    Aber was ich mir jetzt vorstell ist folgendes:

    Möchte von meiner FB weg und mir eine "echte" Firewall wie Sophos oder Securepoint zu legen, dazu muss ich allerdings sehen wie ich meine TK-Anlage die derzeit über den ISDN Port von der FB läuft seperat nutzen kann, an der FB hängen ja auch noch zusätzlich 2 DECT dran.

    Wie würdet Ihr das machen mit einer echten Firewall, ein Modem Drytek nehmen oder einen anderen Router, an sich dachte ich erst an ein USG noch dazwischen für die Grafik im Cloud Key damit man was hat von der Optik her, aber glaube das wird zu viel am Ende.

    Danke Euch für einen Tipp.

    Schöne Feiertage und bleibt gesund.

    ... verrätst Du uns noch welche Internetanbindung Du hast?


    ... separate Firewall erfordert ne Menge Know How. Nicht nur wie diese konfiguriert wird sondern auch, welche Protokolle / Verbindungen / Dienste zwischen den Systemen laufen. Das ist nicht Plug-and-Play, sondern ECHTE Arbeit. Profisysteme Empfehlung: Cisco ASA.


    ... komplexere Technik zu wählen würde ich nur dann machen, wenn der Benefit groß genug ist.


    Was erwartest Du Dir konkret?


    Deine FB macht offensichtlich mindestens zwei Dinge:

    - Schnittstellenwandlung SIP/ISDN

    - DECT

    (auch hier fehlen noch Detailinfos: MSN oder Anlagendurchwahl / Endgeräte / Leistungsmerkmale usw.)


    Das heißt, dass ein Ersatz dieser nicht günstiger und schon gar nicht einfacher wird. Man könnte - vermutlich hast Du welche - die ISDN Telefone gegen VoIP Telefone (SIP) ersetzen. Das geht jetzt schon mit der FB. Das wäre ein sinnvoller Migrationsschritt, um später eine Ablösung ins Auge zu fassen.


    Die DECT Telefone lassen sich über div. Lösungen von der FB separieren und über einen SIP/DECT Wandler (z.B. amazon.de/Gigaset-GO-Box-analo…n-Mobilteil/dp/B00ZXNO1SG) betreiben. Dabei verlierst Du aber Nebenstellenfunktionen, wenn Du diese nicht über ein zentrales SIP TK-System anbindest.


    Ein zentrales SIP TK-System gibt es freeware (z.B. Asterisk - ein ECHTES Bastlersystem) oder vllt. kommt ja mal die Ubi Talk Lösung raus und taugt was. Aber es gibt noch viel mehr auf dem Markt, aber defintiv nicht günstiger als eine FB.


    Ich will an dieser Stelle erstmal nicht weiter ins Detail gehen ... aber ich würde es mir genau überlegen, ob dieser Aufwand sinnvoll ist ...

    ------

    vg

    Franky

    Gefällt mir 1

    Hallo Samhaim,

    vielen Dank für Deine Nachricht und die Fragen, dazu folgendes:

    - ADSL Anschluss mit 100MBIT also nicht so viel
    - Telefonanschluss ist SIP leider musst mein ISDN aufgeben

    - Habe in der FB einige Nummern hinterlegt und über den ISDN Port habe ich die AGFEO AS45 angeschlossen und da noch ein paar Nummern hinterlegt.
    - DECT habe ich an der AS45 zwei DECT 50 und ein DECT Headset von AGFEO laufen, also kein Spielzeug wie Asterisk oder so.

    - Die AGFEO AS 45 macht das volle Programm Anrufer vor melden und Aphoteker Schaltung etc.

    Cisco mag ich nicht so, eher Watchguard, Sophos oder derzeit Securepoint (DSGVO Konform)

    Denke darüber nach die AGFEO AS degen eine ES oder Virtuelle vn AGFEO zu tauschen, dann auch die DECT IP Geräte von AGFEO etc.

    Unter dem Strich will ich Sicherheit beim Surfen erreichen (Malware/Virenschutz/Werbungsschutz) das macht das USG ja z. B. nicht. Einen VPN machen alle selbst die FB brauche ich für den Zugriff auf mein KNX und Mobotix System!

    Das man sich damit schon auskennen muss ist mir an sich bewusst, bis jetzt klappte es auch mit einer Watchguard und derzeit Securepoint.

    Hoffe ich konnte Deine Fragen beantworten.

    Glaube das mit dem USG dazwischen für die Grafik im Cloud Key ist nicht so wichtig, und lieber direkt ein Modem/Router und dann die Firewall.

    Wieviele Nebenstellen hast Du. weil Du so ein "Monster" wie die ES planst?


    Sicherheit beim Surfen kannst Du mit nem PiHole und nem guten IDS/IPS System eher erreichen, als mit einer Firewall.

    Noch traue ich meiner UDM pro bzgl. Bugfreiheit nicht so, aber das Produkt entwickelt sich zunehmend weiter und scheint mir ein guter Kompromiss zwischen Preis/Leistung zu werden.

    ------

    vg

    Franky

    ... mein Vorschlag die UDM pro zu nehmen basiert auf deinen bisherigen Unifi Fuhrpark.


    Sicherlich kann man etwas fremdes auch integrieren, aber homogener in die vorhandene Infrastruktur fügt sich die UDM pro ein ...


    Mit der Agfeo kannst Du auf die FB für Telefonie verzichten. Für den WAN Access wäre dann das Vigor 165 gut geeignet.

    ------

    vg

    Franky

    sicherlich nicht in dem Maße wie Du es Dir möglicherweise erwartest ...


    Aber die Frage wäre, was es letztendlich bringt, denn Schadcode aus dem Internet holt man sich nicht mal "einfach so". Eine Sensibilisierung des Nutzers muss immer im Verhältnis zur eingesetzten Technik stehen.


    Ohne Virenscanner auf den Systemen kommst Du so oder so nicht aus und am Ende ist auch ein Virenscanner immer ein "nachträglich wirkender Schutz". Der Virenscanner ist nur so gut, wie die Patch Versorgung es zulässt.


    Vor Content kann man sich schützen, indem man Zieladressen einfach sperrt. Das geht bei jeder Firewall ... mit einem entsprechenden Zeitaufwand.


    Eine Automatisierung, die einen hohen Schutz bietet, wirst Du von keinem Hersteller bekommen. Das erfordert eine permanente Wartung aller Sicherungs- und Schutzmaßnahmen. Ein Privatanwender hat hierfür meist nicht die Ressourcen und oft auch nicht das Know How.


    Hier sind die Leistungsmerkmale der UDM pro https://dl.ubnt.com/ds/udm-pro


    Das ist schonmal deutlich mehr, als das was eine FB leistet und ihr Schutz reicht für viele zehntausend Endanwender völlig aus.


    Am Ende ist es immer eine Entscheidung des Aufwandes, den man treibt.

    Dies muss im Verhältnis zum Szenario passen. Sicherlich würde ich bei einem Firmenaccess (mit entsprechendem Schutzbedarf) mehr Aufwand betreiben, als im privaten Umfeld. Je nach Größe der Firma machen das oft eigene SOC Teams.

    Aber das ist am Ende nicht nur eine Frage der Technik und der einzusetzenden Systeme, sondern auch eine Frage der finanziellen Ressourcen und des Aufwandes bzgl. Manpower.


    Btw.: Das o.g. sind Erfahrungswerte aufgrund jahrzehntelanger Erfahrung in meinem beruflichen Umfeld in einer großen Firma im Bereich IT Security (>7000 MA).

    ------

    vg

    Franky

    Gefällt mir 1

    Ist zwar nicht genau zu deinem Thema, aber ich kann Pihole und Frickelram nicht so stehen lassen.



    Pihole war mal Frickelkram. Das ist heute einfach / simpel / funktional für jeden zu realisieren.


    Hier und mittlerweile bei einigen bekannten ein jeweils ein Pihole ohne das es jemand merkt. Es wird aber überall ca. 15-20% des Internet Volumen wegefiltert ohne das jemand etwas bemerkt.



    Wenn mal eine Seite nicht geht (sehr selten), dann kurz die IP aufrufen und in die Liste (Query Log) >



    den jeweiligen Server in die Whitelist oder Blacklist aufnehmen. Nach 3-4 Tagen läuft das ohne weitere Änderung. Dann sind deine Webseiten dort richtig hinterlegt. (hier kann man gut erkennen wie zum Bespiel FB die WA Server immer rotieren lässt - Meine Familie möchte das nutzen und schwupp kommen nach 2-3 Tagen immer die Bilder nicht, FB hat die Server gewechselt hat und die natürlich erstmal gesperrt sind).

    Mittlerweile surfen die Geräte nur noch über Cloudflare Warp um dieses zum umgehen.


    Sollte der Pi-Hole mal nicht gehen / ohne sonstiges Problem haben - läuft das System trotzdem ohne Störung weiter.


    Aufnahme ins System - Per WLAN oder Ethernet ins Netz hängen - und den DNS der Netzverbindung auf den PiHole umleiten.

    Ausserdem habe ich in der Apple Home App und auf dem Mac die Pi-Bar zu laufen. Da kann ich die Arbeit des PiHole stoppen bzw. den Netzwerkverkehr für eine gewisse Zeit vollkommen freigeben.


    Nur mal so also Info zum Thema PiHole. Ansonsten finde ich immer, ist kein fester Admin im Haus immer verfügbar, kann ich nur eine Sache installieren die immer läuft bzw. einfach zu starten ist.

    Gefällt mir 4

    ...

    Zitat von matrix-22

    - DECT habe ich an der AS45 zwei DECT 50 und ein DECT Headset von AGFEO laufen, also kein Spielzeug wie Asterisk oder so.

    Asterisk und Spielzeug ?

    Ich muss mal laut lachen.

    Ich würde mal tippen, das 95% der VoIP-Telefonanlagen heute auf Asterisk-Software aufgebaut sind und die stecken jede ISDN-Anlage locker in die Tasche.


    Mal gut das selbe die großen Netzbetreiber wie Telekom und Vodafone ihre ISDN-Technik auf den Schrott geworfen haben und auf VoIP-System gegangen sind. ISDN ist lange schon tot, da wird schon etliche Jahre nichts mehr weiterentwickelt.



    Sophos oder Securepoint:

    Wenn man eine "richtige" Firewall einsetzten will, sollte vor allen Netzwerk-Knowhow vorhanden sein. Ansonsten würde ich da dringend von abraten.

    Wir haben bei meinem Ex-AG sehr viele Sophos-Firewall installiert und die sind nicht gerade trivial in der Konfig. Vor allem sind die nicht sonderlich günstig, weil jedes Feature eine Jahres-Lizense benötigt. Man kann die Home-Version nur bis max. 50 IP-Adressen im Netz betreiben, das ist nicht wirklich viel, mir würde das zuhause nicht reichen.


    Wenn eh schon Unifi-Technik vorhanden ist, kann der Rat nur sein, eine UDM Pro zu installieren, das erspart direkt den extra Cloudkey und kann auch die Kameras ( wenn von Unifi ) betreiben.

    @Samhaim vielen Dank für Deine Hilfe und die Tipps.
    Es muss schon das Pro Modell sein am Ende das "normale" UDM würde den CK2 Plus nicht ersetzten wenn man Kameras einbinden möchte richtig.


    tomtim das mit dem PI Hole kommt der nach dem UDM ins Netzwerk?


    @Tuxtom007 vielen Dank für Deine Antwort hier, es war nicht gegen das Produkt gerichtet, finde am Ende AGFEO die ES oder Virtuelle Anlage schon besser, ist doch wie in allen Dingen Geschmackssache nicht wahr?

    Ich werde mir einmal die PRO oder UDM ansehen und schaue wie man den PI Hole einbinden könnte.
    Nun noch die Frage den Drytek oder eher von Ubiquiti den Router?

    Zum Virenschutz klar haben alle Geräte im Netzwerk und Unterwegs einen Schutz, der Virenschutz/Webschutz geht über TrendMicro ist gut für mich, gibt aber hier bestimmt andere die auf anderes schwören.

    Wäre gut zu wissen wo der PI-Hole noch hinkommt, würde mir sonst zu dem UDM und den PI-Hole noch dieses Produkt holen https://bit.ly/3aI2sao

    Moin Matrix,


    also der Pi Hole kommt dahinter ins Netz und den setzt du als DNS Server.


    der Dreytek Vigor ist ein Modem, das Können die UniFi Router nicht (meines Wissens nach)


    also ich würde dir zu Vigor und dann UDM oder so dahinter raten

    Mein Projekt

    Gefällt mir 2

    Genau wie amaskus schreibt:


    - Vigor 165

    - UDM pro


    Vigor wird im Full bridged modus am WAN Port des UDM pro angeschlossen. Den Vigor 165 als Empfehlung wg. den ZWEI LAN Ports (zweiter LAN Port kann unabhängig vom ersten in einem - z.B. Admin Netz - in Betrieb genommen werden.

    PiHole ist im LAN Umfeld und wird dort als DNS definiert (2nd. DNS - für Backup - kann dann der UDM pro übernehmen)

    PiHole kann auf nahezu jeder UNIX Plattform installiert werden. Günstigste Variante ist ein Raspberry PI (z.B. Version 4) mit Debian Linux (Meine Empfehlung ist die Distribution von "dietpi", da kann man das ohne Aufwand in Betrieb nehmen).

    ------

    vg

    Franky

    Gefällt mir 2
    Zitat von matrix-22

    Kann man eigentlich die Fritte weiterhin als SIP Server einsetzen?

    jau, hinten ins Netz und alles deaktiveren - ausser Telefonie

    Gefällt mir 1

    Also vom Aufbau her:

    1. Vigor der die Einwahl macht (Modell 165 oder auch anderes?)

    2. Dahinter dann UDM Pro (Einrichtung schaue ich mir an bei Youtube :winking_face: )
    3. Fritte an den Vigor oder UDM Pro damit ich weiterhin erstmal Telefonieren kann gibt es Probleme bei dem Betrieb für die Telefonie?
    4. VPN anwerfen für den Zugriff von aussen

    5. PI Hole an das UDM Pro klemmen, wie sage ich nun den Geräten im Netzwerk auch dem W-LAN alles soll über den PI Hole gehen dann weiter zum UDM Pro da dann IPS/IDS anwerfen macht man beides in den UDM Pro?

    Wo würde ich ein Gateway eintragen von dem Provider der den Traffic überwacht Malware/Virenschutz/Conten-Filter!

    1. 165er wg. den zwei LAN Anschlüssen

    2. jap!

    3. FB an das UDM Pro (LAN interface).

    4. VPN funzt und reicht für den Zugriff von aussen aus. Parallel dazu DynDNS Dienst od. andere Alternativen

    5. PiHole wird 1. DNS (Konfig im UDM Pro unter Dienste). Damit gehen alle Geräte die DHCP machen automatisch über den PiHole

    ------

    vg

    Franky

    Gefällt mir 1

    1. 165er wg. den zwei LAN Anschlüssen -> anderes Modell geht auch?

    2. jap! -> Perfekt

    3. FB an das UDM Pro (LAN interface). -> Dann einfach einen Port öffnen für SIP?

    4. VPN funzt und reicht für den Zugriff von aussen aus. Parallel dazu DynDNS Dienst od. andere Alternativen - habe zwei Dyndns Account und eine feste IP.

    5. PiHole wird 1. DNS (Konfig im UDM Pro unter Dienste). Damit gehen alle Geräte die DHCP machen automatisch über den PiHole - das kommt später dann erstmal das eine.


    UDM Pro da dann IPS/IDS welches??

    Welche HDD nimmt man für das UDM Pro SSD?

    1. Vigor 130 oder was auch immer es da noch gibt. ICH würde die paar Euro mehr für das 165er ausgeben.

    3. SIP Port öffnen nicht nötig. Der ist offen.

    4. DynDNS Client bitte nicht im UDM pro nutzen (funzt noch nicht wirklich)


    Ich würde beim UDM pro mit IDS anfangen und dann sehen was da so reinkommt. Das kann man dann später bis zur Honeypott Einrichtung ausdehnen.


    HDD ist nur notwendig, wenn Du Protect, Access, Talk (noch beta) verwenden willst. Ansonsten erstmal keine.

    ------

    vg

    Franky