Firewalls für KMU!

Internet-Stammtisch
Firewalls für KMU!
Übersicht & Hintergründe
Uwe Stache
http://www.ecomm-berlin.de/
eCOMM-Partner
Zur Person
• Geschäftsführer BB-ONE.net
Internet-Dienstleister, eigene Serverfarm, seit 1996
www.berlin-one.net
• Vorstand BCIX e.V.
Internetknoten Berlin-Brandenburg
www.bcix.de
• Partner eCOMM
Kompetenzzentrum für elektronischen Geschäftsverkehr
www.ecomm-online.de
• Gründungsmitglied We-Make-IT
BerlinBrandenburger IT-Standortinitiative
www.we-make-it.de
eCOMM-Partner
Agenda
•
•
•
•
Problemstellung / Definitionen
Aufbau eines Firmennetzes
Netzwerkbereiche
Lösungsansätze
eCOMM-Partner
Standards heute
•
•
•
•
•
DSL- bzw. ISDN-Anbindung, meist dauerhaft
Verbindung über DFÜ-Netzwerk oder „Router“
Virenscanner
Häufig „Personal Firewall“
Software IE/Outlook (Express)
eCOMM-Partner
Gefühlte Bedrohungen
•
•
•
•
Sie ärgern sich über SPAM
Ihr PC führt Eigenleben
Ihr Netzwerk wird langsamer
Sie werden verunsichert durch Publikationen über
Würmer/Pishings/Trojaner/Datenverlust
eCOMM-Partner
Gegenmassnahmen [ I ]
• Abkehr von Sensations- bzw. unqualifizierter
Information
• Akzeptanz der Realität
• Einsatz von sinnvollen Werkzeugen
• Verhaltensänderungen
eCOMM-Partner
Reale Bedrohung [ I ]
• PC und Server entwickeln Eigenleben
• Rechner öffnen sich gegenüber anderen
• Rechner sind möglicherweise kompromittiert
eCOMM-Partner
Reale Bedrohung [ II ]
• Bestehender Zugriff auf Firmendaten
– Löschen
– Verändern
– Einsichtnahme
• Verwendung der Rechner für Zwecke Dritter
– Sie werden SPAM-Versender!
– Ihr Zugang wird per DDOS blockiert oder:
– Ihr Rechner wird Teil eines BOT-Netzes
• Ist betriebswirtschaftlich und juristisch relevant!
eCOMM-Partner
Netzwerk
eCOMM-Partner
Definitionen [ LAN ]
• Lokales Netzwerk
• KEIN Zugriff aus WAN
• Definierte Zugriffe aus DMZ und WLAN
( idealer Weise keine )
• Definierte Zugriffs-Rechte in WAN
eCOMM-Partner
Definitionen [ DMZ ]
•
•
•
•
Demilitarisierte Zone
Ist Teil von WAN UND von LAN
Ist aus WAN definiert erreichbar [ VPN ]
Hat „Schlupflöcher“ zum LAN
eCOMM-Partner
Definitionen [ WLAN ]
• Wireless LAN
• Wie LAN, jedoch:
• ACL in Firewall via MAC-Adresse
[ Access Control List ]
• Authentifizierung via WPA-PSK
[ minimal ]
• Datenverschlüsselung
• Aus WLAN kein Zugriff auf LAN
eCOMM-Partner
Definitionen [ Firewall ]
•
•
•
•
•
Hardware- und regelbasierte Netztrennung
Drei oder vier Zonen
Regeln frei definierbar
Logging
Zusatzfunktionen:
– Proxy
– SPAM-/Virenfilter
– Routerfunktion
eCOMM-Partner
LAN
Regeln
Datenverkehr initiiert von PC:
Ports 80,443,110,25,139,143
Datenverkehr initiiert von
Server:
???
Datenverkehr initiiert von
ausserhalb LAN:
???
eCOMM-Partner
WLAN
Regeln
Datenverkehr initiiert von Laptop:
25,110,80,143,443
Datenverkehr initiiert von
ausserhalb WLAN:
???
eCOMM-Partner
WAN
eCOMM-Partner
DMZ
Regeln
Datenverkehr initiiert von
Servern:
25,110,143,53
Datenverkehr initiiert von
Aussen:
25,110,143
eCOMM-Partner
Werkzeugeinsatz
•
•
•
•
•
Echte Firewall für Gesamtnetz
Personal Firewall für „PC gegen PC“
Sinnvolle Regelwerke (alles ist verboten ...)
Auswertung von Logfiles
Aktualisierung des Regelwerkes
eCOMM-Partner
Firewall: Beispiele / Software
http://personal-firewallsoftwarereview.toptenreviews.com
http://www.outpost-firewall.com/
eCOMM-Partner
Firewall: Beispiele / Hardware
http://www.genua.de
Appliance-Box
Proprietäre Hard und -Software
BB-ONE.net
angepasste Standard-Hardware
Software basierend auf Industriestandards
eCOMM-Partner
Beispiele Lösungen
•
•
•
•
Smoothwall
IPCop
Corporate Server
MonoWall
•
•
•
•
Securepoint Security Appliance
Sonicwall Pro 5060
Symantec Gateway Security
Watchguard Firebox
eCOMM-Partner
Workshop
•
•
•
•
•
17. Oktober 2006
Aufbau einer Firewall für KMU
Definition des Regelwerkes
Zehn Teilnehmer
70,00 €
eCOMM-Partner
Vielen Dank für Ihr
Interesse!