Wie sicher ist die Firewall der Lancom Router

[nollipa]

Hallo zusammen,

ich bin gelegentlich hier schon fündig geworden, nun möchte ich eine Frage loswerden, die mich ein wenig bedrückt.

In unserem Unternehmen sind 23 Mitarbeiter beschäftigt. 20 davon im Firmensitz und drei im Außendienst. Dazu haben wir 4 Lancom 1711 angeschafft, einer bei uns in der Firma (als Gateway), die anderen um die Mitarbeiter via VPN anzubinden. Weiterhin existieren 4 VPN Softwareclients für Administrations- und mobile Zwecke.

Nun war bei uns eine Firma wegen einer Softwareinstallation da und hat sich gewundert, weshalb wir "nur" einen Lancom Router einsetzen: "So ein Teil kann man doch in 10 Minuten hacken..." Natürlich wären nur entsprechend teure Lösungen wirklich sicher.

Nun, ich bin es ja gewohnt, dass andere immer alles besser wissen. Bislang gab es auch noch nie Probleme, die Firewall ist entsprechned restriktiv konfiguriert.

Muss ich mir nun einen Kopf drüber machen, oder ist das blos wieder mal dummes gelabere, weil man den Lancom nicht kennt? So was soll es ja geben...

Über eure Antworten würde ich mich freuen.

Vorab vielen Dank und Grüße

Alex

[filou]

Moin!

"So ein Teil kann man doch in 10 Minuten hacken..."

Den Beweis würde ich mir etwas kosten lassen!
Lass ihn doch mal machen

.... oder ist das blos wieder mal dummes gelabere, weil man den Lancom nicht kennt?

Na, was vermutest du?

Was würde er dir denn als "sichere Anschaffung" empfehlen?

[cava]

Lass mich raten, die Firma verkauft auch gleich die besseren Geräte.

[nollipa]

Es wurden Watchguard, Cisco und Konsorten in einem Atemzug genannt. Allerdings bin ich kein so großer Fan von diesen Lösungen da meist sehr kompliziert und zudem haben auch diese Kandidaten Schwachstellen, zumindest liest man darüber gelegentlich was bei Heise.

[eddia]

Hallo Alex,

Nun war bei uns eine Firma wegen einer Softwareinstallation da und hat sich gewundert, weshalb wir "nur" einen Lancom Router einsetzen: "So ein Teil kann man doch in 10 Minuten hacken..."

das war bestimmt unser Superhacker 'Lonesome Walker'.

Nun, ich bin es ja gewohnt, dass andere immer alles besser wissen. Bislang gab es auch noch nie Probleme, die Firewall ist entsprechned restriktiv konfiguriert.

Die Lancom Firewall deckt bis Layer-3 eigentlich alles ab, was derzeit aktuell ist - statefull, IDS. Somit ist das auf Netzwerkebene (und darum geht es bei einem Router) vollständig. Eine Application Level Firewall ist der Lancom jedoch nicht. Also wenn ein User sich einen Virus herunterläd, wird der Lancom nichts dagegen unternehmen. Diese Funktionalität kann man nur durch zusätzliche Proxies nachbilden. Bei den Watchguards und den besseren Ciscos ist das bereits integriert - und das lassen sich diese Firmen natürlich entsprechend bezahlen.

Obwohl ich nichts dagegen haben würde, wenn es in Zukunft eine AL-Firewall von Lancom geben würde...

Gruß

Mario

[nollipa]

So eine "all-in-one-box" hatten wir vorher von Symantec (darüber diskutieren wir jetzt mal lieber nicht) Jedenfalls, hatte diese Lösung auch entscheidende Nachteile: Diese hängt sich quasi als Proxie für verschiedene Ports zwischen Netzwerk und Internet. Das hat teilweise gravierende Nachteile, angefangen damit, dass manche Seiten nicht richtig angezeigt werden bis zu Problemen mit großen Email Attachments.

Aus genau diesem Grund haben wir das Teil ausgeschalten und einen Lancom gekauft. Für den Preis des Supports der Symantec kann ich 4 Lancom jährlich kaufen...

Virenschutz, das ist klar, den haben wir nun auf allen relevanten Servern und auf allen Clients - zentral gemanagt. Mir persönlich ist dies lieber, als ein Scan auf einer Box.

Was das Thema Proxie angeht: Nun, unsere Mitarbeiter sind sehr diszipliniert, was den Seitenaufruf anbelangt. Bei unserer Firmengröße ist das ganze gut zu Überblicken, auf Filter etc. können wir gut verzichten.

Euren Antworten entnehme ich, dass noch niemand ernste Sicherheitsprobleme hatte, oder?

[eddia]

Hallo Alex,

edenfalls, hatte diese Lösung auch entscheidende Nachteile: Diese hängt sich quasi als Proxie für verschiedene Ports zwischen Netzwerk und Internet. Das hat teilweise gravierende Nachteile, angefangen damit, dass manche Seiten nicht richtig angezeigt werden bis zu Problemen mit großen Email Attachments.

das ist bei Proxies immer ein Problem, zumindest wenn sie (wie bei den meisten all-in-one) nicht über ausreichend Ressourcen verfügen. Die Box muss bei einem Attachment ja erst mal alles herunterladen - wenn die dann wegen Speichermangel die Hufe streckt bzw. das nicht auf externe Ressourcen auslagern kann, war's das.

Virenschutz, das ist klar, den haben wir nun auf allen relevanten Servern und auf allen Clients - zentral gemanagt. Mir persönlich ist dies lieber, als ein Scan auf einer Box.

Hier muss ich Dir widersprechen. Es ist ziemlich unsinnig, in einem als vertrauenswürdig eingestuften Bereich nochmals Inseln zu schaffen bzw. Ressourcen zu vergeuden. Man muss den Übergabepunkt zwischen Internet und Intranet schützen - das kann eben auf so einer Box oder auf einem entsprechenden Proxy erfolgen.

Euren Antworten entnehme ich, dass noch niemand ernste Sicherheitsprobleme hatte, oder?

Wer behauptet, keine Sicherheitsprobleme zu haben, hat sie nur noch nicht erkannt.

Gruß

Mario

[filou]

das war bestimmt unser Superhacker 'Lonesome Walker'.

An den dachte ich, als ich das gelesen habe...

Bruteforce-Specialist für besonders "sichere" abc-Passwörter ... krchrchii

[COMCARGRU]

Jo mei,

stell ne zweite LC Box ins Netz, hänge einen PC dahinter auf dem eine TXT mit nur dir bekanntem Inhalt liegt und gib dem Herrn die externe IP Adresse des Routers -

Frag ihn nach 10 Minuten nach dem Inhalt der TXT. Wenn er ihn dir nicht nennen kann, verabschiede ihn mit den Worten: "Bitte löschen Sie uns aus Ihrer Kundendatenbank"...

Gruß
COMCARGRU