Hallo!
Zuerst einmal möchte ich mich für den Titel dieses Beitrags entschuldigen. Leider viel mir kein kurzer und prägnanter Satz ein, der wiedergibt was ich gerne möchte.
Hier im Forum sind ja nun die unterschiedlichsten Leute unterwegs und viele haben gute bis sehr gute technische Kenntnisse in allgemeinen und natürlich auch Produktspezifischen Fragen zum Thema Netzwerke, VPN und Sicherheit. Das möchte ich mir gerne einmal zu nutze mache. Ich zeichne mal einen kleinen Fall auf und würde von euch gerne mal eure Meinung dazu hören.
Fallbeschreibung:
Ich bin Verkäufer und verkaufe unterschiedliche It-Produkte. Mein IT-Wissen ist je nach Bereich grundlegend oder etwas fortgeschritten.
Ein Kunde möchte von mir eine VPN Lösung basierend auf Internetverbindungen, die mittels normaler ADSL und SDSL Anschlüssen realisiert werden. Für mich steht hier schonmal fest, LANCOM Hardware ist für eine Lösung die richtige Wahl.
Nun hat der Kunde aber bereits ein Angebot vorlegen. Auch hier wird ein VPN über das Internet aufgebaut. Als VPN Gateways kommen aber keine Router, sondernd "echte" Firewalls (Watchguard Firebox) zum Einsatz. Der einmalige Anschaffungspreis liegt deutlich über dem, was der Kunde für die LANCOM Hardware zahlen müsste. Trotzdem lässt sich der Kunde nicht von einer Lösung mit der LANCOM Hardware überzeugen. Sein Argument: Die VPN Verbindung ist zwar sicher, aber da bei der Lösung mit LANCOM Router als VPN Gateway zum Einsatz kommen verspricht er sich von der Lösung mit den Firewalls mehr Sicherheit. Denn bei der Firewall handelt es sich um eine "echte" Firewall mit Routingfunktionen, während der Router nur eine integrierte Firewall hat und in seiner Vorstellung nicht so gut gegen Angriffe von außen gesichert ist wie eine Firewall.
Nun stehe ich hier. Rein aus Verkaufssicht macht das Argument sogar für mich durchaus Sinn. Die Firebox ist eine echte Firewall und der LANCOM "nur" ein Router mit einer integrierten Firewall. Doch mir fehlt leider die technische Einsicht in beide Produkte um hier wirklich fachmännisch argumentieren zu können.
Mich würde jetzt einmal eure Meinung zu diesem Fall interessieren. Wie ist der Unterschied hier wirklich zu sehen. Wird mit der Firewall ein Stück Sicherheit verkauft das eher virtuell ist, als das es real gebraucht wird? Ist Argument sogar fachlich falsch? Es geht hier auch weniger um den Vergleich der Features. Vielleicht kann ich mit der Firebox 1-2 Sachen mehr machen, doch zu betrachten ist die Funktion als VPn Gateway und das mögliche Höhere Risiko eines Angriffs von außen gegen das Gateway, wenn es sich um einen Router anstatt um eine "echte" Firewall handelt.
Mein Problem an dieser Stelle. Ich bin von LANCOM überzeugt. Doch ich kann das Argument fachlich nicht entkräften, denn so tief stecke ich in der Technik nicht drin um es wirklich beurteilen zu können.
Gruß, Daniel
VPN/Sicherheit - Abgrenzung LANCOM Router / Firewalls
Moderator: Lancom-Systems Moderatoren
VPN/Sicherheit - Abgrenzung LANCOM Router / Firewalls
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
(Dan Rather, CBS-Fernsehreporter.)
Moin,
Hm, was ist eine 'richtige Firewall'? Wie wär's zur Abwechslung mit einer einfacheren
Frage, z.B. "Hatte Adam einen Bauchnabel?" Spaß beiseite, Firewall ist kein in Stein
gemeißelter Begriff, da darf sich jeder je nach Ansprüchen etwas anderes vorstellen.
Manche Billigrouterhersteller behaupten schon, die Maskierung wäre eine Art Firewall,
weil sie ja nur Pakete wieder hereinläßt, die zu von innen aufgebauten Verbindungen
gehören und alles andere wegwirft. Wenn ich einen Router nur zum Surfen benutze,
mag das als Schutz sogar ausreichen - sobald man Verbindungen von außen zuläßt
(das ist bei einem VPN-Gateway natürlich der Fall) sieht die Sache anders aus.
Die Firewall in LANCOMs kann sowohl port-basiert als auch stateful arbeiten. Was
sie nicht kann (und die großen Firewall-Geräte im 19-Zoll-Format meist können) ist,
den *Dateninhalt* von Verbindungen tiefergehend zu analysieren, z.B. in eingehenden
SMTP-Verbindungen gleich auf Viren zu filtern. Wenn Dein Kunde das will, dann wird
er mit der Firewall im LANCOM in der Tat nicht zufrieden sein.
Ob Firewalls im Router integriert sind oder umgekehrt, ist auf der anderen Seite relativ
egal und kein wirkliches Argument. Je nachdem, was die primäre Anwendung eines
Geräts ist, ist eben die eine oder andere Funktionalität stärker ausgeprägt, aber an
der grundsätzlichen Funktion ändert das nichts.
Du könntest höchstens mit dem Kunden mal versuchen durchzugehen, was ihm wirklich
an 'harten' Features beim LANCOM fehlen würde. Wenn es aber nur um 'gefühlte'
Sicherheit und nicht um harte Fakten geht, dann wirst Du den Kunden nicht umstimmen
können - der Kunde ist nunmal König. Das ist dann für uns schade, aber als Händler
verkaufst du ihm dann eben, was er haben will (und Du hast in diesem Falle vermutlich
den größeren Gewinn
)
Gruß Alfred
Hm, was ist eine 'richtige Firewall'? Wie wär's zur Abwechslung mit einer einfacheren
Frage, z.B. "Hatte Adam einen Bauchnabel?" Spaß beiseite, Firewall ist kein in Stein
gemeißelter Begriff, da darf sich jeder je nach Ansprüchen etwas anderes vorstellen.
Manche Billigrouterhersteller behaupten schon, die Maskierung wäre eine Art Firewall,
weil sie ja nur Pakete wieder hereinläßt, die zu von innen aufgebauten Verbindungen
gehören und alles andere wegwirft. Wenn ich einen Router nur zum Surfen benutze,
mag das als Schutz sogar ausreichen - sobald man Verbindungen von außen zuläßt
(das ist bei einem VPN-Gateway natürlich der Fall) sieht die Sache anders aus.
Die Firewall in LANCOMs kann sowohl port-basiert als auch stateful arbeiten. Was
sie nicht kann (und die großen Firewall-Geräte im 19-Zoll-Format meist können) ist,
den *Dateninhalt* von Verbindungen tiefergehend zu analysieren, z.B. in eingehenden
SMTP-Verbindungen gleich auf Viren zu filtern. Wenn Dein Kunde das will, dann wird
er mit der Firewall im LANCOM in der Tat nicht zufrieden sein.
Ob Firewalls im Router integriert sind oder umgekehrt, ist auf der anderen Seite relativ
egal und kein wirkliches Argument. Je nachdem, was die primäre Anwendung eines
Geräts ist, ist eben die eine oder andere Funktionalität stärker ausgeprägt, aber an
der grundsätzlichen Funktion ändert das nichts.
Du könntest höchstens mit dem Kunden mal versuchen durchzugehen, was ihm wirklich
an 'harten' Features beim LANCOM fehlen würde. Wenn es aber nur um 'gefühlte'
Sicherheit und nicht um harte Fakten geht, dann wirst Du den Kunden nicht umstimmen
können - der Kunde ist nunmal König. Das ist dann für uns schade, aber als Händler
verkaufst du ihm dann eben, was er haben will (und Du hast in diesem Falle vermutlich
den größeren Gewinn
)Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Zusammengefaßt:
- Eine Firewall ist ein Filter
- Ein Router verbindet Netzwerke
Haben Lancoms eine Filter? -Ja!
Verbinden Lancoms Netzwerke? - Ja!
Hat die Firebox einen Filter? - Ja!
Verbindet die Firebox Netzwerke? - Ja!
Insoweit ist das also erstmal identisch. Es macht also keinen Unterschied.
Dann kommt noch das was Alf gesagt hat. Es gibt unterschiedliche Filter:
- Paketfilter
- Applikationsfilter
Wenn dein Kunde wirklich einen Applikationsfilter braucht, daß können die Lancoms nicht. Aber einen Applikationsfilter bezeichnet man üblicherweise als Proxy und nicht als Firewall. Eine Firewall ist erstmal nur ein Paketfilter!
Jetzt besser?
Gruß
COMCARGRU
- Eine Firewall ist ein Filter
- Ein Router verbindet Netzwerke
Haben Lancoms eine Filter? -Ja!
Verbinden Lancoms Netzwerke? - Ja!
Hat die Firebox einen Filter? - Ja!
Verbindet die Firebox Netzwerke? - Ja!
Insoweit ist das also erstmal identisch. Es macht also keinen Unterschied.
Dann kommt noch das was Alf gesagt hat. Es gibt unterschiedliche Filter:
- Paketfilter
- Applikationsfilter
Wenn dein Kunde wirklich einen Applikationsfilter braucht, daß können die Lancoms nicht. Aber einen Applikationsfilter bezeichnet man üblicherweise als Proxy und nicht als Firewall. Eine Firewall ist erstmal nur ein Paketfilter!
Jetzt besser?
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Re: VPN/Sicherheit - Abgrenzung LANCOM Router / Firewalls
Welches Modell denn genau? Da gibt's ja auch zig Unterschiede.Hart hat geschrieben:Als VPN Gateways kommen aber keine Router, sondernd "echte" Firewalls (Watchguard Firebox) zum Einsatz.
Re: VPN/Sicherheit - Abgrenzung LANCOM Router / Firewalls
in diesem Fall eine Firebox X15.DirkK hat geschrieben:Welches Modell denn genau? Da gibt's ja auch zig Unterschiede.Hart hat geschrieben:Als VPN Gateways kommen aber keine Router, sondernd "echte" Firewalls (Watchguard Firebox) zum Einsatz.
Das ist dabei aber eher nebensächlich. Es geht in erster Linie um die Frage ob ein VPN durch den Einsatz von Routern (in diesem Fall ebend hochwertige Router von LANCOM) eine größere Angriffsfläche (bezogen auf die Endgeräte, nicht auf den VPN Tunnel selbst) bieten. Die Geschichte mit http, smtp Scan etc ist dabei eher zweitranging. In so einem Fall könnte man das VPN ja trotzdem mit LANCOM Routern aufbauen. Diese dann so konfigurieren das wirklich nur Verbindungen über den Tunnel rein und raus können und die Internetanbindung dann zentral (Hauptstandort) mit einer Firewall (Watchguard, Fortinet, ...) absichern. Denn entsprechende Mechanismen benötige ich ja im Prinzip nur bei Datenverkehr der von extern reinkommt. Da aber VPN Standorte über den LANCOM ausschließlich den VPN Tunnel nutzen können und die Internetanbindung zentral über eine zusätzliche Firewall Appliance abgesichert ist, müssen die LANCOMs diese Aufgabe auch gar nicht erfüllen.
Ich fand die Antworten schon sehr aufschlussreich und sie haben mir schon einmal weitergeholfen.
Gruß, Daniel
Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer.
(Dan Rather, CBS-Fernsehreporter.)
(Dan Rather, CBS-Fernsehreporter.)
-
AndreasMarx
- Beiträge: 131
- Registriert: 31 Jan 2005, 19:10
- Wohnort: München
Re: VPN/Sicherheit - Abgrenzung LANCOM Router / Firewalls
Hallo Daniel,
ob eine Firewall gleichzeitig auch ein Router ist, kann man vielleicht daran festmachen, ob Sie auch Pakete lokal akzeptiert (also auch mindestens eine eigene IP-Adresse hat) oder immer nur forwarded. Es gibt tatsächlich Firewalls, die völlig transparent sind und keine eigene IP benötigen.
Nun drei Argumente:
1. Die Firebox X15 muß (nach den eben beschriebenen Kriterien) ebenfalls ein Router sein, wenn sie als VPN-Endpunkt dient.
2. Du kannst einen LANCOM ebenfalls so hinkonfigurieren, daß er "weitgehend tansparent" ist. D.h. er antwortet nicht auf ICMP, führt keine Fragmentierung oder Defragmentierung durch, Konfiguration ist nur Outband (d.h. über eine dedizierte Schnittstelle) möglich, er spricht kein RIP, usw..
Ob es bezüglich der "Tranparenz" von LANCOM resp. Firebox Unterschiede (und damit unterschiedlich starken Schutz) gibt könnten wohl nur die Entwickler der beiden Unternehmen rausfinden (und die wären sicherlich verschiedener Meinung). Für LANCOM spricht in jedem Fall schonmal der exzellente Support und die Frequenz der LCOS-Updates.
3. Wenn der Kunde eine Firewall mit "Application Proxy" möchte, dann hat der LANCOM tatsächlich verloren. Ich unterstelle aber mal, daß eingehend nur VPN erlaubt sein soll (kein HTTP-Server oder SMTP-Server in einer DMZ). Der Application Proxy kann dann im VPN-Tunnel filtern (um z.B. den internen ORACLE-Server vor dem Laptop des Road-Warriors zu schützen) --- das mußt Du halt rausfinden, ob der Kunde das benötigt.
Viele Grüße,
Andreas
ob eine Firewall gleichzeitig auch ein Router ist, kann man vielleicht daran festmachen, ob Sie auch Pakete lokal akzeptiert (also auch mindestens eine eigene IP-Adresse hat) oder immer nur forwarded. Es gibt tatsächlich Firewalls, die völlig transparent sind und keine eigene IP benötigen.
Nun drei Argumente:
1. Die Firebox X15 muß (nach den eben beschriebenen Kriterien) ebenfalls ein Router sein, wenn sie als VPN-Endpunkt dient.
2. Du kannst einen LANCOM ebenfalls so hinkonfigurieren, daß er "weitgehend tansparent" ist. D.h. er antwortet nicht auf ICMP, führt keine Fragmentierung oder Defragmentierung durch, Konfiguration ist nur Outband (d.h. über eine dedizierte Schnittstelle) möglich, er spricht kein RIP, usw..
Ob es bezüglich der "Tranparenz" von LANCOM resp. Firebox Unterschiede (und damit unterschiedlich starken Schutz) gibt könnten wohl nur die Entwickler der beiden Unternehmen rausfinden (und die wären sicherlich verschiedener Meinung). Für LANCOM spricht in jedem Fall schonmal der exzellente Support und die Frequenz der LCOS-Updates.
3. Wenn der Kunde eine Firewall mit "Application Proxy" möchte, dann hat der LANCOM tatsächlich verloren. Ich unterstelle aber mal, daß eingehend nur VPN erlaubt sein soll (kein HTTP-Server oder SMTP-Server in einer DMZ). Der Application Proxy kann dann im VPN-Tunnel filtern (um z.B. den internen ORACLE-Server vor dem Laptop des Road-Warriors zu schützen) --- das mußt Du halt rausfinden, ob der Kunde das benötigt.
Viele Grüße,
Andreas