Firewall für kleine KMU

[m1key_SAN]

Hey Leute,


Ich betreue eine kleine KMU (5 Clients) mit der kompletten IT, Hauptberuflich bin ich aber Security Manager (Seit 10 Jahren) in der Halbleiter und zertifiziere IT und die Unternehmensstruktur (ISO27001/Common Criteria/TISAX).

Begonnen habe ich meine Karriere als Netzwerkadministrator / SysAdmin, damit ich mein Knowledge uptodate halte, betreue ich das besagte Unternehmen (Seit 2 Jahren).

Quickfacts:

• Umstellung auf Microsoft 365 (Mail und Sharepoint + Daten (weg vom lokalen Server)
• Umstellung auf Server 2022, mit HyperV Host und 2 VMs (DC + Applikationen > Sage50, Printserver).
• Umstellung von Server Essentials 2012 R2 auf Server Essential 2019 (HP DL380G8)
• Dannach eine Umstellung von HPDL380G8 auf einen HP Microserver Gen 11 mit Windows Server 2022.
• Komplette PCs wurden durch Dell Laptops ausgetauscht mit Dockingstations
• Kleiner 10HE Serverschrank, wo alles integriert wurde.

So vom alten Systemhaus sind nur mehr der Switch (HP1810-24G) geblieben und die Firewall (FortiGate 30E).
Der Switch wird jetzt ausgetauscht gegen eine Cisco Business 250 Series 250-24P, die HP hat in letzter Zeit zu viele Ausfälle.

Jetzt kommt es zur meiner Frage, die Magenta in Österreich (TMobile), bietet eine Business Lösung für eine Firewall die von Ihnen konfiguriert wird, das Internet beziehen wir auch von dennen 100/20.

Leider haben wir seit Tagen, DDOS Angriffe aus China, daher ist das Internet eher im Bereich von 10 Mbit, somit muss hier eine schnelle Lösung.

Die Fortigate hat überhaupt keine Lizenzierung und das Systemhaus ist nicht supportive hier!
Daher übernehme entweder ich oder Magenta die Firewall.

Die Z3 scheint mir unterdimensioniert, daher eher die Advanced mit (MX67W von Meraki) mit einer Advanced Security Lizenz, da ich das deep inspection haben möchte.

Das wären 79€/mtl. + 25€ Erweiterte SLA, wenn ich die Hardware und Lizenz selber besorge sind wir bei 2k ohne meine Arbeitszeit.
Die GF ist eigl. gewillt auch Geld auszugeben, aber es gibt ja noch FortiGates oder Sophos, wäre die Frage ob ich nicht selber Hand anlegen sollte.

Was habt Ihr hier für Erfahrungen?

 

[Zensai]

Ich würd die Forti stehen lassen, mir schnellstens einen Fortinet-Partner suchen und das Ding nachlizenzieren, gescheit konfigurieren (oder konfigurieren lassen) von dem Partner übernehmen und in Service nehmen lassen.
Normalerweise ist das kein Thema, den Service zu einem anderen Partner umzuziehen.

https://partnerportal.fortinet.com/directory/search?l=Austria

P.S: Nur kurzes FYI: Deep Packet Inspection und M365 beißen sich spätestens dann, wenn ihr zu Mail + Sharepoint auch Teams nutzen wollt (vgl: https://learn.microsoft.com/en-us/m...k-connectivity-principles?view=o365-worldwide)

PSS: Ich hätte den Post auch vershcieben können

 

[m1key_SAN]

Hi Zensai,

Ja ein wenig Chaos lass es uns hier belassen!

Ich hab Wochen gebraucht bis mir das Systemhaus die Admin Daten gegeben hat, dann war alles Rot bei den Lizenzen, die sind jetzt beleidigt das ich das übernommen habe.

Was ich gemacht habe ist mal Trusted Host, die Passwörter geändert und nur connection über HTTPS, aber scheint noch immer nicht 100% zu laufen.

Teams wird nicht so oft benutzt aber kommt jetzt immer mehr, ist das ein genrelles Problem von IDS/IPS?

 

[Zensai]

IDS/IPS ist nicht dasselbe wie Deep Packet oder SSL Inspection!

SSL Pakete aufbrechen mag kein Cloudservice gerne, insbesondere nicht der von MS.

Du brauchst nicht das alte Systemhaus, du brauchst ein neues. Das neue (wenn verpartnert mit Fortinet) kann idR den Service übernehmen, ohne dass der alte Partner da noch was machen muss. Wäre ja auch doof sonst, denn die könnten ja immer blockieren.

 

[m1key_SAN]

Daher dachte ich mir, ich wechsel gleich die Hardware.
Ich wollte eher in bereich IDS gehen, DPI ist wohl ja sowiso standard? Müsste mich da aber mal einarbeiten, die Technologie sind ja immer neuer

Die FG hat halt schon ein paar Jahre drauf.

 

[Zensai]

IDS/IPS ist auch nur ein Sammelbegriff und nicht allgemeingültig.

Du schriebst eben du brauchst eine kurzfristige Lösung, weil das Netzwerk Attacken ausgesetzt ist.
Die 30E ist für 5 Clients doch vollkommen ausreichend so wie ich das sehe. Ich würd die bestehende in Service nehmen und gescheit Konfigurieren lassen. kleinster Invest bei größtem kurzfristigen Win. Die ganze FW jetzt auszutauschen, das Regelwerk und alle Feature konfigurieren die neue FW in Service nehmen etc kostet ja auch Zeit und Geld.

 

[Mr.Highping]

Meine persönliche Erfahrung bezüglich der Meraki und gerade auch der MX67(W). Die Kiste sind wunderbare SD-WAN Router und bieten durchaus einige Features mehr als z.B. ein normaler Router an, aber es sind keine Firewalls.
Ja IDS/IPS ist vorhanden und man wird via Mail auch darauf hingewiesen, dass es z.B. schädliche Downloadversuche gab, bestimmte Attacken verhindert wurden aber wenn man intern Netze damit trennen will ist das Ganze nicht unbedingt wirklich praktikabel. Es gibt keine Zonen, Applikationsgruppen etc. Alles ist sehr spartanisch und nicht mit der Fortigate vergleichbar. Lokale Logs gibt es nicht, also musst du auch wieder von irgendwo her einen Syslog Server besorgen. S2S VPN zu anderen Herstellern kannst du auch nicht unbedingt einfach aufbauen, da es keinerlei Debugging-Möglichkeiten gibt.

Ich schließe mich hier Zensai an und würde eher versuchen die 30E zu ertüchtigen in Form von aktualisierter Lizenzierung, da sie auch noch bis 2027 Support hat. Alternativ mal eine 40F anfragen lassen.

 

[m1key_SAN]

Gut die Meraki, hätte ich nur von T-Mobile Business konfigurieren lassen, wäre halt die Frage ob ich mit der Z3 auch durchkomme, aber ich will mehr Sicherheit.
Phase 1 wäre die FW, Phase 2 wäre Endpoint Protection, noch habe ich keine AVs auf den Clients (außer Standard Windows Defender).

Aber 79€ mit Advanced, da würde sich die eigene Firewall schnell amortisieren.
Denke wenn ich der FG30 noch eine Chance gebe, kommt man sicher besser durch, besonders weil ich ACP als Dienstleister gesehen habe, wo ich sowiso Server und Switch besorgt habe.

Aktuell brauche ich nur mehr Sicherheit fürs Büro, VPN brauche nur ich als Admin, damit ich mich per RDP auf die Firewall und die Server verbinden kann.

Leider hab ich es mit dem Trusted Host übertrieben und mich ausgesperrt, muss da per Konsolenkabel und CLI verbinden Mann sollte nicht wenn er Müde ist, IP Config betreiben

Aber das Problem mit der Attacke, macht es aktuell Schwierig das Problem zu lösen.
Somit kann ich das Problem dann auf die T-Mobile aufwelzen, aber ich schau mal was die "Neulizensierung" kosten würde, ich muss die Geschwindigkeit wieder hinbekommen.

Ergänzung (23. April 2023)

So ich habe mal beim Systemhaus, Lizenzen Angefordert.
Aktuell gibt es keine 360 Protection mehr.

Somit ATP/UTP/EP, mal schauen was das kostet für 1Y.

 

[DerGast]

Bei den "Anforderungen" könntest Du auch eine Opnsense (Europa) oder PFSense einsetzen, sogar im HA mit zwei Thinclients. Dann gäbe es keine Lizenzkosten.
Wichtig wäre mir hier ein GEO-IP Blocking (die Opnsense kann das auch) um Anfragen direkt abzulehnen was reinkommt. Hilft ungemein.
Die Mails laufen ja eh über M365. Und wie hier erwähnt wurde: Entweder verlängern oder erneuern.
Ich vergleiche gerade auch Forti mit Sophos. Sophos kenne ich seit 15 Jahren, aber die XG/s hat's mir einfach verhunzt. Forti ist da schneller, im Logging besser, irgendwie wieder einfach runder.
Und theoretisch könntest Du auch eine neue Appliance (40F) mit WiFi oder die APs nutzen. Aber das wurde ja schon erwähnt
Was wird denn als Endpoint Security eingesetzt?

 

[m1key_SAN]

WiFi wird über eine AP von Ubiquiti benutzt. Mit Opensense oder PFSense habe ich mal gar keine Erfahrung, das würde zu lange dauern um das Problem zu lösen und ich mich reinarbeite.
GEO-IP Blocking, geht das über die FG auch? Wäre das schnellste das Verbindungen aus China gleich mal geblockt wird.

Bezüglich Endpoint Security, noch nichts außer Standard Windows Defender.
Dachte ich buche Microsoft Defender for Endpoint, ich habe ein Hyper-V Host und 2 VMs eine als DC und eine als Print und Applikations/Daten Server (Daten sind nur die Scans vom Drucker), da alles andere in MS365 Sharepoint gewandert ist.

Daher würde ich hier mindestens den Applikations Server schützen wollen und die Clients (4x Dell Inspirions, 2 Microsoft Surface Pro die als Präsentations Rechner genutzt werden).

Oder ich lass das Antivirus von der FG laufen, vielleicht gibts da ja auch schon was?

 

[F31v3l]

Leider haben wir seit Tagen, DDOS Angriffe aus China, daher ist das Internet eher im Bereich von 10 Mbit, somit muss hier eine schnelle Lösung.

Wenn der DDOS am physischen Anschluss ist, bringt dir auch die Firewall nicht mehr viel. Die haben zwar so viel Leistung, dass die selbst 1 Gbit/s wegdrücken kann, aber die 100er Leitung ist schnell voll. Der Speed von 10 Mbit sagt ja erstmal nicht viel aus. Guck mal nach Paketverlust.

Ist der DDOS zielgerichtet auf das Unternehmen oder random? Und wie sind die an die IP des Anschlusses gekommen?

 

[m1key_SAN]

Ist der DDOS zielgerichtet auf das Unternehmen oder random? Und wie sind die an die IP des Anschlusses gekommen?

Ich gehe von ein Random Bot aus, die IPs ändern sich im Minutentakt.
Könnte aber auch eine VPN dahinter sein, aber User RayCheng, PeterWou, RichardLing klingt nicht nach Afrika

Wenn ich mit einem Isolierten Notebook direkt an den Magenta Router anschließe habe ich die vollen 100/10, kommt die Fortigate dran, geht es auf 8-10 runter.
Einstellungen wurde nicht verändert, bis auf das ich im Log geschaut habe und permanent Zugriff (Verweigert) auf den Adminaccount sehe.

Zwecks IP, denke das es gesniffed wurde, die gehen halt mit Bots die IPs durch, dada haben die unsere öffentliche herausgefunden.

Anbei mal ein SS.

 

[F31v3l]

Ich kenn keine Fortigate, aber ich würde folgendes machen.
1. Wenn nicht wirklich nötig, würde ich Login über WAN deaktivieren.
2. Neue IP vom Provider geben lassen.

 

[DerGast]

Achso... Du hast sogar Login Versuche. Ich dachte da bisher nur an Portscans, TCP/UDP SYNC Floods und so weiter.
Das ist ja mies Erst mal wirklich alles deaktivieren was nach Außen hin geöffnet ist.
Ggf kannst Du selbst mal von extern nmap laufen lassen.
Oder ne Gruppe anlegen und nach und nach die IP Adressen oder ein Subnet eintragen um sie dann via NAT an eine nicht erreichbare Adresse zu senden (Blackhole NAT, falls Du googlen möchtest).

https://community.fortinet.com/t5/F...o-block-by-country-or-geolocation/ta-p/196741

Hilft Dir das weiter?

 

[m1key_SAN]

@DerGast
Da muss ich mal durchlesen.

Ich habe aktuell ein Angebot bekommen, die FortiGate 30E scheint nie registriert worden zu sein vom alten Systemhaus, jetzt kann mir keiner ein Angebot machen.

Alternative wäre auf die 40F umzusteigen, mit UTP Lizenz.

Sollte doch möglich sein einfach eine Lizenz zu bekommen?

@F31v3l
Das ist eine Idee, da ich sowieso nur über VPN und interne IP dann zugreife, das sollte dann trotzdem gehen?
Direkt über die öffentliche IP hab ich auch zugriff, das habe ich jetzt mit Trusted Host gesperrt, aber komplett aus wäre mir Lieber.

Ne neue IP mach ich dann gleich, das ist auch ne gute Idee.

 

[DerGast]

Du bekommst schon eine Lizenz. Zur Not über allfirewalls.de
Dann nimmst Du Unified Thread oder SMB (höherer Support) und der Drops ist gelutscht
Bezüglich des VPN: Ich bin mir gerade nicht sicher ob man out-of-the-box direkt über VPN auf das WebGui kommt. Weil Du ja auch aus einem anderen Netz kommen würdest...
Aber das ließe sich freischalten. Oder man stellt da halt vielleicht echt noch einen kleinen Knecht hin als RDP-Stück, welches Du dann auch mal nutzen kannst.
Sozusagen VPN -> RDP -> Fortinet

 

[m1key_SAN]

So nachdem ich Heute versucht habe das Problem anzugehen wurde von der GF entschieden das wir die Firewall zu TMA Business umziehen.

Bedeutet Cisco Meraki MX67W mit Advanced Security Option und SLA binnen 3 Stunden.

Ich hätte die FortiGate kicken können, egal was ich eingestellt habe das Internet ist langsam.

Jedoch gibts keinen Angriff mehr, Trusted Host wurde neu Konfiguriert, Access über WAN abgeschaltet und nur mehr Connection über HTTPS.

Jetzt tausche ich mal den Switch gegen den Cisco SG250 aus und hoffe das der TMobile Techniker die Tage kommt.

Kosten sind übrigens bei 79 (FW) + 25 (SLA), Vorteil ich kümmere mich nur mehr ums interne LAN.

Ergänzung (25. April 2023)

Du bekommst schon eine Lizenz. Zur Not über allfirewalls.de
Dann nimmst Du Unified Thread oder SMB (höherer Support) und der Drops ist gelutscht
Bezüglich des VPN: Ich bin mir gerade nicht sicher ob man out-of-the-box direkt über VPN auf das WebGui kommt. Weil Du ja auch aus einem anderen Netz kommen würdest...
Aber das ließe sich freischalten. Oder man stellt da halt vielleicht echt noch einen kleinen Knecht hin als RDP-Stück, welches Du dann auch mal nutzen kannst.
Sozusagen VPN -> RDP -> Fortinet

Ging über die Fortinet Software welche eine SSL-VPN aufbaut, dann einfach im Browser die interne IP und man war auf der WebGui.

Interne Routet die VPN IP auf die interne IP.

 

[DerGast]

Ich muss das mal aufdröseln, weil ich kein Abkürzungskind bin und das so nicht kenne..
Ihr habt nun einen Vertrag bei der Telekom geschlossen und bezieht/leiht(?) über die den Meraki MX67W?
Und dafür zahlt man 104€/Monat bzw 1250€/Jahr?
Ist da auch die Ersteinrichtung drin?
Also im Grunde wie Routermiete, oder wie kann man das verstehen?

 

[m1key_SAN]

Genau, die komplette Firewall mit SLA + Konfiguration / Update und Defense wird von der Telekom gemacht.
Ich war auch kein Freund davon bezüglich dem Preis mit Rabatt, wäre das jetzt aber 85€ im Monat.

Da wären ein paar Fortigate drinnen, aber die GF will die Kommunikation und Eingang ins Netzwerk von der Telekom haben, somit waren hier die Kosten egal.

Das Problem, ich mache das auch Nebenbei, die SLA kann ich nicht anbieten und seit 3-4 Tagen arbeiten die MA wirklich mit ein paar Mbit/s.

Ich denke aber auch das die Switch hier ein Problem macht, diese wechsel ich die Tage.
Aktuell habe ich ein Backup 5G Router gestellt, somit können die mal arbeiten.