Sie sind nicht angemeldet.

Hardware Firewall

  • 1
  • 2

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

1

Mittwoch, 17. Januar 2024, 17:08

Hardware Firewall

Hallo,

Betreibt jemand in seiner Praxis eine Hardware – Firewall?

Wenn ja, welche? Mit welchen Erfahrungen? Kosten?

Ich wurde darauf hingewiesen, dass das unbedingt erforderlich sein soll und meine Sicherheit stark erhöhen würde. Ich bin noch ein bisschen skeptisch, was Preise und damit zu erzielende Wirkung angeht…

PrDrLa

Beiträge: 266

Wohnort: Weimar

  • Nachricht senden

2

Mittwoch, 17. Januar 2024, 17:20

Hallo Herr Quick,
ja wir betreiben seit vielen Jahren eine Hardware-Firewall - Typ: UniFi Gateway USG 3P (ca. 150€) - performancemäßig völlig ausreichend für eine "normale" Arztpraxis. Hiermit bekommt man inkl. auch eine außerordentlich gute Software zur feingranularen Steuerung von Zugriffrechten, Portweiterleitungen, etc. Von diesem Hersteller gibt es auch WLAN-Hotspots. Die Geräte sind aller erster Sahne, erhalten regelmäßig Updates. Es werden auch Profigeräte für Großunternehmen angeboten.
Viele Grüße
Ekkehard Langner

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »PrDrLa« (17. Januar 2024, 17:27)

l.kruse

Beiträge: 1 106

  • Nachricht senden

3

Mittwoch, 17. Januar 2024, 17:43

Hallo!
Ich erinnere mich dunkel, dass wir das Thema im Kontext der Sicherheitsrichtlinieneinführung ziemlich umfangreich diskutiert hatten und unter dem Strich zum Ergebnis gekommen sind, dass es für kleine Praxen zumindest lt. KBV nicht erforderlich ist!?
Ich hatte mich davon unabhängig davon mal umgeschaut und war bei den Angeboten eigentlich hauptsächlich auf "Managed Firewalls" gestoßen, die erstens zeitlich befristete Lizenzen haben und zweitens von Nicht-Geschulten (oder zumindest nicht IT-Profis) nicht mehr konfiguriert werden können. Zumindest mit dem bisschen, was ich mal an iptables gelernt hatte, bin ich nicht mehr mitgekommen.

Eine befreundete PT ist firewallmäßig im Dezember zu Red gegangen, noch nichts gehört von ihr, aber preislich tat sich das nicht viel, eine andere hat ein Firewallangebot ihres Softwarehauses Epicur angenommen, nach anfänglichem Stottern läuft das jetzt rund. Aber auch monatlich Kosten: https://www.epikur.de/telematikinfrastruktur/it-sicherheit/ .

Was mich am UniFi spontan irritiert: wofür brauch das eine JRE?

Bin aber auch nach wie vor an dem Thema interessiert!
Grüße
L.Kruse
PS: Zum Thema "Spät dran": Ich kenne keine Praxis, die eine dezidierte Firewall hat, und ein befreundeter ITler äußert ähnliches für alle von ihm betreuten Freiberufler...

PrDrLa

Beiträge: 266

Wohnort: Weimar

  • Nachricht senden

4

Mittwoch, 17. Januar 2024, 19:42

Zitat von »l.kruse«

Was mich am UniFi spontan irritiert: wofür brauch das eine JRE?

Für den UniFi-Network-Server wird JRE benötigt. Er stellt viele Funktionen über ein Web-Frontend zur Verfügung und wird zur Konfiguration der UniFi-Komponenten benötigt, erzeugt aber auch Statistiken. Er wird NICHT für Firewall-Funktionalität genutzt. Der (Software)Server könnte auch ausgeschaltet werden.
Viele Grüße
Ekkehard Langner

Josmed

Beiträge: 6 683

Wohnort: Remscheid

  • Nachricht senden

5

Mittwoch, 17. Januar 2024, 20:23

Wir nutzen seit 10 Jahren eine Secunet Black Dwarf, Management erfolgt via FLS. Kosten habe ich nicht im Kopf. Wenn ich es mal richtig verstanden habe, wie IPSEC unter Linux
Freundliche Grüße, Jörg Sprenger

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

6

Mittwoch, 17. Januar 2024, 22:04

Vielen Dank schon mal für die Infos an alle

@Langner: hört sich sehr spannend an, ist auch vom Preis völlig akzeptabel. Die Frage, die sich mir stellt, ist, wie konfiguriert man so etwas. Ich würde mich schon als etwas fortgeschritten im EDV Bereich betrachten, aber bei dem Thema IP-Tables etc. müsste ich noch mal ziemlich tief einsteigen. Gut, ich habe nur einen oder zwei Ports, die von außen kommen, die würde ich vermutlich weitergeleitet bekommen. Aber auch das Thema Konnektor etc. Muß ja rauskönnen und auch antworten erhalten können. haben Sie das alles selbst gemacht oder hatten Sie da Hilfe? Und wenn alleine, wie lange haben Sie für die ganze Geschichte gebraucht?

Grüße,

P. Quick

C.Schnell

Beiträge: 1 398

Wohnort: Schwabmünchen

  • Nachricht senden

7

Donnerstag, 18. Januar 2024, 10:13

Hallo,

wir haben eine Lancom UF-160, eigerichtet vom Support aber selber gekauft und jetzt teils selber administriert, teils mit Hilfe da echt komplexe Technik. Kostet wenn man über längere Zeit mittelt wohl 500-1000€ im Jahr (bei uns eher wenig bei Eigenleistung).
Ob sich das lohnt, keine Ahnung. Nach vielen Ransomware-Attacken in den Medien und immer mehr Internetnutzung bei uns trotz geschulter MFAs, mit dem zunehmenden Risiko eines Schädlingsbefalls der dann Praxis-Stillstand bedeuten würde und Kosten für alles neu einrichten beinhalten, haben wir überlegt ja, aber ist eine knappe Entscheidung würde ich sagen.

Hier wurde damals diskutiert Epicur bietet seinen Lizenznehmern jetzt Harwarefirewalls an. Handlungsnotwendigkeit auch für uns?

LG C.Schnell

B. Overhage

Beiträge: 1 140

Wohnort: Hamm

Über mich: Nutzer in hausärztlicher Gemeinschaftspraxis

  • Nachricht senden

8

Donnerstag, 18. Januar 2024, 12:15

Auch wir haben einen Secunet Black Dwarf, wird verwaltet über das MedicTeam und ich hoffe (Mangels eigener entsprechender Kenntnis und Lust mich damit auch noch zu Plagen) auf ausreichende Sicherheit.

Seitdem ich aber über KIM ein beartbeitbares Word-Dokument mit mutmasslich enthaltenen Makros erhalten habe bin ich skeptisch über dieses Einfallstor, den das geht meines Wissens völlig en einer evtl. FireWall vorbei.
Aber Ärzte schicken Kollegen ja keine Malware ????
Viele Grüße, Burkhard Overhage


________________________________________________________
Das Gegenteil von Gut ist Gutgemeint :thumbup:

l.kruse

Beiträge: 1 106

  • Nachricht senden

9

Donnerstag, 18. Januar 2024, 18:38

Ich muss nochmal nachfragen:
Die einfache statische Firewall, die einfach nur Ports zu- oder offen hält, also ohne Intelligenz was ungewöhnlichen Verkehr anbelangt, MITM-Fähigkeit und daraus resultierende Deep-Inspection und ggf. Virenschutz dürfte "uns" in den meisten Fällen also doch überhaupt nichts an Sicherheitszuigewinn bringen, oder:

Da die meisten Internetverbindungen doch heute TLS-verschlüsselt sind, kann die Firewall doch nicht "reingucken", vorausgesetzt sie schiebt sich nicht mit eigenem Zertifikat dazwischen. Gleiches gilt für verschlüsselte KIM-Mails mit Macrohaltigen Word-Documenten oder auch vergleichbare aktive Inhalte aus der ePA. Außerdem muss sie dann noch die Fähigkeit haben, die Pakete zu analysieren und ungewöhnlichen Netzwerkverkehr zu detektieren.

Die meisten IT-Installationen in Praxen sollten ohnehin keine Dienste (d.h. offenen Ports) "nach draußen" anbieten.

Die meiste Malware tunnelt ihren Datenverkehr über Port 443 (oder meinetwegen 80), da der meistens ohnehin offen ist.

Die Malwareinfektion mittels infizierter Daten und Sicherheitslücken findet also trotzdem hinter der Firewall statt, und der Datenabfluss ist auch möglich!?

Ich bin da bestenfalls interessierter Laie. Es wäre schön, wenn da jemand mit profunderen Kenntnissen was zu sagen könnte!

Grüße
L.Kruse

rothsching

Beiträge: 1 141

Wohnort:

  • Nachricht senden

10

Freitag, 19. Januar 2024, 10:40

Zitat von »C.Schnell«

Hallo,

Zitat von »C.Schnell«

wir haben eine Lancom UF-160, eigerichtet vom Support aber selber gekauft und jetzt teils selber administriert, teils mit Hilfe da echt komplexe Technik. Kostet wenn man über längere Zeit mittelt wohl 500-1000€ im Jahr (bei uns eher wenig bei Eigenleistung).
Ob sich das lohnt, keine Ahnung. Nach vielen Ransomware-Attacken in den Medien und immer mehr Internetnutzung bei uns trotz geschulter MFAs, mit dem zunehmenden Risiko eines Schädlingsbefalls der dann Praxis-Stillstand bedeuten würde und Kosten für alles neu einrichten beinhalten, haben wir überlegt ja, aber ist eine knappe Entscheidung würde ich sagen.
Lancom kann man meiner Meinung nach sehr empfehlen. Es gibt sowohl einfache Router mit einfacher Firewall für wenig Geld, die regelmäßig und lange Updates erhalten, aber auch große Firewalls, die NGF inkl. deep packet inspection etc. bieten, also den Netzwerkverkehr sehr tiefgreifend überwachen. Alles aus Deutschland. Das ist auch gut. Braucht man das in einer "kleinen Praxis"? Meiner Meinung nach ja, weil es egal ist, wie groß die Praxis ist. Sie wollen als Chef nicht Ihre Rechner verschlüsselt haben und von Hackern erpresst werden. Und ein professioneller Virenschutz inkl. Zugriffsfilter für Webseiten ist hier genauso hilfreich, wie eine Firewall, die über das Niveau, das ich privat zu Hause nutze, hinausgeht.
Mit freundlichen Grüßen

M. Rothsching

l.kruse

Beiträge: 1 106

  • Nachricht senden

11

Freitag, 19. Januar 2024, 13:56

Auch ich denke, dass auch "kleine" Praxen einen Schutz benötigen, der über das Maß hinaus geht, welches ein Heimanwender hat.

Nur muss dieser Schutz stimmig sein. Und da stellt sich halt die Frage, vor welchem Angriffsszenarion welche "Art von" Firewall wie schützt bzw. schützen sollte und kann. Und wie man sie ins Gesamtkonzept einbaut. Einige (vielleicht auch falsche) Überlegungen hatte ich oben ausgeführt.

Bei dem, was ich an Beratung bislang eingeholt hatte, wurde immer nur mit "großen Namen" um sich geworfen, und die Wartungs- und Installationpreise ausgerollt. Aber sobald man etwas genauer nachfragte (wie gesagt, vielleicht auch diese unsinnigen lästigen Laienfragen) kam recht wenig.

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

12

Freitag, 19. Januar 2024, 21:34

Nachfrage: Würde es beim Thema Ransomware nicht ausreichen, den Email-Verkehr eingehend über ein iPad abzuwickeln? Damit sind dann doch 98% der Angriffsvektoren erledigt… oder übersehe ich da was?

PrDrLa

Beiträge: 266

Wohnort: Weimar

  • Nachricht senden

13

Mittwoch, 24. Januar 2024, 19:11

Hallo,

man kann den Microsoft Defender veranlassen, eingehende/ausgehende Mails z.B. beim Thunderbird zu checken.

Dazu in den Gruppenrichtlinien folgenden Pfad öffnen:

Quellcode

 
1

Computerrichtlinie\Administrative Vorlagen\Windows Komponenten\Microsoft Defender Antivirus\Scan


Dort den Eintrag:

Quellcode

 
1

Aktivieren von eMail-Scan: aktivieren.


Getestet mittels Ressourcenmanager mit Thunderbird auf Windows 11. Die Gruppenrichtlinie gibt seit Windows 8.

Viele Grüße
Ekkehard Langner

C.Schnell

Beiträge: 1 398

Wohnort: Schwabmünchen

  • Nachricht senden

14

Mittwoch, 24. Januar 2024, 19:28

Zitat von »pquick«

Nachfrage: Würde es beim Thema Ransomware nicht ausreichen, den Email-Verkehr eingehend über ein iPad abzuwickeln? Damit sind dann doch 98% der Angriffsvektoren erledigt… oder übersehe ich da was?

Das sollte viele Gefahren abblocken, wir machen das so. Seltene relevante Anhänge transferiere nur ich selbst an einem ausgewählten PC. Änhänge ausgehend versenden wir nie, wegen Datenschutz dürfen wir nicht und wg Tablet ist es uns zu mühsam :P . (Wobei man ein Mailprogramm nur ausgehend einrichten könnte im Praxisnetz)
Ein paar Gefahren gibt es beim Sufen, und bei Downloads, und bei den vielen nur halbsicheren Druckern und Scannern im Praxisnetz, und bei neuen Sicherheitslücken in Soft- und Hardware immernoch. Ist aber sicher weniger Risiko als Emails.

Und dann kommt noch Telematik und KIM, wo die Telematik wohl allen Ernstes vergessen hat einen Virenschutz irgendwo vorzuschreiben. Bei Ende zu Ende Verschlüsselung geht nur am Anfang oder am Ende, aber eine Vorschift oder wenigstens eine Empfehlung gibt es wohl nicht. Indamed meint kürzlich über Verbesserungen nachzudenken, immerhin und Danke an Indamed.

Wir gehen lieber auf Nummer sicher und nutzen Tablet und Lancom Firewall (und wie alle natürlich einen Virenscanner auf jedem PC). Kosten Nutzen Abschätzung ist bei Email auf Tablet gut, bei aufwändiger Firewall evtl nur neutral.

LG C.Schnell

niljoste

Beiträge: 283

Wohnort: Bad Hersfeld

  • Nachricht senden

15

Freitag, 26. Januar 2024, 20:04

Guten Abend,

wir nutzen hinter einer Fritzbox einen günstigeren Mini PC mit Ipfire.

Kosten ca 300 EUR einmalig. Firewall mit Geoblocking, Intrusion Prävention/ Detection und OpenVPN Server.

Wenn mal das Glasfasermodem kommt kann man das Ding als Router dranhängen.

Ipfire glänzt jetzt nicht gerade, ist für meinen Geschmack aber schön konservativ in der Auswahl von Paketen.

Alternativ kann man sich sowas natürlich selbst mit einem Linux basteln.

ZB mit sowas: MSI Cubi N ADL-039BDE. Wichtig ist das man zwei Netzwerkinterfaces hat. Hier realtek, ist nicht das gelbe vom Ei, besser Intel. Tuts aber. Für mich entscheidend TDP von 6W. Fürs grüne Gewissen :-)

Vg

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

16

Sonntag, 28. Januar 2024, 07:00

Danke für die Info. Mittlerweile gibt es ja einige Lösungen, die hier vorgeschlagen werden.

Haben Sie das Ganze selber installiert? Oder haben Sie jemanden gebraucht, der das ganze für Sie passend macht?

Ich hätte kein Problem, meinetwegen einmalig 500 € auszugeben für Hardware und Installation. Was ich allerdings nicht möchte, ist noch mal wieder irgendein Abo über 40 € oder 50 € pro Monat abzuschließen, da summieren sich dann die jährlichen Kosten auf die Dauer doch erheblich.

PrDrLa

Beiträge: 266

Wohnort: Weimar

  • Nachricht senden

17

Sonntag, 28. Januar 2024, 09:36

Hallo Herr Quick,

Die Software UniFi-Network-Server ist kostenfrei, auch die ca. halbjährlich Updates, genauso die Firmware-Updates. Wenn das UniFi-Gateway einmal eingerichtet ist, können Sie leicht selbst Portweiterleitungen einrichten oder Parameter ändern oder Updates einspielen.

Viel Grüße
Ekkehard Langner

hap-ndf

Beiträge: 216

Wohnort: Niederdorfelden

  • Nachricht senden

18

Montag, 19. Februar 2024, 11:51

Wir haben von unserem FLS Jupitec eine "Jupiwall" Hardware Firewall. Hat, AFAIR rund 3k€ Einrichtung gekostet und 60 EUR monatlich Wartungsgebühr. Einrichtung hat relativ lange gedauert bis alle Ausnahmen eingepflegt waren, aber jetzt sind wir auf der sicheren Seite, inkl einiger gut funktionierender VPN-Zugänge, durch welche wir auch schon covid-positive MA im Homeoffice hatten.
Obwohl ich mit selbst ganz gut mit IT auskenne, war mir die Installation und Pflege einer Firewall zu heikel, dass ich hier auch alles richtig mache. An unsere Fritzbox haben wir einen Repeater gehängt, WLAN ist jetzt nur noch im Gastnetz (mit Ausnahme Anaboard, hat ein eigenes WLAN) verfügbar.

Fazit, teuer aber gut.

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

19

Montag, 19. Februar 2024, 16:06

Zitat von »hap-ndf«

Fazit, teuer aber gut.
Wie wollen wir das beurteilen? OK, teuer würde ich mitgehen. Gut, ist ja schwer zu beurteilen... Ich hatte jetzt 20 Jahre eine Fritzbox und noch nie ein Problem ... :S

Ich kämpfe noch mit mir, was ich will

hap-ndf

Beiträge: 216

Wohnort: Niederdorfelden

  • Nachricht senden

20

Montag, 19. Februar 2024, 16:40

Stimmt, habe ich auch bisher gehabt und habe ich immer noch. Im Gegensatz zur Fritzbox werden auch anfragen von innen nach aussen geblockt, also der Trojaner kann nicht mehr nach Hause funken, so wurde es mir erklärt. Auf jeden Fall haben wir damit die KBV-Vorgaben jetzt vollumfänglich umgesetzt.
Was ich beurteilen kann, ist dass mein Bauchgefühl wesentlich besser ist!!!
  • 1
  • 2

Ähnliche Themen