|
|
|
Die Wahl einer leistungs- und VPN-fähigen Firewall ist von vielen Faktoren abhängig. Oft entscheiden auch persönliche Preferenzen für einen bestimmten Hersteller. Die Entscheidung für eine bestimmte VPN Firewall hat jedoch langfristige Konsequenzen und sollte erst nach einer gründlichen Beratung erfolgen. Wir empfehlen unseren Kunden derzeit im wesentlichen 2 Lösungen: Firewalls von Clavister oder Debian/Linux basierte Firewalls.
Clavister ist ein schwedisches Unternehmen welches seit gut 10 Jahren Firewalls herstellt und unter diesem Namen vertreibt. Clavister Firewalls sind klassische Hardware Firewalls - d.h. die Firewalls werden als Hardware (meist 19“ Geräte) vertrieben. Der Code ist nicht frei zugänglich. Kosten fallen an für die Hardware sowie jährlich Lizenz Gebühren für verschiedene Optionen (Management, Virenfilter, Spamfilter, Intrusion Detection, usw.). Die Gerätevarianten unterscheiden sich insbesondere hinsichtlich Datendurchsatz sowie der Grösse der internen Netze und der Zahl der Clients. Clavister Firewalls eignen sich für grosse Installationen mit erforderlicher Geräte Redundanz (zwei Firewalls im Parallelbetrieb, bei Ausfall der primären Firewall übernimmt die sekundäre automatisch den Betrieb). Die Management Software erfordert Microsoft Windows. Gegen Aufpreis ist ein kurzfristiger Hardware Replace Support möglich.
Clavister ist keiner der bekannten Marktführer, hat sich jedoch im Sicherheitsbereich einen Namen gemacht. Die Konfiguration und Administration ist nicht für Anfänger geeignet - wir bieten Clavister Firewalls deshalb in Verbindung mit einem entsprechenden Service Vertrag an. Als Protokoll für VPN Verbindungen unterstützt Clavister IPSec. Die Verwendung des Microsoft Windows eigenen VPN Clients wird nicht unterstützt. Für Clavister Firewalls eignen sich die VPN Clients von NCP oder von Greenbow.
Firewalls auf Debian/Linux Basis werden von uns seit über einem Jahrzehnt auch in komplexen Systemumgebungen installiert und administriert. Sie können eine solche Firewall wahlweise als Komplettinstallation inkl. 19“ Hardware kaufen oder als Installation auf eigener Hardware. Entgegen eines weit verbreiteten Vorurteils sind solche Firewall Lösungen nicht kostenlos. Sie erfordern umfangreiche Kenntnisse in Installation und Konfiguration und werden von uns daher ebenfalls im Zusammenhang mit einem Service Vertrag realisiert. Die grundsätzlich offene System Architektur ermöglicht eine Anpassung an individuelle Anforderungen. Es fallen keine jährlichen Lizenz Gebühren an. Die Kosten für die Wartung sind abhängig von der Komplexität der Installation und Konfiguration. Unsere Debian/Linux Firewalls haben u.a. folgende Features:
VPN ist die Abkürzung für Virtuelles Privates Netzwerk. Darunter werden alle Techniken zusammengefasst welche es einem Client ermöglichen aus dem Internet heraus eine Verbindung über eine Firewall zu einem internen Netzwerk herzustellen. Die übliche Anwendung in Firmen ist die Verbindung eines Mitarbeiters von zu Hause aus oder von unterwegs in das Firmen Netzwerk. VPN Verbindungen stellen somit hohe Anforderungen an die Sicherheit, da hier ein gewollter Zugriff aus dem Internet in ein internes privates LAN ermöglicht wird. Eine sichere VPN Verbindung zwischen Client (externer Benutzer) und Firewall (internes Netzwerk) sollte daher nur mit einem dieser beiden Protokolle erfolgen:
Nur Firewall Lösungen welche auf einem dieser beiden Protokolle basieren sind ausreichend verschlüsselt und gelten nach heutigem Kenntnisstand als genügend sicher.
Die Auswahl der richtigen VPN Client Software hängt davon ab welche Protokolle die Firewall unterstützt. Ausserdem ist zu beachten, dass jede Firewall Lösung ihre Besonderheiten hat und somit nicht per se mit jeder VPN Client Software problemlos zusammen funktioniert.
Für VPN Verbindungen auf Basis von IPSec empfehlen wir folgende Client Software:
Für VPN Verbindungen auf Basis von OpenVPN/SSL empfehlen wir folgende Client Software: