Firewalls und VPN: Netzwerksicherheit und Standortvernetzung

Die Netzgrenze entscheidet, was ein Angreifer erreicht und was nicht. Wir planen und betreiben Firewalls und VPN-Verbindungen, die Standorte und mobile Arbeitsplätze in Berlin und dem Berliner Umland sicher verbinden — nachvollziehbar dokumentiert statt historisch gewachsen.

STANDORT ASTANDORT BVPNMOBILFWFW

Ausgangslage

Sobald ein Unternehmen mehr als einen Standort hat oder Mitarbeitende von unterwegs auf interne Systeme zugreifen, entsteht dieselbe Frage: Wie kommen Daten sicher von A nach B, ohne dass die Verbindung zur offenen Flanke wird? Häufig treffen wir auf historisch gewachsene Lösungen — einzelne Portfreigaben, Fernwartungswerkzeuge mit weitreichenden Rechten, Regelwerke, deren Zweck niemand mehr benennen kann. Jede dieser Stellen ist ein Risiko, gerade weil sie unauffällig funktioniert.

Vorgehen

Zuerst klären wir die Anforderungen: Welche Standorte, welche Dienste, wie viele mobile Zugänge, welche Verfügbarkeit? Daraus entsteht ein Regelwerks- und Vernetzungskonzept — bewusst so einfach wie möglich: Jede Regel hat einen dokumentierten Zweck, alles andere wird verworfen. Es folgt die Umsetzung auf pfSense oder direkt mit nftables/iptables, je nach Umgebung, einschließlich Segmentierung des internen Netzes, wo sie den Schaden im Ernstfall begrenzt.

Die Standortvernetzung bauen wir auf OpenVPN-Basis auf: verschlüsselte Tunnel zwischen den Standorten, zertifikatsbasierte Authentifizierung, klar definierte erreichbare Netze. Mobile Arbeitsplätze erhalten eigene Zugangsprofile mit eigenem Rechteumfang — der Laptop im Homeoffice braucht selten Zugriff auf alles. Vor der Übergabe steht der Funktions- und Lasttest, danach die vollständige Dokumentation: Netzplan, Regelwerk, Zertifikatsverwaltung, Ansprechwege.

Betrieb und Pflege

Ein Regelwerk ist nur so gut wie seine Pflege. Änderungen werden dokumentiert nachgeführt, Zertifikate rechtzeitig erneuert, Firmware- und Paketstände regelmäßig aktualisiert. Auf Wunsch übernehmen wir diese Pflege dauerhaft im Rahmen von Betrieb und Managed Services — einschließlich Überwachung der Tunnel und definierter Meldewege bei Störungen.

Leistungsumfang und Abgrenzung

Das Leistungsfeld umfasst Planung, Aufbau, Test, Dokumentation und auf Wunsch den laufenden Betrieb von Firewall- und VPN-Infrastrukturen — von der einzelnen Praxis bis zum Unternehmen mit mehreren Standorten im Berliner Raum. Die Bewertung der Gesamtsicherheit einer Umgebung, etwa vor größeren Umbauten, gehört in das benachbarte Leistungsfeld IT-Sicherheit; die Grundlagen der Netzinfrastruktur — Verkabelung, Switching, Adressplanung — behandelt IT-Infrastruktur.

Technologien und Werkzeuge

  • pfSense
  • nftables / iptables
  • OpenVPN (Standortkopplung und mobile Arbeitsplätze)
  • Netzsegmentierung / VLAN
  • IP-Netzinfrastrukturen

Häufige Fragen

Fachlich gefragt, fachlich beantwortet

Warum setzen Sie auf pfSense und nftables statt auf eine Appliance eines großen Herstellers?

Nicht grundsätzlich — die Wahl richtet sich nach Anforderung und Umgebung. pfSense und nftables haben aus unserer Sicht zwei belegbare Stärken: Die Regelwerke sind vollständig einsehbar und dokumentierbar, und es entstehen keine wiederkehrenden Lizenzkosten für Grundfunktionen. Wo eine andere Lösung besser passt, sagen wir das.

Können bestehende Standorte im laufenden Betrieb vernetzt werden?

Ja, in aller Regel. Die Umschaltung wird vorbereitet, außerhalb kritischer Geschäftszeiten durchgeführt und mit einem Rückwegplan abgesichert, falls etwas nicht wie erwartet funktioniert.

Was passiert, wenn der VPN-Tunnel ausfällt?

Das hängt von der vereinbarten Auslegung ab: Von der einfachen Störungsmeldung über automatische Wiedereinwahl bis zu redundanten Anbindungen ist vieles möglich. Wichtig ist, die Anforderung vorab ehrlich zu klären — Redundanz kostet, und nicht jeder Standort braucht sie.