Kategorie Netzwerktechnik - Forum Sicherheit
Personal Firewall
geschrieben am 05.05.2007 um 07:45 von Antharist
Hi @ll!
Nun bin ich seit heute Besitzer einer Personal Firewall (Wie unter Windows).
Diese standalon Firewall (ist von Fedora Red Hat OS) benutzt iptables.
Nun zu meiner Frage:
Ich habe bereits ein T-DSL Modem das NAT macht (Eumex 300 IP).
Bringt mir nun so eine zusätzliche Personal Firewall mehr Sicherheit oder kann ich den Link wieder aus den Initskripten löschen?
Bei Bedarf werde ich gerne das Script posten, damit jeder sehen kann was dort vor sich geht.
So wie ich das sehe, und es ist Jahre her das ich iptables scripte gelesen habe, werden priviligierte port 0>1023 nicht erlaubt, sowie syn packet die nicht von dem lokalen Rechner im LAN gestartet wurde.
Viel mehr steht da nicht drin.
Danke!
geschrieben am 10.05.2007 um 08:36 von Antharist
Hi,
hab die Info vom Support von t-online, dass in meinem T-DSL Modem Eumex 300 IP standardmaessig eine Hardwarefirewall laeuft.
Bleibt also nur noch die Frage, ob eine zusaetzliche Personal Firewall nicht unnuetzt ist!
geschrieben am 10.05.2007 um 14:20 von Otaku19
nunja, denke nicht das du auf die firewall im modem zugriff hast. Somit erübrigt sich die Frage so ziemlich
geschrieben am 10.05.2007 um 15:48 von Antharist
Naja, hab im Moment zwar ein paar webserver mit webspace, aber leider keinen Rootserver mit shell login online, sonst hätte ich mir die Firewall mal mit Firewalk angeschaut.
Ich lass jetzt erstmal die Personal Firewall aktiv, bis ich erfahren habe was t-online nun mit eingebauter Hardwarefirewallfunktionialität im T-DSL Modem spezifiziert.
Ich vermute mal, das Teil macht nur NAT. (ungetestet)
geschrieben am 11.05.2007 um 07:01 von Antharist
Hm,
nach meinen bisherigen Stand der Internetrecherchen sieht es wohl so aus, dass eine Personal Firewall gerade in dem Fall jemand ist bei mir eingebrochen oder Trojaner sind installiert, diese einen zusätzlichen Schutz bieten kann.
Ausserdem werden illegale Aktivitäten auf meinem Client erschwert.
Das relativiert sich natürlich wenn einer meine Box cracked und mit Rootrechten, die iptables Regeln flusht.
Debian ist bei mir seit 1999 installiert, und seitdem habe ich ohne Neuinstallation immer nur Updates eingespielt.
Auch VIren, ausser in der E-Maialbox als Anhang, habe ich bisher mit clamav nicht entdecken koennen.
Nun zu meiner neuen Frage. Es gibt das Tool Firewalk mit dem man Firewalls testen kann. Ich habe zwar Rootserver mit einigen Modulsupport, aus Sicherheitsgründen ist allerdings bei meinen ganzen Root und Vservern die Shell deaktiviert.
Daher kann ich nicht verifizieren, was mein T-DSL Modem macht.
Nach Auskunft des Support von t-online hat diese eine eingebaute Hardwarefunktionalität MIT Firewall.
Allerdings ist dieses so nicht ganz richtig, da es sich hierbei wahrscheinlich nur um NAT handelt, was ein Marketingsynonim darstellt.
Mag hier jemand meine IP mal testen, ob die noch mehr kann als NAT?
Zu finden bin ich nach Feierabend immer auf #lug-bremen irc.freenode.org port 6667
Thank's for your attenation!
geschrieben am 11.05.2007 um 11:00 von Otaku19
normalerweise kann jede häuslfirewall stateful inspection,die ist sicher auch mit an board.
Aber wie gesagt, eine Firewall bei der man nix einstellen kann ist unsinn.
geschrieben am 17.05.2007 um 07:43 von Antharist
Hm,
ich habe mich jetzt mal ein wenig schlau gemacht, indem ich kommerzielle Kaufangebote verglichen habe.
Die Eumex 300 IP hat eine eingebaute Hardwarefirewall mit stateful inspection, packet filtering etc.
Die Personal Firewall werde ich dennoch behalten.
Da wie ich inzwischen erfahren habe, in dem Fall das ein Trojaner auf meinem System sein Unwesen treibt, dieses dem Trojaner erschwert wird.
geschrieben am 18.05.2007 um 12:37 von Otaku19
kommt aufs backdoor und auf die konfig der firewall an...alles in alllem gesehen müsste eine sichere firewall perfomant Layer 7 Inspection beherrschen. Und natürlich muss das IDS/IPS auch immer am akutellen Stand sein.
Bei solchen Lösungen wirds recht flott hochpreisig.
geschrieben am 06.06.2007 um 11:16 von d.deridder
Sind denn nicht diese Firewalls in den neuen Routern welche z. B. Telekom ausgibt nicht blöd? Ich meine die lassen doch keinen vernünftigen Einstellungen zu und zudem ist das Internet immer aktiv. Zudem muss man, wenn das INet abstürtzt (ein häufiges bei T-Offline), den Router ausmachen und das ist dämlich wenn man gerade Telefoniert...
Mfg Donni
geschrieben am 07.06.2007 um 15:00 von bewa
Sind denn nicht diese Firewalls in den neuen Routern welche z. B. Telekom ausgibt nicht blöd?
Eher nicht. Sie bringen sogar z.T. sogar ein recht hohes Maß an "Eigenintelligenz" mit. Techniken wie SPI, die noch vor ein paar Jahren fast nur in teuren oder mit einigem Aufwand selbst gebauten Paketfiltern zu finden waren sind heute Standard.
Das Problem ist eher ein anderes. Das Verhalten des Paketfilters kann bei den meisten günstigen SoHo-Routern nur begrenzt oder gar nicht konfiguriert werden und das Verhalten ist oft schlecht oder gar nicht dokumentiert.
Ich meine die lassen doch keinen vernünftigen Einstellungen zu
Siehe oben - das Problem liegt eher darin, dass das Verhalten gar nicht einsehbar ist. Man wird nicht nur daran gehindert die Config zu ändern, sondern man kann sie nur in Teilen oder gar nicht einsehen, wie bei einigen FritzBox-Modellen.
Welche Einstellung "vernünftig" ist, können die allermeisten Heim-Anwender gar nicht beurteilen. Dazu gehört weit mehr, als ein paar Anleitungen aus einer Computerzeitschrift durchzulesen oder irgendwo eine vermeintlich passende Config abzutippen oder nachzuklicken. Man muss auch verstehen, was man dort konfiguriert - ansonsten wird es gefährlich oder auch nur relativ sinnlos. Zumindest wird es oft nicht viel besser werden als mit vernünftig konfigurierten Automatismen, wenn auch wahrscheinlich mit anderen Lücken. Letztlich das gleiche Problem wie mit den Personal Firewalls, auf die viele Anwender so schwören, ohne auch nur ansatzweise deren Wirkweise zu durchblicken.
und zudem ist das Internet immer aktiv.
Wenn du damit meinst, das der Router immer eine aktive (PPPoE-)Verbindung aufrecht erhält - das sollte sich bei den meisten Routern konfigurieren lassen. Und wenn nicht, gehören ja immer noch zwei dazu - schaltet man am PC diejenigen Dienste ab, die man nicht benötigt, bietet man nach außen wenig bis keine Angriffsfläche. Dann ist es relativ egal, ob man am Netz ist oder nicht.
Zudem muss man, wenn das INet abstürtzt (ein häufiges bei T-Offline),
Ich nutze seit einigen Jahren (Resale-)T-DSL und habe genau eine Unterbrechung (<5min) gehabt. Was genau soll denn da "abstürzen"?
den Router ausmachen und das ist dämlich wenn man gerade Telefoniert...
Warum soll man den Router ausmachen? Falls nur die PPPoE-Session abschmiert, würde ein Reconnect reichen. Wenn der Router tatsächlich "abstürzt", sollte man sich eine aktuelle Firmware besorgen und wenn das nix hilft, das Ding in den E-Schrott befördern um sich anschließend etwas vernünftiges zu kaufen.
Was das Telefonieren betrifft: Auch bei VoIP ist Geiz nicht immer geil. Einen vernünftigen Provider und ordentliche Hardware voraus gesetzt, kann man inzwischen damit vernünftig telefonieren und bekommt auch für (nicht sehr anspruchsvolle) gewerbliche Anwender brauchbare Qualität.
Wenn einem das Ausfallrisiko zu hoch oder die Sprachqualität zu niedrig ist, bleibt eine Festnetz-Flatrate, die derzeit noch eine deutlich höhere Ausfall-Sicherheit als VoIP bietet. Mal schauen wie lange noch, wenn der NGN-Boom einsetzt.
Aber zurück zum Thema: Bei eingebauten Paketfiltern ist es immer wieder ärgerlich, wenn die Firmware kaum oder keine Config-Möglichkeiten bietet, falls doch jemand mit der nötigen Fachkenntnis eingreifen möchte. Der Durchschnittsanwender lebt mit sinnvollen Default-Werten ohnehin besser, als wenn er planlos daran herum spielt.
geschrieben am 08.06.2007 um 12:29 von Otaku19
xDSl kann immer weider mal haken und manche Router versuchen dann irgendwann nicht mehr sich einzuwählen wenn dei Verbindung längere Zeit nicht mehr hergestellt wurde. und bei ihm ist ja Modem und Router ein gerät, sprich, verlierts die Sync, dann gibts bereits evtl Schwierigkeiten wenn die leitung wieder da wäre.
[ Dieses Thema im Live-Forum aufrufen ]
|
