Hallo,
ich hab da mal eine Frage.
Warum braucht man ein Firewall? Wenn ich es richtig verstanden habe dann brauche ich NAT nicht nur wegen der Umsetzung verschiedener IP Adressen im Intranet sondern auch für die Portumleitung.
Das bedeutet doch aber auch, dass wenn NAT keine Portumleitungen aktiv hat auch niemand über diese Ports zugreifen kann oder?
Das Firewall System wird doch erst hinter dem NAT stehen oder?
Oder braucht man das Firewall, um die ganzen Standardports zu sichern, die ab Werk schon umgeleitet sind wie z.B. Port 80 oder 110 usw.?
Thorsten
TwoCom Online-Forum
Erfahrungsaustausch, Konfigurationshilfen rund um DrayTek Vigor Produkte und User unter sich.
Warum Firewall wenn NAT?
Moderatoren: alf, Petrus, andreastc, DSL-Hexe, nobody
5 Beiträge
• Seite 1 von 1
von Hobbyfahrer » Fr 06.12.2002 - 18:28
- Hobbyfahrer
- Ambitionierter User
- Beiträge: 89
- Registriert: Fr 18.10.2002 - 19:13
- Wohnort: Hamburg
von deMattin » Fr 06.12.2002 - 20:13
Hi Thosten,
per default ist kein Port auf einen lokalen Client umgeleitet und auch nicht geöffnet (ausser man aktiviert die entsprechenden Routerdienste wie z.B. VPN).
Von Aussen kommt somit auch keiner in dein LAN und dementsprechend ist man vor Attacken aus dem Internet schon in den Standardeinstellungen sicher.
Die Firewall kommt dann zum Einsatz, wenn man:
1. den Internetzugriff aus dem LAN für einzelne oder alle Rechner einschränken möchte (einzelne Dienste oder Webseiten gezielt nicht zulassen)
2. sich im gewissen Umfang vor Trojanern und ähnlichen Anwendungen (ungefragte Updates, ...) schützen möchte, die ja aus dem LAN heraus aktiv werden, indem man deren Ports aus dem LAN verbietet (geht natürlich nur bei Trojanern/Backdoors, die spezielle Ports nutzen und nicht z.B: den Port 80)
3. den Zugriff bei weitergeleiteten Ports reglementieren möchte (z.B. den Mail-Port öffnen, aber nur für die IPs seiner eigenen Mailanbieter bzw. deren Server, ...)
4. mit Call-Filtern die Einwahl reglementieren will
Es gibt sicherlich noch andere Szenarien, aber es handelt sich immer um Einschränkungen der Funktionalität der Internetverbindung - aus welchen Gründen auch immer.
Im Grunde genommen ist die Firewall also ein Werkzeug, mit dem man die User im LAN einschränkt und gegen deren eigene Unwissenheit oder Fehler (Download von Trojanern) versucht abzusichern.
Da aber diese Firewallkonfiguration immer nur genau so gut funktionieren kann, wie der Admin sich damit auskennt und sie dementsprechend konfiguriert hat, macht sie bei einem LAN, in dem hauptsächlich dieser Admin unterwegs ist, kaum viel Sinn sondern eigentlich nur viel Arbeit.
Denn wer sich auskennt, fängt sich auch keinen Trojaner oder Backdoor ein (unterstelle ich mal).
In einem Netz mit "unberechenbaren" Teilnehmern sieht die Sache da schon anders aus - da muss man eben die Benutzer oder besser gesagt das LAN vor seinen eigenen Benutzern schützen
Also einen Büro-Router mit mehreren Rechnern mit Internetzugang und Angestellten mit freiem Internetzugang ohne konfigurierte Firewall fände ich persönlich schon etwas fahrlässig.
Ich unterstelle allerdings mal, dass sicherlich 95% aller (Vigor-)Routernutzer im SoHo-Bereich die Firewall gar nicht aktiviert haben - das ist aber auch nicht weiter verwunderlich, da durch die Komplexität der Materie und der Regelkonfiguration (wie baue ich die Regeln auf, deny-all, welche Ports werden freigegeben, ...) die meisten SoHo-User dazu gar nicht in der Lage sind.
Und leider ist es auch eigentlich unmöglich eine fertige Konfiguration zu erstellen und die auf den Router zu bringen - denn spätestens, wenn man eine Applikation nutzen möchte (z.B. Filesharer o.ä) muss man das Regelwerk wirklich komplett verstehen um es an seine Bedürfnisse anpassen zu können.
Also ich kenne eigentlich nur 3 User, die die Firewall als Sicherheitssystem wirklich konfiguriert haben und ich kenne wirklich 'ne ganze Menge Vigor-User
Das hier ist meine persönliche Meinung und es gibt sicherlich auch Meinungen, dass die Firewall zwingend konfiguriert sein muss - aber in diesem Fall kommt der Admin nicht darum herum sich wirklich extrem mit der Materie auseinanderzusetzen.
Hierzu auch mal ein Beispiel aus meinem Bekanntenkreis:
Dialin-Rechner mit Zonealarm und Tiny-Firewall konfiguriert, weil derjenige gelesen hat, dass man machen muss wegen der ganzen Trojaner und Viren und dann aber einen Trojaner auf dem Rechner, weil derjenige alles freigegeben hat, was "angefragt" hat. Er hat eben nicht die Zusammenhänge verstanden und dann nutzt auch keine Software- oder Hardware-Firewall etwas.
(das Besipiel ist zwar extrem, aber von solchen Usern gibt es mehr, als von denen, die sich mit der Materie auskennen - das ist meine persönliche Erfahrung zu diesem Thema)
Achja, vielleicht sollte ich auch mal direkt auf deine Fragen eingehen:
s.o.
Richtig - NAT ist dafür zuständig und nicht die Firewall!
Richtig! Die Ports sind im Vigor von Aussen stealth und solange kein Rechner diese Ports aus dem LAN heraus aktiviert, ist über diese Ports kein Zugriff von aussen möglich.
Naja - kommt darauf an - mal davor, mal dahinter - je nach Regel ist das verschieden. Es sitzt beides im Router
Habe ich ganz am Anfang schon geschrieben - die Ports sind zu, solange kein Rechner aus dem LAN sie öffnet.
Default im Router ist:
Aussen nach Innen = alles zu (stealth)
Innen nach Aussen = alles auf
So, nun habe ich mal wieder meine Sicht der Dinge geschrieben und ich freue mich schon auf die Meinungen, dass meine Ansichten zum "Thema Sicherheit" viel zu lasch sind.
Gruss,
Martin
per default ist kein Port auf einen lokalen Client umgeleitet und auch nicht geöffnet (ausser man aktiviert die entsprechenden Routerdienste wie z.B. VPN).
Von Aussen kommt somit auch keiner in dein LAN und dementsprechend ist man vor Attacken aus dem Internet schon in den Standardeinstellungen sicher.
Die Firewall kommt dann zum Einsatz, wenn man:
1. den Internetzugriff aus dem LAN für einzelne oder alle Rechner einschränken möchte (einzelne Dienste oder Webseiten gezielt nicht zulassen)
2. sich im gewissen Umfang vor Trojanern und ähnlichen Anwendungen (ungefragte Updates, ...) schützen möchte, die ja aus dem LAN heraus aktiv werden, indem man deren Ports aus dem LAN verbietet (geht natürlich nur bei Trojanern/Backdoors, die spezielle Ports nutzen und nicht z.B: den Port 80)
3. den Zugriff bei weitergeleiteten Ports reglementieren möchte (z.B. den Mail-Port öffnen, aber nur für die IPs seiner eigenen Mailanbieter bzw. deren Server, ...)
4. mit Call-Filtern die Einwahl reglementieren will
Es gibt sicherlich noch andere Szenarien, aber es handelt sich immer um Einschränkungen der Funktionalität der Internetverbindung - aus welchen Gründen auch immer.
Im Grunde genommen ist die Firewall also ein Werkzeug, mit dem man die User im LAN einschränkt und gegen deren eigene Unwissenheit oder Fehler (Download von Trojanern) versucht abzusichern.
Da aber diese Firewallkonfiguration immer nur genau so gut funktionieren kann, wie der Admin sich damit auskennt und sie dementsprechend konfiguriert hat, macht sie bei einem LAN, in dem hauptsächlich dieser Admin unterwegs ist, kaum viel Sinn sondern eigentlich nur viel Arbeit.
Denn wer sich auskennt, fängt sich auch keinen Trojaner oder Backdoor ein (unterstelle ich mal).
In einem Netz mit "unberechenbaren" Teilnehmern sieht die Sache da schon anders aus - da muss man eben die Benutzer oder besser gesagt das LAN vor seinen eigenen Benutzern schützen
Also einen Büro-Router mit mehreren Rechnern mit Internetzugang und Angestellten mit freiem Internetzugang ohne konfigurierte Firewall fände ich persönlich schon etwas fahrlässig.
Ich unterstelle allerdings mal, dass sicherlich 95% aller (Vigor-)Routernutzer im SoHo-Bereich die Firewall gar nicht aktiviert haben - das ist aber auch nicht weiter verwunderlich, da durch die Komplexität der Materie und der Regelkonfiguration (wie baue ich die Regeln auf, deny-all, welche Ports werden freigegeben, ...) die meisten SoHo-User dazu gar nicht in der Lage sind.
Und leider ist es auch eigentlich unmöglich eine fertige Konfiguration zu erstellen und die auf den Router zu bringen - denn spätestens, wenn man eine Applikation nutzen möchte (z.B. Filesharer o.ä) muss man das Regelwerk wirklich komplett verstehen um es an seine Bedürfnisse anpassen zu können.
Also ich kenne eigentlich nur 3 User, die die Firewall als Sicherheitssystem wirklich konfiguriert haben und ich kenne wirklich 'ne ganze Menge Vigor-User
Das hier ist meine persönliche Meinung und es gibt sicherlich auch Meinungen, dass die Firewall zwingend konfiguriert sein muss - aber in diesem Fall kommt der Admin nicht darum herum sich wirklich extrem mit der Materie auseinanderzusetzen.
Hierzu auch mal ein Beispiel aus meinem Bekanntenkreis:
Dialin-Rechner mit Zonealarm und Tiny-Firewall konfiguriert, weil derjenige gelesen hat, dass man machen muss wegen der ganzen Trojaner und Viren und dann aber einen Trojaner auf dem Rechner, weil derjenige alles freigegeben hat, was "angefragt" hat. Er hat eben nicht die Zusammenhänge verstanden und dann nutzt auch keine Software- oder Hardware-Firewall etwas.
(das Besipiel ist zwar extrem, aber von solchen Usern gibt es mehr, als von denen, die sich mit der Materie auskennen - das ist meine persönliche Erfahrung zu diesem Thema)
Achja, vielleicht sollte ich auch mal direkt auf deine Fragen eingehen:
Warum braucht man ein Firewall?
s.o.
Wenn ich es richtig verstanden habe dann brauche ich NAT nicht nur wegen der Umsetzung verschiedener IP Adressen im Intranet sondern auch für die Portumleitung.
Richtig - NAT ist dafür zuständig und nicht die Firewall!
Das bedeutet doch aber auch, dass wenn NAT keine Portumleitungen aktiv hat auch niemand über diese Ports zugreifen kann oder?
Richtig! Die Ports sind im Vigor von Aussen stealth und solange kein Rechner diese Ports aus dem LAN heraus aktiviert, ist über diese Ports kein Zugriff von aussen möglich.
Das Firewall System wird doch erst hinter dem NAT stehen oder?
Naja - kommt darauf an - mal davor, mal dahinter - je nach Regel ist das verschieden. Es sitzt beides im Router
Oder braucht man das Firewall, um die ganzen Standardports zu sichern, die ab Werk schon umgeleitet sind wie z.B. Port 80 oder 110 usw.?
Habe ich ganz am Anfang schon geschrieben - die Ports sind zu, solange kein Rechner aus dem LAN sie öffnet.
Default im Router ist:
Aussen nach Innen = alles zu (stealth)
Innen nach Aussen = alles auf
So, nun habe ich mal wieder meine Sicht der Dinge geschrieben und ich freue mich schon auf die Meinungen, dass meine Ansichten zum "Thema Sicherheit" viel zu lasch sind.
Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
-
deMattin - Super-User
- Beiträge: 448
- Registriert: Mo 23.07.2001 - 19:40
- Wohnort: Nordpott
von defence » So 08.12.2002 - 13:27
Viel zu lasch - die Wirklichkeit ist ja noch viel schlimmer (auch wenn ich jetzt vielleicht den 3 Usern, die die Router-Firewall benutzen, noch die letzten Illusionen nehme). Wer seinen Rechner auch nur einigermaßen sicher konfigurieren will und kann, der stellt die Router-Firewall und eine Desktop-Firewall mit 'links' innerhalb weniger Minuten ein, weil alle anderen Maßnahmen viel aufwändiger sind, deutlich mehr Kenntnis erfordern und wahrscheinlich auch nicht zum Erfolg führen. Aber der Reihe nach:
1. Die Router-Firewall leistet sehr gute Dienste, wenn ich für das Internet-Surfen einen eigenen Rechner benutze, der keinen Zugriff auf die anderen Rechner hat, und allen anderen Rechner den Internet-Zugriff komplett verbiete (IP-Adressen der angeschlossenen Rechner fest vergeben und nur die Adresse des Internet-Rechners durchlassen). Allerdings muss ich mich dann darauf verlassen, dass der Fernzugriff auf den Router wirklich nicht funktioniert, wenn er im Setup abgeschaltet ist (ich hatte auch schon einmal eine grosse ISDN-Telefonanlage eines renommierten Herstellers, bei der der Hersteller die Konfiguration über die Telefonleitung auch bei abgeschalteter Fernwartung ändern konnte).
2. Auch noch ganz gute Dienste leistet die Router-Firewall, wenn ich mit den angeschlossenen Rechnern nur den eMail-Verkehr abwickeln will und alles andere blockiere. Hier wird es aber schon deutlich gefährlicher, weil immerhin 2 Ports offen sein müssen und ich mir über html-Mails und Datei-Anhänge (natürlich auch über Disketten und CD's) gefährliche Programme auf den Rechner holen kann, die die die offenen Ports für ihre Zwecke missbrauchen. Gleiches gilt, wenn ich mit den angeschlossenen Rechner nur ganz bestimmte Web-Seiten ansteuern will und nur diese IP-Adressen freigebe.
3. Kaum noch Sicherheit bringt die Router-Firewall für angeschlossene Rechner, die einen möglichst ungehinderten Internet-Zugang haben sollen, denn dann muss ich im Router-Setup zumindest den http- und den https-Port (80, 443) ausgehend auf alle (!) Adressen freigeben und habe damit sicherheitstechnisch 'verloren'. Eine Desktop-Firewall kann das Risiko noch etwas verringern, weil man mit dieser den Zugang programmbezogen reglementieren kann. Auch die Personal Firewalls können aber getunnelt werden, indem ein Schadprogramm die zugelassenen Programme quasi fernbedient, um seine schädliche Arbeit zu verrichten. Wer dies ausprobieren möchte, findet unter www.computerbetrug.de -> Firewalls -> PFW-Tunnel 3 Testprogramme. Die Programmierer wollen damit beweisen, dass Firewalls 'komplett sinnlos' sind. Zum Glück ist das Gegenteil der Fall: Eines der Programme scheitert bei mir sowohl an der Router-Firewall als auch an der Desktop-Firewall, weil es einen ganz ungewöhnlichen Port benutzen will, den beide Firewalls nicht zulassen. Origineller Weise behauptet das Programm, es habe einen erfolgreichen Angriff auf meinen Rechner gestartet, und zwar auch noch, nachdem ich sowohl den Stecker vom DSL-Modem als auch von der ISDN-Dose abgezogen hatte. Das zweite Programm scheiterte immerhin an der Desktop-Firewall und gab dies auch zu. Lediglich das 3. Programm konnte ungehindert Daten senden. Ich habe daraus für mich den Schluss gezogen: Die Router-Firewall macht den Rechner nicht sicher, aber sicherer. Da sie - jedenfalls wenn man sich ein bischen mit der Materie auseinandergesetzt hat - schnell eingerichtet ist und nicht stört, insbesondere die Rechner-Performance im Gegensatz zu anderen Maßnahmen nicht beeinträchtigt, möchte ich nicht auf sie verzichten. Dabei sollte man auch bedenken, dass die Desktop-Firewalls fast ausnahmslos von Schadprogrammen 'abgeschossen' werden können.
Wer mit seinen Sicherheitsüberlegungen relativ schnell fertig werden will, kann auch die Artikel in der letzten ct (Heft 25, S. 100 ff.) lesen, weil er dann erkennen muss, dass er im Grunde keine Chance hat. Microsoft hat mit ActiveScripting, ActiveX und JScript so viele Funktionen in den Internet Explorer eingebaut und diese mit so weitreichenden Zugriffsmöglichkeiten ausgestattet, dass bösartige Programmierer über Virenscanner, Firewalls u.ä. eigentlich nur noch lachen müssten. Schaltet man die aktiven Inhalte ab, kann man nicht mehr richtig surfen, schaltet man sie ein, ist man ausgeliefert. Die ct empfiehlt, einen anderen Browser zu verwenden.
Versucht man die Gefahren zumindest einigermaßen zu bekämpfen, muss man einen eingeschränkten Benutzer unter w2k/XP einrichten und braucht die Router-Firewall, eine Desktop-Firewall, einen Virenscanner, einen Cookieblocker, ein Progamm wie webwasher, einen filternden Proxie, ein Anti-Spy-Programm, einen anderen Browser als den IE, ein Sandbox-Tool (wobei ich noch kein funktionierendes, sondern nur solche gefunden haben, die die Arbeit massiv beeinträchtigen) und muss all diese Teile auch noch pflegen und auf dem neuesten Stand halten.
Aus all diesen Gründen neige ich inzwischen zu der unter 1. beschriebenen Lösung und bei dieser ist die Router-Firewall schon fast ausreichend. Die Festplatte des Internet-Rechners sichere ich regelmäßig mit DriveImage und kann sie daher kurzfristig im Schadensfall wiederherstellen.
Eine Schlussbemerkung: In diesem und in anderen Foren zur Firewall taucht in den Anfragen immer wieder ein - durchaus nachvollziehbares - Mißverständnis auf: Die Angriffe werden idR nicht von außen durch eine eingehende Verbindung gestartet, sondern ich selbst hole mir mit einer ausgehenden Verbindung über den Internet Explorer usw. die bösartigen Teile auf den Rechner und habe ihnen selbst - z.B. über die Default-Konfiguration des IE - gestattet, mich zu schädigen !
Dass der Router auf Verbindungen von außen nicht reagiert, bedeutet daher nicht, dass der Rechner sicher ist.
Grüsse
1. Die Router-Firewall leistet sehr gute Dienste, wenn ich für das Internet-Surfen einen eigenen Rechner benutze, der keinen Zugriff auf die anderen Rechner hat, und allen anderen Rechner den Internet-Zugriff komplett verbiete (IP-Adressen der angeschlossenen Rechner fest vergeben und nur die Adresse des Internet-Rechners durchlassen). Allerdings muss ich mich dann darauf verlassen, dass der Fernzugriff auf den Router wirklich nicht funktioniert, wenn er im Setup abgeschaltet ist (ich hatte auch schon einmal eine grosse ISDN-Telefonanlage eines renommierten Herstellers, bei der der Hersteller die Konfiguration über die Telefonleitung auch bei abgeschalteter Fernwartung ändern konnte).
2. Auch noch ganz gute Dienste leistet die Router-Firewall, wenn ich mit den angeschlossenen Rechnern nur den eMail-Verkehr abwickeln will und alles andere blockiere. Hier wird es aber schon deutlich gefährlicher, weil immerhin 2 Ports offen sein müssen und ich mir über html-Mails und Datei-Anhänge (natürlich auch über Disketten und CD's) gefährliche Programme auf den Rechner holen kann, die die die offenen Ports für ihre Zwecke missbrauchen. Gleiches gilt, wenn ich mit den angeschlossenen Rechner nur ganz bestimmte Web-Seiten ansteuern will und nur diese IP-Adressen freigebe.
3. Kaum noch Sicherheit bringt die Router-Firewall für angeschlossene Rechner, die einen möglichst ungehinderten Internet-Zugang haben sollen, denn dann muss ich im Router-Setup zumindest den http- und den https-Port (80, 443) ausgehend auf alle (!) Adressen freigeben und habe damit sicherheitstechnisch 'verloren'. Eine Desktop-Firewall kann das Risiko noch etwas verringern, weil man mit dieser den Zugang programmbezogen reglementieren kann. Auch die Personal Firewalls können aber getunnelt werden, indem ein Schadprogramm die zugelassenen Programme quasi fernbedient, um seine schädliche Arbeit zu verrichten. Wer dies ausprobieren möchte, findet unter www.computerbetrug.de -> Firewalls -> PFW-Tunnel 3 Testprogramme. Die Programmierer wollen damit beweisen, dass Firewalls 'komplett sinnlos' sind. Zum Glück ist das Gegenteil der Fall: Eines der Programme scheitert bei mir sowohl an der Router-Firewall als auch an der Desktop-Firewall, weil es einen ganz ungewöhnlichen Port benutzen will, den beide Firewalls nicht zulassen. Origineller Weise behauptet das Programm, es habe einen erfolgreichen Angriff auf meinen Rechner gestartet, und zwar auch noch, nachdem ich sowohl den Stecker vom DSL-Modem als auch von der ISDN-Dose abgezogen hatte. Das zweite Programm scheiterte immerhin an der Desktop-Firewall und gab dies auch zu. Lediglich das 3. Programm konnte ungehindert Daten senden. Ich habe daraus für mich den Schluss gezogen: Die Router-Firewall macht den Rechner nicht sicher, aber sicherer. Da sie - jedenfalls wenn man sich ein bischen mit der Materie auseinandergesetzt hat - schnell eingerichtet ist und nicht stört, insbesondere die Rechner-Performance im Gegensatz zu anderen Maßnahmen nicht beeinträchtigt, möchte ich nicht auf sie verzichten. Dabei sollte man auch bedenken, dass die Desktop-Firewalls fast ausnahmslos von Schadprogrammen 'abgeschossen' werden können.
Wer mit seinen Sicherheitsüberlegungen relativ schnell fertig werden will, kann auch die Artikel in der letzten ct (Heft 25, S. 100 ff.) lesen, weil er dann erkennen muss, dass er im Grunde keine Chance hat. Microsoft hat mit ActiveScripting, ActiveX und JScript so viele Funktionen in den Internet Explorer eingebaut und diese mit so weitreichenden Zugriffsmöglichkeiten ausgestattet, dass bösartige Programmierer über Virenscanner, Firewalls u.ä. eigentlich nur noch lachen müssten. Schaltet man die aktiven Inhalte ab, kann man nicht mehr richtig surfen, schaltet man sie ein, ist man ausgeliefert. Die ct empfiehlt, einen anderen Browser zu verwenden.
Versucht man die Gefahren zumindest einigermaßen zu bekämpfen, muss man einen eingeschränkten Benutzer unter w2k/XP einrichten und braucht die Router-Firewall, eine Desktop-Firewall, einen Virenscanner, einen Cookieblocker, ein Progamm wie webwasher, einen filternden Proxie, ein Anti-Spy-Programm, einen anderen Browser als den IE, ein Sandbox-Tool (wobei ich noch kein funktionierendes, sondern nur solche gefunden haben, die die Arbeit massiv beeinträchtigen) und muss all diese Teile auch noch pflegen und auf dem neuesten Stand halten.
Aus all diesen Gründen neige ich inzwischen zu der unter 1. beschriebenen Lösung und bei dieser ist die Router-Firewall schon fast ausreichend. Die Festplatte des Internet-Rechners sichere ich regelmäßig mit DriveImage und kann sie daher kurzfristig im Schadensfall wiederherstellen.
Eine Schlussbemerkung: In diesem und in anderen Foren zur Firewall taucht in den Anfragen immer wieder ein - durchaus nachvollziehbares - Mißverständnis auf: Die Angriffe werden idR nicht von außen durch eine eingehende Verbindung gestartet, sondern ich selbst hole mir mit einer ausgehenden Verbindung über den Internet Explorer usw. die bösartigen Teile auf den Rechner und habe ihnen selbst - z.B. über die Default-Konfiguration des IE - gestattet, mich zu schädigen !
Dass der Router auf Verbindungen von außen nicht reagiert, bedeutet daher nicht, dass der Rechner sicher ist.
Grüsse
- defence
- Power-User
- Beiträge: 115
- Registriert: Do 25.04.2002 - 18:15
von Schritttmacher » Sa 14.12.2002 - 14:42
Ich glaube durch den Aufsatz von defence sind wir um mehrere Erfahrungen reicher geworden. Natürlich sollte das keinen derart beeinflussen, dass er jetzt gar nicht mehr ins Internet geht. Ein Schutz ist besser als keiner. Natürlich macht es Sinn, einen Router mit integrierter Firewall zu benutzen obwohl man villeicht nur mit einen Pc ins Internet geht so wie ich. Aber die doppelte Ausstattung mit Personal Firewall (Norton oder Atguart) und Hardware Firewall im Router ist der beste Schutz überhaupt. Vorausgesetzt man arbeitet sich in das komplexe Filterset ein.
Aber wo liegt der Unterschied zu einer richtigen Hardware-Firewall wie die von Symantec z.B. Ich bin in einem der größten und modernsten Rechenzentren tätig und muss immer wieder feststellen, wie Rootserver einfach sterben weil sie offen sind wie Scheunentore. Aber unser eigenens System war noch nie in Gefahr. Ich kann mit meiner Arbeitsplatz-Kiste auch alles im Internet ohne Einschränkung duchsurfen.
Wie ist das möglich?
Schritttmacher
Aber wo liegt der Unterschied zu einer richtigen Hardware-Firewall wie die von Symantec z.B. Ich bin in einem der größten und modernsten Rechenzentren tätig und muss immer wieder feststellen, wie Rootserver einfach sterben weil sie offen sind wie Scheunentore. Aber unser eigenens System war noch nie in Gefahr. Ich kann mit meiner Arbeitsplatz-Kiste auch alles im Internet ohne Einschränkung duchsurfen.
Wie ist das möglich?
Schritttmacher
-
Schritttmacher - User
- Beiträge: 12
- Registriert: Fr 06.12.2002 - 22:12
von defence » So 15.12.2002 - 20:10
Ich glaube, dass private Rechner schon deshalb einigermaßen sicher sind, weil es keinen Sinn macht, solche Rechner anzugreifen. Ein Angreifer möchte Anerkennung, Ruhm oder Geld. Ersteres kann er z.B. bekommen, wenn er die Rechner einer großen Organisation (z. B. Bank) erfolgreich angreift, nicht aber wenn er den Rechner von Lieschen Müller kaputt macht. Diese kann er um ihr Geld bringen, wenn er ihr einen 190er-Dialer unterjubelt oder Kreditkarten-Daten, TAN's, PIN's, Paßwörter oder ähnliches stiehlt (hier achte ich darauf, dass solche Daten möglichst nicht auf meiner Festplatte landen). Ich glaube auch, dass man private Rechner trotzdem sichern sollte und auch einigermaßen sicher bekommt, denn wenn man eine Reihe von Sicherheitsmaßnahmen trifft und jede dieser Maßnahmen für sich nur 5 % aller Angriffe abwehrt, kann man durch die Kombination trotzdem eine sehr hohe Sicherheitsstufe erreichen. Die Programme zum Tunneln der Firewalls, die ich zuletzt beschrieben habe, habe ich für meinen Test ja freiwillig auf meinen Rechner geholt und absichtlich gestartet. Mein Virescanner hätte (vielleicht) einen unfreiwilligen Download verhindert. Auch mein Download-Manager leistet seinen Beitrag, indem er sich sofort in den Vordergrund drängelt, wenn ein Programm heruntergeladen werden soll: Wenn so etwas gegen meinen Willen geschieht, schieße ich den Browser über den Task-Manager ab, trenne die DSL-Verbindung und stelle die Verbindung neu her(wegen der neuen IP-Nr.). Mit meinem 'Aufsatz' wollte ich auch niemanden davon abhalten, sich um die Sicherheit seines Rechners zu kümmern, sondern nur darauf aufmerksam machen, dass die Einstellung der Router-Firewall allein bei weitem nicht reicht. Wer nämlich nur das oder gar nichts macht, läuft eben nicht nur Gefahr, gezielt angegriffen zu werden, sondern auch Opfer von automatisch arbeitenden Schadprogrammen zu werden, was dem Programmierer eben doch wieder die gewünschte Anerkennung verschaffen könnte, weil er hunderttausende von privaten Rechner geschädigt hat.
Die 'richtigen' Hardware-Firewalls haben zunächst den Vorteil, dass sie zentral eingestellt werden. Sie können auch nicht einfach beendet werden, wie die Personal-Firewalls auf Arbeitsplatzrechnern. Sie können kontrollieren, ob alle zu einem Datenpaket gehörenden Pakete in der richtigen Reihenfolge und an den 'richtigen' Empfänger versandt werden und sie können Dateninhalte filtern. Über das Intrusion Detection können sie gezielte Angriffe von außen erkennen, was bei einem Privatrechner uninteressant sein dürfte. Sie bringen aber eben auch keine absolute Sicherheit. Ich habe die AGB's eines Anbieters einer externen Firewall gesehen, über dessen Firewall der gesamte Datenverkehr abgewickelt werden sollte. Hier musste sich der Kunde u.a. verpflichten, in seinem Browser alles, aber auch wirklich alles (insbesondere das gesamte Scripting) abzustellen, was mit Risiken verbunden sein könnte. Meines Wissens arbeiten alle Banken mit getrennten Netzen für die interne Arbeit und für den Kundenverkehr. Auch die öffentlichen Server von Microsoft werden regelmäßig erfolgreich angegriffen. Deshalb bin ich fest davon überzeugt, dass ich auch hinter einer Hardware-Firewall nicht sicher surfen kann, wenn ich keinerlei Einschränkungen hinnehmen will. Die Hardware-Firewall weiss nicht, ob ich ein Programm herunterladen will, oder ob es mir aufgedrängt wird; wenn die Firewall mir gestattet, den gesamten Inhalt einer Web-Seite auf meinen Rechner zu holen, dann können eben auch feindliche Scripte auf meinen Rechner kommen; wenn die Firewall das unterbindet, surfe ich nicht mehr uneingeschränkt; wenn die Firewall es mir gestattet, Dateianhänge mit meinem eMail-Clienten zu verschicken, kann sie u.U. nicht erkennen, dass nicht ich, sondern ein bösartiges Programm den eMail-Clienten bedient oder den Anhang ohne mein Wissen an das Mail anhängt usw. usw. usw.
Aber nochmals: Wenn man sich ein bischen Mühe macht, bekommt man einen privaten Rechner ohne nennenwerte Performance-Einbuße und ohne hierfür Unsummen ausgeben zu müssen so sicher, dass ein erfolgreicher Angriff ziemlich unwahrscheinlich ist.
Grüsse
Die 'richtigen' Hardware-Firewalls haben zunächst den Vorteil, dass sie zentral eingestellt werden. Sie können auch nicht einfach beendet werden, wie die Personal-Firewalls auf Arbeitsplatzrechnern. Sie können kontrollieren, ob alle zu einem Datenpaket gehörenden Pakete in der richtigen Reihenfolge und an den 'richtigen' Empfänger versandt werden und sie können Dateninhalte filtern. Über das Intrusion Detection können sie gezielte Angriffe von außen erkennen, was bei einem Privatrechner uninteressant sein dürfte. Sie bringen aber eben auch keine absolute Sicherheit. Ich habe die AGB's eines Anbieters einer externen Firewall gesehen, über dessen Firewall der gesamte Datenverkehr abgewickelt werden sollte. Hier musste sich der Kunde u.a. verpflichten, in seinem Browser alles, aber auch wirklich alles (insbesondere das gesamte Scripting) abzustellen, was mit Risiken verbunden sein könnte. Meines Wissens arbeiten alle Banken mit getrennten Netzen für die interne Arbeit und für den Kundenverkehr. Auch die öffentlichen Server von Microsoft werden regelmäßig erfolgreich angegriffen. Deshalb bin ich fest davon überzeugt, dass ich auch hinter einer Hardware-Firewall nicht sicher surfen kann, wenn ich keinerlei Einschränkungen hinnehmen will. Die Hardware-Firewall weiss nicht, ob ich ein Programm herunterladen will, oder ob es mir aufgedrängt wird; wenn die Firewall mir gestattet, den gesamten Inhalt einer Web-Seite auf meinen Rechner zu holen, dann können eben auch feindliche Scripte auf meinen Rechner kommen; wenn die Firewall das unterbindet, surfe ich nicht mehr uneingeschränkt; wenn die Firewall es mir gestattet, Dateianhänge mit meinem eMail-Clienten zu verschicken, kann sie u.U. nicht erkennen, dass nicht ich, sondern ein bösartiges Programm den eMail-Clienten bedient oder den Anhang ohne mein Wissen an das Mail anhängt usw. usw. usw.
Aber nochmals: Wenn man sich ein bischen Mühe macht, bekommt man einen privaten Rechner ohne nennenwerte Performance-Einbuße und ohne hierfür Unsummen ausgeben zu müssen so sicher, dass ein erfolgreicher Angriff ziemlich unwahrscheinlich ist.
Grüsse
- defence
- Power-User
- Beiträge: 115
- Registriert: Do 25.04.2002 - 18:15
5 Beiträge
• Seite 1 von 1
Zurück zu Firewall und IP-Filter
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste
News
Site map
SitemapIndex
RSS FeedDieses Forum ist Bestandteil von www.2-com.de
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO