Routerfirewall (Linksys WRT54G) aureichend?

Homer Simpson · 17.06.2007

Hallo,

was mich mal interessieren würde, reicht es aus wenn ich nur die Firewall in meinem Linksys Router laufen habe oder ist es besser noch eine Software PF laufen zu lassen?

Grüße Homie

haxor · 17.06.2007

Der Router wird eingehende (nicht ausgehende!) Verbindungen deutlich zuverlässiger blockieren, als eine Desktop FW das jemals könnte. Wenn du also sicher surfst, und keine Dateien innerhalb deines Netzwerkes ausführst, benötigst du keine Desktop Firewall, vor allem, da kaum eine gegen Process Injection hilft.
Desktop FW's sind eher was für das subjektive Sicherheitsempfinden

Homer Simpson · 18.06.2007

Was meinst Du mit "...keine Daten innerhalb des Netzwerkes ausführen..." ?

Homie

haxor · 18.06.2007

Da nur diese ausgehende Verbindungen verursachen (wogegen Router ja nicht schützen), sind sie gefährlicher als Angriffe von außen (in den meisten Fällen).
Eine Backdoor z.B. kommt fast immer dadurch auf den PC, dass der User eine Datei, die er nicht hätte ausführen sollen, geöffnet hat, und nicht per Exploit von außen.

Stachel · 11.08.2007

Interessant zu lesen.
Ist es also nicht von Nachteil, das man die Desktop Firewall entfernt, wenn man einen Router hat....
Komischerweise, kommt nämlich meine "Zone Alarm" nicht mit dem Router zurecht und blockt manchmal den Internetverkehr.
Deaktiviere ich sie, läuft wieder alles wie geschmiert.
Bevor ich mir jetzt jedoch die Mühe mache, nach dem Fehler zu suchen, könnte ich sie ja gleich runter schmeissen.
Antivir bleibt natürlich drauf.
Was denkt ihr? Kann ich die FW bedenkenlos entfernen?

Thunderbird · 12.08.2007

haxor schrieb:
Der Router wird eingehende (nicht ausgehende!) Verbindungen deutlich zuverlässiger blockieren, als eine Desktop FW das jemals könnte. Wenn du also sicher surfst, und keine Dateien innerhalb deines Netzwerkes ausführst, benötigst du keine Desktop Firewall, vor allem, da kaum eine gegen Process Injection hilft.
Desktop FW's sind eher was für das subjektive Sicherheitsempfinden

Wieso gilt überall die Meinung PF bringen nichts?
Sieh dir mal Core Securtiy Force an, ich werde mal nen Leak Test mit der machen, aber ich habe einen guten Eindruck.

Nebenbei sitzt sie Sicherheit immer vor dem Computer und sie ist ein Prozess kein Zustand.

So long Richti

Nightwalker_Z · 12.08.2007

Schaut euch mal das an:
http://www.ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls

Ich halte von PF auch nicht wirklich viel.
Eine Firewall im Router reicht vollkommen, ausser du willst dich auch vor deinem lokalem Netzwerk schützen.

Stachel · 12.08.2007

Nightwalker_Z schrieb:
Eine Firewall im Router reicht vollkommen, ausser du willst dich auch vor deinem lokalem Netzwerk schützen.

Danke. das war die Aussage, auf die ich gewartet habe

Thunderbird · 13.08.2007

Nightwalker_Z schrieb:
Schaut euch mal das an:
http://www.ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls

Ich halte von PF auch nicht wirklich viel.
Eine Firewall im Router reicht vollkommen, ausser du willst dich auch vor deinem lokalem Netzwerk schützen.

Was machst du wenn eine Anwendung von einem Cracker manipuliert worden ist, z.B. ein Spiel das keinen Internetzugang benötigt, das dann aber deine privaten Daten sendet?

Ich finde sie nützlich, das Video ^^^ kenne ich schon, die tunneln die Firwall über den IE das dürfte sich auch auf andere Browser ausdehnen lassen.

Die Norton Internet Security Firewall blockte eine gespoofte IP, die zufälligerweise die Ip vom DNS des Provider war und zack keine Dns mehr für ne halbe Stunde.

Die Firewall die ich erwähnt hatte, bittet noch einige mehr Optionen und Features als Zonealarm (oh Gott das ist einige Jahr her meine erste Wall).

Eine Firewall im Router schützt dich zuverlässig gegen eingehende Angriffe + Script Kiddies (es sei denn du tauscht mit Emule, der hat ne Sicherheitslücke und du hast die Ports geforwardet).

Bevor ich aber sagt eine PF bringt nichts probiert Core Security Force aus!

:ja:

Thunderbird · 13.08.2007

hmm sollte so früh morgens noch nichts posten

kein DNS + Bevor ihr....

Nightwalker_Z · 13.08.2007

Thunderbird schrieb:
Was machst du wenn eine Anwendung von einem Cracker manipuliert worden ist, z.B. ein Spiel das keinen Internetzugang benötigt, das dann aber deine privaten Daten sendet?

Sende es über den Internet Explorer als HTTP Post oder sowas. Der IE ist eine zugelassene Anwendung bei dem Großteil der erlaubten Applikationen bei PF's. Noch einfacher ... zweckentfremde so Dinge wie den berühmten svchost. Der ist auch meistens freigegeben, da ne Latte von MS Applikationen dahinterstecken.

Thunderbird schrieb:
Was machst du wenn eine Anwendung von
Eine Firewall im Router schützt dich zuverlässig gegen eingehende Angriffe + Script Kiddies (es sei denn du tauscht mit Emule, der hat ne Sicherheitslücke und du hast die Ports geforwardet).

Jeder Port den du freigibst - vorrausgesetzt eine Applikation lauscht auf dem Port, ist eine potentielle Sicherheitslücke. Emule ist ein Beispiel unter vielen. Eine PF schützt dich aber nicht vor diesen Lücken.
Grund: Du willst ja, dass deine PF diesen Verbindungsaufbau zur Applikation x; port y zulässt. Nur weil die Kommunikation zuerst an deiner HW-Firewall und danach an deiner Desktop Firewall erlaubt worden ist, erhöhst du nicht das Maß an Sicherheit. Zehn hintereinander geschaltete Firewalls mit dem selben Ruleset sind genau so gut wie eine einzige.
Wenn du etwas gegen Sicherheitslücken willst, leg dir ein HW IPS zu (Open Source Beispiel: SNORT; HW-Beispiel Hersteller: TippingPoint, Juniper, ISS).
Es gibt auch Desktop-basierende IPS - bei denen gilt aber dasselbe wie für PF's. IPS steht übrigens für Intrusion Prevention System.
Wenn du nähere Informationen dazu willst, kann ich dir nen Link zu nehr sehr guten Diplomarbeit dazu zukommen lassen

Thunderbird · 13.08.2007

Nightwalker_Z schrieb:
Sende es über den Internet Explorer als HTTP Post oder sowas. Der IE ist eine zugelassene Anwendung bei dem Großteil der erlaubten Applikationen bei PF's. Noch einfacher ... zweckentfremde so Dinge wie den berühmten svchost. Der ist auch meistens freigegeben, da ne Latte von MS Applikationen dahinterstecken.

Jeder Port den du freigibst - vorrausgesetzt eine Applikation lauscht auf dem Port, ist eine potentielle Sicherheitslücke. Emule ist ein Beispiel unter vielen. Eine PF schützt dich aber nicht vor diesen Lücken.
Grund: Du willst ja, dass deine PF diesen Verbindungsaufbau zur Applikation x; port y zulässt. Nur weil die Kommunikation zuerst an deiner HW-Firewall und danach an deiner Desktop Firewall erlaubt worden ist, erhöhst du nicht das Maß an Sicherheit. Zehn hintereinander geschaltete Firewalls mit dem selben Ruleset sind genau so gut wie eine einzige.

Du hast dir anscheinend wirklich noch nicht Core Security Force angesehen.
Dort kannst du genau regeln welches Programm (wird mit md5 gecheckt),
auf welche Datei im Dateisystem zugreifen darf (Sandbox)!
Process Injection ist dort auch nicht mehr möglich.
Diese Firewall (ich wiederhole mich) basiert auf dem OpenBSD Paket Filter.
Normalerweise solltest du über die Möglichkeiten einer OpenBSD Firewall Bescheid wissen, oder?
(wenn nicht, mächtiger als iptables[Standard] oder sogar ner Firewall1 von Checkpoint)

Nightwalker_Z schrieb:
Wenn du etwas gegen Sicherheitslücken willst, leg dir ein HW IPS zu (Open Source Beispiel: SNORT; HW-Beispiel Hersteller: TippingPoint, Juniper, ISS).
Es gibt auch Desktop-basierende IPS - bei denen gilt aber dasselbe wie für PF's. IPS steht übrigens für Intrusion Prevention System.
Wenn du nähere Informationen dazu willst, kann ich dir nen Link zu nehr sehr guten Diplomarbeit dazu zukommen lassen

Snort und Snort Inline sind bei mir im Einsatz

.
Ich lese gerne, der Link wäre fein :goil:

.

Nightwalker_Z · 13.08.2007

Thunderbird schrieb:
Du hast dir anscheinend wirklich noch nicht Core Security Force angesehen.

Ne - habe ich tatsächlich nicht.

Thunderbird schrieb:
Du hast dir anscheinend wirklich noch nicht
Normalerweise solltest du über die Möglichkeiten einer OpenBSD Firewall Bescheid wissen, oder?

Nicht wirklich. Hab noch nie ein OpenBSD System "in der Hand gehabt". Nur in abgewandelter Form --> IPSO. Aber da liegt wie ja schon von dir vorausgeschickt eine FW-1 drüber

Thunderbird schrieb:
(wenn nicht, mächtiger als iptables[Standard] oder sogar ner Firewall1 von Checkpoint)

Man darf den Einsatzzweck einer Personal Firewall nicht mit Hardware- /Enterprise Firewalls gleichsetzen. Eine HW-Firewall soll (in den meisten Fällen) gar nicht über Layer-4 hinausgehen*. Die primäre Aufgabe sollte meiner Meinung nach in der zuverlässigen Zustellung bzw. Routing der Pakete und geringer Latenzzeit zwischen Incoming vor der Policy und Outgoing nach der Policy sein**. Und natürlich Filtern der Pakete und ein bisschen NAT. Alle anderen Services die ich auf einer Firewall anbiete (offene Ports) sind IMHO eine Sicherheitslücke der Firewall selbst (bsp. Proxy, Timeserver, DHCP Server, DNS-Relay). Aber ich schweife ab .......

Worauf ich hinaus will ist, dass beide Produkte absolut ihre Daseinsberechtigung haben - eben auf unterschiedlichen Sektoren.
Eine Firewall ist für mich ein Stück Software, dass eben Pakete nach Source, Destination und Service filtert. Wenn die Firewall für diesen Zweck auf einem Hobel läuft, der auch zig Ports offen hat, da einige Applikationen dahinterhängen, dann ist die Chance die Firewall bzw. die Hardware auf der diesselbe läuft, ebenfalls angreifen zu können um einiges höher. Ist ja auch klar - da wo ich Angriffsfläche anbiete, kann ich prinzipiell auch angreifen.

Ich persönlich habe den Anspruch nicht zu wissen, welche Applikation auf meinem System nach Hause telefoniert bzw. für diesen Zweck reicht mir das MS Feature seit SP2. Für alles andere (Pakete Forwarden, NAT und Firewall) sorgt ein virtueller Linux Server mit IPTables. Das ist kein muss - jede andere Routerfirewall macht das mehr oder minder genau so gut!

Es ist halt nicht so einfach, da wie immer auch ein bisschen "Glaube" dahintersteckt :cool:

Ich lese gerne, der Link wäre fein .

Ist noch auf CD - muss noch einen passenden Webspace finden. Ist aber schon drei Jahre alt. Aber das macht bei diesen Thema nicht viel aus, da es eher um das Prinzip geht - nicht um Herstellerlösungen.

(*) Es gibt Ausnahmen wie beispielsweise FTP, dass aufgrund von Rückwärtsverbindungen von Firewalls erkannt werden muss und auch stateful behandelt werden sollte.

(**) Nicht größer als Zeit bei einem normalen Switch oder Hardware Router.

Thunderbird · 14.08.2007

Nightwalker_Z schrieb:
Ne - habe ich tatsächlich nicht.

...
Alle anderen Services die ich auf einer Firewall anbiete (offene Ports) sind IMHO eine Sicherheitslücke der Firewall selbst (bsp. Proxy, Timeserver, DHCP Server, DNS-Relay). Aber ich schweife ab .......
...

Ich habe einen Timeserver,DHCP Server, DNS_Relay und einen Proxy auf der Firewall laufen. Diese horschen aber nur an dem internen Interface (eth1).
Alle Clients in meinem Netzwerk stufe ich als sicher ein, da nur mein Vater, ein Nachbar und ich sich in diesem Netzwerk befinden.
Snort ist auch eine gewisse Gefahr, da es bei diesem IDS auch manchmal zu Schwachstellen kommt was besonders fies ist,
da Snort den kompletten Netzwerkverkehr überprüft,
und deshalb sehr einfach potenziell angreifbar ist.
Merke:
Die Software immer auf dem aktuellen Stand halten und ich schweife ab bei Webservern ModSecurity (Layer 7) einrichten und die Regeln an die Anwendung anpassen );.

Nightwalker_Z schrieb:
Ist noch auf CD - muss noch einen passenden Webspace finden. Ist aber schon drei Jahre alt. Aber das macht bei diesen Thema nicht viel aus, da es eher um das Prinzip geht - nicht um Herstellerlösungen.

Könntest es in meine Forum posten, mal sehn

Nightwalker_Z · 09.11.2007

Wenn man sich nicht alles aufschreibt, vergisst man alles.
Hier ist wie versprochen die Arbeit - sorry für die Verspätung:
http://nw-network.com/misccontent/documents/Diplomarbeit_IPS.pdf

Thunderbird · 10.11.2007

bob1 · 13.01.2008

Könnt Ihr mir eine Hersteller eines HW-Firewall - Routers empfehlen?

Brauchte dann noch folgende Zusatzfunktionen
Voip-Funktion
Blacklist
Einstellung von "Gewalt und Pornografie" begriffen

Ich habe den Router DrayTek 2910VG ins Auge gefaßt.
Hat da jemand eine Erfahrung damit?

Thx's
bob1

mezzo mix · 14.01.2008

die geräte in dieser preisklasse sind nicht viel mehr als einfache paketfilter. 'richige' firewalls für zu hause sind nur schwer zu bezahlen, aber in der regel wohl auch überflüssig. vielleicht ist hier was für dich dabei: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/index.html
zum draytek kann ich nichts sagen. hab ich noch nicht in den fingern gehabt.

grüße, mm

bob1 · 14.01.2008

mezzo mix schrieb:
die geräte in dieser preisklasse sind nicht viel mehr als einfache paketfilter. 'richige' firewalls für zu hause sind nur schwer zu bezahlen, aber in der regel wohl auch überflüssig. vielleicht ist hier was für dich dabei: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/index.html
zum draytek kann ich nichts sagen. hab ich noch nicht in den fingern gehabt.

grüße, mm

Danke für deine Info.
Die Geräte von Juniper gibts ab ca. 550€ aufwärts. Soviel möchte ich dann doch nicht für eine Firewall ausgeben.
Gibt es nicht günstigere Möglichkeiten?
Meine Schmerzgrenze liegt bei so ca. 300€

the ubm · 16.01.2008

Eine Firewall im Router reicht vollkommen, ausser du willst dich auch vor deinem lokalem Netzwerk schützen.

Finde ich nicht. Eine Softwarefirewall ist genauso notwendig. Bereits Word will irgendwo ins Internet, hat dort aber nichts zu suchen. Zahlreiche Installationen greifen auf das Internet zu, haben dort aber ebenfalls nichts verloren. Der Bundestrojaner hat so ein leichtes Spiel. Mit einer Softwarefirewall wird ihm das wesentlich erschwert.

Routerfirewall (Linksys WRT54G) aureichend?

Homer Simpson

haxor

Homer Simpson

haxor

Stachel

Thunderbird

Nightwalker_Z

Stachel

Thunderbird

Thunderbird

Nightwalker_Z

Thunderbird

Nightwalker_Z

Thunderbird

Nightwalker_Z

Thunderbird

bob1

mezzo mix

bob1

the ubm

Routerfirewall (Linksys WRT54G) aureichend?

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums