Router und die Firewall

C

Capitano

Aktives Mitglied
Thread Starter
Dabei seit
28.01.2007
Beiträge
226
Reaktionspunkte
4
Ich habe hier ein kleines Netz @ home das über einen Asus wl500gp ins Netz geht. Dieses würde ich gerne so gut wie möglich absichern, nur bin ich da mit den Einstellmöglichkeiten des Routers etwas "überfragt". Die Firewall des Routers (SPI) ist eingeschaltet und man kann dann zusätzlich noch den "lan to wan" und den "wan to lan" Traffic über Portfreigabe Regeln. Ich frage mich nur gerade ob ich überhaupt die Ports freigeben muss, um die Sicherheit zu erhöhen und damit nicht sogar ein Risiko eingehe?! Die Ports sind ja dann durch die Portfreigabe auf. Ist die SPI-Firewall dann überhaupt noch für diese Ports wirksam?
 
Zuletzt bearbeitet:
Wenn du Ports freigibst, wird es weniger sicher...

Du solltest dich etwas mehr mit dem Thema beschäftigen, denn so wie du schreibst, hast du 0 Ahnung...

Gehe mal auf die Wikipedia und schaue dir erstmal die Basics an...
 
Ich habe hier nachgefragt, weil mir die Basics nicht bekannt sind...
...aber nun zurück zum Router und seiner Firewall:
So wie ich das verstanden habe, sind mit aktivierter SPI-Firewall alle Ports dicht bis ein Programm eine Anfrage ins Internet sendet.
Mit der Portfreigabe könnte ich dann noch bestimmen welcher Rechner icq, ftp etc. nutzen darf. Ist das so richtig?
 
Auf "Billig Routern" wie du ihn verwendest, ist immer alles nach außen auf!

Eingehend musst du dann Portforwarding nutzen. Dazu bitte mal die Wikipedia lesen...

Für ICQ und Co muss man nie etwas eingehend frei machen.

FTP ist noch so ein Sonderfall, würde ich nicht nutzen, da das Passwort im Klartext übertragen wird, egal ob aus oder eingehend. Aber das interessiert dich wahrscheinlich eh nicht ;)
 
Ftp ist für eine SPI-Firewall insofern ein Sonderfall da es Port 20 und 21 benutzt und deshalb die Zuordnung zu einer Session schwierig ist. Ich frage mich nur gerade warum ich bei der Firewall Portforwarding einstellen soll wenn sie eh alle Packets droppt, welche nicht einer aktiven Session zugeordnet werden können.
 
Langsam, Freunde, ihr kommt nicht auf einen grünen Zweig, wenn ihr so weiter schreibt.

@radiohead
Etwas sachlicher wäre vielleicht sinniger und weniger Stichelei ;)

@Capitano
Du brauchst das FTP-PRotokoll nicht als Portforwarding einzutragen, es sei denn, Du willst einen FTP-Server betreiben, das erfordert aber etwas mehr.

Die Firewall in dem Router dient dazu, eingehenden Transfer zu filtern bzw. zu blockieren. Es besteht in den seltensten Fällen ein Grund den oder einen Rechner hinter dem Router frei zu geben.

Die Port-Freigaben dienen dazu, grundsätzliche Portfreigaben zu gestallten, wie sie z.B. von Spielen genutzt werden. Im normalen Alltag sind solche Freigaben nicht notwendig (ich glaub, ich wiederhole mich :D).
 
Du gehst kein großes Risiko ein, wenn du Ports freigibst.
Ob du die billige Firewall vom 30 € Router einschaltest oder nicht - es macht keinen großen Unterschied.

Ohnehin geht die größte Gefahr im Privatbereich viel mehr von ausführbaren Schaddateien aus und nicht von irgendwelchen Attacken über Ports.
Kann man sicherlich nutzen, sowas. Aber allzu viel bringen tut es letztendlich nicht.

Solange du keine DMZ einrichtest (= alle Ports frei bzw. werden auf einen bestimmten Rechner geroutet) bist du relativ sicher unterwegs,vorausgesetzt du hast nen halbwegs vernünftigen Virenscanner bzw. denkst einfach vorher nach, welche Anhänge zu öffnest ;)
 
@SirSalamon

Im normalen Alltag sind solche Freigaben nicht notwendig
Zum Vergrößern anklicken....

Es gibt auch im ganz normalen PC-Alltag immer wieder Situationen, wo man Ports freigeben muss. Ich nenn nur mal zwei Beispiele : BitTorrent und RemoteServer.
 
Bittorrent nur, wenn Du unbedingt Datei verteilen willst.

RemoteServer auch nur dann, wenn Dein Rechner ferngesteuert werden soll.

Beides sind jedoch Dienste, die der "Otto-Normal-Verbraucher" nicht benötigt.
 
woher weißt du, was Otto will bzw. brauch? ;)
 
mcfeir schrieb:
Sicher. Aber es soll tatsächlich Leute geben, die das - ja auch in das Betriebssystem von OS X implementierte - Feature nutzen.
Zum Vergrößern anklicken....
Ganz ehrlich? Die wenigsten, die sich mit ihrem Router nicht auskennen, werden dieses Feature benötigen, oder gar verwenden...

mcfeir schrieb:
Ist dir eigentlich klar, wie das Torrent-Prinzip funktioniert ?

http://de.wikipedia.org/wiki/BitTorrent
Zum Vergrößern anklicken....
Und was willst Du mir damit jetzt sagen? In der Zeit, indem ich ein Download laufen habe (als einfachstes Beispiel ein Update für WoW, das auch über Torrent verteilt wird), gebe ich die Datei auch für den Upload frei (wenn ich es denn frei gegeben habe, was voraussetzt, dass das einstellbar ist).

Und nicht jeder spielt WoW, auch wenn Blizzard das gerne hätte. Die Art und Weise ein Software-Update via Torrent bereit zu stellen wird immer weniger genutzt, weil viele ISP den Torrent-Download bereits im Backbound blocken, was ich durchaus nachvollziehen kann (ich übrigens auch).
 
Also iergendwie fühle ich mich missverstanden: Mein Router ist kein "billig" Teil und mir ging es in erster Linie um den Unterschied zwischen der üblichen Absicherung durch Portfreigabe/NAT und einer SPI-Firewall.
 
Welcher Router kann denn die ausgehenden Ports Filtern? Der Asus kann es mit der mir original Firmware wohl nicht, aber wie siehts mit Open Source aus? Können Oleg oder Openwrt z.B. ausgehenden Verkehr filtern?
 
Wieso willst du ausgehend filtern? o_O
 
Man filtert ausgehend, weil man es sicher haben will! Ganz einfach. (Trojaner und Co) Im Moment für den Mac vielleicht nicht so interessant, aber wenn man im Security Bereich arbeitet, wird einem schlecht, wenn man alles erlauben soll...

Alle billig Router filtern ausgehend nicht. Mit openwrt zum Beispiel kannst du auch ausgehend filtern. Hat ja iptables an Board.
 
Radiohead schrieb:
Man filtert ausgehend, weil man es sicher haben will! Ganz einfach. (Trojaner und Co) Im Moment für den Mac vielleicht nicht so interessant, aber wenn man im Security Bereich arbeitet, wird einem schlecht, wenn man alles erlauben soll...
Zum Vergrößern anklicken....
Wenn man im Security Bereich arbeitet und dann wegen Trojaner ausgehenden Verkehr filtern will sollte man schleunigst dafür sorgen woanders zu arbeiten. Das wäre auf jeden Fall gesünder für die Kundenrechner.
Wenn der Trojaner Daten nach draußen schicken möchte ist es schon zu späte um Massnahmen zu ergreifen, dann hilft nur noch plaat machen und letztes sauberes Backup einzuspielen. Den Traffic zu verhindern ist ja wie nem Mumps erkrankten die Wangen hell anzumalen.

Radiohead schrieb:
Alle billig Router filtern ausgehend nicht. Mit openwrt zum Beispiel kannst du auch ausgehend filtern. Hat ja iptables an Board.
Zum Vergrößern anklicken....
Mit Portfiltern wirst du keinen Trojaner am Datensenden hindern...
 
Wenn sich ein jemand zu Hause sein NB verseucht und einen Trojaner mit in die Firma schleppt. Trojaner möchte jetzt auch Port XYZ nach Hause funken. Jetzt willst du mit sagen, wenn ich Port XYZ gesperrt habe, kommt der Trojaner noch raus? Das ist doch Quatsch. Es sei denn ihm ist es egal, welchen Port er nutzt un d er nimmt halt den nächsten freien...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten