Hilfe
Neues Thema
Antworten
Jupp wir haben eine größere Sophos UTM (Hardware) das ist nix anderes als ein Linux was da im Hintergrund läuft und wenn man ein DSL Modem vorschaltet kann die UTM auch die Funktion eines Routers übernehmen mit Zugangsdaten usw. mit Failover auf zweiten oder dritten Provider z.B. Kabel im "briged" Modus usw...
http://www.ipcop.org/ scheints auch noch zu geben das ist auch ein Linux das man auf einen alten Rechner vorschaltet oder man guck mal bei der Himbeere vorbei http://www.pcwelt.de...it-9634372.html
[S] Router mit Hardwarefirewall
#16
dale 
geschrieben 02. Dezember 2016 - 16:00
Nach oben
#17
RalphS
- Gruppe: VIP Mitglieder
- Beiträge: 8.895
- Beigetreten: 20. Juli 07
- Reputation: 1.126
- Geschlecht:Männlich
- Wohnort:Zuhause
- Interessen:Ja
geschrieben 02. Dezember 2016 - 23:50
- Wer eine FW auf dem (DSL-)Router installiert und der Meinung ist, dann sicher zu sein, der hat das Prinzip von Firewalls nicht verstanden.
- Ein konzeptuell sicheres System hat die Firewall unterwegs.
- Für zuhaus heißt das: Internetanschluß => DSL-Router => Firewall => "Heimverteiler", also entweder ein zweiter Router oder, passender und vor allem preiswerter, ein entsprechend ausreichend-viel-port-iger Switch. 8 Ports, würde ich erwarten, daß die reichen.
- Alles andere ermöglicht es, die Firewall so zu verändern, daß sie unbrauchbar wird, oder Dinge durchläßt die sie nicht hätte durchlassen sollen, oder oder.
- Daß "das Internet" Zugriff auf den DSL-Router kriegt, das läßt sich von Haus aus nicht vermeiden. Von außen hat man die IP-Adresse des externen Interfaces und kann so den DSL-Router darüber direkt ansprechen; dann ist man nur noch durch die NAT gesichert und da läßt sich dieser Tage mit etwas Aufwand auch schon etwas tun. Ganz zu schweigen davon, daß NAT nicht vor Direktzugriff auf den Router selber schützt.
- Womit die evtl dort laufende FW Angriffen direkt ausgesetzt ist und, da das grad auf solchen Geräten nicht eine Firewall-on-a-Chip ist, sondern ein System-on-a-Chip, der insbesondere auch beschrieben werden kann, eben NICHT sicherzustellen ist, daß die FW integer ist. Also das, was AV-Software per Selbstschutzsystemen sicherzustellen versuchen.
- Deshalb kommt die FW eins weiter: Dahin, wo sie nicht vermutet wird. Eine gute HW-Firewall wird vom "Datenstrom" nicht "erkannt" und ist auch nicht über irgendwelche IP-Adressen erreichbar und damit auch nicht gezielt angreifbar.
- Wenn es "nur" darum geht, unerwünschten Zugriff von außen möglichst außen zu lassen:
- Hinter den ISP-Router einen zweiten Router hängen, mit deaktivierter NAT. Dann hat man ein "Zwischennetz", welches von Angreifern erstmal überwunden werden muß. Da drauf kann dann auch eine Firewallsoftware laufen, soweit es der Router von seinen Systemressourcen packt mit dem Firewalling. Natürlich muß man die dann wieder konfigurieren können und bei Firewalls jeder Art ist genau DAS das Problem: Was konfiguriere ich wie, und vor allem auch warum? Wenn da steht, DENY 127.0.0.0/8 FROM ANY TO ANY, warum mach ich sowas und was erreiche ich damit?
Oder ein bißchen anders formuliert, für erfolgreiches Firewalling muß man Netzwerke auch zumindest ausreichend verstehen. Dann kann man sagen, ALLOW ns.myprovider.de SPORT ANY DPORT 53; DENY 0.0.0.0/0 FROM ANY TO DSL DPORT 53 und weiß, jetzt kann mir DNS-Spoofing in den meisten Fällen egal sein.
Anderenfalls ist explizites Geldausgeben für ordentliche Firewalls - egal ob HW oder SW - rausgeschmissenes Geld. Dann hat man eine Cisco-Maschine auf dem Schreibtisch und weiß nicht was man damit machen soll, und wenn die gut konfiguriert ist ab Werk dann funktioniert erstmal gar nix damit und man hat als Laie effektiv Elektroschrott.
--- Was nicht heißen soll, daß ein simples "okay, dann häng ich nen Router hinter den ISP-Router" nicht für sich schon sehr viel abhandelt.
--- Ganz wichtig, wenn man jetzt einen Router oder sogar eine HW-Firewall hinter seinen DSL-Router gehängt hat und aber auf demselben DSL-Router WLAN aktiviert hat...
... dann hätte man sich die ganze Aktion aus hoffentlich nachvollziehbaren Gründen komplett sparen können.
- Ein konzeptuell sicheres System hat die Firewall unterwegs.
- Für zuhaus heißt das: Internetanschluß => DSL-Router => Firewall => "Heimverteiler", also entweder ein zweiter Router oder, passender und vor allem preiswerter, ein entsprechend ausreichend-viel-port-iger Switch. 8 Ports, würde ich erwarten, daß die reichen.
- Alles andere ermöglicht es, die Firewall so zu verändern, daß sie unbrauchbar wird, oder Dinge durchläßt die sie nicht hätte durchlassen sollen, oder oder.
- Daß "das Internet" Zugriff auf den DSL-Router kriegt, das läßt sich von Haus aus nicht vermeiden. Von außen hat man die IP-Adresse des externen Interfaces und kann so den DSL-Router darüber direkt ansprechen; dann ist man nur noch durch die NAT gesichert und da läßt sich dieser Tage mit etwas Aufwand auch schon etwas tun. Ganz zu schweigen davon, daß NAT nicht vor Direktzugriff auf den Router selber schützt.
- Womit die evtl dort laufende FW Angriffen direkt ausgesetzt ist und, da das grad auf solchen Geräten nicht eine Firewall-on-a-Chip ist, sondern ein System-on-a-Chip, der insbesondere auch beschrieben werden kann, eben NICHT sicherzustellen ist, daß die FW integer ist. Also das, was AV-Software per Selbstschutzsystemen sicherzustellen versuchen.
- Deshalb kommt die FW eins weiter: Dahin, wo sie nicht vermutet wird. Eine gute HW-Firewall wird vom "Datenstrom" nicht "erkannt" und ist auch nicht über irgendwelche IP-Adressen erreichbar und damit auch nicht gezielt angreifbar.
- Wenn es "nur" darum geht, unerwünschten Zugriff von außen möglichst außen zu lassen:
- Hinter den ISP-Router einen zweiten Router hängen, mit deaktivierter NAT. Dann hat man ein "Zwischennetz", welches von Angreifern erstmal überwunden werden muß. Da drauf kann dann auch eine Firewallsoftware laufen, soweit es der Router von seinen Systemressourcen packt mit dem Firewalling. Natürlich muß man die dann wieder konfigurieren können und bei Firewalls jeder Art ist genau DAS das Problem: Was konfiguriere ich wie, und vor allem auch warum? Wenn da steht, DENY 127.0.0.0/8 FROM ANY TO ANY, warum mach ich sowas und was erreiche ich damit?
Oder ein bißchen anders formuliert, für erfolgreiches Firewalling muß man Netzwerke auch zumindest ausreichend verstehen. Dann kann man sagen, ALLOW ns.myprovider.de SPORT ANY DPORT 53; DENY 0.0.0.0/0 FROM ANY TO DSL DPORT 53 und weiß, jetzt kann mir DNS-Spoofing in den meisten Fällen egal sein.
Anderenfalls ist explizites Geldausgeben für ordentliche Firewalls - egal ob HW oder SW - rausgeschmissenes Geld. Dann hat man eine Cisco-Maschine auf dem Schreibtisch und weiß nicht was man damit machen soll, und wenn die gut konfiguriert ist ab Werk dann funktioniert erstmal gar nix damit und man hat als Laie effektiv Elektroschrott.
--- Was nicht heißen soll, daß ein simples "okay, dann häng ich nen Router hinter den ISP-Router" nicht für sich schon sehr viel abhandelt.
--- Ganz wichtig, wenn man jetzt einen Router oder sogar eine HW-Firewall hinter seinen DSL-Router gehängt hat und aber auf demselben DSL-Router WLAN aktiviert hat...
... dann hätte man sich die ganze Aktion aus hoffentlich nachvollziehbaren Gründen komplett sparen können.
Dieser Beitrag wurde von RalphS bearbeitet: 02. Dezember 2016 - 23:54
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie
