[fens]

Hi,

ich möchte einen zweiten Rechner als Firewall einrichten und somit zwischen Router und Arbeits-PC einsetzen.
Es gibt ja OpenSource Lösungen. Kann hier vielleicht jemand eine Linux Distri vorschlagen, die für den Einsatz geeigenet ist. Es muss aber nicht zwangsläufig Linux sein. Ich möchte einfach paar Links und Erfahrungen von euch hören, wie man sowas am besten anstellt.

Danke

[Samstag]

Nochmal: Eine Firewall ist weder eine Soft- noch eine Hardware, eine Firewall basiert auf einem Sicherheitskonzept, einigen Überlegungen wie man etwas ordentlich absichern kann. Hard- und Software werden dann in die Überlegungen hineinbezogen, die Firewall basiert aber nicht auf diesen, die sind nur unterstützend vorhanden.
@fens: Schau dir mal IpCop an, ist eine Software die wie geschaffen ist für diesen Zweck. Mach aber bitte nicht den Fehler dich dann drauf zu verlassen das du mit dieser Konstellation einen 100% Schutz hast, den gibt es nämlich nicht. Also gilt weiter: Holzauge, sei wachsam

[Decay]

Eigentlich jede Distri ist dazu predestiniert, dir eine Firwall anzbieten (IPTables).

Nur noch mal eine Frage:
Warum willst du nochmals eine Firewall dahinter setzen, wenn du doch bestimmt eine im Router integriert hast? Hast du sooooo sensible Daten, dass du es sicherer haben möchtest?

Und wie oben schon erwähnt, selbst das ist nicht sicher..... wer "einbrechen" will, macht des auch mit zwei Firewalls...

[ph030]

Zitat

Warum willst du nochmals eine Firewall dahinter setzen, wenn du doch bestimmt eine im Router integriert hast?

Nunja, meistens wird einem vom Hersteller ja NAT als Firewall verkauft...das braucht man wohl nicht weiter zu kommentieren. Selbst wenn ein fertiger Router mal entsprechende Funktionalität bieten sollte, kommt das trotzdem nicht an einen Router mit freier Firmware(DDWRT, etc) oder gar eine dedizierte Kiste heran - von potentiellen Lücken im Router ganz zu schweigen, wie war das noch mit der einen hintergehbaren FritzBox(mist, da find ich den Link nicht mehr...)

Dieser Beitrag wurde von ph030 bearbeitet: 14. November 2007 - 15:37

[Samstag]

Wohl wahr. Das was manche Hersteller als Router mit Firewallfunktionen verkaufen ist im Endeffekt nichts anderes wie ein stinknormaler Paketfilter, der einzig und alleine den Vorteil hat nicht auf dem Hostsystem zu laufen, sondern davor. Ansonsten ist das nichts anderes wie die Windowseigene Firewall, könnt man sich also sparen.
Die Router, die tatsächlich Firewall-Funktionalitäten mitbringen fangen normalerweise in Preisklassen jenseits der 300€ an (mal abgesehen von den paar mit frei konfigurierbarer Firmware wie dem Linksys WRT54GL, da muss man die notwendige Software aber später erstmal selbst aufspielen...), und ich gehe mal nicht davon aus dass das allzuviele daheim rumstehen haben. Ist aber für den Privatanwender auch nicht mal unbedingt notwendig, für den gibt es geeignetere (=günstigere) Konzepte zur Absicherung, siehe auch die Stickys hier im Forum.

[JollyRoger2408]

Zitat (fens: 14.11.2007, 08:28)

Hi,

ich möchte einen zweiten Rechner als Firewall einrichten und somit zwischen Router und Arbeits-PC einsetzen.
Es gibt ja OpenSource Lösungen. Kann hier vielleicht jemand eine Linux Distri vorschlagen, die für den Einsatz geeigenet ist. Es muss aber nicht zwangsläufig Linux sein. Ich möchte einfach paar Links und Erfahrungen von euch hören, wie man sowas am besten anstellt.

Danke

Hallo,
schau mal hier: Using your old PC as a firewall box

[Decay]

Zitat (Samstag: 14.11.2007, 16:57)

Wohl wahr. Das was manche Hersteller als Router mit Firewallfunktionen verkaufen ist im Endeffekt nichts anderes wie ein stinknormaler Paketfilter, der einzig und alleine den Vorteil hat nicht auf dem Hostsystem zu laufen, sondern davor. Ansonsten ist das nichts anderes wie die Windowseigene Firewall, könnt man sich also sparen.
Die Router, die tatsächlich Firewall-Funktionalitäten mitbringen fangen normalerweise in Preisklassen jenseits der 300€ an (mal abgesehen von den paar mit frei konfigurierbarer Firmware wie dem Linksys WRT54GL, da muss man die notwendige Software aber später erstmal selbst aufspielen...), und ich gehe mal nicht davon aus dass das allzuviele daheim rumstehen haben. Ist aber für den Privatanwender auch nicht mal unbedingt notwendig, für den gibt es geeignetere (=günstigere) Konzepte zur Absicherung, siehe auch die Stickys hier im Forum.

Sry, wenn ich das mal so sagen muss, aber eine Firewall sollte auch nichts anderes machen, ausser Pakete zu filtern, das ist eben eine Firewall (egal ob Paketfilter oder eigens dafür erstellte Regeln). Selbst "Attacken" basieren auf Pakete.... die schöne Welt des TCP/IP... oder vielleicht des OSI-Models? Alles nach zu lesen in den RFCs - Netzwerktechnik eben!!!

Und NAT hat wenigstens schon mal den Vorteil, dass zwischen einer privaten und öffentlichen IP-Range gehandelt wird.
Soll heißen, dass im Normalfall die Router nicht als "Speichermedien" für schädliche Software (Malware) dienen sollten. Wenn das schon mal nicht geht, dann wird es schwer den privaten IP-Range zu attackieren.
Mit SPI wird eine Attacke auf den Router und den dahinter liegenden Rechner auch schon mal verhindert - zu viel ist gesperrt.
Und fast alle Router bringen diese Sachen schon mal mit. Somit sollte eine Attacke von aussen nach innen schon mal verhindert sein.
Jetzt kommt die Reverse:
Zu dumm nur, dass da das schwächste Glied von allen sitzt - der User. Email geöffnet, Logger installiert und ab dafür. Aber da sollte wengigstens der AV-Scanner funzen.

Will ich etwas Sichertheit haben, dann sollte von aussen nach innen und umgekehrt ein Paketfilter bestehen, von innen nach aussen ein Proxy und auf den Clients ein vernünftiger Scanner, alles zusammen mit einer gesunden Portion Misstrauen gepaart.

Dieser Beitrag wurde von Decay bearbeitet: 14. November 2007 - 21:14

[ph030]

Tschuldigung, aber wenn du ernsthaft der Meinung bist, NAT würde irgendetwas erschweren, bist du nicht ganz up2date. Natürlich setzt auch das Dummheit beim User vorraus, aber ob der User zu dumm ist, zu wissen was was taugt und was nicht bzw auf Versprechen hereinfällt, oder ob der Hersteller einfach nur blöd ist bzw. lügt, macht im Endeffekt genau gar keinen Unterschied.

[BadAss]

Warum nicht? Ich sah' das bisher wie Decay.

Hat jemand bessere Argumente als dass ich nicht "up2date" bin und ich "zu dumm bin, um zu wissen was taugt"?

[ph030]

Zitat

Die meisten Firewalls ermöglichen es, mit Hilfe von Network Address Translation (NAT) oder Masquerading mehrere Rechner über einen Router mit dem Internet zu verbinden. Primäres Ziel dabei ist es, mit einer öffentlichen IP-Adresse mehrere Computer mit privaten IP-Adressen (z. B. aus den Netzen 192.168.0.0/16 oder 10.0.0.0/8) den Zugang ins Internet zu ermöglichen. Man kann dies nur als rudimentäre Sicherheitstechnik ansehen, da die Rechner aus dem LAN geschützt werden, indem ein Zugriff aus dem Internet auf diese Rechner nicht ohne weiteres möglich ist. Dieser Schutz lässt sich umgehen, wenn die NAT-Software versucht, einzelne Verbindungen einander zuzuordnen, wie dies beispielsweise für FTP und SIP notwendig ist. Das Schutzniveau eines Paketfilters wird durch NAT also nicht erreicht.

Darüber hinaus gibt es genügend Skriptkiddy-taugliche Möglichkeiten, an die interne IP zu kommen. Einfach mal z.B. nach "breaking NAT" o.ä. googlen.

[Samstag]

Zitat (Decay: 14.11.2007, 21:10)

Sry, wenn ich das mal so sagen muss, aber eine Firewall sollte auch nichts anderes machen, ausser Pakete zu filtern, das ist eben eine Firewall.....

Sorry, wenn ich das mal sa sagen muss, aber du scheinst Sinn und Zweck einer Firewall nicht verstanden zu haben.
Ein Teil einer Firewall darf gerne dafür auserkoren sein um diese Aufgabe zu übernehmen, ok, da spricht nichts dagegen, sollte aber nicht die alleinige Aufgabe einer Firewall sein. Da kann durchaus noch das Beenden der nicht benötigten Dienste mit dazu gehören, das Sperren von Seiten mit unsicheren Inhalten, das Informationen geben an unbedarfte Nutzer, Verschlüsselung im Lan/Wlan, Nutzen von sicheren Browsern/Mailclients, Abschalten von Bluetooth/Infrarot, Verschlüsselung privater Dateien, Absicherung im internen Netz/Intranet, Malwareprüfungen, einrichten und bestimmen sicherer und unsicherer Netze und vieles mehr.
Nochmal: Eine Firewall ist kein schnödes Stückchen Software und/oder Hardware, eine Firewall ist eine komplexe Überlegung, wie man etwas ordentlich absichern kann ohne das jemand von aussen oder innen Zugriff auf den Rechner bekommen kann, der keinen Zugriff haben soll. Ergo gehört sogar das Schloss am Rechner selbst, das gegen den Ausbau der Festplatte und dem Rücksetzen des Bios hilft zu einer Firewall, ebenso wie das Bios-Passwort.

[ph030]

Den Wachschutz vor dem Serverraum nicht zu vergessen - ist gar nicht so lange her, da hab ich bei einer Firma vier Jungs (zwei davon mit einer Shotgun) und Hunden gesehen, wohlgemerkt nicht draussen auf dem Gelände...

Ansonsten, ACK@Samstag (btw, dein Name verwirrt mich immer )

[Decay]

Zitat (Samstag: 15.11.2007, 07:04)

Sorry, wenn ich das mal sa sagen muss, aber du scheinst Sinn und Zweck einer Firewall nicht verstanden zu haben.
Ein Teil einer Firewall darf gerne dafür auserkoren sein um diese Aufgabe zu übernehmen, ok, da spricht nichts dagegen, sollte aber nicht die alleinige Aufgabe einer Firewall sein. Da kann durchaus noch das Beenden der nicht benötigten Dienste mit dazu gehören, das Sperren von Seiten mit unsicheren Inhalten, das Informationen geben an unbedarfte Nutzer, Verschlüsselung im Lan/Wlan, Nutzen von sicheren Browsern/Mailclients, Abschalten von Bluetooth/Infrarot, Verschlüsselung privater Dateien, Absicherung im internen Netz/Intranet, Malwareprüfungen, einrichten und bestimmen sicherer und unsicherer Netze und vieles mehr.
Nochmal: Eine Firewall ist kein schnödes Stückchen Software und/oder Hardware, eine Firewall ist eine komplexe Überlegung, wie man etwas ordentlich absichern kann ohne das jemand von aussen oder innen Zugriff auf den Rechner bekommen kann, der keinen Zugriff haben soll. Ergo gehört sogar das Schloss am Rechner selbst, das gegen den Ausbau der Festplatte und dem Rücksetzen des Bios hilft zu einer Firewall, ebenso wie das Bios-Passwort.

Was du meinst ist eine komplette Infrastruktur, hat aber mit der Firewall im eigentlichen Sinn nichts zu tun, bis auf, dass mein Satz abgekürzt worden ist. Da nämlich kamen die selbstdefinierten Regeln - ups!!!!!
Ja auch diese sperren unsichere Websites (Content-Filter)!!!!!

Also, Firewall = Paketfilter, Conten-Filter, Regelwerk

Nix mit Verschlüsselung und so..... das sollte, weiß Gott nicht, eine Firewall erledigen, sondern eine Admin mit den nötigen Lösungen. Ich, zum Beispiel, verbiete diverse Dienste und dergleichen im AD.
Ist AD jetzt eine Firewall oder ein Netzwerk-Benutzer-Verwaltungs-System?
Und schön, dass eine Firewall meine NTFS-Berechtigungen einstellt, besonders in einer homogenen Windows-Landschaft. Wenn es da noch Terminaldienste und Radiusserverdienste bereitstellen könnte, die voll in der "Firewall" Active Directory integrierbar sind, dann bin ich dafür immer zu haben.

Oh, sorry, aber ich habe noch keine Firewall gesehen, die eine Authentifizierung via VPN mit, z.B., L2TP over IPSec aushandelt.

Aber vielleicht gibbet das ja auch noch und ein W2k3-Server wäre dann absolut sinnlos.

Und mit NAT, wollte ich nicht zum Ausdruck bringen, dass es das Non-Plus an Sicherheit wäre, wer ein vernünftigen Router hat, nicht so ein *zensiert* wie FritzBox, dann sollte es schon "etwas Kreativität" erfordern, die private IP-Range heraus zu bekommen.
Nichts desto trotz ist NAT keine Firewall, um das mal klar zu stellen.

Ich hoffe, der Unterschied ist nun verstanden worden. Falls nicht, ich kann es auch noch in Englisch, Französisch, und Russisch übersetzen.

Für mich ist das Thema hier durch, Unverschämtheiten gehören wohl mal wieder zu diesen Thread.