WinFuture-Forum.de: Hardware Firewall - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Hardware Firewall

#16 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 15. November 2007 - 11:31

Beitrag anzeigenZitat (h0nk: 14.11.2007, 20:04)

Tante google gibt dir gern Antwort. Man beachte bitte die ersten 5 Ergebnisse wo PCWelt und Chip aufkreuzen. Noch fragen?

Du darfst nicht alles glauben, was als Lohnarbeit in den Bunten geschrieben steht. Leider sind die Leuts, welche exaktes Wissen vermitteln wollen, allesamt arme Leuts geblieben. Außer vielleicht Lutz Donnerhacke & Co. Die plaudern aber auch nur aus einer Jahrzehnte langen Berufserfahrung und ein wenig von dem von ihren Brötchengebern frei gegebenen Wissen. ph030 wird das sicher bestätigen.

Was glaubst du, was ich alles erzähle, wenn ich dir etwas verkaufen will. Ich lüge das blaue vom Himmel. Ich mache sogar aus einem gravierenden Mangel ein echtes Feature. Da spreche ich aus der Sicht meiner Qualifikation eines "Technischer Betriebswirt". Meine Erlebnisse mit dem letzten Zeitungsdrücker vor meiner Wohnungstür sollte auch in diesem Forum bekannt sein. Er hat mich so sehr gerührt, das ich ihm auf der Grundlage seiner Legende einen Maggiwürfel schenken wollte, den er aber verschmähte.

Was eine Firewall ist und welche Funktionen sie besitzen möchte/sollte, wird seit Jahren hier den Herstellern von Sicherheitssoftware vorgeführt. Du kannst dich im dafür vorgesehenen Forum kundig machen und wirst feststellen, das es von ihrer Seite keine ernst zunehmenden Gegenargumente gibt. Erhebt sich also die Frage, ob diese Fachzeitschrift nicht zur Pflichtlektüre eines Programmierers dieser Branche gehört.
0

Anzeige



#17 _Samstag_

  • Gruppe: Gäste

geschrieben 15. November 2007 - 20:06

Beitrag anzeigenZitat (Decay: 15.11.2007, 08:52)


Du verstehst Englisch, Russisch und Französisch? Kannst du dann bitte mal sinngemäss übersetzen, was Firewall bedeutet?
Im engsten Sinne bedeutet es Brandschutzwall, ein Wall, der zu überwinden ist bevor man auf ein System kommt, was durch diverse Sicherheitsmassnahmen umgesetzt werden kann. Eine Software kann ebenso dazu gehören wie der Verzicht auf Software, ein abgeschlossener Serverraum ebenso wie ein Passwort am Rechner und der Verzicht auf Administrationsrechte für alltägliche Aufgaben.
Vergiss einfach mal die ganzen leeren Herstellerversprechungen, von wegen "Installieren sie sich ein Stückchen Software und surfen sie sicher im Netz". Das ist nämlich genau das gewesen, was du bisher beschreiben hast: Die Funktionsweise einer sogenannten "SoftwareFirewall". Ich will diese jetzt bestimmt nicht schlecht machen, die mag in einigen Bereichen durchaus ihren Nutzen haben. Aber als alleinige Absicherung ist sie schlichtweg ungenügend, unterstützend mag sie in einigen Szenarien hilfreich sein, ok.


Zitat

Für mich ist das Thema hier durch, Unverschämtheiten gehören wohl mal wieder zu diesen Thread.

Ich hatte bestimmt nicht vor dich anzugreifen und bemühe mich lediglich einen Standpunkt darzubringen, der von vielen missverstanden wird, meist aufgrund von Herstellerversprechungen, die unhaltbar sind. Wenn du die Beiträge nochmal liest sollte dir das auch auffallen, keiner hat dich hier persönlich angegriffen noch ist jemand unverschämt geworden. Das einzige, was dich angegriffen haben könnte ist wohl die Tatsache, das dir widersprochen wurde, da kann dir aber keiner helfen wenn du so etwas nicht verträgst, persönlich geworden ist keiner.
0

#18 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 880
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 15. November 2007 - 20:13

Nein, Samstag, das mit den Unverschämtheiten war allg. gemeint, nicht irgendjemand persönlich angesprochen.... mich persönlich stört es nicht, aber ich denke, dass "solche" Diskussionen zu nichts führen.

Zum anderen kann ich nur sagen: gut dass du das erwähnst, denn dann habe ich beim CCNA, MCSE+S, LPI wohl etwas verpasst. ;D
0

#19 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 15. November 2007 - 21:34

Hallo liebe Leute, verzeiht mir mein nachfolgendes Statement. Ich kann es mir nicht verkneifen.

Beitrag anzeigenZitat (Decay: 15.11.2007, 08:52)

Und mit NAT, wollte ich nicht zum Ausdruck bringen, dass es das Non-Plus an Sicherheit wäre, wer ein vernünftigen Router hat, nicht so ein *zensiert* wie FritzBox, dann sollte es schon "etwas Kreativität" erfordern, die private IP-Range heraus zu bekommen.
Nichts desto trotz ist NAT keine Firewall, um das mal klar zu stellen.

Ich habe dazu keine Einwände. Im Gegenteil, ich habe es an anderer Stelle schon mal mit ein paar wenigen Worten geschrieben: Hardware Firewall

Zitat

Für mich ist das Thema hier durch, Unverschämtheiten gehören wohl mal wieder zu diesen Thread.

Hole dreimal tief Luft, zähle bis 10 und *Plonk* mit Namen und Adresse. Das ist erlaubt und ich bin zutiefst überzeugt, das du nicht alle Regulars dieses Forums, sondern nur einen einzelnen Besucher meinst. Erstere geben sich nämlich gemeinsam mit dir die größte Mühe, wenigstens ein ganz klein wenig Fachwissen an verunsicherte er, sie, es zu bringen. Oft gestaltet sich das wie der Kampf gegen die Windmühlenflügel im weltbekannten Roman von Cervantes. ;)

Besonders im Bezug auf sogenannte Sicherheitssoftware kann ich mir manchmal den Eindruck nicht erwehren, das wir es hin und wieder mit Softwareverkäufern zu tun haben. Bitte klärt mich auf, wenn ich mit meiner Vermutung voll daneben liege, aber anders kann ich mir aber ihre Lernresistenz nicht erklären. Ihre Argumentation ist ähnlich wie in den Foren, welche im Hinterzimmer der Direktshops gemacht werden. Es wird die Software angepriesen, die gerade günstig im Großhandel erhältlich ist. Bitte versteht mich nicht falsch, das soll keine Beleidigung sein und ich verstehe ja auch, das im Ladengeschäft mit OpenSource kaum ein Gewinn zu machen ist.
Wenn diesbezüglich noch Adressen gebraucht werden kann ich sie nachliefern.

Hier ist jedoch nicht der Platz, um eine Hard-/Software anzupreisen. Hier wird kostenlos Wissen vermittelt und alle von uns, die auf diesem Brett aktiv sind, versuchen die Lösung mit dem besten Preisleistungsverhältnis für den Heimanwender zu finden. Ich bremse niemanden, der eine Warenkombination kauft die dem Gegenwert eines neuen PC (Hard+Soft) entspricht. Nicht jeder will nur ein Auto fahren, was 160 Km/h Spitze fährt. Er muß sich aber sagen lassen, das dieses Vorhaben wider den menschlichen Verstand ist.

Wenn ich in den vergangenen 2 Wochen im Internet las, das eines der Softwareunternehmen den Verdacht äußerte, das mehr als 50% der HeimPCs Zombies sind, so hat das zwei Ursachen. Zum Ersten dürfte dies der Mentalität eines Hausarztes entsprechen der da sagt: "Derzeit ist jeder 2. Patient an Grippe erkrankt." Zum Zweitens wird eine gewisse Angst-&Panikstimmung erzeugt, die den Absatz ankurbeln soll.

Ich möchte nochmal allen entgegen halten, das solange die angeborene und natürliche Intelligenz nicht benutzt wird, jederzeit sich so ein solcher Zwischenfall wie vor einigen Wochen im Bundeskanzleramt und einigen Fachministerien wiederholt und auf einmal Malware festgestellt wird, weil deren Mitarbeiter sich mehr auf eine KI als ihren Verstand verlassen haben. Keine dieser hochgelobten IS etc. hat vor Kompromittierung geschützt. Das Tage später unsere hochverehrte A.M. die Chinesen lauthals in Verdacht hatte, ist einer unbeschreiblichen diplomatischen Dummheit zuzuschreiben.

Das nach einem solchen Zwischenfall einige Verantwortlichen noch den Schluss ziehen, was mit ihren Systemen machbar ist, sollte auch mit jedem beliebigen Anderen möglich sein und ist Ausdruck menschlicher Dummheit. Nicht alle Benutzer des Internets klicken auf dem rum, was bei drei nicht vom Desktop verschwunden ist. Hier wurden grundlegende Verhaltensregeln missachtet. Ich will nicht noch mal den Link zu einem Movie der ARD bringen, nach dem ein paar Kids einige Minister und Bundestagsabgeordnete regelrecht vorführten.

Ich bescheinige dir, Decay, das du dich ernsthaft zur Wissens- und Erfahrungsvermittlung bemüht hast und bitte nicht alle in einen Topf werfen. Gerade auf diesem Brett wird dringend jedes bissl menschliche Vernunft und Intelligenz benötigt, auch die Deine. Wir müssen halt Geduld haben ;D

@h0nk:
Ich wollte dich nicht argumentieren. Mir ging es eher darum, ein paar weiterführende Links zu wirklichen Fachzeitschriften anzubieten mit dem Wunsch das Zweifler diese auch benutzen und auch dann wenn sie meinen, den Inhalt nicht umfassend zu verstehen.
Zumindest kann man aus Rede und Gegenrede in den dortigen Dialogen im Forum Schlüsse ziehen.
0

#20 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 880
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 16. November 2007 - 08:33

Naja, hinterwäldler, ich habe nur das Gefühl, das ein Thema wieder ausartet zu einem Punkt, wo alle nicht viel weiterkommen, aber darüber will ich mich nicht noch streiten müssen. Dann denke ich sind genug andere hier, die helfen können und ich konzentriere mich auf andere Threads. ;)
0

#21 Mitglied ist offline   BadAss 

  • Gruppe: aktive Mitglieder
  • Beiträge: 401
  • Beigetreten: 11. Mai 05
  • Reputation: 0

geschrieben 18. November 2007 - 13:47

Durch diesen Thread weiss ich nun, dass das NAT im Router umgehbar ist. Aber nur wegen einer Wahrscheinlichkeit stampfe ich normalerweise keinen weiteren, dedizierten Rechner aus dem Boden.

Ein weiterer Rechner bedeutet dummerweise auch höheren Stromverbrauch...

Gibt es da Zahlen/Statistiken? Ich meine Möglichkeiten gibt es immer und überall. Kommt das jetzt aber im "wilden" Internet vor - oder ist das eher theoretischer Natur?

(An dieser Stelle herzlichen Dank an den "Hackerparagraphen", der jede weiterführende, technische Auseinandersetzung mit diesem Thema verhindert)

Das ph030 eine HW-Firewall hat, davon kann ich jetzt sicher ausgehen. Aber wie macht ihr anderen das?
0

#22 _Samstag_

  • Gruppe: Gäste

geschrieben 18. November 2007 - 13:53

Es ist eine Möglichkeit, und zwar eine praktikable, nicht nur theoretisch.
Man kann sich aber recht einfach davor schützen: Lies mal diesen Thread durch, und setze so viel davon um, das es dich noch nicht (zu arg) in der Arbeit behindert, aber alles, was umsetzbar umgesetzt ist. Perfekt wäre es natürlich alles umzusetzen, leider aber nicht immer praktikabel.
Es benötigt nicht unbedingt teure Hard- oder Software, um sicher unterwegs zu sein. Mit einer korrekten Konfiguration von Windows und bedachtem! Surfen ist dasselbe Ziel zu erreichen, und das ohne Zusatzkosten. Hard- oder Software kann unterstützend dazu eingesetzt werden, muss aber nicht :cheers:
0

#23 Mitglied ist offline   ph030 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.611
  • Beigetreten: 14. Juli 04
  • Reputation: 36
  • Geschlecht:unbekannt

geschrieben 18. November 2007 - 13:59

Nun, ein Mittelweg wäre es, (z.B.) IPCop in eine VM auf deinem Rechner zu stecken und jeglichen Traffic des Hosts durch den Guest zu routen. Das kostet deinen Rechner natürlich auch etwas Leistung und somit Strom, ist aber kein eigener Rechner für Notwendig. Allerdings gibt es auch für VMs diverse Breakout-Verfahren...

Angriffe durch's NAT sind möglich und werden auch praktiziert, wenn auch (noch) nicht in einem Umfang, dass man sich an jeder Ecke des Webs Gedanken machen müßte - wobei einem natürlich klar sein muss, dass jeder Server, der nicht unter der eigenen Kontrolle steht, gefährlich seien kann.

Ein Router mit freier, ordentlich aufgebohrter Firmware, ist für den normalen Nutzer so ziemlich das beste Mittel, v.a. da es unproblematisch auch für viele Rechner einzurichten ist und das Ding ja sowieso läuft. Ein billiger (z.B.) Netgear-Router wird wohl kaum weniger Strom verbrauchen, als ein mit (z.B.) DD-WRT ausgerüsteter LinkSys.
/fuck you - really, I mean it!

Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
0

#24 Mitglied ist offline   BadAss 

  • Gruppe: aktive Mitglieder
  • Beiträge: 401
  • Beigetreten: 11. Mai 05
  • Reputation: 0

geschrieben 19. November 2007 - 20:10

Das "Windows - Sicher Konfiguriert" hab' ich irgendwann mal durchgemacht - und mittlerweile durch Shellscripts und Regs vollständig automatisiert. Man muss nur noch entscheiden, welches Level man will.

Gehärtet ist mein Windows-Client aber dennoch nicht. Ganz zu schweigen die Pinguine...

Vor allem wird hier experimentiert - völlig unvereinbar mit einem "sicheren" System.

Von VMs hab' ich gehört, dass sie nicht sicher sind. Irgendwo verständlich, hat das ganze nicht den Touch einer Personal Firewall?

Unweigerlich läuft das dann wohl auf ein dediziertes System hinaus. Ein bisschen Strom würde ich dafür auch investieren ;(

Die Idee mit dem Router und der freien Firmware finde ich am besten. Hier liegt eine FritzBox WLAN 3030 arbeitslos rum. Ich hab' mich ein wenig informiert und bin auf den DaniSahne Mod gestoßen. Könnte man sich mit dieser alternativen Firmware nicht auch ne Firewall zusammenbasteln? Hat jemand Erfahrung damit? Oder gibts da bessere Firmwares?
0

#25 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 880
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 19. November 2007 - 20:48

War da nicht mal etwas, dass Netgear auch Open Source Router mit einer speziellen Linux Distri anbietet?
Ich kenne des Teilchen nicht, aber wäre eine Überlegung wert, wenn sich darauf IPTables befinden würde. ;(
0

#26 Mitglied ist offline   BadAss 

  • Gruppe: aktive Mitglieder
  • Beiträge: 401
  • Beigetreten: 11. Mai 05
  • Reputation: 0

geschrieben 19. November 2007 - 22:11

Also DaniSahne hat iptables...

Aber dieser Sätzchen nimmt mir irgendwie denn Wind aus den Segeln:

Zitat

ATTENTION: For security reasons I do NOT recommend exposing the webinterface of your box (original or ds-mod) to the internet. ds-mod webinterface is designed with respect to functionality not security, although there are some security checks.


http://www.ip-phone-...ead.php?t=94042

Schade drum...
0

#27 Mitglied ist offline   herrnagell 

  • Gruppe: aktive Mitglieder
  • Beiträge: 116
  • Beigetreten: 13. August 07
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 21. November 2007 - 00:38

Ich empfehle den Netgear RP614 "websaferouter" mit SPI (Stateful Packet Inspection)
mit so um die 25-30€ ist man dabei... find ich, ist ein fairer preis..
;)

Dieser Beitrag wurde von herrnagell bearbeitet: 21. November 2007 - 00:40

Eingefügtes Bild
0

#28 Mitglied ist offline   Spiderman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.669
  • Beigetreten: 23. November 06
  • Reputation: 26

geschrieben 21. November 2007 - 04:20

Ich habe einen Router, dann kommt ein alter PC als Firewall :

Zitat

Idealerweise läuft eine Firewall direkt ab CD-ROM.
So können Eindringlinge die Schutzvorrichtung – wenn überhaupt – nur bis zum nächsten Reboot der Firewall manipulieren.
Danach läuft sie wieder im alten, nicht manipulierten Zustand.
Die Sophia Firewall zeigt mit der neusten Version 2.3 nicht nur Hackern die kalte Schulter, sondern auch Viren und Spam.
Die Software bietet zudem VPN, DMZ und Intrusion Prevention.
Mit ihr lässt sich ein ausgedienter PC ins Netzwerk stellen und zu einer Firewall umrüsten.
Eine Installation ist nicht notwendig, die Sophia Firewall bootet vollständig ab CD-ROM.


Gegen den Bundestrojaner würde das aber auch nicht schützen, deshalb werde ich einen alten Laptop zum Internet PC machen, die Arbeitsrechner kommen dann hinter einer zweiten Firewall im LAN und dürfen nicht ins Internet.

Nur ein Router wäre mir nicht sicher genug.
Meine Homepage - HTC One X FAQ
0

#29 Mitglied ist offline   Spiderman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.669
  • Beigetreten: 23. November 06
  • Reputation: 26

geschrieben 21. November 2007 - 12:52

Beitrag anzeigenZitat (h0nk: 21.11.2007, 11:43)

Was du hier beschreibst ähnelt stark einer DMZ, was nicht heißt das ich deine Argumente herabsetzen will. Nenne das Kind nächstes mal lieber gleich beim Namen. ;)

Ist aber nicht das gleiche, sondern sicherer, die DMZ ist bei mir ungenutzt.

Die Sophia Firewall ist ein Paketfilter - Proxy (DMZ) - Paketfilter, wobei für die DMZ eine dritte NIC benötigt wird.

Der Internet PC ist klar im LAN hinter beiden Paketfiltern, die Arbeitsrechner sind nochmal gegen den Internet PC isoliert, natürlich auch kein MS Netzwerk, Datenaustausch nur über FTP mit Benutzer Name und Passwort.

Die Kombi hat auch den Vorteil, dass zwei unterschiedliche Virenscanner zum Einsatz kommen, und so die Erkennungsrate besser ist.

Ein zweites OS auf den Arbeitsrechnern ist logisch, es macht wenig Sinn ein OS zu sichern, lieber 2x OS und nur Daten sichern.

Zumal ein zweites OS auch einen dritten Virenscanner erlaubt (Überkreuz Scann).

Mein XP ist so gehärtet, das selbst der Admin nicht ohne eine Installation, die Rechte von Konten ändern kann.

Also :
1) unnötige Dienste abschalten
2) Abschalten ist gut, deinstallieren noch besser, außer das TCP/IP Protokoll habe ich nix
3) mit niedrigen Rechten arbeiten (einzigen Luxus den ich mir erlaube ist die Sekundäre Anmeldung)

Dieser Beitrag wurde von Spiderman bearbeitet: 21. November 2007 - 13:12

Meine Homepage - HTC One X FAQ
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0