Firewall-konzept Für Heimanwender (hardware)
#1
geschrieben 11. März 2005 - 10:30
Oder geht da der Kompromiss mit nem Router mit Packet-Filter auch noch durch oder sollte man als Heimanwender doch noch mehr Sicherheits-Löcher stopfen ? Wenn Ja, wie ? Immer vom Ausgangspunkt dass Windows gemäss dem Thread "Windwos sicherer machen" bereits ausgeführt ist. Also es geht mir da jetzt wirklich nur um den Bereich Hardware (Router & Firewall).
Ich denke für viele Heimanwender kommt ein spezieller PC und 2 Hardware-Firewalls für ein akzeptables Firewall-Konzept nicht in Frage. Zu kostspielig, zu kompliziert wenn auch klar sicherer. Doch irgendwo muss das ganze immer noch in einem verhältnissmässigen Rahmen bleiben.
Wie würdet ihr ein Firewall-Konzept (Hardware) für den Bereich Heimanwender auslegen ? Mal davon ausgegangen dass ein gewisses Know-How bezüglich der Konfiguration vorhanden ist bzw. der Wille dies zu erarbeiten vorhanden ist.
Kostenpunkt sollte die Grenze von sagen wir mal 500 Euro nicht übersteigen.
Mich quälen dazu im weiteren folgende Frage :
Sollte man als weitere Sicherheitsmassnahme und als Einzel-Computer ein VPN einrichten ? Dazu braucht es, so nehm ich mal an, einen VPN fähigen Router ? Oder ist die unsinnig ?
Falls jemand ein Buch-Tipp über das Thema hat würde mich dies auch intressieren. Komischerweise sind alle intressanten Bücher über Firewalls vergriffen und nicht mehr lieferbar.
Auch Links auf Internet-Seiten mit Basiswissen zu dieser Thematik sind gerne willkommen. Mir ist schon klar dass ich da noch einige Wissenslücken habe bin aber gewillt diese zu schliessen.
Achso, falls möglich natürlich in Deutsch. Mein English ist nicht mehr Up-to-date.
Anzeige
#2
geschrieben 11. März 2005 - 15:24
Zitat
Dafür kriegt man ja schon fast 'ne Pix. Auf jeden Fall aber einen Mini-PC von Soekris, auf dem man dann ein schlankes Linux mit netfilter laufen lassen kann. Oder gleich OpenBSD. Management kannst auch gerne mit Shorewall machen.
Zitat
Unsinnig ist es nicht, aber übertrieben. Ich denke mal ein SSH zur Routerkonfiguration sollte ausreichen.
Zitat
O'Reilly's "Building Internet Firewalls" ist ganz bestimmt nirgendwo vergriffen.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#3
geschrieben 11. März 2005 - 21:40
Zitat
Und was ist ne Pix ?
Zitat
Die Idee ist sicher gut gemeint. Doch leider fehlt mir der Wille auch noch Linux zu lernen sonst bleibt keine Zeit mehr für meine wirklichen Hobbies.
Schliessen wir mal diese Lösung aus, was gäbe es da noch für Alternativen ?
Den Buch-Tipp werde ich mir mal zu herzen nehmen. Ich nehme jetzt mal an davon gibts auch eine Ausgabe in Deutsch.
#4
geschrieben 11. März 2005 - 21:43
Es wird endlich Zeit dass ich mein English auffrische
#5
geschrieben 11. März 2005 - 21:45
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#6
geschrieben 11. März 2005 - 21:52
Zitat
Na, wohin bringt uns Google bei "Pix Firewall"? Dahin:
http://www.cisco.com.../pd/fw/sqfw500/
Zitat
Ähm... Ich würde mal sagen, daß es dafür bereits gute Images gibt. Indes, der Syntax von iptables ist wunderbar für die Konfiguration, und mit Shorewall o.ä. lassen sich Regeln auch übersichtlich verwalten.
Zitat
Siehe oben. Es gibt noch billigere Klassen als die Pix, aber inwiefern dann noch eine brauchbare Qualität vorliegt ist regelmäßig Diskussionspunkt bei Experten.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
geschrieben 11. März 2005 - 22:19
Zitat
http://www.cisco.com.../pd/fw/sqfw500/
Nicht schlecht so ne Pix, aber da stand nirgendwo was vom Preis oder hab ich das übersehen. Da gabs nur noch andere menüs die "how to buy" usw. heißen. Wie teuer ist die denn nu?
#8
geschrieben 11. März 2005 - 22:44
http://www.dealtime.com/xPO-Cisco_PIX_Fire..._PIX_501_BUN_K9
Ab 400$ aufwärts. Für Privatanwender meist viel zu teuer, für SOHO und größere Firmen aber einfach nur empfehlenswert.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#9
geschrieben 11. März 2005 - 23:20
wie wäre es mit einer ganz anderen Klasse,
sagen wir mal die "Heimanwender Klasse"
da wäre man z.B. mit dem Router, mit dem ich
schon seit Jahren zufrieden bin,
mit ca. 39 Euro dabei.
Nur das der aktuelle inzwischen noch eine bessere Hardware
drinn hat und die neue Firmware dafür
auch noch mehr Möglichkeiten bietet.
Ist ein D-Link 604 (ist sowas mit Kabel, 4 Port)
Jedenfalls die NetBios Ports sind von Hause aus dicht,
und der Microsoft Port 445 ist auch dicht.
Andere Marken bieten so etwas bestimmt auch an,
wenn man D-Link nicht mag.
Umsteigen auf ein sicheres OS kann man später ja immer noch.
Macht der Billig-Router auch mit.
In der Zwischenzeit hält man halt sein aktuelles OS
immer auf dem aktuellsten Stand,
liest viel, und lernt dazu.
Gruß, Internetkopfgeljäger
#10
geschrieben 11. März 2005 - 23:27
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#11
geschrieben 12. März 2005 - 00:57
okay: "pimp my Router".
Würde mir zum Beispiel auch gerne wünschen
das ich aus einer Datei mal eben so 50 - 60 Tausend Regeln einfügen könnte,
aber das kann ich von so einem 39 Euro Teil nicht erwarten.
Aber das, was so gerne mit Firewall betitelt wird,
ist halt bestimmt im Normalfall nicht nur ein Router.
Selbst wenn man eine Maschine hätte, die routet,
eine Maschine durch die das alles durchläuft,
und gescannt wird,
so ist doch immer noch nicht sicher,
das nicht irgend etwas durchschlüpft,
und noch schusseliger hinterher aktiviert wurde,
anders kann wohl am Dienstag das BSI Wurm Desaster wohl kaum passiert sein.
Ohne ein halbwegs sicheres OS,
mit halbwegs vernünftigem Benutzer/Benutzerin
ist der beste Router, der beste Virenscanner, machtlos,
da kann man noch so laut klagen, man habe doch eine "Firewall",
oder teures Gerät gekauft.
Gruß, Interntkopfgeldjäger
#12
geschrieben 12. März 2005 - 01:04
Zitat
Eine Firewall schützt nicht vor Fehlkonfiguration absichtlich erreichbarer Dienste. Dort hat nicht der Firewall-, sondern der Mailserver-Admin geschlampt. Indes, aktiviert wurde dort gar nichts.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#13
geschrieben 12. März 2005 - 01:55
irgendwie stelle ich mir das BSI Wurm Desaster so vor,
wie hier im im Posting auf Heise beschrieben.
Nur der Punkt:
Zitat
mag vielleicht an einem ausreichendem Zeitfenster zwischen
einer Aktuallisierung seitens der Virendevinitionszusammensteller
und dem voherigem eintreffen und anklicken
der bestimmt hochinteressanten Mail liegen.
Ein Router hätte da bestimmt nix genützt.
Andererseits mag man im gleichen Forum dieses hier wissen.
Gruß, Internetkopfgeldjäger
Dieser Beitrag wurde von Internetkopfgeldjäger bearbeitet: 12. März 2005 - 01:55
#14
geschrieben 12. März 2005 - 09:34
ich betreibe die distri auf einer IBM Netvista und bin sehr zufrieden.
nach kurzen studium von iptables habe ich echt tolle möglichkeiten. der stromverbrauch wird sich unter 20watt befinden wenn ich eine 2,5" hdd nachgerüstet habe.
#15
geschrieben 12. März 2005 - 13:46
Zitat
Zitat
ist bei einem Mailverteiler logischerweise stets richtig - ein Mailverteiler ändert die Adresse des Absenders nicht, drum macht man ihn ja von außen unerreichbar. Der Poster dort hat offensichtlich keine Ahnung oder totales Halbwissen. Bereits im zweiten Kommentar des OP steht das schon beschrieben.
Zitat
Reicht eine 8MB oder 16MB große CF-Karte mit IDE-Anschluss nicht aus?
Dieser Beitrag wurde von Rika bearbeitet: 12. März 2005 - 13:49
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)