[Master Joda]

Gibt es ein gutes Firewall-Konzept (Hardware) für Heimanwender ohne seperaten Linux-PC und einigermassen zahlbaren und konfigurierbaren Hardware ?

Oder geht da der Kompromiss mit nem Router mit Packet-Filter auch noch durch oder sollte man als Heimanwender doch noch mehr Sicherheits-Löcher stopfen ? Wenn Ja, wie ? Immer vom Ausgangspunkt dass Windows gemäss dem Thread "Windwos sicherer machen" bereits ausgeführt ist. Also es geht mir da jetzt wirklich nur um den Bereich Hardware (Router & Firewall).

Ich denke für viele Heimanwender kommt ein spezieller PC und 2 Hardware-Firewalls für ein akzeptables Firewall-Konzept nicht in Frage. Zu kostspielig, zu kompliziert wenn auch klar sicherer. Doch irgendwo muss das ganze immer noch in einem verhältnissmässigen Rahmen bleiben.

Wie würdet ihr ein Firewall-Konzept (Hardware) für den Bereich Heimanwender auslegen ? Mal davon ausgegangen dass ein gewisses Know-How bezüglich der Konfiguration vorhanden ist bzw. der Wille dies zu erarbeiten vorhanden ist.

Kostenpunkt sollte die Grenze von sagen wir mal 500 Euro nicht übersteigen.

Mich quälen dazu im weiteren folgende Frage :

Sollte man als weitere Sicherheitsmassnahme und als Einzel-Computer ein VPN einrichten ? Dazu braucht es, so nehm ich mal an, einen VPN fähigen Router ? Oder ist die unsinnig ?

Falls jemand ein Buch-Tipp über das Thema hat würde mich dies auch intressieren. Komischerweise sind alle intressanten Bücher über Firewalls vergriffen und nicht mehr lieferbar.

Auch Links auf Internet-Seiten mit Basiswissen zu dieser Thematik sind gerne willkommen. Mir ist schon klar dass ich da noch einige Wissenslücken habe bin aber gewillt diese zu schliessen.

Achso, falls möglich natürlich in Deutsch. Mein English ist nicht mehr Up-to-date.

[Rika]

Zitat

Kostenpunkt sollte die Grenze von sagen wir mal 500 Euro nicht übersteigen.

Dafür kriegt man ja schon fast 'ne Pix. Auf jeden Fall aber einen Mini-PC von Soekris, auf dem man dann ein schlankes Linux mit netfilter laufen lassen kann. Oder gleich OpenBSD. Management kannst auch gerne mit Shorewall machen.

Zitat

Sollte man als weitere Sicherheitsmassnahme und als Einzel-Computer ein VPN einrichten? Dazu braucht es, so nehm ich mal an, einen VPN fähigen Router? Oder ist die unsinnig?

Unsinnig ist es nicht, aber übertrieben. Ich denke mal ein SSH zur Routerkonfiguration sollte ausreichen.

Zitat

Falls jemand ein Buch-Tipp über das Thema hat würde mich dies auch intressieren. Komischerweise sind alle intressanten Bücher über Firewalls vergriffen und nicht mehr lieferbar.

O'Reilly's "Building Internet Firewalls" ist ganz bestimmt nirgendwo vergriffen.

[Master Joda]

Zitat

Dafür kriegt man ja schon fast 'ne Pix

Und was ist ne Pix ?

Zitat

Mini-PC von Soekris, auf dem man dann ein schlankes Linux mit netfilter laufen lassen kann

Die Idee ist sicher gut gemeint. Doch leider fehlt mir der Wille auch noch Linux zu lernen sonst bleibt keine Zeit mehr für meine wirklichen Hobbies.

Schliessen wir mal diese Lösung aus, was gäbe es da noch für Alternativen ?

Den Buch-Tipp werde ich mir mal zu herzen nehmen. Ich nehme jetzt mal an davon gibts auch eine Ausgabe in Deutsch.

[Master Joda]

Klar gibts das Buch auch in Deutsch, doch genau diese ist eben vergriffen. Wie auch die deutsche Ausgabe des Buches vom Norbert Pohlmann.

Es wird endlich Zeit dass ich mein English auffrische

[Graumagier]

Wenn du nicht mehrere tausend Euro für eine entsprechende Appliance ausgeben willst, wirst du um einen Linux-Crashkurs kaum herumkommen.

[Rika]

Zitat

Und was ist ne Pix ?

Na, wohin bringt uns Google bei "Pix Firewall"? Dahin:
http://www.cisco.com.../pd/fw/sqfw500/

Zitat

Die Idee ist sicher gut gemeint. Doch leider fehlt mir der Wille auch noch Linux zu lernen sonst bleibt keine Zeit mehr für meine wirklichen Hobbies.

Ähm... Ich würde mal sagen, daß es dafür bereits gute Images gibt. Indes, der Syntax von iptables ist wunderbar für die Konfiguration, und mit Shorewall o.ä. lassen sich Regeln auch übersichtlich verwalten.

Zitat

Schliessen wir mal diese Lösung aus, was gäbe es da noch für Alternativen?

Siehe oben. Es gibt noch billigere Klassen als die Pix, aber inwiefern dann noch eine brauchbare Qualität vorliegt ist regelmäßig Diskussionspunkt bei Experten.

[Foxhound]

Zitat

Na, wohin bringt uns Google bei "Pix Firewall"? Dahin:
http://www.cisco.com.../pd/fw/sqfw500/

Nicht schlecht so ne Pix, aber da stand nirgendwo was vom Preis oder hab ich das übersehen. Da gabs nur noch andere menüs die "how to buy" usw. heißen. Wie teuer ist die denn nu?

[Rika]

Och, schau mal was Google bei Eingabe von "Cisco Pix 501" als zweiten Treffer liefert:
http://www.dealtime.com/xPO-Cisco_PIX_Fire..._PIX_501_BUN_K9

Ab 400$ aufwärts. Für Privatanwender meist viel zu teuer, für SOHO und größere Firmen aber einfach nur empfehlenswert.

[Internetkopfgeldjäger]

Hallo,

wie wäre es mit einer ganz anderen Klasse,
sagen wir mal die "Heimanwender Klasse"
da wäre man z.B. mit dem Router, mit dem ich
schon seit Jahren zufrieden bin,
mit ca. 39 Euro dabei.

Nur das der aktuelle inzwischen noch eine bessere Hardware
drinn hat und die neue Firmware dafür
auch noch mehr Möglichkeiten bietet.

Ist ein D-Link 604 (ist sowas mit Kabel, 4 Port)

Jedenfalls die NetBios Ports sind von Hause aus dicht,
und der Microsoft Port 445 ist auch dicht.

Andere Marken bieten so etwas bestimmt auch an,
wenn man D-Link nicht mag.
Umsteigen auf ein sicheres OS kann man später ja immer noch.
Macht der Billig-Router auch mit.
In der Zwischenzeit hält man halt sein aktuelles OS
immer auf dem aktuellsten Stand,
liest viel, und lernt dazu.


Gruß, Internetkopfgeljäger

[Graumagier]

Diese Billig-Router sind zum Aufbau einer Firewall aber ungeeignet.

[Internetkopfgeldjäger]

Hallo,

okay: "pimp my Router".

Würde mir zum Beispiel auch gerne wünschen
das ich aus einer Datei mal eben so 50 - 60 Tausend Regeln einfügen könnte,
aber das kann ich von so einem 39 Euro Teil nicht erwarten.

Aber das, was so gerne mit Firewall betitelt wird,
ist halt bestimmt im Normalfall nicht nur ein Router.

Selbst wenn man eine Maschine hätte, die routet,
eine Maschine durch die das alles durchläuft,
und gescannt wird,
so ist doch immer noch nicht sicher,
das nicht irgend etwas durchschlüpft,
und noch schusseliger hinterher aktiviert wurde,
anders kann wohl am Dienstag das BSI Wurm Desaster wohl kaum passiert sein.

Ohne ein halbwegs sicheres OS,
mit halbwegs vernünftigem Benutzer/Benutzerin
ist der beste Router, der beste Virenscanner, machtlos,
da kann man noch so laut klagen, man habe doch eine "Firewall",
oder teures Gerät gekauft.


Gruß, Interntkopfgeldjäger

[Rika]

Zitat

anders kann wohl am Dienstag das BSI-Wurm-Desaster wohl kaum passiert sein.

Eine Firewall schützt nicht vor Fehlkonfiguration absichtlich erreichbarer Dienste. Dort hat nicht der Firewall-, sondern der Mailserver-Admin geschlampt. Indes, aktiviert wurde dort gar nichts.

[Internetkopfgeldjäger]

Hallo,

irgendwie stelle ich mir das BSI Wurm Desaster so vor,
wie hier im im Posting auf Heise beschrieben.

Nur der Punkt:

Zitat

2. Der Server war nicht antivirustechnisch up to date.

mag vielleicht an einem ausreichendem Zeitfenster zwischen
einer Aktuallisierung seitens der Virendevinitionszusammensteller
und dem voherigem eintreffen und anklicken
der bestimmt hochinteressanten Mail liegen.

Ein Router hätte da bestimmt nix genützt.

Andererseits mag man im gleichen Forum dieses hier wissen.


Gruß, Internetkopfgeldjäger

Dieser Beitrag wurde von Internetkopfgeldjäger bearbeitet: 12. März 2005 - 01:55

[shiversc]

ich verweise mal dezent auf ipcop. das ist die firewall meiner wahl.

ich betreibe die distri auf einer IBM Netvista und bin sehr zufrieden.

nach kurzen studium von iptables habe ich echt tolle möglichkeiten. der stromverbrauch wird sich unter 20watt befinden wenn ich eine 2,5" hdd nachgerüstet habe.

[Rika]

Zitat

wie hier im im Posting auf Heise beschrieben.

Zitat

"Der Server fälscht seine eigene Adresse?"

ist bei einem Mailverteiler logischerweise stets richtig - ein Mailverteiler ändert die Adresse des Absenders nicht, drum macht man ihn ja von außen unerreichbar. Der Poster dort hat offensichtlich keine Ahnung oder totales Halbwissen. Bereits im zweiten Kommentar des OP steht das schon beschrieben.

Zitat

sich unter 20watt befinden wenn ich eine 2,5" hdd nachgerüstet habe.

Reicht eine 8MB oder 16MB große CF-Karte mit IDE-Anschluss nicht aus?

Dieser Beitrag wurde von Rika bearbeitet: 12. März 2005 - 13:49