xDSL.at

[wikkinger]

Beim Heimbüro wo ja auch wichtige Firmendaten liegen, war es mir bisher zuwider die LAN-Computer direkt hinter den ADSL Modem/Router zu hängen. Stattdessen habe ich einen eigenen Router von Draytek(mit Stateful Inspection Firewall) dahinter gesetzt, wo man die Firewall detaillierter selber konfigurieren kann.

Irgendwie habe ich immer befürchtet, dass wenn die Windows PCs direkt am ADSL-Router hängen, vielleicht durch Fehlkonfiguration oder so z.B.: die Netzwerk-Freigaben direkt im Internet sichtbar sind, Windows versehentlich LAN-Daten ins Internet routet oder ein Hacker sich einfachen Zugriff von außen auf die Ordner-Freigaben verschaffen kann.

Bei aktuellen Internet Produkten wie dem neuen A1 Hybrid muss man aber deren Router behalten und ich hätte mit meinem Router dahinter ein Doppel-NAT. (Beim A1 Hybrid Router kann man z.B. gar keine Firewall Einstellungen vornehmen?!)
Im Internet-Router die IP des zweiten Routers in die DMZ verschieben hilft zwar bei Portweiterleitungen, usw., aber trotzdem bleibt es ein blödes Doppelt-NAT.

Was meinen nun also Firewall Profis dazu?
Doch nur den ADSL-Router benutzen, wo nur das NAT als einzige Sicherheitsfunktion dient?
Oder habe ich mit einem zweiten Router(nur als Firewall genutzt) dahinter und ein paar Firewall-Regeln deutlich mehr Sicherheit?

[Viennaboy]

Wenn du das Modem in einen Single User Mode schalten kannst dann kannst du dein eigenes ja dahinter hängen?

[canyon123]

IMHO sind das gefährlichste auf einer Firewall bzw. Router 'offene' Dienste, also services die via Port erreichbar sind.(Webinterface, ssh, ftp und weiß ich was). Kann man vom Internet aus auf diese Services zugreifen und es gibt Schwachstellen, kann ein Angreifer deinen Router über diesen Dienst kompromittieren und dann unter Umständen auch auf dein LAN zugreifen. (Frei nach dem Motto: Bin ich am Router/FW, bin ich auch im LAN)
Nun kann man diese Ports schließen, aber selbst da gibt es immer die Möglichkeit, dass jemand über Umwege doch auf den Port Zugriff bekommt (siehe Beispiel unten). Am besten alles abdrehen, (was man nicht braucht.)
Wenn du jetzt dahinter noch einen Router schaltest, wirds natürlich dementsprechend schwieriger für einen Angreifer.

Nur darf man nicht immer den Fall betrachten, dass jemand von aussen aktiv zugreift. In der Regel haben alle clients eine default route auf deren Gateway (Router/FW) und oft wird auf diesem Gateway ein unbedingtes forward + masquerade eingerichtet. Nun können Clients ungehindert ins Internet 'rausplärrn'

Beispiel:
Ein Client hat sich eine Schadsoftware eingefangen (email, USB stick etc.) Aufgrund der default route + masquerade kann diese software problemlos eine Verbindung zu einem Rechner im Internet aufbauen (z.B. einen Tunnel aufbauen) über den der Angreifer ungehindert ins Netz kommt. Das können 5 vorgeschaltete Firewalls nicht verhindern, wenn diese nur dumm weiterrouten und maskieren. Ausgehend von diesem Client kann sich der Angreifer dann austoben und problemlos auf Dienste (auch auf anderen Rechner) zugreifen, welche vom Internet aus nicht erreichbar sind.

Ich kann dir nicht sagen, ob es ausreichend ist, nur den A1 Router vorzuschalten. Einen zweiten Router nachzuschalten, erhöht die Sicherheit, ja, ob das dann ausreichend ist bzw. ob es dafür steht, muss jeder selbst beurteilen und hängt vom Sicherheitskonzept ab. (Was will ich schützen,?was passiert, wenn jemand Zugriff hat? Was passiert, wenn jemand die Daten löscht? etc.)

[wikkinger]

Also Portweiterleitungen gibt es dort zu mehreren PCs jeweils für ein Fernwartungsprogramm(aber zuletzt benutzte ich stattdessen nur Teamviewer) und ein paar Ports für eine Netzwerk-Kamera.

Aber was machen kleinere Firmen in Sachen Firewall denn so um ihr LAN vom Internet abzuschirmen, ohne dabei die DAU Nutzer dahinter zu sehr einzuschränken?

[Riddik]

(aber zuletzt benutzte ich stattdessen nur Teamviewer)

Genau das, das Canyon beschrieb. Diese Programme bauen von innen nach aussen eine Verbindung auf - einmal
kompromittiert nutzen 10 Firewalls nichts Wenns hart gesichert haben willst musst inbound und outbound access
kontrollieren.

Aber was machen kleinere Firmen in Sachen Firewall denn so um ihr LAN vom Internet abzuschirmen, ohne dabei die DAU Nutzer dahinter zu sehr einzuschränken?

Ganz einfach - beides geht nicht. Entweder Sicherheit oder Freiheit. Das hängt von den Daten hab die gesichert
werden sollen. Firmen PC sind kein Spielzeug und sollten generell mit entsprechenden Restriktionen versehen sein.
Wenn dann Internet zur Verfügung stehen soll - z.B. fürs Handy - dann muss das komplett separiert maximal ins Internet dürfen. Dies kann man auch noch fürs LAN segmentieren - das wäre dann ein "mehrstufiges Sicherheitskonzept".

Nur von aussen den Zugriff blockieren, dafür reicht NAT schon aus. Wobei ich mir überlegen würde tatsächlich das
Hybrid Zeugs anzutun für Firmenzugang. Den Spass kriegst auch so mitm ZTE

[wikkinger]

Ja Outbound Firewall Rules habe ich vor Jahren schon mal probiert, aber da ich nicht vor Ort bin, funktioniert bei den Bewohnern dann dauernd irgend ne neue Webseite, Anwendung, usw. nicht mehr.
Und im Heimbüro werden die PCs nun mal für Firmen und private Zwecke gleichzeitig genutzt.
Was kann ich nun also konkret in Sachen Firewall tun?

[lordpeng]

>Ja Outbound Firewall Rules habe ich vor Jahren schon mal probiert,
>aber da ich nicht vor Ort bin, funktioniert bei den Bewohnern dann dauernd irgend ne neue Webseite
das ist nun mal so ... wenn alles offen ist, brauch ich eh ka firewall ...

>Was kann ich nun also konkret in Sachen Firewall tun?
das kommt drauf an, wo deine prioritäten sind, willst du's einfach oder willst du's sicher?

[wikkinger]

Na es muss doch hoffentlich auch ein paar Kompromissvorschlägein der Mitte davon geben?
Also mehr also nur NAT, was auch sicher dafür sorgt das keine LAN Daten ins Internet gelangen, aber auch so frei das die Bewohner nicht dauernd über Probleme klagen.
Also bitte um ein paar Vorschläge und Ideen?

[lordpeng]

>Also bitte um ein paar Vorschläge und Ideen?
erörtere die verwendeten dienste, schalte die ports frei und fertig ...

eigentlich ist schon recht viel damit getan, wenn man alles bis auf die standardports* sperrt alles andere musst halt austesten ...

* 25,53,80,110,143,443,589,993,995

[wicked_one]

Tjoa... kompromiss gibts

Jede Firewall im Passthrough Mode (manchmal auch Transparent genannt) = ne latte an Firewall Features abzüglich Doppelnat...

Guckste bei Meraki MX, Cisco ASA, Barracuda, etc... pp..

[lordpeng]

>Guckste bei Meraki MX, Cisco ASA, Barracuda, etc... pp..
cisco, barracuda, sonicwall, fortinet die könnens aber der graf vigor von draytek? ... da hab ich meine zweifel

[wicked_one]

Wer will schon Draytek

[Gorbag]

Viennaboy wahrscheinlich....

[wicked_one]

Viennaboy wahrscheinlich....

Ne, der steht auf Zyxel