Hi, wie "sinnvoll" ist eine Hardwarefirewall in einem externen router (für den DSL-Anschluß) - kann man da pauschal die Aussage treffen dass man damit auf alle Fälle besser/sicherer dran ist als ohne, oder nützt eine solche Firewall eher nichts?
Ohne passende Konfiguration bringt eine firewall wenig.
wobei man ja eine Firewall im Router nicht sonderlich konfigurieren kann, oder? Ich rede jetzt von den DSL-Routern die man von der Telekom bekommt, präzise gesagt von einem Speedport W701V Ich habe in diesem Menü nie etwas geändert, es ist also alles so wie es die Telekom eingestellt hat. Ich glaube dann sind erstmal nur die Standardports offen (http, pop3, ftp...)
Auf jeden Fall sinnvoller als Softfirewalls á la Zonealarm & Co, da sie nicht so einfach zu umgehen sind. In der Defaulteinstellung der meisten Router schützt sie zumindest vor dem Eindringen von außen. Die Einschränkung abgehender Verbindungen muß erst konfiguriert werden, soweit überhaupt möglich (bei Billigroutern meistens nicht).
okay, ich merke schon, ich muss meine Frage präziser stellen, es gibt zuviele Faktoren die da rein spielen. genau so einen "Billigrouter" habe ich - einen Speedport W701V. die integrierte HW-FW blockt eigentlich alles von aussen ausser den Standardports 80, 21, .... Was ich jetzt nicht weiß ist, ob an diesen Ports wirklich mal was ankommt, ob es Eindringversuche von aussen an nicht-Standardports gibt und ob eine solche Firewall angriffe wirklich sinnvoll abwehrt? WENN es solche Eindringversuche geben sollte, wie sehen die dann aus, sind das einfache pings oder unmengen von Daten wo man versucht das System lahm zu legen oder oder oder... Ich habe echt nicht viel Ahnung von der Materie und will mich damit jetzt einfach mal beschäftigen, ich merke aber dass mir dazu einfach noch ein paar Hintergrundinfos feheln :-(
Naja, solange die Firewall eingehende Packete (UDP, TCP-established) oder Verbindungen (TCP) sofort aussortiert, ist das der Sicherheit schon ziemlich dienlich. Die Frage ist immer, was 'drinnen' los ist: Wenn da z.B. ein Rechner läuft, etwa mit Unix, BSD, Apple oder sowas, dann kann man dort alle Serverdämonen abstellen und damit hat sichs. Wo nix lauscht, kann auch nix angegriffen werden (funktionierender 'Netzwerktreiber' [...] vorausgesetzt). Hat man da allerdings sowas wie Netzwerkdrucker, -kopierer oder sowas stehen, also Geräte, bei denen man nicht mit Sicherheit sagen kann, was wo lauscht, dann hält so eine Firewall eine ganze Menge zurück. Prima Beispiel waren früher die ganzen Dienste unter Windows, die ab Standardkonfiguration aktiv waren, also Samba, Nachrichtendienst, RPC und so weiter, wobei grad letzterer (Remote Procedure Call) ja nicht gerade berühmt für Sicherheit war. Den meisten Leute war garnicht bewusst, dass dort überhaupt etwas lauscht. Recht sinnvoll ist es, einfach mal per SSH auf einen Rechner 'draußen' (Hochschul-Rechenzentrum etc.) zuzugreifen und von da mit nmap den eigenen DSL-Anschluss abklopfen zu lassen.
Man sollte Softwarefirewalls nicht gegen Hardwarefirewalls ausspielen, sie ergaenzen sich. Eine Softwarefirewall ueberwacht welche Programme Verbindung mit draussen aufnehmen. Ein Router hat schon von Hause aus NAT und das muss man explizit oeffnen um von draussen reinzukommen. Sonst muss jede Verbindung von innen kommen. Wobei man nur fuer Serverdienste oeffnet, so man sie denn anbietet.
Wobei 'Softwarefirewall' eh Käse ist... auch der Router hat i.d.R. 'nur' ne Softwarefirewall. Der Unterschied ist, dass diese freistehend ist, d.h. nicht auf einem möglicherweise kompromittierten System läuft.
die Frage ist was du von einer Firewal erwartest. Die Router verhindert zuverlässig das jemand von aussen auf deinen Computer zugreifen kann. Da aber die meisten leute mittlerweile so ein Router haben, gibt es recht wenig angriffe die so ablaufen. viel schlimmer sind die Angriffen die von "innen" kommen. Jedes Programm auf dem Computer kann daten nach außen übertragen. An der stelle hilft nur eine Personal-Firewall auf dem Computer. Aber sie bieten keinen 100% schutz an, weil sie immer irgendwie umgangen werden können.
Auch bei Käse gibt es Hartkäse und Weichkäse -> Wortspalterei. Beim 701V ist die Konfiguration der Firewall beschränkt möglich. Per Default sind alle eingehenden Verbindungen (auch 80, 21 usw.) gesperrt. Man kann sie durch Portweiterleitungen freigeben, macht aber nur Sinn, wenn du z.B. einen Webserver von außen zugänglich machen willst oder bestimmte Ports für Onlinegames oder ähnliches benötigt werden. Der Datenverkehr nach außen kann durch Filterfunktionen begrenzt werden, sowohl durch vor- als auch benutzerdefinierte Sperren (Menü Sicherheit-Filterfunktion).
An der Stelle hilft auch eine vernüftige dedizierte Firewall. Nimmt man etwa iptables, so kann man mit den conntrack-Modulen auch noch in die Pakete reingucken.
Hallo, Routersammler schrieb: > genau so einen "Billigrouter" habe ich - einen Speedport W701V. > die integrierte HW-FW blockt eigentlich alles von aussen ausser den > Standardports 80, 21, .... Sie blockt ALLES von Außen (Ausnahme sind eingebaute Löcher bei einigen Routern für Wartungs-/Updateports, die einge Hersteller incl. Telekom manchmal hinterlassen und nicht dokumentieren...) > Was ich jetzt nicht weiß ist, ob an diesen Ports wirklich mal was > ankommt, ob es Eindringversuche von aussen an nicht-Standardports gibt > und ob eine solche Firewall angriffe wirklich sinnvoll abwehrt? Die Teile sind recht zuverlässig dicht von Außen, mit sehr bösen Methoden war maximal ein Absturz des Routers zu erreichen, DLink614 und W500V, getestet von einem Bekannten mit geeigneten Tools...). Zugriffe von Außen werden nur durch entsprechendes Portforwarding/virtueller Server per Einstellung im Router erlaubt. > WENN es solche Eindringversuche geben sollte, wie sehen die dann aus, > sind das einfache pings oder unmengen von Daten wo man versucht das > System lahm zu legen oder oder oder... Einige loggen das mit, die billigen meist nicht. Ping-Flood oder DDOS kann natürlich die Leitung komplett ausbremsen, ist mir noch nie passiert, warum sollte auch jemand eine dynamische IP angreifen wollen? Gruß aus Berlin Michael
ich halte es doch für wichtig zu erwähnen das es solche und solche Firewalls in Routern gibt. Denn nicht überall wo Firewall drauf steht ist auch SPI drin. Und nur eine SPI würde ich auch als Firwall bezeichnen.
https://www.grc.com/x/ne.dll?bh0bkyd2 ist ein ganz guter port scanner, damit kann man gut überprüfen ob der Router irgendeinen port gerade offen hat
Eine Hardwarefirewall im Router bringt auf jeden Fall mehr als eine Windooffirewall. Die Frage ist jedoch inwieweit sich der Vertreiber des Routers (Internetanbieter) sich das Recht rausnimmt, über die Firmware, die Firewall selbst extern zu konfigurieren. Der Telekom würde ich in diesem Punkt jedenfalls nicht trauen.
min schrieb: > Eine Hardwarefirewall im Router bringt auf jeden Fall mehr als eine > Windooffirewall. Die Frage ist jedoch inwieweit sich der Vertreiber des > Routers (Internetanbieter) sich das Recht rausnimmt, über die Firmware, > die Firewall selbst extern zu konfigurieren. Der Telekom würde ich in > diesem Punkt jedenfalls nicht trauen. Gerade bei diesem Punkt würde ich mir keine Gedanken machen. Was sollte das bringen? Eher würde ich drauf achten das die Firewall nicht von innen automatisch (UPnP) aufgebohrt wird.
Hallo, Reinhard S. schrieb: > min schrieb: >> Eine Hardwarefirewall im Router bringt auf jeden Fall mehr als eine >> Windooffirewall. Die Frage ist jedoch inwieweit sich der Vertreiber des >> Routers (Internetanbieter) sich das Recht rausnimmt, über die Firmware, >> die Firewall selbst extern zu konfigurieren. Der Telekom würde ich in >> diesem Punkt jedenfalls nicht trauen. > > Gerade bei diesem Punkt würde ich mir keine Gedanken machen. Was sollte > das bringen? Eher würde ich drauf achten das die Firewall nicht von > innen automatisch (UPnP) aufgebohrt wird. Sehe ich nicht so. Ein von außen offener Port, der auf den Router zugreifen kann ist ein potenzielles Risiko wenn das Ziel nicht passend abgesichert ist. Er ist ein echtes Risoko, wenn mir selbiger Zustand nichtmal von Hersteller bekannt gemacht wird und dann im I-Net bekannt wird. Irgendjemand kann sich da dann den "Spaß" machen, einen Bug in der Firmware zu suchen und zu nutzen. UPnP ist da heut sicher auch ein Problem, allerdings hilft die Routerfirewall sowieso nciht dagegen, wenn ein Programm von Innen den Laden aufmacht... Gruß aus Berlin Michael
Wenn Router mit Feuermauer auch nur einen einzigen Port ohne Zustimmung des Anwenders (besser Eigentümers) eingangsseitig offenhalten so ist das ein Skandal! Gibt es dafür Beispiele? Würde mich mal interessieren.
> Wenn Router mit Feuermauer auch nur einen einzigen Port ohne Zustimmung > des Anwenders (besser Eigentümers) eingangsseitig offenhalten so ist das > ein Skandal! > Gibt es dafür Beispiele? Würde mich mal interessieren. liest dir doch mal durch was UPNP ist. Es macht auch teilweise sinn. Dann kann z.b. eine Serverdienst extra einen Port anfordern der von aussen erreichbar ist. Willst du wirklich einem Anwender erklären was ein Portforwarding ist? Selbst wenn der Firewall alle Ports offen hat und an dem PC weiterreicht ist das meist auch kein Problem. Denn die Windowsfirewall ist seit XP SP2 genausso dicht wie die Firewall im Router.
Peter schrieb: >> Wenn Router mit Feuermauer auch nur einen einzigen Port ohne Zustimmung >> des Anwenders (besser Eigentümers) eingangsseitig offenhalten so ist das >> ein Skandal! >> Gibt es dafür Beispiele? Würde mich mal interessieren. > liest dir doch mal durch was UPNP ist. Es macht auch teilweise sinn. > Dann kann z.b. eine Serverdienst extra einen Port anfordern der von > aussen erreichbar ist. Willst du wirklich einem Anwender erklären was > ein Portforwarding ist? Selbst wenn der Firewall alle Ports offen hat > und an dem PC weiterreicht ist das meist auch kein Problem. Denn die > Windowsfirewall ist seit XP SP2 genausso dicht wie die Firewall im > Router. Darum geht es doch nicht, Peter. Ich weiß sehrwohl was UPNP ist. Ich wollte nur wissen welche Router nachweislich einen "undokumentierten" Fernwartungszugang besitzen. Asche auf mein Haupt wenn ich mich undeutlich ausgedrückt haben sollte.
undokumentiert vilt. nicht, aber die Speedport-Router haben i.d.R. eine autom. Updatefuntion.
Gerry E. schrieb: > Ich wollte nur wissen welche Router nachweislich einen > "undokumentierten" Fernwartungszugang besitzen. Asche auf mein Haupt > wenn ich mich undeutlich ausgedrückt haben sollte. http://www.heise.de/netze/artikel/DSL-fernkonfiguriert-221789.html Die Frage ist welche aktuellen DSL-Modems/Router-(Kombinationen) TR-069 nicht unterstützen bzw. so vom ISP gebrandet sind, das man die autom. Updates noch abschalten kann...
Aber selbst das Automatische Update, besser bekannt als TR.069, ist nicht nach aussen offen, sondern ein dienst, der regelmäßig den Konfigurationsserver des Betreibers pollt. EDIT: Ach mist. Zu lange gewartet mit der Antwort... _.-=: MFG :=-._
Danke, das mit dem TR-069 war mir bis jetzt unbekannt. Machen die Fritz-Boxen das auch? Bei meiner 7150 musste ich die Updates immer selber veranlassen...
Die Fritz-Boxen können das auch, aber wenn du die nicht gerade bei einem Provider (1&1, Alice etc) gekauft hast, dürfte TR069 ausgeschalten sein. o.g. Provider nutzen TR069 (meines Wissens nach) intensiv - bei 1u1 wird es zusammen mit dem "Startcode" verwendet, um die gesamte DSL/VoIP-Konfiguration vom Benutzer abzuschotten. _.-=: MFG :=-._
Hersteller-Passworte ändern und Änderung notieren, könntE auch eine sehr nützliche Maßnahme sein...
Markus ---- schrieb: > Die Fritz-Boxen können das auch, aber wenn du die nicht gerade bei einem > Provider (1&1, Alice etc) gekauft hast, dürfte TR069 ausgeschalten sein. > > o.g. Provider nutzen TR069 (meines Wissens nach) intensiv - bei 1u1 wird > es zusammen mit dem "Startcode" verwendet, um die gesamte > DSL/VoIP-Konfiguration vom Benutzer abzuschotten. Die DTAG auch, zumindest konfigurieren sich die aktuellen Speedports auch ziemlich eigenständig.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.