Firewall hinter ADSL Modem nötig?

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Firewall hinter ADSL Modem nötig?

Beitragvon wikkinger » Di 01 Nov, 2016 03:33

Beim Heimbüro wo ja auch wichtige Firmendaten liegen, war es mir bisher zuwider die LAN-Computer direkt hinter den ADSL Modem/Router zu hängen. Stattdessen habe ich einen eigenen Router von Draytek(mit Stateful Inspection Firewall) dahinter gesetzt, wo man die Firewall detaillierter selber konfigurieren kann.

Irgendwie habe ich immer befürchtet, dass wenn die Windows PCs direkt am ADSL-Router hängen, vielleicht durch Fehlkonfiguration oder so z.B.: die Netzwerk-Freigaben direkt im Internet sichtbar sind, Windows versehentlich LAN-Daten ins Internet routet oder ein Hacker sich einfachen Zugriff von außen auf die Ordner-Freigaben verschaffen kann.

Bei aktuellen Internet Produkten wie dem neuen A1 Hybrid muss man aber deren Router behalten und ich hätte mit meinem Router dahinter ein Doppel-NAT. (Beim A1 Hybrid Router kann man z.B. gar keine Firewall Einstellungen vornehmen?!)
Im Internet-Router die IP des zweiten Routers in die DMZ verschieben hilft zwar bei Portweiterleitungen, usw., aber trotzdem bleibt es ein blödes Doppelt-NAT.

Was meinen nun also Firewall Profis dazu?
Doch nur den ADSL-Router benutzen, wo nur das NAT als einzige Sicherheitsfunktion dient?
Oder habe ich mit einem zweiten Router(nur als Firewall genutzt) dahinter und ein paar Firewall-Regeln deutlich mehr Sicherheit?
wikkinger
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 337
Registriert: Di 23 Nov, 2004 02:14

Re: Firewall hinter ADSL Modem nötig?

Beitragvon Viennaboy » Di 01 Nov, 2016 11:21

Wenn du das Modem in einen Single User Mode schalten kannst dann kannst du dein eigenes ja dahinter hängen?
Viennaboy
Advanced Power-User
Advanced Power-User
 
Beiträge: 3803
Registriert: So 04 Nov, 2007 23:52

Re: Firewall hinter ADSL Modem nötig?

Beitragvon canyon123 » Di 01 Nov, 2016 17:35

IMHO sind das gefährlichste auf einer Firewall bzw. Router 'offene' Dienste, also services die via Port erreichbar sind.(Webinterface, ssh, ftp und weiß ich was). Kann man vom Internet aus auf diese Services zugreifen und es gibt Schwachstellen, kann ein Angreifer deinen Router über diesen Dienst kompromittieren und dann unter Umständen auch auf dein LAN zugreifen. (Frei nach dem Motto: Bin ich am Router/FW, bin ich auch im LAN)
Nun kann man diese Ports schließen, aber selbst da gibt es immer die Möglichkeit, dass jemand über Umwege doch auf den Port Zugriff bekommt (siehe Beispiel unten). Am besten alles abdrehen, (was man nicht braucht.)
Wenn du jetzt dahinter noch einen Router schaltest, wirds natürlich dementsprechend schwieriger für einen Angreifer.

Nur darf man nicht immer den Fall betrachten, dass jemand von aussen aktiv zugreift. In der Regel haben alle clients eine default route auf deren Gateway (Router/FW) und oft wird auf diesem Gateway ein unbedingtes forward + masquerade eingerichtet. Nun können Clients ungehindert ins Internet 'rausplärrn'

Beispiel:
Ein Client hat sich eine Schadsoftware eingefangen (email, USB stick etc.) Aufgrund der default route + masquerade kann diese software problemlos eine Verbindung zu einem Rechner im Internet aufbauen (z.B. einen Tunnel aufbauen) über den der Angreifer ungehindert ins Netz kommt. Das können 5 vorgeschaltete Firewalls nicht verhindern, wenn diese nur dumm weiterrouten und maskieren. Ausgehend von diesem Client kann sich der Angreifer dann austoben und problemlos auf Dienste (auch auf anderen Rechner) zugreifen, welche vom Internet aus nicht erreichbar sind.

Ich kann dir nicht sagen, ob es ausreichend ist, nur den A1 Router vorzuschalten. Einen zweiten Router nachzuschalten, erhöht die Sicherheit, ja, ob das dann ausreichend ist bzw. ob es dafür steht, muss jeder selbst beurteilen und hängt vom Sicherheitskonzept ab. (Was will ich schützen,?was passiert, wenn jemand Zugriff hat? Was passiert, wenn jemand die Daten löscht? etc.)
canyon123
Board-Mitglied
Board-Mitglied
 
Beiträge: 116
Registriert: Mo 14 Dez, 2015 22:41

Re: Firewall hinter ADSL Modem nötig?

Beitragvon wikkinger » Di 01 Nov, 2016 17:59

Also Portweiterleitungen gibt es dort zu mehreren PCs jeweils für ein Fernwartungsprogramm(aber zuletzt benutzte ich stattdessen nur Teamviewer) und ein paar Ports für eine Netzwerk-Kamera.

Aber was machen kleinere Firmen in Sachen Firewall denn so um ihr LAN vom Internet abzuschirmen, ohne dabei die DAU Nutzer dahinter zu sehr einzuschränken?
wikkinger
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 337
Registriert: Di 23 Nov, 2004 02:14

Re: Firewall hinter ADSL Modem nötig?

Beitragvon Riddik » Di 01 Nov, 2016 19:04

(aber zuletzt benutzte ich stattdessen nur Teamviewer)

Genau das, das Canyon beschrieb. Diese Programme bauen von innen nach aussen eine Verbindung auf - einmal
kompromittiert nutzen 10 Firewalls nichts ;) Wenns hart gesichert haben willst musst inbound und outbound access
kontrollieren.

Aber was machen kleinere Firmen in Sachen Firewall denn so um ihr LAN vom Internet abzuschirmen, ohne dabei die DAU Nutzer dahinter zu sehr einzuschränken?

Ganz einfach - beides geht nicht. Entweder Sicherheit oder Freiheit. Das hängt von den Daten hab die gesichert
werden sollen. Firmen PC sind kein Spielzeug und sollten generell mit entsprechenden Restriktionen versehen sein.
Wenn dann Internet zur Verfügung stehen soll - z.B. fürs Handy - dann muss das komplett separiert maximal ins Internet dürfen. Dies kann man auch noch fürs LAN segmentieren - das wäre dann ein "mehrstufiges Sicherheitskonzept".

Nur von aussen den Zugriff blockieren, dafür reicht NAT schon aus. Wobei ich mir überlegen würde tatsächlich das
Hybrid Zeugs anzutun für Firmenzugang. Den Spass kriegst auch so mitm ZTE ;)
____________________________________________________
Lg Riddik
Riddik
Board-User Level 1
Board-User Level 1
 
Beiträge: 631
Registriert: Di 14 Feb, 2012 09:44

Re: Firewall hinter ADSL Modem nötig?

Beitragvon wikkinger » Di 01 Nov, 2016 22:38

Ja Outbound Firewall Rules habe ich vor Jahren schon mal probiert, aber da ich nicht vor Ort bin, funktioniert bei den Bewohnern dann dauernd irgend ne neue Webseite, Anwendung, usw. nicht mehr.
Und im Heimbüro werden die PCs nun mal für Firmen und private Zwecke gleichzeitig genutzt.
Was kann ich nun also konkret in Sachen Firewall tun?
wikkinger
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 337
Registriert: Di 23 Nov, 2004 02:14

Re: Firewall hinter ADSL Modem nötig?

Beitragvon lordpeng » Mi 02 Nov, 2016 12:29

>Ja Outbound Firewall Rules habe ich vor Jahren schon mal probiert,
>aber da ich nicht vor Ort bin, funktioniert bei den Bewohnern dann dauernd irgend ne neue Webseite
das ist nun mal so ... wenn alles offen ist, brauch ich eh ka firewall ...

>Was kann ich nun also konkret in Sachen Firewall tun?
das kommt drauf an, wo deine prioritäten sind, willst du's einfach oder willst du's sicher?
lordpeng
Moderator
Moderator
 
Beiträge: 10099
Registriert: Mo 23 Jun, 2003 22:45
Wohnort: 47.342367N 14.144035E

Re: Firewall hinter ADSL Modem nötig?

Beitragvon wikkinger » Do 03 Nov, 2016 14:55

Na es muss doch hoffentlich auch ein paar Kompromissvorschlägein der Mitte davon geben?
Also mehr also nur NAT, was auch sicher dafür sorgt das keine LAN Daten ins Internet gelangen, aber auch so frei das die Bewohner nicht dauernd über Probleme klagen.
Also bitte um ein paar Vorschläge und Ideen?
wikkinger
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 337
Registriert: Di 23 Nov, 2004 02:14

Re: Firewall hinter ADSL Modem nötig?

Beitragvon lordpeng » Do 03 Nov, 2016 17:38

>Also bitte um ein paar Vorschläge und Ideen?
erörtere die verwendeten dienste, schalte die ports frei und fertig ...

eigentlich ist schon recht viel damit getan, wenn man alles bis auf die standardports* sperrt alles andere musst halt austesten ...

* 25,53,80,110,143,443,589,993,995
lordpeng
Moderator
Moderator
 
Beiträge: 10099
Registriert: Mo 23 Jun, 2003 22:45
Wohnort: 47.342367N 14.144035E

Re: Firewall hinter ADSL Modem nötig?

Beitragvon wicked_one » Do 03 Nov, 2016 19:04

Tjoa... kompromiss gibts

Jede Firewall im Passthrough Mode (manchmal auch Transparent genannt) = ne latte an Firewall Features abzüglich Doppelnat...

Guckste bei Meraki MX, Cisco ASA, Barracuda, etc... pp..
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12165
Registriert: Mo 18 Apr, 2005 20:14

Re: Firewall hinter ADSL Modem nötig?

Beitragvon lordpeng » Do 03 Nov, 2016 21:42

>Guckste bei Meraki MX, Cisco ASA, Barracuda, etc... pp..
cisco, barracuda, sonicwall, fortinet die könnens aber der graf vigor von draytek? ... da hab ich meine zweifel
lordpeng
Moderator
Moderator
 
Beiträge: 10099
Registriert: Mo 23 Jun, 2003 22:45
Wohnort: 47.342367N 14.144035E

Re: Firewall hinter ADSL Modem nötig?

Beitragvon wicked_one » Sa 05 Nov, 2016 07:08

Wer will schon Draytek ^^
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12165
Registriert: Mo 18 Apr, 2005 20:14

Re: Firewall hinter ADSL Modem nötig?

Beitragvon Gorbag » Mo 07 Nov, 2016 07:37

Viennaboy wahrscheinlich.... ;)
Ich hasse Leute, die mitten im Satz
Gorbag
Advanced Power-User
Advanced Power-User
 
Beiträge: 3195
Registriert: Mo 19 Jul, 2004 10:39
Wohnort: Graz / Thal

Re: Firewall hinter ADSL Modem nötig?

Beitragvon wicked_one » Mo 07 Nov, 2016 21:03

Gorbag hat geschrieben:Viennaboy wahrscheinlich.... ;)

Ne, der steht auf Zyxel
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12165
Registriert: Mo 18 Apr, 2005 20:14


Zurück zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste