Router mit integr. Firewall - wirklich sicher?
Achim Müller
Eine ganz laienhafte Frage, es kommt immer mal wieder die Behauptung ein
Router mit integrierter Firewall (z.B. Teledat 400) schütze die dahinter
liegenden Rechner sehr wirkungsvoll, da ein möglicher Angriff quasi nur auf
den Router zugreift - nicht aber die dahinter liegenden Rechner erreichen
*kann*?
Was ist von dieser Aussage im allgemeinen zu halten - das es sicherlich für
hochqualifizierte Cracks Möglichkeiten gibt jede Sicherung zu überwinden ist
mir schon bewußt, aber ich ziele mit dieser Fragestellung auf den kleinen,
eigentlich unwichtigen Privatuser - bringt dem diese Investition in Punkto
Sicherheit wirklich etwas?
Gerade im Vergleich zu den mittlerweile recht verbreiteten "Personal
Firewall" würde mich das interessieren?
--
Achim Müller
mu4...@yahoo.de
So genial wie einfach:
eplus "Professional S"
(1/1 Taktung).
Juergen P. Meier
begin 1 followup to Achim Müller:
> Eine ganz laienhafte Frage, es kommt immer mal wieder die Behauptung ein
> Router mit integrierter Firewall (z.B. Teledat 400) schütze die dahinter
> liegenden Rechner sehr wirkungsvoll,
Um diese "Aussage" zu einem sinnvollen Satz zu machen fehlt hier der
Teil 'schuetzt .... vor $BEDROHUNG'.
> da ein möglicher Angriff quasi nur auf
> den Router zugreift - nicht aber die dahinter liegenden Rechner erreichen
> *kann*?
Ein Router routet Pakete. Das ist seine primaere Aufgabe. Daher kann
ein Router auch dahinterliegende Rechner nicht vor igendwelchen nicht
naeher spezifizierten Bedrohungen schuetzen.
> Was ist von dieser Aussage im allgemeinen zu halten - das es sicherlich für
> hochqualifizierte Cracks Möglichkeiten gibt jede Sicherung zu überwinden ist
> mir schon bewußt, aber ich ziele mit dieser Fragestellung auf den kleinen,
> eigentlich unwichtigen Privatuser - bringt dem diese Investition in Punkto
> Sicherheit wirklich etwas?
Das Kommt Darauf An[tm].
Eine Schutzmassnahme kann nunmal nur vor einer bestimmten Menge von
Bedrohungen schuetzen. Sind diese Bedrohungen jedoch garnicht
Relevant, ist das eher Geld-zum-Fenster-rauswerf, womit
Microsoftkunden jedoch viel Erfahrung haben.
> Gerade im Vergleich zu den mittlerweile recht verbreiteten "Personal
> Firewall" würde mich das interessieren?
Personal Firewalls sind Schlangenoelprodukte (Placebos,
Marketingseifenblasen, konzeptioneller Schrott... Such dir was
passendes aus). Paketfilter auf Routern mit abgespecktem OS sind
hingegen konzptionell dazu geeignet, Datenverkehr zwischen Netzen zu
filtern, koennen also durchaus eine wirksame Komponente in der
Umsetzung eines Sicherheitskonzeptes (aka Firewall) sein.
Ein Hostbasierter Filter, vor allem auf einem Mickeysoft Wintendo OS,
benoetigt sehr strenge und praxisferne Randbedingungen (Benutzer darf
keine System- oder Adminprivilegien haben, *kein* Programm das der
Benutzer benutzen darf, darf System- oder Adminprivilegien haben,
keine Konzeptionell unsichere Software darf laufen (Office, Outlook,
Outlook Express, IE, ...) und der Benutzer darf keine aktiven Inhalte
von externen Quellen ausfuehren.). Ist also idR. kein wirkungsfolles
Mittel der Umsetzung einer Sicherheitsvorgabe.
Das steht aber auch alles in der dcsf-FAQ. (Google hilft)
> --
Erst durch ein Leerzeichen ( ) nach den beiden strichen wird das zu
einem Signaturabtrenner, und damit das unten zu einer Signatur.
> Achim Müller
> mu4...@yahoo.de
> So genial wie einfach:
> ***** "Professional S"
> (1/1 Taktung).
Ansonsten ist das hier Werbung und eine Verletzung der Netiquette und
den Nutzungsbestimmungen fast aller am Usenet teilnehmender Newsserver.
(Abgesehen davon, das deine Signatur eine Zeile zu viel ist).
HTH,
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
USENET incompatible and broken newsreaders are not supported.
Don't complain to me! Complain to the vendor of your software.
Bernd Eckenfels
> Gerade im Vergleich zu den mittlerweile recht verbreiteten "Personal
> Firewall" würde mich das interessieren?
Beide bieten so gut wie keinen Schutz für Anwendungen die mit dem Internet
kommunizieren und ein Sicherheitsproblem haben, wie z.b. ein Internet
Explorer oder ein User der Pamela Anderson Bildschirmschoner herunterläd.
Bei der ausgehenden Filterung haben beide wenige Informationen um zu
entscheiden ob eine Kommunikation erwuenscht ist. Die PErsonal Firewall hat
etwas mehr Informationen kann dafuer etwas einfacher umgangen werden.
Gruss
Bernd
--
eckes privat - http://www.eckes.org/
Project Freefire - http://www.freefire.org/
Olaf Erkens
> Eine ganz laienhafte Frage, es kommt immer mal wieder die Behauptung ein
> Router mit integrierter Firewall (z.B. Teledat 400) schütze die dahinter
> liegenden Rechner sehr wirkungsvoll, da ein möglicher Angriff quasi nur auf
> den Router zugreift - nicht aber die dahinter liegenden Rechner erreichen
> *kann*?
>
> Was ist von dieser Aussage im allgemeinen zu halten
Nichts - wenn sie absolut betrachtet wird. Auch in eine Firewall
schaltest du Lücken, damit die dahinter liegenden Rechner im Internet
arbeiten können. Was du verhinderst, ist unberechtigter Zugriff über
TCP-Ports, den du nicht zulassen willst.
> - das es sicherlich für hochqualifizierte Cracks Möglichkeiten gibt jede
> Sicherung zu überwinden ist mir schon bewußt, aber ich ziele mit dieser
> Fragestellung auf den kleinen, eigentlich unwichtigen Privatuser - bringt
> dem diese Investition in Punkto Sicherheit wirklich etwas?
Ja - wenn man weiß, was man da konfiguriert. Und ob ein Privatuser
wichtig ist, interessiert einen Virus oder Dialer im Zweifel überhaupt
nicht. Allerdings hebelst du natürlich eine Firewall auch dannn aus,
wenn du zwar nur bestimmte, gewünschte Ports offen läßt, dann aber auf
dem verwendeten OS unsichere Software wie IE, OE oder Outlook horcht.
Da nutzt dann die beste Firewall nichts.
> Gerade im Vergleich zu den mittlerweile recht verbreiteten "Personal
> Firewall" würde mich das interessieren?
Die Frechheit an dem Produkt ist die Bezeichnung "Firewall". Wenn du
für eine ordentliche Firewall noch einen versierten Hacker brauchst,
um da durch zu kommen, reichen für das Microschrottteil ein paar
Programmzeilen, um es zu umgehen oder gleich ganz auszuschalten.
Olaf
--
********************* OLAF ERKENS **********************
FJ@#RRR http://www.wiso.uni-dortmund.de/~FJ
FJ1200 3YA BJ93 200Mm rrr#25
Engine replaced ... up and running wonderful :-)
Lutz Donnerhacke
> "Achim Müller" <mu4...@yahoo.de> wrote:
>> Eine ganz laienhafte Frage, es kommt immer mal wieder die Behauptung ein
>> Router mit integrierter Firewall (z.B. Teledat 400) schütze die dahinter
>> liegenden Rechner sehr wirkungsvoll, da ein möglicher Angriff quasi nur auf
>> den Router zugreift - nicht aber die dahinter liegenden Rechner erreichen
>> *kann*?
>>
>> Was ist von dieser Aussage im allgemeinen zu halten
>
> Nichts - wenn sie absolut betrachtet wird. Auch in eine Firewall
> schaltest du Lücken, damit die dahinter liegenden Rechner im Internet
> arbeiten können. Was du verhinderst, ist unberechtigter Zugriff über
> TCP-Ports, den du nicht zulassen willst.
Nein, das tut er nicht. Der o.g. Router muß nicht mal eine ordentliche NAT
Implementierung haben, so daß man beliebige Durchgriffe auf die dahinter
liegenden Systeme bekommen kann.
> Ja - wenn man weiß, was man da konfiguriert.
Wohl wahr.
> Und ob ein Privatuser wichtig ist, interessiert einen Virus oder Dialer
> im Zweifel überhaupt nicht. Allerdings hebelst du natürlich eine Firewall
> auch dannn aus, wenn du zwar nur bestimmte, gewünschte Ports offen läßt,
> dann aber auf dem verwendeten OS unsichere Software wie IE, OE oder
> Outlook horcht. Da nutzt dann die beste Firewall nichts.
Richtig.
Achim Müller
"Olaf Erkens" <O.Er...@wiso.uni-dortmund.de> schrieb im Newsbeitrag
news:at7mn5$n3d$1...@nx6.HRZ.Uni-Dortmund.DE...
"Achim Müller" <mu4...@yahoo.de> wrote:
>> Gerade im Vergleich zu den mittlerweile recht verbreiteten "Personal
>> Firewall" würde mich das interessieren?
>Die Frechheit an dem Produkt ist die Bezeichnung "Firewall". Wenn du
>für eine ordentliche Firewall noch einen versierten Hacker brauchst,
>um da durch zu kommen, reichen für das Microschrottteil ein paar
>Programmzeilen, um es zu umgehen oder gleich ganz auszuschalten.
Wieso "Microschrottteil", ich habe schon von Norton, Mc Affee usw. gehört
aber eine Personal Firewall von MS?
Peter Höbel
also die Anfangsfrage war doch ganz sachlich. Wie sich nun das Thema entwickelt
hat ist aber enttäuschend. Wenige wissen etwas und wollen allen zeigen, dass der
Rest der Welt dumm ist.
Hat denn keiner Mut und schreibt mal was vernünftiges zusammen? Auch wenn MS
immer als das unglücklichste Produkt bezeichnet wird, komisch ca. 80-90% setzen
es ein.
Warum kann es keine klaren Aussagen geben? Der Werbung muß man nicht glauben,
also sucht man Hilfe in solchen Foren. Was erhält man? Ähnliche Märchenstunde
wie in der Werbung. Schade !
Peter
Andreas Mueller
> wenn du zwar nur bestimmte, gewünschte Ports offen läßt, dann aber auf
> dem verwendeten OS unsichere Software wie IE, OE oder Outlook horcht.
> Da nutzt dann die beste Firewall nichts.
Gehen wir doch mal von folgender Situation aus:
Alle Ports bis auf Nr. 80 zum Surfen sind gesperrt.
Annahme 1: Der User surft "normal". Kein Programm ist abgestürzt.
Annahme 2: Der Browser ist gecrasht das System hängt sich aber nicht
auf. Es wird Win2k benutzt.
Weder bei 1 noch bei 2 fällt mir auf Anhieb ein, wie ein Hacker
auf das Dateisystem zugreifen kann. Wie soll das gehen? Kann das bitte
jemand erklären?
Ist es eigentlich möglich die im Router eingebaute Firewall zum
Absturz zu bringen?
danke und tschuess
Andreas
Achim Müller
"Peter Höbel" <peter....@t-online.de> schrieb im Newsbeitrag
news:3DF7C151...@t-online.de...
> Hallo,
> also die Anfangsfrage war doch ganz sachlich. Wie sich nun das Thema
> entwickelt hat ist aber enttäuschend. Wenige wissen etwas und wollen
> allen zeigen, dass der Rest der Welt dumm ist.
> Märchenstunde wie in der Werbung. Schade !
Ach Peter, da rege ich mich schon lange nicht mehr drüber auf, das ist in
Newsgroups leider fast normal;-(
Frustrierte Wichtigtuer finden sich in allen Newsgroups. Es wird tendenziell
weit mehr gemeckert als es sachlich angebracht wäre. Da ist nat. MS das
schlechteste und unbrauchbarste BS der Welt, GMX funktioniert so gut wie
nie, die Telekom - immer wieder gern als "Teuerkom" verunglimpft - ist nat.
auch Mist, t-online sowieso und nat. taugt auch eplus als Mobilfunkanbieter
nichts - die Liste ließe sich beliebig fortsetzen....
Dem stehen in allen genannten Bereichen Millionen zufriedener Kunden
gegenüber, die (Gott sei Dank) von all dem Gejammer in den jeweiligen
Newsgroups nicht, aber auch gar nichts mitkriegen ;-)
Generell neigen viele der besonders eifrigen Newsgroupschreiber - besonders
die Gruppe der allseits beliebten "Netzsheriffs" - dazu, sich und ihre
Wirkung auf die Produkt/Marketingpolitik der von ihnen kritisierten
Unternehmen maßlos zu überschätzen! Viele der geschilderten Personen
vergessen, das die Gesamtzahl der regelmäßigen Newsgroupleser im Verhältnis
zur Gesamtkundenzahl der jeweils geschmähten Unternehmen so lächerlich klein
ist (Promillebereich), das es den besagten Unternehmen schlichtweg
scheißegal ist was in Newsgroups geschrieben wird - sofern sie es denn
überhaupt mitkriegen ;-(
Also lese ich die Newsgroups immer wieder wegen der überwiegenden Zahl der
netten, kompetenten und hilfsbereiten Teilnehmer, ignoriere die Wichtigtuer
und stecke die ganz lästigen Netzsheriffs einfach in´s Killfile - so macht
die Teilnahme an Newsgroups letztlich doch noch Spaß ;-)
Lutz Donnerhacke
> also die Anfangsfrage war doch ganz sachlich. Wie sich nun das Thema
> entwickelt hat ist aber enttäuschend.
Richtig.
> Wenige wissen etwas und wollen allen zeigen, dass der Rest der Welt dumm
> ist.
Nein. Es wurden dem Fragesteller Informationen angeboten, die dieser nicht
zur Kenntnis nehmen wollte. Wie soll man da reagieren? Vorlesen?
> Hat denn keiner Mut und schreibt mal was vernünftiges zusammen?
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html exisitiert und
wurde im Thread auch als Information rübergereicht. Dem Fragesteller ist das
aber nicht genehm. Er wollte es nicht mal lesen.
> Auch wenn MS immer als das unglücklichste Produkt bezeichnet wird,
> komisch ca. 80-90% setzen es ein.
Es ist eben dabei und man muß nicht mitdenken. Was erwartest Du?
> Warum kann es keine klaren Aussagen geben? Der Werbung muß man nicht
> glauben, also sucht man Hilfe in solchen Foren. Was erhält man? Ähnliche
> Märchenstunde wie in der Werbung. Schade!
Warum liest auch Du nicht die FAQ, bevor Du Dich aufregst?
Henning Schlottmann
F'up2 nach dcsf, aber in dc.hardware bist du mit deiner Frage grob
falsch]
Andreas Mueller wrote:
>
> Gehen wir doch mal von folgender Situation aus:
>
> Alle Ports bis auf Nr. 80 zum Surfen sind gesperrt.
Was soll das? Du kennst offenbar nicht mal den Unterschied zwischen
einem Server und einem Client. Bitte lies die FAQ zu dcsf und ein paar
der dort genannten Quellen. Der Web-Server muss auf Port 80 erreichbar
sein, du bist nur Client und die Kommunikation findet auf deiner Seite
über high-ports statt.
Deine weitere Frage beruht schlicht auf fehlendem Verständnis.
> Ist es eigentlich möglich die im Router eingebaute Firewall zum
> Absturz zu bringen?
Bei grob fehlerhafter Konfiguration ist ne Menge möglich. Aber ein
vernüftiges System macht einfach zu, wenn die Firewall nicht mehr
entsprechend den Spezifikationen arbeitet.
Ciao Henning
Heiko Gilles
> Gehen wir doch mal von folgender Situation aus:
>
> Alle Ports bis auf Nr. 80 zum Surfen sind gesperrt.
>
> Annahme 1: Der User surft "normal". Kein Programm ist abgestürzt.
> Annahme 2: Der Browser ist gecrasht das System hängt sich aber nicht
> auf. Es wird Win2k benutzt.
>
> Weder bei 1 noch bei 2 fällt mir auf Anhieb ein, wie ein Hacker
> auf das Dateisystem zugreifen kann. Wie soll das gehen? Kann das bitte
> jemand erklären?
Erklärung: Ein Fehler im Brower muss nicht immer bedeuten, dass er
abstürtzt. Er kann auch einfach was ganz anderes machen, z.B.
Daten wild im Speicher rumkopieren, wobei die Daten dann auch im
Sendequeue der ISDN-Karte landen können.
Was so Programme bei einem Fehler machen, lässt sich manchmal auch
von außen steuern, wenn man nämlich Daten an den Rechner senden
kann. Im Fall eines Browsers kann das jeder Betreiber einer
Internetseite, die du besuchst, wenn er eine entsprechend
präparierte Seite hinterlegt.
--
Heiko
Timo Kehler
>
> können? Das ist doch Quatsch³. Das brauchst Du wenn Du einen Server
> betreibst und von aussen jemand drauf zugreifen soll - aber zum surfen
> brauchst Du den ganz sicher nicht.
iptables -A OUTPUT -dport 80 -j DROP
oder
iptables -A INPUT -sport 80 -j DROP
Bei beiden Regeln wünsch ich dir viel Spaß beim surfen.
Olaf Erkens
> >Die Frechheit an dem Produkt ist die Bezeichnung "Firewall". Wenn du
> >für eine ordentliche Firewall noch einen versierten Hacker brauchst,
> >um da durch zu kommen, reichen für das Microschrottteil ein paar
> >Programmzeilen, um es zu umgehen oder gleich ganz auszuschalten.
>
> Wieso "Microschrottteil", ich habe schon von Norton, Mc Affee usw. gehört
> aber eine Personal Firewall von MS?
Sorry - kleiner Lapsus - "Personal Webserver" heißt das Schrottteil,
was mir da im Hinterkopf wohl rumschwirrte. Aber letztlich meinte ich
schon, wie korrekt bemerkt, die Teile wie Norotn PF oder IS, Zonealarm
und Konsorten.
Ändert aber nichts an der Grundaussage, daß die ganzen Personal
Firewalls letzlich für die Katz sind.
Michael Landenberger
> Beide bieten so gut wie keinen Schutz für Anwendungen die mit dem
> Internet kommunizieren und ein Sicherheitsproblem haben, wie z.b. ein
> Internet Explorer oder ein User der Pamela Anderson Bildschirmschoner
> herunterläd.
Der beste Schutz gegen das Herunterladen von Pamela Anderson
Bildschirmschonern ist Pamela Anderson. Wenn schon, dann soll etwas
wirklich Sehenswertes meinen Bildschirm schonen ;-)
Gruß
Michael
Juergen P. Meier
Naja, so ein haufen Silikon schont einen Bildschirm ungemein. Und
schuetzt vorm Zustauben.
Auf das bisschen Pamela Anderson kann da allerdings verzichtet werden.
fup2 irgendwohin da das hier offtopic ist.