Firewall

Alles rund um sicherheitsrelevante Fragen und Probleme.
niesommer
Beiträge: 2493
Registriert: 01.10.2006 13:19:37
Lizenz eigener Beiträge: GNU General Public License

Re: Firewall

Beitrag von niesommer » 06.10.2015 20:18:07

WindowsProfi30Jahre hat geschrieben: Mich würde mal interessieren warum eigentlich Debian von Haus aus keine Firewall mitbringt, OpenSuse 13.2 KDE als Gegenbeispiel ja,
leicht abschaltbar bei Suse, dass kann wirklich jeder.
Also bei meinen Debian Installationen ist immer Debianiptables mit installiert worden, es ist nur nicht aktiviert worden, ohne genaue konfig macht das ja auch keinen Sinn. Somit kann ich feststellen das auch bei Debian eine Firewall mit installiert wird, zumindest ein Paketfilterprogramm und somit ein teil einer Firewall. Wie du aber schon festgestellt hast ist das aber ein ziemlich komplexes und kompliziertes Thema.
Und ob du eine firewall brauchst oder nicht solltest du vielleicht auch davon abhängig machen ob du bereit bist auch mal die entsprechenden Logs zu sichten, trifft das nicht zu dann ist es egal ob du es hast oder nicht. Das ist so wie einen Wachhund zu haben der nicht bellt knurt und vielleicht beißt, wenn er es sollte.
Gruß niesommer

debiator
Beiträge: 268
Registriert: 04.10.2015 20:25:21

Re: Firewall

Beitrag von debiator » 06.10.2015 20:19:51

hast Du nen Netzwerkdrucker schon ist 631 offen. Hast Du dnscrypt schon ist 53 offen. Klar ist es nicht am Router offen, dennoch sicherheitsrelevant. Hast Du dazwischen eine HW-FW schließt sie Deinen Homenetzwerk vom Router ab. Mit MAC-Spoofing noch besser.

Benutzeravatar
MSfree
Beiträge: 11833
Registriert: 25.09.2007 19:59:30

Re: Firewall

Beitrag von MSfree » 06.10.2015 21:07:09

WindowsProfi30Jahre hat geschrieben:Das WLAN Funknetz ist bereits in den Werkseinstellungen über den WPA2 Standard gesichert, brauch man mehr bzw. benötige ich als Heimanwender mehr ?
Man sollte zumindest eine eigene ESSID einstellen und ein eigenes Paßwort für das WLAN eingeben. Mit den Standardeinstellungen outet man sich für jeden Möchtegernhacker als jemand, der alles auf Werkseinstellungen läßt. Das kann einem schon mal zum Verhängsnis werden, wenn ein Hersteller mal wieder ein Standardpaßwörter auf den Router brennt oder Paßwörter einfach aus der MAC-Adresse berechenbar sind (alles schon vorgekommen).

Auch das Adminpaßwort gehört in diesem Zug geändert.
Die NAS Laufwerke und auch FritzBox haben jeweils sehr schwierige Passwörter, was sollten man hier in meinem Fall zum Thema Sicherheit noch ändern oder verbessern ?
Ich würde die Dinger auf jeden Fall darauf abklopfen, ob man nicht doch mit einem Gastzugang (ohne Paßwort) darauf zugreifen kann. Oft stellen die NAS-Kisten die Dateisysteme auch per NFS zur Verfügung, so daß man sie ohne Paßwort von jedem Linuxrechner mounten kann.
Mich würde mal interessieren warum eigentlich Debian von Haus aus keine Firewall mitbringt, OpenSuse 13.2 KDE als Gegenbeispiel ja,
Das Warum mußt du die Debianentwickler fragen. Einige gute Gründe sprechen aber gegen eine One-Size-fits-all-Primitiv-Firewall. Debian bringt im übrigen alles an Software mit, um das zu realisieren, was OpenSuSE als Firewall bezeichnet, es ist halt nur nicht aktiviert und konfiguriert.

Dagegen spricht z.B., daß man den Endanwender schnell in falscher Sicherheit wiegt, wenn man ihm einen Knopf zum An- und Ausschalten einer Firewall gibt. Vor allem, wenn nicht ersichtlich ist, was dabei blockiert und was erlaubt ist.

Es ist auch letztlich ein rechtliches Problem, wenn man dem Endanwender eine mysteriöse Firewall in die Hand gibt und es dann trotzdem zum Einbruch kommt. Wer haftet dann? Die Verantwortung will kein Debianentwickler übermehmen, ein ehrenamtlicher hat keine Rechtsabteilung in der Hinterhand.

Debian stellt auch nicht den Anspruch, eine Distribution für unerfahrene Computerbenutzer zu sein. Gerade das Thema Firewall ist unendlich komplex, der eben nicht durch das Installieren von einem Stück Software erledigt ist.
leicht abschaltbar bei Suse, dass kann wirklich jeder.
Und genau das macht auch jeder beim kleinsten Anflug von Netzwerkproblemen, z.B. wenn irgendein Onlinespiel nicht funktioniert, weil die relevanten Ports blockiert werden. Nur steht der Anwender dann eben völlig nackt da.
In Windows nutze ich immer GDATA IES 2015 schon seit über 10 Jahren und hier in diesem Virenscanner made in Germany ist doch auch eine eigene Firewall integriert, ist die denn nun total überflüssig oder schwachsinnig oder wie darf hier die Diskussion verstehen ?
Das ist weder schwachsinnig noch überflüssig. Aber streng genommen ist die Firewalll da nicht integriert, die Kombination aus Virenscanner und Netzwerkfilter stellen zusammen die Firewall dar.
Grundsätzlich, ich will nicht grossartig in das Thema Firewall Einstellungen, Verwalten und und einarbeiten, sondern mich nur einfach und unkompliziert gegen unerlaubte Zugriffe von aussen schützen.
Wasch mich, aber mach mich nicht naß. :wink:
Deshalb war ich immer der Meinung, mit der Hardwarefirewall von AVM FritzBox und einer zusätzliche Firewall von innen wie über GDATA IES üblich reicht der Schutz vollkommen aus oder doch nicht ?
Ob das völlig ausreicht, kann ich aus der Ferne nicht beurteilen. Aber die Fritzbox ist keine Hardwarefirewall, es ist ein Mini-PC, auf dem ein Betriebssystem läuft, das unter anderem einen Paketfilter einsetzt.
Die Zielrichtung wäre ja dann, wenn möglich es grundsätzlich vermeiden mit Windows ins Internet zu gehen, hier am besten eine gute Linux Distro verwenden wie Debian oder OpenSuse, vielleicht noch PCLinuxOS und dann kann ich ruhig schlafen ?
Keine Ahnung, ob du damit ruhiger schläfst als mit Windows. :mrgreen:
In der FritzBox sind natürlich auch etliche Ports freigegeben, für die NAS Laufwerke DLink DNS 327L und Synology ( entweder 1512 oder 1513 mal sehen, welche ich mir demnächst zulegen werde) Die Dlink habe ich über eine dyn DNS in der FritzBox freigegeben, entstehen mir z.B. dadurch erhöhte Risiken ?
Das Synologiy-NAS ist ein Linuxrechner, an dem man sich per SSH anmelden kann. Mir würde es nie im Traum einfallen, so einen Server direkt per Fritzbox ins Internet frei zu geben. Für die DLink-Dinger gilt das gleiche. Die erste Frage, die du dir stellen solltest, ist, ob du wirklich von aussen jederzeit auf deinen Server zuhause zugreifen können mußt. In der Regel kann man diese Frage mit nein beantworten.

Ich weiß, es ist wirklich unglaublich bequem, von aussen auf Daten, Mailserver etc. zugraifen zu können, aber dann bitte richtig abgesichert. Eine gute Methode ist, nur per VPN von aussen zuzugreifen und auf die Freigabe vom Internet zu verzichten.

Die direkte Freigabe, auch wenn sie paßwortgeschützt ist, entspricht eine Fahradzahlenschloß, das jeder halbwegs geübte in 2 Minuten ohne Beschädigung knackt. Wenn du per VPN zugreifst, entspricht das immerhin schon dem Zylinderschloß in der Wohnungstür, für das man schon rohe Gewalt anwenden muß, um die Türfalle aus der Zarge zu schlagen. Wenn du es dann noch mit Pingknocking oder Portknocking (bitte selbst ergooglen) kombinierst, dann ist das, wie eine Wohnungstür mit schweren Querriegeln, die man selbst mit einem Rammbock nicht mehr einschlägt.

Benutzeravatar
MSfree
Beiträge: 11833
Registriert: 25.09.2007 19:59:30

Re: Firewall

Beitrag von MSfree » 06.10.2015 21:22:34

Lord_Carlos hat geschrieben:Welche daten gehen denn jetzt (Edit: Hinter NAT) bei mir nach drausen die nicht raus gehen wenn ich erst alle ports dicht mache dann nach bedarf oeffne?
NAT ist kein Schutz, NAT ist die Möglichkeit von innen einen Kanal nach aussen zu öffnen, der in Folge als Rückkanal genutzt werden kann.

Hast du ein Smart-TV, Smartphone, Internettablett.

Smart-TV telefonieren nach Hause, wann welches TV-Programm geschaut wurde (das ist gegebenenfalls nur peinlich), welche Dateien von USB-Stick oder -platte abgespielt wurden (ggfls. urheberrechtlich relevant) und sind anfällig für Schadsoftware, mit dem ein Hacker dein ganzes Heimnetz übernehmen kann.

Ist auch der Weg nach aussen versperrt oder zumindest über Whitelists nur selectiv offen, stehen deutlich weniger Angriffswege zur Verfügung.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Firewall

Beitrag von Lord_Carlos » 06.10.2015 22:01:38

MSfree hat geschrieben:
Lord_Carlos hat geschrieben: Hast du ein Smart-TV, Smartphone, Internettablett.
Nein.
Aber ich weis was du meinst.

Alles blocken und alle rechner komplett whitelisten waere eine moeglichkeit.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
gehrke
Beiträge: 151
Registriert: 02.01.2015 09:15:41

Re: Firewall

Beitrag von gehrke » 06.10.2015 23:21:35

MSfree hat geschrieben:Hast du ein Smart-TV, Smartphone, Internettablett.
[...] sind anfällig für Schadsoftware, mit dem ein Hacker dein ganzes Heimnetz übernehmen kann.
Ich habe mir schon vor einiger Zeit mein Heim-Netz in diverse Subnetze via VLANs gesplittet (admin, private, business, tv, wlan, schule (Kinder mit Notebooks), print, voip, backup...). Auf diesem Wege kann ich fein trennen, was intern und extern wohin darf und kann unterschiedliche Sicherheitszonen implementieren.
Herzstück des ganzen ist pfsense auf einer Alix. Ich bin damit bislang recht zufrieden. Insbesondere der ganze Android-Schrott der Kinder war mir sehr suspekt und besonders bei den zuletzt veröffentlichten Lücken bin ich froh, die in einem eigenen Netz eingesperrt zu wissen.
http://www.youtube.com/watch?v=PpUrMk3g_og (Angriff auf die Freiheit von Ilija Trojanow / Juli Zeh) - let’s encrypt

WindowsProfi30Jahre
Beiträge: 561
Registriert: 11.05.2012 23:52:58
Wohnort: 44534 Lünen

Re: Firewall

Beitrag von WindowsProfi30Jahre » 08.10.2015 19:49:19

MSfree hat geschrieben:
WindowsProfi30Jahre hat geschrieben:Das WLAN Funknetz ist bereits in den Werkseinstellungen über den WPA2 Standard gesichert, brauch man mehr bzw. benötige ich als Heimanwender mehr ?
Man sollte zumindest eine eigene ESSID einstellen und ein eigenes Paßwort für das WLAN eingeben. Mit den Standardeinstellungen outet man sich für jeden Möchtegernhacker als jemand, der alles auf Werkseinstellungen läßt. Das kann einem schon mal zum Verhängsnis werden, wenn ein Hersteller mal wieder ein Standardpaßwörter auf den Router brennt oder Paßwörter einfach aus der MAC-Adresse berechenbar sind (alles schon vorgekommen).

Auch das Adminpaßwort gehört in diesem Zug geändert.
Die NAS Laufwerke und auch FritzBox haben jeweils sehr schwierige Passwörter, was sollten man hier in meinem Fall zum Thema Sicherheit noch ändern oder verbessern ?
Ich würde die Dinger auf jeden Fall darauf abklopfen, ob man nicht doch mit einem Gastzugang (ohne Paßwort) darauf zugreifen kann. Oft stellen die NAS-Kisten die Dateisysteme auch per NFS zur Verfügung, so daß man sie ohne Paßwort von jedem Linuxrechner mounten kann.
Mich würde mal interessieren warum eigentlich Debian von Haus aus keine Firewall mitbringt, OpenSuse 13.2 KDE als Gegenbeispiel ja,
Das Warum mußt du die Debianentwickler fragen. Einige gute Gründe sprechen aber gegen eine One-Size-fits-all-Primitiv-Firewall. Debian bringt im übrigen alles an Software mit, um das zu realisieren, was OpenSuSE als Firewall bezeichnet, es ist halt nur nicht aktiviert und konfiguriert.

Dagegen spricht z.B., daß man den Endanwender schnell in falscher Sicherheit wiegt, wenn man ihm einen Knopf zum An- und Ausschalten einer Firewall gibt. Vor allem, wenn nicht ersichtlich ist, was dabei blockiert und was erlaubt ist.

Es ist auch letztlich ein rechtliches Problem, wenn man dem Endanwender eine mysteriöse Firewall in die Hand gibt und es dann trotzdem zum Einbruch kommt. Wer haftet dann? Die Verantwortung will kein Debianentwickler übermehmen, ein ehrenamtlicher hat keine Rechtsabteilung in der Hinterhand.

Debian stellt auch nicht den Anspruch, eine Distribution für unerfahrene Computerbenutzer zu sein. Gerade das Thema Firewall ist unendlich komplex, der eben nicht durch das Installieren von einem Stück Software erledigt ist.
leicht abschaltbar bei Suse, dass kann wirklich jeder.
Und genau das macht auch jeder beim kleinsten Anflug von Netzwerkproblemen, z.B. wenn irgendein Onlinespiel nicht funktioniert, weil die relevanten Ports blockiert werden. Nur steht der Anwender dann eben völlig nackt da.
In Windows nutze ich immer GDATA IES 2015 schon seit über 10 Jahren und hier in diesem Virenscanner made in Germany ist doch auch eine eigene Firewall integriert, ist die denn nun total überflüssig oder schwachsinnig oder wie darf hier die Diskussion verstehen ?
Das ist weder schwachsinnig noch überflüssig. Aber streng genommen ist die Firewalll da nicht integriert, die Kombination aus Virenscanner und Netzwerkfilter stellen zusammen die Firewall dar.
Grundsätzlich, ich will nicht grossartig in das Thema Firewall Einstellungen, Verwalten und und einarbeiten, sondern mich nur einfach und unkompliziert gegen unerlaubte Zugriffe von aussen schützen.
Wasch mich, aber mach mich nicht naß. :wink:
Deshalb war ich immer der Meinung, mit der Hardwarefirewall von AVM FritzBox und einer zusätzliche Firewall von innen wie über GDATA IES üblich reicht der Schutz vollkommen aus oder doch nicht ?
Ob das völlig ausreicht, kann ich aus der Ferne nicht beurteilen. Aber die Fritzbox ist keine Hardwarefirewall, es ist ein Mini-PC, auf dem ein Betriebssystem läuft, das unter anderem einen Paketfilter einsetzt.
Die Zielrichtung wäre ja dann, wenn möglich es grundsätzlich vermeiden mit Windows ins Internet zu gehen, hier am besten eine gute Linux Distro verwenden wie Debian oder OpenSuse, vielleicht noch PCLinuxOS und dann kann ich ruhig schlafen ?
Keine Ahnung, ob du damit ruhiger schläfst als mit Windows. :mrgreen:
In der FritzBox sind natürlich auch etliche Ports freigegeben, für die NAS Laufwerke DLink DNS 327L und Synology ( entweder 1512 oder 1513 mal sehen, welche ich mir demnächst zulegen werde) Die Dlink habe ich über eine dyn DNS in der FritzBox freigegeben, entstehen mir z.B. dadurch erhöhte Risiken ?
Das Synologiy-NAS ist ein Linuxrechner, an dem man sich per SSH anmelden kann. Mir würde es nie im Traum einfallen, so einen Server direkt per Fritzbox ins Internet frei zu geben. Für die DLink-Dinger gilt das gleiche. Die erste Frage, die du dir stellen solltest, ist, ob du wirklich von aussen jederzeit auf deinen Server zuhause zugreifen können mußt. In der Regel kann man diese Frage mit nein beantworten.

Ich weiß, es ist wirklich unglaublich bequem, von aussen auf Daten, Mailserver etc. zugraifen zu können, aber dann bitte richtig abgesichert. Eine gute Methode ist, nur per VPN von aussen zuzugreifen und auf die Freigabe vom Internet zu verzichten.

Die direkte Freigabe, auch wenn sie paßwortgeschützt ist, entspricht eine Fahradzahlenschloß, das jeder halbwegs geübte in 2 Minuten ohne Beschädigung knackt. Wenn du per VPN zugreifst, entspricht das immerhin schon dem Zylinderschloß in der Wohnungstür, für das man schon rohe Gewalt anwenden muß, um die Türfalle aus der Zarge zu schlagen. Wenn du es dann noch mit Pingknocking oder Portknocking (bitte selbst ergooglen) kombinierst, dann ist das, wie eine Wohnungstür mit schweren Querriegeln, die man selbst mit einem Rammbock nicht mehr einschlägt.


[/q
Vielen Dank für diese wachrüttelenden Worte, mein Problem ist, wie kann jetzt ohne mich grossartig mit dem Thema Firewall, Sicherheit etc. auseinandersetzen zu wollen ganz einfach in Verbindung mit der Nutzung von der Fritz box 3370 3372 Synology Android Smartphone Ipad Iphone Smart TV in einem home Netzwerk einen guten Sicherheitstandard erreichen ? Gibt es evtl. sinnvolle Kurse bei der VHS dazu oder welche Lektüre für Einsteiger ist hier zu empfehlen ? Welche Dummy Seiten im Netz dazu sind sinnvoll ? Tschüss WindowsProfi30Jahre
uote]

WindowsProfi30Jahre
Beiträge: 561
Registriert: 11.05.2012 23:52:58
Wohnort: 44534 Lünen

Re: Firewall

Beitrag von WindowsProfi30Jahre » 08.10.2015 19:50:40

MSfree hat geschrieben:
WindowsProfi30Jahre hat geschrieben:Das WLAN Funknetz ist bereits in den Werkseinstellungen über den WPA2 Standard gesichert, brauch man mehr bzw. benötige ich als Heimanwender mehr ?
Man sollte zumindest eine eigene ESSID einstellen und ein eigenes Paßwort für das WLAN eingeben. Mit den Standardeinstellungen outet man sich für jeden Möchtegernhacker als jemand, der alles auf Werkseinstellungen läßt. Das kann einem schon mal zum Verhängsnis werden, wenn ein Hersteller mal wieder ein Standardpaßwörter auf den Router brennt oder Paßwörter einfach aus der MAC-Adresse berechenbar sind (alles schon vorgekommen).

Auch das Adminpaßwort gehört in diesem Zug geändert.
Die NAS Laufwerke und auch FritzBox haben jeweils sehr schwierige Passwörter, was sollten man hier in meinem Fall zum Thema Sicherheit noch ändern oder verbessern ?
Ich würde die Dinger auf jeden Fall darauf abklopfen, ob man nicht doch mit einem Gastzugang (ohne Paßwort) darauf zugreifen kann. Oft stellen die NAS-Kisten die Dateisysteme auch per NFS zur Verfügung, so daß man sie ohne Paßwort von jedem Linuxrechner mounten kann.
Mich würde mal interessieren warum eigentlich Debian von Haus aus keine Firewall mitbringt, OpenSuse 13.2 KDE als Gegenbeispiel ja,
Das Warum mußt du die Debianentwickler fragen. Einige gute Gründe sprechen aber gegen eine One-Size-fits-all-Primitiv-Firewall. Debian bringt im übrigen alles an Software mit, um das zu realisieren, was OpenSuSE als Firewall bezeichnet, es ist halt nur nicht aktiviert und konfiguriert.

Dagegen spricht z.B., daß man den Endanwender schnell in falscher Sicherheit wiegt, wenn man ihm einen Knopf zum An- und Ausschalten einer Firewall gibt. Vor allem, wenn nicht ersichtlich ist, was dabei blockiert und was erlaubt ist.

Es ist auch letztlich ein rechtliches Problem, wenn man dem Endanwender eine mysteriöse Firewall in die Hand gibt und es dann trotzdem zum Einbruch kommt. Wer haftet dann? Die Verantwortung will kein Debianentwickler übermehmen, ein ehrenamtlicher hat keine Rechtsabteilung in der Hinterhand.

Debian stellt auch nicht den Anspruch, eine Distribution für unerfahrene Computerbenutzer zu sein. Gerade das Thema Firewall ist unendlich komplex, der eben nicht durch das Installieren von einem Stück Software erledigt ist.
leicht abschaltbar bei Suse, dass kann wirklich jeder.
Und genau das macht auch jeder beim kleinsten Anflug von Netzwerkproblemen, z.B. wenn irgendein Onlinespiel nicht funktioniert, weil die relevanten Ports blockiert werden. Nur steht der Anwender dann eben völlig nackt da.
In Windows nutze ich immer GDATA IES 2015 schon seit über 10 Jahren und hier in diesem Virenscanner made in Germany ist doch auch eine eigene Firewall integriert, ist die denn nun total überflüssig oder schwachsinnig oder wie darf hier die Diskussion verstehen ?
Das ist weder schwachsinnig noch überflüssig. Aber streng genommen ist die Firewalll da nicht integriert, die Kombination aus Virenscanner und Netzwerkfilter stellen zusammen die Firewall dar.
Grundsätzlich, ich will nicht grossartig in das Thema Firewall Einstellungen, Verwalten und und einarbeiten, sondern mich nur einfach und unkompliziert gegen unerlaubte Zugriffe von aussen schützen.
Wasch mich, aber mach mich nicht naß. :wink:
Deshalb war ich immer der Meinung, mit der Hardwarefirewall von AVM FritzBox und einer zusätzliche Firewall von innen wie über GDATA IES üblich reicht der Schutz vollkommen aus oder doch nicht ?
Ob das völlig ausreicht, kann ich aus der Ferne nicht beurteilen. Aber die Fritzbox ist keine Hardwarefirewall, es ist ein Mini-PC, auf dem ein Betriebssystem läuft, das unter anderem einen Paketfilter einsetzt.
Die Zielrichtung wäre ja dann, wenn möglich es grundsätzlich vermeiden mit Windows ins Internet zu gehen, hier am besten eine gute Linux Distro verwenden wie Debian oder OpenSuse, vielleicht noch PCLinuxOS und dann kann ich ruhig schlafen ?
Keine Ahnung, ob du damit ruhiger schläfst als mit Windows. :mrgreen:
In der FritzBox sind natürlich auch etliche Ports freigegeben, für die NAS Laufwerke DLink DNS 327L und Synology ( entweder 1512 oder 1513 mal sehen, welche ich mir demnächst zulegen werde) Die Dlink habe ich über eine dyn DNS in der FritzBox freigegeben, entstehen mir z.B. dadurch erhöhte Risiken ?
Das Synologiy-NAS ist ein Linuxrechner, an dem man sich per SSH anmelden kann. Mir würde es nie im Traum einfallen, so einen Server direkt per Fritzbox ins Internet frei zu geben. Für die DLink-Dinger gilt das gleiche. Die erste Frage, die du dir stellen solltest, ist, ob du wirklich von aussen jederzeit auf deinen Server zuhause zugreifen können mußt. In der Regel kann man diese Frage mit nein beantworten.

Ich weiß, es ist wirklich unglaublich bequem, von aussen auf Daten, Mailserver etc. zugraifen zu können, aber dann bitte richtig abgesichert. Eine gute Methode ist, nur per VPN von aussen zuzugreifen und auf die Freigabe vom Internet zu verzichten.

Die direkte Freigabe, auch wenn sie paßwortgeschützt ist, entspricht eine Fahradzahlenschloß, das jeder halbwegs geübte in 2 Minuten ohne Beschädigung knackt. Wenn du per VPN zugreifst, entspricht das immerhin schon dem Zylinderschloß in der Wohnungstür, für das man schon rohe Gewalt anwenden muß, um die Türfalle aus der Zarge zu schlagen. Wenn du es dann noch mit Pingknocking oder Portknocking (bitte selbst ergooglen) kombinierst, dann ist das, wie eine Wohnungstür mit schweren Querriegeln, die man selbst mit einem Rammbock nicht mehr einschlägt.


[/q
Vielen Dank für diese wachrüttelenden Worte, mein Problem ist, wie kann jetzt ohne mich grossartig mit dem Thema Firewall, Sicherheit etc. auseinandersetzen zu wollen ganz einfach in Verbindung mit der Nutzung von der Fritz box 3370 3372 Synology Android Smartphone Ipad Iphone Smart TV in einem home Netzwerk einen guten Sicherheitstandard erreichen ? Gibt es evtl. sinnvolle Kurse bei der VHS dazu oder welche Lektüre für Einsteiger ist hier zu empfehlen ? Welche Dummy Seiten im Netz dazu sind sinnvoll ? Tschüss WindowsProfi30Jahre
uote]

Benutzeravatar
towo
Beiträge: 4571
Registriert: 27.02.2007 19:49:44
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Firewall

Beitrag von towo » 08.10.2015 19:54:16

Dein allergrößtes Problem ist immer noch, daß Du es einfach nicht kappierst, wie man im Forum zitiert!

DeletedUserReAsG

Re: Firewall

Beitrag von DeletedUserReAsG » 08.10.2015 20:04:37

+1

(eigentlich bin ich gegen sowas, aber vllt. hilft’s ja, wenn möglichst viele zeigen, wie wenig sie dermaßen kaputte Beiträge mögen? Ich meine, so schwer ist’s nun nicht, und bei längeren Beiträgen mit verschiedenen oder verschachtelten Formatierungen bietet sich eh ein Klick auf den Button links neben „Absenden“ an. Den, wo „Vorschau“ draufsteht, meine ich.)
Zuletzt geändert von DeletedUserReAsG am 08.10.2015 20:06:45, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 11833
Registriert: 25.09.2007 19:59:30

Re: Firewall

Beitrag von MSfree » 08.10.2015 20:06:02

Gibt es evtl. sinnvolle Kurse bei der VHS dazu oder welche Lektüre für Einsteiger ist hier zu empfehlen?
Hast du schon einmal was von Hackerspace gehört? Da tummeln sich ziemlich kompetente Leute, die auch bei solchen Themen sehr hilfsbereit sind.
https://de.wikipedia.org/wiki/Hackerspace

Vielliecht gibt es ja bei dir in der Nähe einen Hackerspace. Eine weitere Anlaufstelle wäre eine der vielen Linux User Groups. Bei mir in der Stadt trifft sich die Linux User Group sogar in den Räumlichkeiten des lokabel Hackerspace.

Wo du Hackerspaces und Linux User Groups findest, sagt dir Google zuverlässig.

Benutzeravatar
TRex
Moderator
Beiträge: 8399
Registriert: 23.11.2006 12:23:54
Wohnort: KA

Re: Firewall

Beitrag von TRex » 08.10.2015 20:37:42

towo hat geschrieben:Dein allergrößtes Problem ist immer noch, daß Du es einfach nicht kappierst, wie man im Forum zitiert!
[_] Beitrag gelesen
[x] Beitrag nicht gelesen

Warum antwortet ihr überhaupt noch auf sowas..
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
RobertS
Beiträge: 516
Registriert: 15.04.2012 13:50:53
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Rastatt BaWü

Re: Firewall

Beitrag von RobertS » 09.10.2015 23:24:55

WindowsProfi30Jahre hat geschrieben: Grundsätzlich, ich will nicht grossartig in das Thema Firewall Einstellungen, Verwalten und und einarbeiten, sondern mich nur einfach und unkompliziert gegen unerlaubte Zugriffe von aussen schützen.
Definiere "unerlaubte Zugriffe" und du weißt warum die Geschichte komplex und die Einarbeitung zeitintensiv ist.

Grüße

Robert

andreathome
Beiträge: 24
Registriert: 21.07.2015 10:50:55

Re: Firewall

Beitrag von andreathome » 10.10.2015 19:55:16

Bin seit ~4 Jahre zufrieden über:
http://goodworkaround.com/node/32
Es ist ein Iptables script.
Mit # kann dasjenige ausschalten was man nicht nötig hat (oder wegholen...)
Standard ist alles "geschlossen", mann muss öffnen was notwendig ist.

Man muss natürlich verstehen was Iptables ist, aber gab es schon links für un Google ist dein Freund...

Hab kein Virusscanner auf den Server (nur unsere Dateien Transport) ... auch auf ein Desktop/Laptop ist es auch nicht notwendig für Linux (sehr kleiner Change)... aber mann darf es hin zu fügen....

AndreK
Beiträge: 469
Registriert: 17.05.2007 19:20:58

Re: Firewall

Beitrag von AndreK » 01.11.2015 11:47:31

Es gibt hier im Forum mehrere 100 (gefühlt jedenfalls) threads zum Thema Firewall. Früher habe ich das Paket arno-iptables-firewall benutzt. Das ist unter Debian so ungefähr das Maximale was es in den Paketen an kombinierten fertigen DESKTOP und SERVER Firewalls gibt. Zu meiner Zeit hat es der holländische Entwickler persönlich gewartet. Heute ist es ein externer und der schwächelt manchmal. Jedenfalls benutze ich es nicht mehr. Alternativ gibt es diverse fertige Firwalls für DESKTOPS und SERVER z. B. bei github. Bei github tummeln sich sogar einige professionelle Firewall Entwickler. Deren Scripte kennzeichnen sich durch wahnsinnige Schlichtheit.

Der Tenor in diesem Forum ist allerdings (vor etwa 2 Jahren hat diese Tendenz angefangen) das Firewalls für Linux-DESKTOPs unnötig sind. Dazu gibt es mehrere threads und die dort zu lesenden Antworten sind auf den ersten Blick super plausibel. Jedenfalls für reine DESKTOPS. Davor war die Meinung eine völlig andere und es gibt hier einige User die heute Firewalls ablehnen, die aber früher vehement für Firwalls eintraten und früher sogar ihre teils recht umfangreichen Scripte veröffentlichten. Nun denn ... einen SERVER würde ich nie ohne Firewall betreiben wollen.
Zuletzt geändert von AndreK am 01.11.2015 11:50:03, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: Firewall

Beitrag von DeletedUserReAsG » 01.11.2015 11:50:01

[…] einen SERVER würde ich nie ohne Firewall betreiben wollen.
Ich mach’s seit 14 Jahren, und nicht nur mit einem Server. Aber ich bin bereit, zu lernen: welchen Vorteil böte mir eine Firewall auf dem Server?

AndreK
Beiträge: 469
Registriert: 17.05.2007 19:20:58

Re: Firewall

Beitrag von AndreK » 01.11.2015 11:55:52

niemand hat geschrieben:
[…] einen SERVER würde ich nie ohne Firewall betreiben wollen.
Ich mach’s seit 14 Jahren, und nicht nur mit einem Server. Aber ich bin bereit, zu lernen: welchen Vorteil böte mir eine Firewall auf dem Server?
Klasse, das Du die Server der Deutschen Bank und die vom Bundeskanzleramt betreibst .... :)

DeletedUserReAsG

Re: Firewall

Beitrag von DeletedUserReAsG » 01.11.2015 12:00:08

Ich habe eine valide Frage gestellt, denke ich.

Aber ich kann dir gerne den Hintergrund meiner Entscheidung aufzeigen: es lauschen die Daemons an den Ports, die genutzt werden sollen. Es hängt nichts an Ports, zu denen nicht verbunden werden soll. Ich würde mit einer „Firewall“ letztlich Ports filtern, auf denen eh nichts hängt. Welchen Sinn hat eine solche Konstruktion also?

Natürlich gibt es Szenarien, in denen iptables auch auf Servern sinnvoll nutzbar ist – nur wenn man kein solches fährt, wozu sollte man es sich einrichten? Ich persönlich denke, auf einem Server sollte genau das laufen, was benötigt wird. Alles Weitere schafft zusätzliche Fehlerquellen und ist letztlich der Sicherheit abträglich. Und sei‘s nur, weil man sich sicher fühlt – man hat ja schließlich ’n tolles iptables-Script laufen …

Benutzeravatar
MSfree
Beiträge: 11833
Registriert: 25.09.2007 19:59:30

Re: Firewall

Beitrag von MSfree » 01.11.2015 12:31:08

niemand hat geschrieben:Es hängt nichts an Ports, zu denen nicht verbunden werden soll.
Naja, es kann unter Umständen mühselig sein, wirklich alle Daemons zu entfernen, die auf irgendwelchen Ports lauschen.

Vor allem aber kann man durch eine Firewall auch verhindern, daß man vom Server ins Internet kommt. Sollte es nämlich mal jemanden gelingen, eine Sicherheitslücke im Server auszunutzen und eine Verbindung von innen nach aussen zu starten, hat der Angreifer eine Hintertür in dein System.
Ich würde mit einer „Firewall“ letztlich Ports filtern, auf denen eh nichts hängt. Welchen Sinn hat eine solche Konstruktion also?
Nenn es eine zusätzlich Beruhigung des Gewissens :mrgreen:

Wenn ich nur einen HTTP-Server betreiben will, will ich auch geährleisten, daß nur Port 80 erreichbar ist. Es ist einfacher und letztlich auch sicherer, Port 80 zu whitelisten als sicher zu stellen, daß die Ports 0-79 und 81-65535 nicht doch zufällig von aussen zugänglich sind.

Wenn man auf so einem Server eine Admin-Schnitstelle, z.B. vis SSH braucht, dann würde ich Port 22 sicher nicht global öffnen sondern auf die IP-Adresse begrenzen, von der aus man den Server warten möchte. Sollte das (wegen dynamischer IP-Adressvergabe) nicht möglich sein, klemmt man Pingknocking oder (schlechter) Portknocking davor. Ohne Firewall ist so etwas also nicht realisierbar.

DeletedUserReAsG

Re: Firewall

Beitrag von DeletedUserReAsG » 01.11.2015 12:58:40

Wie ich schrieb, es gibt Szenarien (und sei’s eine für ständige Sicherheitsprobleme bekannte Software wie z.B. einige der bekannteren CMS auf Systemen, die nicht dahingehend sicher konfiguriert sind). Es ging mir lediglich um die Aussage, dass Server (wieauchimmermansiedefiniert) nie ohne FW betrieben werden sollen.

Und gerade bei ‘ner Kiste, die nur HTTP(S) und SSH bedient, ist doch nichts leichter als alle anderen Daemons zu deaktivieren, oder (besser) gar nicht erst installiert zu haben.

Die Idee, dafür zu sorgen, dass von der betreffenden Maschine aus keine Verbindungen initiiert werden können, halte ich hingegen für kontraproduktiv. Keine Updates, keine DNS-Lookups, keine Zeitsyncronisation, … – und wenn man noch Dienste laufen hat, die naturgemäß von sich aus Verbindungen aufmachen, hat sich das eh gegessen: dann nimmt die hypothetische Schadsoftware halt einen der dafür freigegebenen Ports.

Benutzeravatar
MSfree
Beiträge: 11833
Registriert: 25.09.2007 19:59:30

Re: Firewall

Beitrag von MSfree » 01.11.2015 15:27:11

niemand hat geschrieben:Wie ich schrieb, es gibt Szenarien (und sei’s eine für ständige Sicherheitsprobleme bekannte Software wie z.B. einige der bekannteren CMS auf Systemen, die nicht dahingehend sicher konfiguriert sind).
Man muß immer davon ausgehen, daß es keine Software ohne Sicherheitslücken gibt. Es ist egal, ob man notorisch als unsicher bekannte Software oder vermeintlich sichere Software wie SSL (war da nicht erst was?) einsetzt.
Es ging mir lediglich um die Aussage, dass Server (wieauchimmermansiedefiniert) nie ohne FW betrieben werden sollen.
Mir auch. Ich bekräftige das nochmal aus meiner Sicht:
Wer Server ohne Firewall betreibt, handelt grob fahrlässig.
Und gerade bei ‘ner Kiste, die nur HTTP(S) und SSH bedient, ist doch nichts leichter als alle anderen Daemons zu deaktivieren, oder (besser) gar nicht erst installiert zu haben.
Das ist nur der erste Schritt. Vorsichtshalber muß man die nicht benötigeten Ports trotzdem abklemmen.
Die Idee, dafür zu sorgen, dass von der betreffenden Maschine aus keine Verbindungen initiiert werden können, halte ich hingegen für kontraproduktiv. Keine Updates, keine DNS-Lookups, keine Zeitsyncronisation,
Warum das denn? Man kann doch die drei Ports, die dafür benötigt werden, ganau so öffnen, wie sie gebraucht werden. Für Updates Port 80 ausgehend zu öffnen, ist faktisch Selbstmord. Den Port aber nur für Debianupdates auf genau eine Ziel-Adresse (z.B. ftp.debian.org) zu öffnen, ist hingegen kein Scheunentor nach aussen mehr. Gleiches macht man mit DNS und NTP.
… – und wenn man noch Dienste laufen hat, die naturgemäß von sich aus Verbindungen aufmachen, hat sich das eh gegessen: dann nimmt die hypothetische Schadsoftware halt einen der dafür freigegebenen Ports.
Eben nicht. Wenn deine Schadsoftware mit ich.bineinboeserhaxor.ru Port 80 telefonieren will, du Port 80 aber nur für ftp.debian.org erlaubst, verheddert sich die Schadsoftware in der Firewall.

Ja, ich weiß, Firewalls sind mühsam zu konfigurieren, aber zu behaupten, es reiche, einfach nur gewisse Dienste nicht anzubieten, liegt gründlich falsch.

Antworten