Netwerk und Sicherheit

[ulfa]

Hallo,

in meinem Netzwerk sind 3 internetfähige Rechner über einen Router mit Lan im Netzwerk geschaltet.

An einem Rechner arbeite ich im vorwiegend mit Debian Etch i386. Allerdings ist auch windows installiert.

Die beiden anderen Rechner gehören meinen Kindern und werden fast ausschließlich unter windows betrieben.

Um Daten der windows Rechner mir im Netz zugänlich zu machen habe ich Freigaben erteilt.

So kann ich mit Smb4K am Linux Rechner auf die freigegebenen Daten zugreifen.

Allerdings habe ich bis jetzt aus Unkenntnis auf dem Linux und den beiden Windows Rechnern keine Firewall installiert.

Wie unsicher ist denn eigentlich der Datenaustausch im Netz, während der dritte Rechner z.B. im Internet surft?

Wie solllte ich mit möglichst einfachen und verständlichen Dingen sowohl den Linux und die Windows Rechner schützen?

[herrchen]

Wie unsicher ist denn eigentlich der Datenaustausch im Netz, während der dritte Rechner z.B. im Internet surft?

das spielt im normalfall keine rolle.

Wie solllte ich mit möglichst einfachen und verständlichen Dingen sowohl den Linux und die Windows Rechner schützen?

konfiguriere die firewall auf dem router.

herrchen

[ulfa]

habe mir auf die schnelle das Handbuch von dem gesponsorten Router Typ Speedport W 70 V geschnappt.

Soweit ich weiß kann ich da gar nichts einstellen, außer einer gewünschten Verschlüsselung für den Bertrieb im Wlan.

Der liegt aber bei nicht vor.

[domoson]

Ja genau, wie herrchen schon gesagt hat, einfach die firewall am router gut konfigurieren und gut ists.
Denn um an die versendeten Daten unter euren 3 PCs zu kommen muss erst einmal die Firewall des Routers bei Angriffen von außen umgangen werden. deine computer können sogar irgendwelche ungeschützten telnet-daemons am laufen haben. solange am router kein portforwarding eingestellt ist kommt eben nur das rein/raus was auch rein/rauskommen soll.

[Duff]

Denke auch, dass die Firewall auf dem Hardware-Router eigentlich schon Schutz genug ist.

Eventuell musst du aber auf den Windows-Rechnern noch mit Viren oder so aufpassen.

[ulfa]

nocheimal wegen meines geringen Verständnisses zu Netzwerk und Sicherheit meine Frage.

Befindet sich denn bei dem vorliegenden Router überhaupt eine Firewall?

[domoson]

Sorry aber entweder ich bin blind oder du hast nirgends hingeschrieben was du für einen Router hast - oder ich verstehe deine Frage einfach falsch. Grob kann man sagen dass so ziemlich jeder einigermaßen anständige Router für Privatanwender eine Firewall haben sollte - über die Qualität der Firewall habe ich nichts gesagt.

[ulfa]

habe vergessen den Router Speedport W 701 V bereits am Anfang zu nennen.

Habe allerdings über der ersten Antwort von domson den Router genannt.

Aber dennoch würde ich mich über eine Beurteilung von euch Kennern freuen.

Danke

[domoson]

habe vergessen den Router Speedport W 701 V bereits am Anfang zu nennen.

Habe allerdings über der ersten Antwort von domson den Router genannt.

Oh entschuldigung - habs übersehen.
Zu deinem Router habe ich im Internet auf die schnelle folgendes gefunden:

...Mit der integrierten Firewall bietet das Gerät einen wirksamen Schutz vor den verschiedensten Angriffen aus dem Netz...

Also ne Firewall scheint - wie vermutet - vorhanden zu sein.

Aber dennoch würde ich mich über eine Beurteilung von euch Kennern freuen.

Als Kenner würde ich mich trotzdem nicht bezeichnen

[ulfa]

zu Sicherheit habe ich auch hier einen Beitrag zu Speedport w 701 v gelesen:

http://www.dslteam.de/forum/showthread.php?t=124129

Dort schreibe jemand:

• NAT und die NAT-Firewall-Mär
Eine Angabe, die Sie häufig finden, ist die Bezeichnung „NAT-Firewall“. Allerdings hat die so genannte „Network Address Translation“ (NAT) wenig mit einer Firewall zu tun. Vielmehr ist dieses Verfahren primär dazu gedacht, mehreren Computern in einem lokalen Netzwerk eine Internet-Verbindung zu ermöglichen, obwohl Ihnen dafür der Internet-Service-Provider nur eine einzige IP-Adresse zuteilt. NAT übernimmt dann die Aufgabe, die IP-Adressen ihrer privaten Computer in eine IP-Adresse für das öffentliche Internet zu übersetzen. Gleichzeitig „versteckt“ NAT die privaten IP-Adressen Ihrer Computer vor dem öffentlichen Internet. Da somit die einzelnen PCs nicht direkt über die öffentliche IP-Adresse aus dem Internet erreichbar sind, sprechen einige Router-Hersteller werbewirksam von einer NAT-Firewall. Um eine Firewall-Funktion im eigentlichen Sinne, die nur bestimmte Datenpakete passieren lässt, handelt es sich dabei jedoch nicht.

• SPI-Firewall
Ausgefeiltere Schutzmaßnahmen dürfen Sie dagegen von einem Router erwarten, der über eine so genannte „SPI-Firewall“ verfügt. Dabei überprüft die im Gerät enthaltene Firewall mithilfe der „Stateful Packet Inspection“ (SPI) ein- und ausgehende Datenpakete – und zwar anhand ihrer Quell- und Zieladresse sowie daran, in welchem Zeitraum die Antwort eintrifft, wenn Sie beispielsweise eine Webseite besuchen. Antwortet diese externe Webseite nun Ihrem internen Computer, überprüft die SPI-Firewall, ob Sie die Daten wirklich angefordert haben. Nur, wenn diese Überprüfung positiv ausfällt, werden die Informationen durchgelassen. Unaufgefordert eintreffende Datenpakete hingegen werden direkt vom Router blockiert, was sich etwa bei Hackerangriffen als schützend erweist.

Sieht nicht als sinnvolle Firewall aus.

Oder Täusche ich mich da?

[neuss]

Lass dich nicht verrückt machen.
Für ein privates Netzwerk ist ein NAT Router absolut in Ordnung. Über komplexe Firewall Lösungen muss man sich nur bei Systemen Gedanken machen, die direkt vom Internet aus erreichbar sind.
Wichtiger ist ein aktueller Virenscanner auf den Windowsmaschinen und ein vernüftiges Maß an Vorsicht und Misstrauen beim Ausführen von unbekannten Programmen.

gruss neuss

[guennid]

Meine Lösung: Häng dir einen ipcop-router zwischen deine drei Rechner und den speedport.
Was ist ein ipcop? - Nimm eine alte Kiste mit PI, 48MB RAM und 1GB HDD. Darauf installierst du die linux-firewall-router-distri ipcop. Noch besser: Wirf den speedport weg und besorg dir ein einfaches DSL-Modem. Damit verfährst du genauso.
Zum IPCOP existiert ein deutsches Forum. Aber Vorsicht: byzantinisches Hofzeremoniell .

Grüße, Günther

[ulfa]

neuss hat folgendes geschhrieben:

L

ass dich nicht verrückt machen.
Für ein privates Netzwerk ist ein NAT Router absolut in Ordnung. Über komplexe Firewall Lösungen muss man sich nur bei Systemen Gedanken machen, die direkt vom Internet aus erreichbar sind.

Günther Ditthardt meint hingegen

Meine Lösung: Häng dir einen ipcop-router zwischen deine drei Rechner und den speedport.
Was ist ein ipcop? - Nimm eine alte Kiste mit PI, 48MB RAM und 1GB HDD. Darauf installierst du die linux-firewall-router-distri ipcop. Noch besser: Wirf den speedport weg und besorg dir ein einfaches DSL-Modem. Damit verfährst du genauso.

Leider steht ich jetzt dumm da und weiß nicht so recht ob meine bisherige Lösung akzeptabel oder reif für die Tonne ist.

Kann mir da vielleicht noch jemand mit seiner Erfahrung weiterhelfen.

Danke

[guennid]

Ich glaube,neuss hat mehr Ahnung als ich. Ich wollte nur MEINE Lösung anbieten. Mit ipcop bist du auf jeden Fall auf der sicheren Seite.

Grüße, Günther

[chroiss]

Interessant und somit kompromittierbar sind angebotene Dienste , als Ziele von "bösen Buben".
Da Dein Router keinen Dienst direkt anbietet ( aus Sicht des Internets ) und Du wahrscheinlich auch keinen Dienst forwardest/durchschleust ( zu einem Deiner Clients ) ist somit auch kein SPI der eingehenden Pakete notwendig, da es standardmässig so ist das die Pakete vom Internet Richtung Deiner Clients geblockt werden.

Eine SPI ist sinnvoll/notwendig, wenn Du wie neuss es schon erwähnt hast Dienste anbietest , die entweder die Komponente bereitstellt die die direkte Inet Adresse hat , oder einer Deiner Clients einen Dienst anbietet.

gruss chroiss

[ulfa]

mit der Bitte um eine weitere Meinung ging es mir nicht herauszufinden, wer mehr Ahnung hat.

Ich suchte nur nach einer Möglichkeit die unterschiedlichen Ansichten von zwei erfahrenen Nutzern für meine bescheidenen

Belange zu nutzen!

Dafür danke ich euch

[domoson]

Mal ganz ehrlich: Ich kann mir beim besten Willen nicht vorstellen dass in eurem "Familien-Netzwerk" irgendwelche Dateien liegen, die so wertvoll sind, dass jemand darauf Zugriff erlangen wollen würde. Es mag sein dass es Leute gibt, die gerne wüssten was so auf euren Rechnern ist und ein bisschen rumprobieren (Script Kiddies), aber keine Sorge, selbst einfachste Firewalls bedürfen großer Erfahrung.

[Cologne4711]

Ich gebe meine Vorschreibern Recht, wobei ich aber zumindest auf den Windows Rechnern eine Firewall laufen lassen würde.

Der Router blockt zwar jeden Versuch eines Verbindungsaufbaus vom Internet in das lokale Netz, aber läßt alle Pakte raus.
Mir persöhnlich wäre das zu unsicher. Ich habe aber bisher die Erfahrung gemacht, dass viele User mit einer Firewall überfordert sind und sie entweder so schlecht konfigurieren, dass man gar keine mehr braucht, oder sie direkt deaktivieren.

MfG

[Simmel]

Kann mir da vielleicht noch jemand mit seiner Erfahrung weiterhelfen.

Danke

Ich nutze ebenfalls den Ipcop, das schöne daran sit das er umsonst ist und einen gewissen Grundschutz bietet und nicht nur von Profis bedient werden kann (Stichwort - Bedienung über Webinterface).

Du kannst dort gewisse Dienste einschalten und damit sogar deine Kinder von XXX Seiten und ähnlichem Blödsinn fernhalten (Squid-Proxy). Die IPCOP-FW kann allerdings noch viel mehr als nur das, es gibt unzählige Module. Allerdings musst du dir natürlich Zeit nehmen und dich ein wenig einlesen. Die Foren enthalten aber schon jede Menge Fragen und Lösungen, die dir helfen können.

Ich nutze den IPCOP, die Sunbelt Personal Firewall, den Peer Guardian, Antivir und einige andere Tools gegen Trojaner. Leider ist das heutzutage Pflicht wenn man viren und Trojanerfrei bleiben will auf Windows-Systemen.

Wenn deine Kinder nicht die großen Daddelköpfe sind, dann würde ich dir empfehlen denen auch lieber Linux aufzuspielen, da gibt es weniger Viren und Trojaner für.

HTH,
Simmel

[ulfa]

welche Beurteilung bekäme meine jetzige Netzwerkkonfiguration, wenn für einen windows - Client am Router z.B. für eMule ein TCP und UDP Port freigeschaltet wäre.

[herrchen]

welche Beurteilung bekäme meine jetzige Netzwerkkonfiguration, wenn für einen windows - Client am Router z.B. für eMule ein TCP und UDP Port freigeschaltet wäre.

boah, entspann dich ...
es ist nicht, so dass deine rechner gleich von der nächsten hausfrau gekapert werden, nur weil du ein programm verwendest.
wenn es nicht gerade eine aktuelle schwachstelle in eMule und konsorten gibt, ist die gefahr überschaubar.
die grösste gefahr sind die schädlinge, die du/ihr euch, beispielsweise durch eine virenverseuchte mail, oder eine verseuchte webseite, selbst ins haus holt.
an diesen stellen in Windows nun mal deutlich verwundbarer.
daher gilt:
updates einspielen, *aktuellen* virenscanner verwenden und die firewall des routers einschalten.
personal firewalls für Windows halte ich persönlich für humbug, weil deren vorteil (*ausgehenden* verkehr filtern) bedeutet, dass vorher was schief gelaufen ist: ich habe mir schon einen schädling ins haus geholt,ich verwende die falschen programme, oder habe angst, dass sich meine geklauten programme zuhause melden.

herrchen

[ulfa]

herrchen hat folgendes geschrieben:

Code: Alles auswählen

updates einspielen, *aktuellen* virenscanner verwenden und die firewall des routers einschalten. 

Soviel habe ich aus meiner Frage und den bisherigen Antworten zumindest schon gelernt.

Der vorhandene Router ist NAT Router.

Eine eingebaute bzw. installierte Firewall gibt es nicht.

Die Sicherheit beschränkt sich auf eine Sperrung der Potrs oder die gewünschte Freigabe von Ports für einen Client.

Gilt dann die Aussage immer noch, einen relativ sicheren Datenverkehr im eigenen Netzwerk ohne Besuch von außen zu haben?

[Duff]

Gilt dann die Aussage immer noch, einen relativ sicheren Datenverkehr im eigenen Netzwerk ohne Besuch von außen zu haben?

Wenn von außen keiner reinkommt, dann ja.
Es sei denn, es gibt im internen Netzwerk welche, die den Datenverkehr belauschen

[herrchen]

Gilt dann die Aussage immer noch, einen relativ sicheren Datenverkehr im eigenen Netzwerk ohne Besuch von außen zu haben?

ja.

herrchen

ps: ich kenne das gerät nicht, aber "ports sperren" hört sich schon nach paketfilter an.