Internetsicherheit-wer kennt sich aus ?

Internetsicherheit-wer kennt sich aus ? (34 Beiträge, 365 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Ich gehe über Chello Classic ins Internet u. möchte meine Sicherheit mit einem Router mit integrierter Firewall erhöhen. Da ich noch nie einen Router hatte u. bisher auch nichts mit HW Firewalls zu tun hatte (meine Kenntnisse beschr. sich auf die Erstellung von Paketfilterrules für Desktop FWs) ein paar, vielleicht naiv anmutende, Fragen:

Welchen Router empfehlt Ihr ?
Wo liegen die Unterschiede zu ner HW Firewall, welche im Router integr. ist u. ner SW Firewall, die Konfiguration betreffend ? Hat man da ne Art Bios in welchem man Rules erstellt ?
Wäre ne reine HW Firewall zu empfehlen oder wäre das in meinem Fall, Privatuser, übertrieben ? (Kostet ja auch deutlich mehr)

Bei Chello muss man ja extra bezahlen, wenn man mehrere PCs, Notebooks am Router hängen hat. Da meine Freundin aber immer nur kurz recherchieren muss, frage ich mich, ob die das überhaut merken, wenn sie kurz Ihr Notebook an den Router ranhängt.......

Danke für Eure Hilfe.....

16.07.2007, 15:19 Uhr - Editiert von Rancher69, alte Version: hier

Ich würde nen Router mit Firewall ans Netz hängen und dahinter am Rechner dennoch ne Software Firewall betreiben, die in vielen Virenprogrammen integierten Firewalls haben ja neben dem Portfilter viele weitere Sicherheitsfeatures, die die Sicherheit erhöhen. (So man sie richtig einsetzt) (Anwendungssteuerung, Webfilter, Systemsteuerung...)

Dass Dein Anbieter für weitere Rechner mehr Geld will wäre für mich ein Grund nen anderen zu nehmen, außer wenn das unterm Strich das selbe kosten würde. Hier in De zahlt man einen Preis für ne Flat und kann so viele PCs hinter hängen, bis der Sicherungskasten platzt.

Die meisten Router haben ein Webinterface, das heisst Du definierst Deine Regeln bequem in einer Webseite. Ich bin ja aufgrund der guten bedienbarkeit für Netgear-Router, aber viele hier raten eher davon ab. Schau Dir mal die Netgear Business Router an und auch die Vorschläge der Leute, die mich für die Netgear Empfehlung gleich steinigen werden.

Muss zugeben die Linksys und Co Teile kenne ich nicht. Hatte aber bisher auch keinen Grund nen anderen Hersteller zu nehmen.

mfg

Ramses
--------------------------------------------------------------------------------
PLUG & PLAY Schraubenzieher erkannt, legen Sie den Datenträger mit der Aufschrift Driver Disk ein und drücken Sie die Anykey Taste.
--------------------------------------------------------------------------------

16.07.2007, 15:30 Uhr - Editiert von Ramses, alte Version: hier

Welchen Router empfehlt Ihr ?

http://geizhals.at/Linksys_WRT54GL_Router_a172494.html

reicht eigentlich vollkommen als FW.

richtige HWFirewalls wie etwa die Cisco Pix kann halt einiges mehr, ist natürlich aufwändiger zu konfigurieren, doch den Grundschutz erfüllt ein Linksysrouter genau so.

frage ich mich, ob die das überhaut merken, wenn sie kurz Ihr Notebook an den Router ranhängt.......

herausfinden könnens das schon, aber rechtlich sind sie darin beschränkt deine Datenpakete anzusehen.

lg Amo

herausfinden könnens
das schon,

Wie das? Normalerweise dürften sie doch nur sehen, dass da Daten von/an einen Port gesendet werden, der ggf. unnormal ist?

www.rechenkraft.net

"Programming today is a race between software engineers striving to build better & bigger idiot-proof programs and the Universe trying to produce bigger & better idiots. So far, the Universe is winning." (Rick Cook)

ja das meinte ich eh mit den dubiosen Ports.

lg Amo

absendeports sagen rein garnichts aus, da müsste man sich das Paket schon sehr genau ansehen um rauszufinden obs genatet wurde.

und was wird sich bei chello niemand oder besser gesagt nichts antun
_________________________________________________________________
Na Server's heast...

und was wird sich bei chello niemand oder besser gesagt nichts antun

genau, und es ist wie gesagt rechtlich als beweis sowieso nicht vertretbar.

lg Amo

öhm, wenns dir eh um die Sicherheit geht, warum kaufst dir dann nicht eine "richtige" Firewall ?
Da du via Chello verbunden bist, brauchts nichtmal eine Firewall mit PPTP Einwahl, wie wärs mit einer kleinen Sonicwall oder Zywall ?

Klar muss man ein wenig tiefer in die Tasche greifen, aber selbst die kleinen SonicWalls bieten deutlich mehr Durchsatz als ein Router für Heimwanwender, man auch zentral auf der Firewall Viren und Antispam laufen lassen, erspart einem also wieder Kosten/Systemressourcen auf den Rechnern die dahinter liegen.
keien Ahnug was du dann im Netz so hast, aber so würden sich auch echte DMZ realisieren lassen etc.

Die Firewall auf den Routern sind eher so halbgares Zeug
_________________________________________________________________
Na Server's heast...

So wie die ursprüngliche Frage klang, betreibt der keine Server. Was genau bringt ihm dann eine DMZ?

muss ja auch nicht sein, eine TZ 170 aufwärts birgt auch für den Privatsurfer einige Vorteile gegenüber eines Routers.
_________________________________________________________________
Na Server's heast...

mit einer absolut ungerechtfertigte kosten-nutzen-rechnung, insbesondere bei privaten.

ausserdem entdecken solche lösungen nur unverschlüsselte malwares. es reicht ein ssl pop abruf eines virus oder eine verschlüsselte schadensroutine und die investitionen für die hard-lösung war für die katz.

ergo ist so eine kiste kein ersatz für eine lokale lösung.

die neuen SonicWall Firms sollen auch SSL verschlüsselte Pakete untersuchen können...und man könnte dan lokal immer noch nene gratis virenscanner verwenden, so hätte man 2 Engines die einem unabhängi voneinander die Daten filtern
_________________________________________________________________
Na Server's heast...

die neuen SonicWall Firms sollen auch SSL verschlüsselte Pakete untersuchen
können...

sicher nicht. dazu musste man entweder die verschlüsselung on-the-fly kacken oder einen man-in-the-middle attack ausführen.

ersteres ist praktisch unmöglich und zweiters würde ständig alarm bei den browsern auslösen wegen der fehlenden/unpassenden zertifikate.

man könnte dan lokal immer noch nene gratis virenscanner verwenden, so hätte
man 2 Engines die einem unabhängi voneinander die Daten filtern

man muss trotz dieser lösung lokale antiviren einsetzen. es fragt sich nur was besser ist, irgendwelche free versionen, die man händisch und dezentral verwalten muss plus die zywall mit ihren schwächen, oder gleich eine managebare lösung die zwar geld kostet, die aber den gänzlichen verzicht der zywall erlaubt.

ich sagte ja auch sonicwall

ist imho besser drauf.

eine on the fly Deep Packet inspection von SSL Verbindungen ist sehr wohl möglich, braucht allerdings schon etwas Rechenpower, daher weiß ich nicht genau ob und ab welcher Sonicwall sowas möglich ist. Die grossen Appliances können das...die sind allerdings für die private Nutzung uninteressant.
_________________________________________________________________
Na Server's heast...

denk einfach nochmal darüber nach, dass kann nur ein werbegag sein.

die daten einer ssl verbindung kann man einfach nicht analysieren, schon gar nicht on-the-fly. sowas ist nicht vereinbar mit den heutigen cryptographie prinzipien.

mit anderen worten, wenn die sonicwall das machen kann was sie bewirbt, könnten wir ssl in die mülltonne klopfen, denn da wäre die vertraulichkeit der daten nicht mehr gewährleistet.

ssl experte gehen davon aus, dass die integrität von ssl paketen die mit 128-bit (standard) verschlüsselt wurden bei dem heutigen anstieg der rechenkapazität mindestens 10 jahre vertraulich bleiben. heutige supercomputer müssten jahrelang rechnen damit sie ein einziges paket knacken. ich glaube kaum eine sonicwall würde das toppen können.

Webwasher tut das aber: http://www.securecomputing.com/index.cfm?skey=1536&menu=prodsolutions

Spielt sozusagen 'Man-in-the-middle'...

We have enough youth.
How about a fountain of SMART?

sorry für die späte Antwort, das zauberwort heisst https proxy, er nimmt die den Key Exchange mit dem der heweiligen SSL Ziel statt dem Client auf und macht auch nen Key Exchange mit dem Client und gibt sich quasi als Ziel aus.

Beiden seiten fällt davon nix auf, auf dem Weg durch die "Box" sind die Daten quasi unverschlüsselt und können vom IDS inspiziert werden. Und das ohne merkbare verzögerung

Hab nochmal nachgefragt, die TZ 170 zB ist dafür schon ein wenig zu schwach auf der Brust ,die würde bei solchen features nur mehr ~2Mbit über die Leitung schaffen, die grösseren Boxen demenstrechend mehr.
Und von dicken Appliances brauch ich garnet erst anfangen, da wirds schwindelerrgend teuer aber natürlich auch dementsprechend flott

Somit kanns Skype dann vielleicht noch versuchen ein paar Löcher in die Firewall zu reissen, wenn man das als FW verantwortlicher nicht will ist damit ganz schnell Schluss, SSL hin oder her. Die Verschlüsselung wird mit der Box ausgemacht, das Paket auf Layer 7 inspiziert, verworfen, geloggt und der Verursacher ganz schnell gefunden.

Auch einige "Softwareproxys" können das, aber die müssen dann schon auf ordentlich perfomanten Kisten laufen., sosnt wird das nix

aaaaaaber, was ich natürlich nicht beachtet habe sind IPSec und GRE, da ist Sense.

_________________________________________________________________
Na Server's heast...

Beiden seiten fällt davon nix auf

wenn meine ssl verbindung nicht bei example.com wie im signierten zertifikat spezifiziert endet, fällt es auf. selbst dann wenn der router dns anfragen manipuliert, besitzt er sicher nicht alle signierten zertifikate....

warum soll die applikation eine verbindung nach example.com als sicher einstufen, wenn der tunnel bei einer anderen maschine endet? das ist ja ein klassischer spoofing angriff...

edit: natürlich könntest du als network admin als firmenpolicy festschreiben dass ALLES ssl verkehr am router entschlüsselt werden muss. browser schreien, openvpn scheitert und schädlinge würden womöglich eingschränkt werden.

sicherheitskritisch betrachtet ist die lösung jedoch gar keine. ich will sicher nicht dass irgendjemand meine tans im klartext abfangen kann, genausowenig wünsche ich mir dass alle meine passwörter und kreditkartendaten von dritten "inspiziert" werden können.

02.08.2007, 22:27 Uhr - Editiert von patos, alte Version: hier

tjo, is aber so

ob du willst oder nicht.

Hab gehört das auch der Blue Coat Proxy die geschichte locker aus dem Ärmel schüttelt, wenn er auf ner gscheiten Hardware läuft auch annehmbar flott. Squidd kanns angeblich noch nicht lang und daher noch net gut.

Mit solchen Dingen kann man viele Schweinereien anfangen

_________________________________________________________________
Na Server's heast...

tjo, is aber so ob du willst oder nicht.

es ist nicht so dass ICH es nicht will. die TLS referenzimplementierung will es nicht. darin sind nunmal signierte zertifikate vorgesehen, die keine kiste einfach so ersetzen kann.

Hab gehört das auch der Blue Coat Proxy die geschichte locker aus dem Ärmel
schüttelt

ich will nur genau wissen WIE genau.... nach meinen kenntnissen ist es ohne einsatz von manipulierter software unmöglich. du müsstest beispielsweise deinen firefox so umcoden dass er stillschweigend alle gefälschen zertifikate schluckt ohne eine fehlermeldung auszugeben.

frag nene Firewallguru, der kanns dir evtl erklären wie das funktioniert. ich kann es nicht, ich weiß nur das es geht.
_________________________________________________________________
Na Server's heast...

ich weiss auch "nur" dass es nicht geht.

ich versuche mir schon die ganze zeit auszumalen wie zum teufel der hersteller dieser kisten zertifikate für fremde webseiten von anerkannten certification authorities signiert bekommt...

wenn das geht will ich bitte welche für die ba-ca, erstebank, bawag und co.

das wäre ja noch schöner..

da könnt ja jeder i-net provider ssl verbindungen mitlesen ...

na da müsste er schon die Pakete die durch das Device flitzen aufzeichnen...abgesehen davon, warum sollte der Provider in seinem Netz eine Fireweall für die Deep Packet Inspection des ganzen Verkehrs abstellen ? Wird sich keiner antun.

_________________________________________________________________
Na Server's heast...

wozu verwendet man SLL, ipsec und co ??

man musste nur den verkehr auf port 443 lauschen. lohnenswert wäre es auf jeden fall

Ich versuche es mal vereinfacht zu erklären und eine preislich erschwingliche Lösung zu empfehlen.

Hardware-Firewalls haben den Vorteil dass du zentral an einem Punkt alle Netzwerkaktivitäten nach Ports und Protokolle sperren kannst. D.h. du legst fest ein PC darf nur surfen und mailen, der nächste nur mailen usw. Du kontrollierst somit auch das interne LAN. Ob das im Home-Bereich notwendig ist musst du selber entscheiden.
Hardware-Firewalls können Pakete auf Port-Ebene sperren oder auch Full-Packet-Inspection machen und kontrollieren ob zB über den Port 25 ein SMTP-Paket läuft und nicht jemand zB ein Rootkit für unerlaubte Fernwartung über Port 25 durchschleust. D.h. es wird nicht nur Portnummer sondern auch Paketinhalt analysiert. Full-Packet-Inspection machen meines Wissens keine typischen 100eur-Router mit integrierter Firewall sondern eher dediziert als Firewall verkaufte Geräte (EUR 500,- aufwärts).
Was aber jeder billige Router mit sogenannter integrierter Firewall macht ist dass einmal alle Ports von aussen standardmäßig gesperrt sind. Du kannst trotzdem Serverdienste anbieten, musst diese Ports mittels Port-Forwarding abschalten. Damit bist du mal vor den meisten bösartigen Angriffen aus dem Internet geschützt, vor allem viele Würmer die Lücken von bekannten Windows/Linux-Diensten ausnutzen können so nicht mehr rein, wenn du einen Router einsetzt. Auch wenn dein Windows-PC gegen diese Lücke noch nicht gepatcht wäre.

Zusätzlich sollte man auch eine Software-Firewall installieren! Die Hardware-Firewall sperrt nur nach Protokoll-Ebene. Du machst zB Port 80 (http) für surfen auf. Aber ist alles gut was über Port 80 rausgeht? Internet-Security-Softwarepakete erkennen Viren, Phishing-Sites, Adware-Sites, bösartige Active-X oder Java-Codes. Weiters ist meiner Meinung die größte Gefahr wenn man auf dubiosen Seiten etwas bestätigt und installiert wird. Wenn diese bösartige Software dann in das Netz rauswill (zB um für einen Spammer deinen PC als SMTP-Relayer zu nutzen), dann zeigt dir deine Software-Firewall genau den Prozess an und verwehrt mal den Zugriff. Du kannst dann feststellen wo diese EXE-Datei liegt und recherchieren was sich da eingenistet hat.

Meine Empfehlung für Home-User: Billiger 100EUR-Router mit Firewallfunktion. Und SW-Firewall, z.B. die Freeware Zone-Alarm und Virenscanner oder eine gesamte Internet-Security-Software eines Virenscanner-Anbieters nehmen. Der Router schützt dich vor den typischen Angiff-Scans, und bietet auch noch einen Schutz als äussere Schale falls eine bösartige Software die Software-Firewall aushebelt. Die Software-Firewall hilft dir zu kontrollieren wer und was da alles mit dem Internet kommuniziert (du wirst staunen, viele Anwendungen schicken "statistsiche" Informationen an ihre Hersteller, Media-Player, Sun Java, Nero Software, Corel Software, Adobe Software...). Das hast dann alles mal im Griff.

Meine Empfehlung für Office-User: Professionelle Hardware-Firewall, loslegen mit allem sperren und dann Web und Mail und wofür halt Bedarf ist einzelen freizuschalten. Mit Server und DMZ kann das schon komplexer werden. Sicherheit kostet Geld. Schwerpunkt auf Sicherheitsgefahren von innen genauso wie aussen setzen! Zusätzlich professionelle Viren und SW-FIrewall-Lösung welche sich zentral administrieren lässt (TrendMicro hat hier gute Lösungen welche auch für Klein-Betriebe mit wenigen PC-Arbeitsplätzen leistbar ist).

Danke für Deine ausführliche Erklärung.

Ich hab mich für einen Zyxel p335 Router entschieden, da ich weder einen Server betreibe noch sonst überm. wichtige Daten am Rechner habe. Dennoch möcht ich halt halbwegs gesch. sein.

Das Problem: Sehe ich das richtig, daß man mit der im Router integr. FW nur Dienste u. Portbereiche sperren kann ? Ist ja schön dass ich TCP any sperren kann, aber dann sollte man auch wo die Ausnahmen als Rulez setzen können. Hab nur dahingehend nix gefunden.

Unter VPN steht was von Regeln, aber da blick ich leider ned durch.

Ich hab jedenfalls die Router FW aktiviert, soll angebl. gegen Dos Attacken helfen u. zusätzlich ne Desktop FW um meine Programme zu kontrollieren.

Kann ich mit der Router FW so konfigurieren, daß ich z.b. sag Pro Evo Soccer darf nur über jenen Port, mit jenem Protokoll zu jener IP durch ????

Mit der SW Firewall ist das leicht - mit der Router FW check ichs ned.

erstmals gratulation zum hilf- und detailreichen beitrag, sowas scheint in diesem forum zu einer rarität zu werden.

Aber ist alles gut was über Port 80 rausgeht? Internet-Security-Softwarepakete
erkennen Viren, Phishing-Sites, Adware-Sites, bösartige Active-X oder
Java-Codes. Weiters ist meiner Meinung die größte Gefahr wenn man auf dubiosen
Seiten etwas bestätigt und installiert wird. Wenn diese bösartige Software
dann in das Netz rauswill (zB um für einen Spammer deinen PC als SMTP-Relayer
zu nutzen), dann zeigt dir deine Software-Firewall genau den Prozess an und
verwehrt mal den Zugriff. Du kannst dann feststellen wo diese EXE-Datei liegt
und recherchieren was sich da eingenistet hat.

damit der schutz einer firewall schlagend wird, müsste sich der schädling zuallererst einnisten um seine daten zu senden. ab da ist es bereits zu spät, denn die meisten schadroutinen beinhalten die gezielte ausschaltung der sicherheitsmechanismen. selbst wenn sie es nicht schaffen sollten, verwenden sie verstärkt verschlüsselte kommunikationsarten, sodass stateful inspections wenig bis gar nichts bringen.

ich würde weit mehr augenmerk auf eine solide antivirus lösung setzen als kombiprodukte kaufen, die meist zwar vieles aber so gut wie alles nicht richtig können.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung