Nixonian 10 Geschrieben 4. Juni 2006 Melden Teilen Geschrieben 4. Juni 2006 Du willst ne sinnvolle Antwort, hier kommt eine: Nimm 'ne Hardware Firewall mit Hide NAT. Da hast du Sicherheit genug weil keine der Internet IPs durch die Firewall preisgegeben werden. "Hide NAT"? Wenn du damit NAT overload meinst, dann ist das für sich gesehen zwar eine Möglichkeit; NAT an sich ist aber, auch wenn es oft als solches verkauft wird, kein Sicherheitsfeature. Zugegeben, es bringt -eigentlich als Nebenprodukt- auch einiges an Sicherheit, speziell für den Heimuser, allerdings... du kannst es ja an der bereits angegebenen Adresse nachlesen: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#NAT ..oder... Ne "vernünftige" Soft Firewall, die eine default drop-all rule am Schlus des Rule-sets hat. Am besten incoming, denn man will ja noch etwas machen im Netz ;) Vernünftige Desktop-Firewalls habe ich noch keine gesehen. Alle raten mehr oder weniger schlecht, was man will oder gehen einem mit ständigen Meldungen auf die Nerven. Wie tief die ins System hineinprogrammiert sind, damit sie noch irgendwie tun, erklärt auch, warum oft nichts mehr oder alles nur mehr langsam geht. Warum ist man in einem so Microsoft-bezogenen Forum eigentlich so sehr der ICF abgeneigt? DROP ist nicht nett, allerdings bin ich nicht mehr ganz so gegen DROP, v.a weil viel kaputte Software unterwegs ist, die sich um einen Reject sowieso nicht schert. Alles andere ist Polemik, und liegt im eigenen ermessen, bzw. hängt vom eigenen Know-how und des Verwendeten Produkts ab. Aber im Home-office bereich ist es nicht notwendig mehr Perimeter Schutz zu verwenden, dafür ist er viel zu unbedeutend. Da lohnt es sich für einen Hacker mehr einen neuen Trojaner zu bauen..... :rolleyes: ACK. Das meinte ich mit "abwägen". Muß jeder selbst sehen, was er gerne hat oder braucht und was er dafür in Kauf nimmt. Zitieren Link zu diesem Kommentar
Sigma 10 Geschrieben 4. Juni 2006 Melden Teilen Geschrieben 4. Juni 2006 Hi, BTW: Viele der Tipps mögen für Privatanwender nützlich sein, gehen aber in professionellen Umgebungen an der Praxis vorbei.... Hier geht's doch noch um einen Heim-PC, oder? :suspect: Tschau, Sigma Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 4. Juni 2006 Melden Teilen Geschrieben 4. Juni 2006 "Hide NAT"? Wenn du damit NAT overload meinst, dann ist das für sich gesehen zwar eine Möglichkeit; NAT an sich ist aber, auch wenn es oft als solches verkauft wird, kein Sicherheitsfeature. Zugegeben, es bringt -eigentlich als Nebenprodukt- auch einiges an Sicherheit, speziell für den Heimuser, allerdings... du kannst es ja an der bereits angegebenen Adresse nachlesen: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#NAT Das muss ich nicht nachlesen, den der Komentar dort stimmt schlicht weg nicht. Ein ordentlich implemetiertes NAT schickt nicht irgendwelche Packete and irgendwleche Adressen. Zumindest ist mir nie ein solches Gerät unter die Augen gekommen. http://de.wikipedia.org/wiki/Network_Address_Translation Bei Hiding NAT (eigentlich PAT oder auch NAPT (Network Address Port Translation)) werden mehrere Quell-IP-Adressen in die gleiche externe Quell-IP-Adresse übersetzt. Bei diesem Masquerading werden auch die Ports umgeschrieben. Mit ordenlicher PFW meinte ich übrigens die Tiny Firewall, die einer ordentlichen Satefull inspecting Firewall sehr nahe kommt. Wenn mich nicht alles täuscht wurde sie dann von Kerio und später von Sunbelt aufgekauft. Inzwischen gefällt sie mir aber nicht mehr so, da sie nicht mehr den ursprünglichen Charme der 2.0 hat. @Sigma ACK, ich wollte nur das man die Artikel nicht all zu ernst nimmt. Einige Aussagen, vor allem die über NAT haben micht mächtig irriert um es mal so zu formulieren... :suspect: ;) Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 4. Juni 2006 Melden Teilen Geschrieben 4. Juni 2006 Übrigens bin ich nicht nur der einzige hier, der NAT als Schutz sieht: Wenn es Dir darum geht, was für Dich das beste ist, dann verwende irgendeinen (nicht negativ gemeint) Router (SMC,Netgear, etc.). Diese Dinger sind nicht so übel (für den privaten Bereich). Weiterer Vorteil ist, dass Dein PC dann nicht direkt im Internet hängt und nur durch so eine persFW geschützt wird. Der Router ist dann noch dazwischen der Deinen PC "versteckt" (NAT). http://www.mcseboard.de/showpost.php?p=493931&postcount=36 Zitieren Link zu diesem Kommentar
Weihnachtsmann 10 Geschrieben 4. Juni 2006 Melden Teilen Geschrieben 4. Juni 2006 Das was viele unter NAT (Network Address Translation) verstehen ist einfach falsch. NAT dient dazu IP Netze auf andere IP Netze umzusetzen. Z.B. NAT setzt 192.168.1.0/24 nach 10.1.1.0/24 um oder IP-Adressen werden umgesetzt und als Basis besteht ein Pool z.B.ein /24 Netz wird über NAT auf ein /26 Netz umgesetzt. D.h. die ersten 62 Adressen werden umgesetzt. Für nachfolgende IPs findet kein NAT statt solang nicht über einen Timeout IP Adressen aus dem Pool freigegeben werden. Das was die meisten unter NAT verstehen nennt man eigentlich PAT (Port Address Translation) oder Masquerading. Damit ist gemeint das z.B. viele interne IPs werden auf eine externe IP umgesetzt wobei sich das Device das PAT macht eine Zuordnungstabelle mitschreibt welcher Port für welchen Host steht. Gruss Weihnachtsmann Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 Meine Meinung ;) Bei einem Hide NAT, PAT oder auch NAPT genannt müssen die Quelle Ports (in der Regel nicht die Ziel Ports) umgeschrieben werden, da das Device keine Zuordnungstabelle aufbauen kann und dann nicht weiss, welche IP die Verbindung iniziert hat. In der Regel wird ein Port der Reihe nach > 1024 zugeordnet. Natürlich kann man auch die Zielport umschreiben, was aber zu einem ganz anderen Effekt führt. Ein NATing von nur RFC1918 Adressen ist natürlich auch drin, ist aber IMHO nicht so gebräuchlich. Zitieren Link zu diesem Kommentar
Weihnachtsmann 10 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 Es kommt immer drauf an wie man sich die Kommunikation ankuckt Intern -> Extern (Quell Port und Quell IP werden umgeschrieben) Extern -> Intern (Ziel Port und Ziel IP wird umgeschrieben) siehe auch http://de.wikipedia.org/wiki/Port_Address_Translation Gruss Weihnachtsmann Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 Extern -> Intern (Ziel Port und Ziel IP wird umgeschrieben) Das Stimmt so leider nicht ganz. Bei einem static NAT ist es nicht notwendig den Ziel Port umzuschreiben, wozu auch. Allerdings kann man, wenn man will. P.S.: Falls du den Weg zurück meinst, dann ja, aber das ist irrelevant. Ich gehe von meiner Aussage immer von der Richtugn ausd, wo der Traffic iniziert wird. Zitieren Link zu diesem Kommentar
Weihnachtsmann 10 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 Ja ich meine den Rückweg Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 @sigma lutz donnerhacke ist der coolste :D vor allem sein beispiel mit dem haus was man mit taschenlampen und ausgeschalteter sonne noch sehen kann Zitieren Link zu diesem Kommentar
Sigma 10 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 Das sind mal anschauliche Beispiele. :D Zitieren Link zu diesem Kommentar
*Cat* 19 Geschrieben 5. Juni 2006 Melden Teilen Geschrieben 5. Juni 2006 aber selbst die zeitschriften schwören inzwischen auf hardwarefirewalls in der neuen chip ist anleitung software und systemanforderung also man bräuchte nur nen kleinen alten rechner vorschalten und der braucht keine festplatte, da reicht ne diskette und so ich bleib bei meinem router und hirnmodus an :cool: Zitieren Link zu diesem Kommentar
Das Urmel 10 Geschrieben 6. Juni 2006 Melden Teilen Geschrieben 6. Juni 2006 Ist es nicht so, dass Benutzer eine FW (Desktop) einsetzen um den Traffic von innen nach aussen ebenfalls zu kontrollieren oder wollen ;) Was eine derartige FW leisten muss - sitzt tief im System und einige Exemplare zeigen dies durch den stark verzögerten Systemstart - ist wohl kaum von der Hand zu weisen. Als Ausweg aus dem Dilema würde ich derzeit mal Vista in die Reihe erhöhter Sicherheit einordnen, auch wenn UAP hier bald wieder aus Bequemlichkeit abgedreht wird. Meckert eine derartige FW nicht mehr, weil Schadsoftware unter der Flagge des Browsers als Injektion segelt, ist der Benutzer richtig zufrieden und es passiert dennoch genau das, was er eigentlich verhindern wollte. Eine aufgepropfte Desktop-Firewall ist immer eine Schwachstelle, solange der Benutzer mit höheren Rechten durch die Gegend segelt; mit ihm auch die Schadsoftware die sich an der FW gar nicht stört. Wobei noch der Hinweis erlaubt sein darf: eine Hardwarefirewall gibt es nicht, die besteht immer aus Software. :) Zitieren Link zu diesem Kommentar
notesuser3 10 Geschrieben 6. Juni 2006 Melden Teilen Geschrieben 6. Juni 2006 Ob Desktop oder Hardwarefirewall, der Fehler sitzt vor dem Gerät. Die angesprochenen Chip-Lösung gibt es bereits länger. Mit ipcop lässt sich relativ leicht eine Firewall zusammenstellen, die wir dann von Diskette oder CD gebootet und bietet einen recht vernüftigen Schutz. Wer aber glaubt totale Sicherheit zu haben, träumt. Um dies zu erreichen, sollte am besten der PC ausgeschaltet bleiben. Wie die jüngsten Berichte von BND, und NSA gezeigt haben, passieren Dinge, die wollen wir gar nicht wissen. Gruß Notesuser3 Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 6. Juni 2006 Melden Teilen Geschrieben 6. Juni 2006 und vor allem, welcher Privatuser will sich im Ernst 2 Rechner hinstellen? Grade in Zeiten wo sich Desktops m Homebereich immer schlechter verkaufen. OK, man könnte den 2.Rechner gleich auch für etliche andere geschichten missbrauchen, dann sollte das Ding aber schon ein klein wenig dampf haben.>höherere Anschaffungspreis + Stromkosten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.