Jump to content
Sign in to follow this  
KeinPlan

Firewall zwingend notwendig???

Recommended Posts

Hallo und guten Morgen,

 

ich spiele mit dem Gedanken, über DynDNS meine Server zu Hause zu erreichen.

 

Meine Konfig:

 

DSL mit Flat Rate

Hardwarerouter (Teledat 130DSL) IP: 10.0.0.1

W2k Server (DC, DHCP, DNS, WINS, IIS, RRAS, TS, Fileserver, Printserver) IP: 10.0.1.1

W2k Server (DC, DNS, IIS, TS, Exchange) IP: 10.0.1.2

 

DynDNS auf dem Router aktiviert aber Port Forwarding ist noch dicht.

 

So und jetzt möchte ich gerne folgendes:

 

Auf dem Router Forwarden ...

 

... Port 80 --> 10.0.1.2 (Exchange OWA)

... Port 1723 --> 10.0.1.1 (VPN)

 

Habs auch mal kurz getestet und es funktioniert einwandfrei.

 

Allerdings hab ich ein bisschen Angst bezüglich der Sicherheit. Wenn ich hier über dieses Thema suche, lese ich immer 'aber pass auf, Du musst Sicherheit einbauen ... und blah und blub'

 

Jetzt meine eigentliche Frage:

 

Wenn auf dem Router alle Ports, ausser die beiden genannten (80 und 1723) geschlossen sind, muss ich mir doch um die eh keinen Kopp machen, oder?

 

Ich muss mich dann doch nur auf die beiden offenen Ports konzentrieren:

 

80 --> 10.0.1.2 (IIS) Also IIS dort (also an Ort und Stelle) absichern. Da sollte doch als Sicherheit das Lockdown Tool und die aktuellsten MS Updates reichen? Oder nicht?

 

1723 --> 10.0.1.1 (VPN) Was soll man hier noch zu machen oder sichern? Aktuelle MS Updates und fertig. Oder denk ich da falsch?

 

Was hätte ich denn von einer zusätzlichen Firewall? Der Router hält eh alle Ports dicht. Jetzt noch ne Firewall hinterm Router wo alle Ports nochmal dicht sind ist doch ein Quatsch. Das wäre ja so als baute ich eine Haustür ein und nach der Haustür nochmal eine. Port 80 und 1723 muss ich am Router öffnen. Das wäre dann in der Haustür eine Katzenklappe. Und weil ich ja ne Firewall nochmal hätte wäre in der zweiten Haustür nochmal ne Katzenklappe.

 

Also, warum evtl. noch ne Firewall? Ich kappiers nicht. Gehts hier um doppelte Absicherung oder was? Oder hat so ein Teil wirklich mehr Sinn wie zwei Haustüren hintereinander?

Share this post


Link to post

Bei deiner Konfiguration scheint mir eine zusätzliche Firewall deshalb nicht notwendig zu sein, weil m.W. der Hardware-Router diese Leistung schon bereitstellt und bsp. den 135 nicht durchläßt.

 

Hier im Forum gibt es oftmals Fälle, bei denen Privatanwender mit DSL, vielleicht noch mit einem Virenscanner, aber ohne Firewall online gehen und sich nach kurzer Zeit Blaster einfangen: 'Direkt nach der Installation hat alles funktioniert, aber nach einigen Tagen ...'. Oder sie surfen als Admin, gehen auf Filesharing-Seiten und berichten dann vage, daß irgendetwas nicht mehr so richtig funktioniert.

 

Das ist hier 'zwar' ein MCSEForum. Es wird inzwischen jedoch von vielen Personen mit Rechnern bzw. Problemen zuhause genutzt. Damit ist hier so etwas wie eine 'fundamentale Aufklärungsarbeit' notwendig, da bsp. die Risiken bei einem DSL-Anschluß einfach höher sind.

 

-------------

Gruß, Auer

Share this post


Link to post

Hallo KP,

 

ich persönlich halte jeden popeligen Router grundsätzlich als eine bessere Firewall, wie irgendeine Firewallsoftware, die nur zusätzliche Rechnerleistung kostet.

 

Vom LAN ins WAN hast Du ja NAT. Somit ist Deine eigentliche LAN IP in gewisser Weise im WAN geschützt. Das ist schon mal ne gute Eigenschaft.

 

Deine Variante, also vom WAN ins LAN ist mit nem Router auch ein guter Schutz. Alle Ports sind ja zu, ausser die geforwardeten. Auf die muss man sich konzentrieren. Wenn Du aber die benötigten Dienste soweit einschränkst, dass sie nur das nötigste tun, was sie tun sollen (aus öffentlicher Sicht), dann ist Deine Version auch ohne zusätzliche Firewall vollkommen OK. Lasse mich da aber gerne einem anderen Belehren.

 

Rein aus Sicherheitsgründen, weil ja Dein VPN 'Anmeldeserver' auch Fileserver ist, wäre das evtl. das große Sicherheitsloch. Aber nicht sooooo schlimm.

 

Meine Devise dazu: Auf Rechner, wo sich Huntz und Kuntz rumtümmeln können sollten niemals auch wichtige Daten oder Apps. liegen.

 

Würde da eher einen zusätzlichen Server machen, der als Print-, File- und Anmeldeserver wurschtelt.

 

Kurz ne Frage an alle: Was haltet Ihr davon, dass die Server auch DC's sind? Ich sehs ned so problematisch. Aber evtl. auch ein Sicherheitsloch?

 

Guter Thread, werde ich mal mitverfolgen.

 

Gruß

Roland

Share this post


Link to post

Hallo!!

 

Mal zur Info. Eine Firewall hällt nicht nur Ports dicht, das vergessen glaube ich immer recht viele! Klassische Firewall-Systeme basieren auf Packet-Filtern – die Datenpakete werden aufgrund Quell- und Zieladresse sowie Protokolltyp analysiert und entsprechend die Zugriffsbeschränkungen gesetzt. Es macht demnach also schon Sinn! Die Angriffe können ja schließelich auch von innen stammen (Trojaner, Viren).

Share this post


Link to post
Original geschrieben von Wildi

ich persönlich halte jeden popeligen Router grundsätzlich als eine bessere Firewall, wie irgendeine Firewallsoftware, die nur zusätzliche Rechnerleistung kostet.

Kann man durchaus geteilter Meinung sein. Ein Router führt statisches Packetfiltering durch. Eine Firewall verwendet Statefull Inspection. Aus Sicherheitssicht zwei völlig unterschiedliche Dinge.

 

Vom LAN ins WAN hast Du ja NAT. Somit ist Deine eigentliche LAN IP in gewisser Weise im WAN geschützt. Das ist schon mal ne gute Eigenschaft.

Falsch! Manche ISPs routen dummerweise private IPs, außerdem kann, bei bekannter priv. IP, eine Route vorgegeben werden, so dass auch priv. IPs erreicht werden!

 

Rein aus Sicherheitsgründen, weil ja Dein VPN 'Anmeldeserver' auch Fileserver ist, wäre das evtl. das große Sicherheitsloch. Aber nicht sooooo schlimm.

Ein IIS (meinetwegen erweitert auf alle Webserver) ist generell eine unsichere Sache (siehe die zig Sicherheitslöcher der Vergangenheit). Auch wenn sie gestopft werden, es tauchen neue auf. Werden andere Dienste auf dem Server betrieben, können diese, bei einem Hack des Webservers, ebenfalls übernommen werden.

 

Meine Devise dazu: Auf Rechner, wo sich Huntz und Kuntz rumtümmeln können sollten niemals auch wichtige Daten oder Apps. liegen.

Absolut korrekt!

 

Würde da eher einen zusätzlichen Server machen, der als Print-, File- und Anmeldeserver wurschtelt.

Stimm nochmal zu!

 

Kurz ne Frage an alle: Was haltet Ihr davon, dass die Server auch DC's sind? Ich sehs ned so problematisch. Aber evtl. auch ein Sicherheitsloch?

Das versteh ich jetzt nicht. Du würdest einen popeligen Dateiserver nicht mitlaufen lassen, fragst aber im nächsten Atemzug, ob ein DC sinnvoll wäre? Klare Antwort: um Gottes Willen, NEIN!

 

Guter Thread, werde ich mal mitverfolgen.

Tu das :) ;)

 

Grüße

Olaf

Share this post


Link to post
Falsch! Manche ISPs routen dummerweise private IPs, außerdem kann, bei bekannter priv. IP, eine Route vorgegeben werden, so dass auch priv. IPs erreicht werden!

So ist es. Selbst wenn der ISP die IP´s nicht routet, habe ich mit source routing die Möglichkeit an dem Kasten vorbei zu kommen.

 

Ein IIS (meinetwegen erweitert auf alle Webserver) ist generell eine unsichere Sache (siehe die zig Sicherheitslöcher der Vergangenheit). Auch wenn sie gestopft werden, es tauchen neue auf. Werden andere Dienste auf dem Server betrieben, können diese, bei einem Hack des Webservers, ebenfalls übernommen werden.

IIS hat auch die nette Eigenschaft Viren anzuziehen wie ein Magnet.

 

Das versteh ich jetzt nicht. Du würdest einen popeligen Dateiserver nicht mitlaufen lassen, fragst aber im nächsten Atemzug, ob ein DC sinnvoll wäre? Klare Antwort: um Gottes Willen, NEIN!

Meiner Meinung nach ist es vollkommen egal ob es nur ein Server oder ein DC ist. Das Risiko ist immer das selbe. ;)

 

 

Gruß,

 

Roi Danton

Share this post


Link to post
Original geschrieben von Wildi

 

Kurz ne Frage an alle: Was haltet Ihr davon, dass die Server auch DC's sind? Ich sehs ned so problematisch. Aber evtl. auch ein Sicherheitsloch?

 

 

Ich meinte damit genau dass, was Roi geschrieben hatte. Ist doch eigentlich egal ob DC oder normaler Server. Würde halt nur nicht speziell Daten und Apps. zusätzlich auf der Kiste ablegen, wo sich der ganze Erdball drauf tümmeln kann.

 

Klar, wenn DC dann gilt die Anmeldung für die gesamte Domäne, aber wenn ich irgendwie sowieso auf weitere Kisten zugreifen müsste (z.B. bei VPN) bleibt es sich doch prinzipiell vollkommen egal. Da ist es doch sogar besser, einen DC dazu zu verwenden. Läuft doch dann von der Administration auch einfacher ab.

 

Wegen der Sache NAT, Port Forwarding und private IP:

Nun gut, natürlich kann ich die private IP rausbekommen. So kein Problem. Aber was soll ich denn groß damit? Wenn ich nicht virtuell auf das Netz komme (z.B. VPN), dann kann ich doch auch von mir aus über das Internet nichts mit der priv. IP des Anderen groß anfangen???

 

@tommy2kr

Ja, ne Firewall macht auch noch Paketchecks. Aber KP will doch ein VPN. Da müssen doch eh die Pakete 1:1 zum VPN. Sonst lehnt er sie ab. Stichwort Passthrough. Hab das auch oft bei Kunden. Richtet man einen VPN Server ein und man kommt nicht drauf. Stellt man dann in der FW ein den Port 1723 zu öffnen klappt es immer noch nicht (weil eben zick Paketkontrollen und Filter druff laufen). Erst wenn man den Port in der FW komplett öffnet, dann klappts auch mit'm VPN. Und somit hab ich speziell wieder das, was KP so nett sagte. In der Haustür die Katzenklappe 1723 und dahinter nochmal ne Haustür mit ner Katzenklappe 1723.

 

Sehe das Ganze einfach mal so. Alle Ports dicht. Gut. Port 1723 komplett auf - muss sein wegen VPN. Da kann man nur hoffen, beten, bitten und vertrauen, dass der VPN sauber und sicher ist. Einzig der offnene Port 80 könnte noch ein bisschen zugemacht werden. Also eine FW speziell auf Port 80 konzentrieren lassen.

 

Gruß

Roland

Share this post


Link to post

Portforwarding in den entmilitarisierten bereich ist immer eine sicherheitslücke. Zu Schnell tretten bei solchen diensten Sicherheitlücken auf und dann hat jemand zugriff auf das Private geschütze netzwerk.

 

Dieste für die öffentlichkeit wie Webserver,FTP server ect gehören vor die Firewall. Grade beiM IIS ist es eine einladung wenn er läuft, aber auch Apache Webserver stellen eine Sichherheitlücke da.

 

MFG

EW_

Share this post


Link to post
Original geschrieben von ew_

Dieste für die öffentlichkeit wie Webserver,FTP server ect gehören vor die Firewall.

 

VOR die Firewall? Dann aber wohl in die DMZ, oder wie meinst du das?

 

Grüße

Olaf

Share this post


Link to post

Hallo,

 

wau - richtig viele Einträge :-) Vielen Dank!

 

Nun gut, die Sachen klingen alle sehr interessant. Natürlich ist mein PRIVATES Netzwerk nicht unbedingt ein Luxusprodukt, wie vielleicht in einer Firma.

 

Ich habe halt daheim 2 Servers rumquitschen, auf die ich bisher immer lokal zugegriffen habe. Aber durch den Komfort OWA und VPN möchte ich jetzt langsam auch nimma verzichten. Es geht ja alles super alles fit.

 

Jetzt geht es einzig und alleine um ein bisschen Sicherheit die mich nicht auf Lebzeit für mein Hobby verschulden lässt.

 

Momentan hab ich hier einen Switch auf dem alles gestöpselt ist. DSL Router, 2 Server, 2 Workstation, Notebook über W-LAN, 2 Printserver.

 

Jetzt geht es um die Server. Möchte gerne über den Router auf meine beiden Server. Einmal OWA und einmal VPN.

 

Es wäre kein Problem einen alten Rechner zu nehmen und da noch ne Firewall draufzuinstallieren. Nur, wo bau ich den dann hin:

 

Router --- Firewall --- Switch und davon zum Rest

 

oder

 

Router --- Switch --- zu beiden Servern --- Switch --- Firewall --- Switch und da zum Rest

 

oder

 

so wie ich es jetzt habe:

 

Router --- Switch und zum rest und irgendwo da FW-Software drauf.

 

Wie Wildi schon meinte. Den Port 1723 kann ich ja eh ned Firewallen wegen dem Passthrought. Glaube hat was mit Protocolnummer 47 oder so zu zun, aber auch egal.

 

Wenn, dann käme doch eh nur Port 80 in Frage. Und was soll ich da einschrenken?

Share this post


Link to post
Original geschrieben von edv-olaf

VOR die Firewall? Dann aber wohl in die DMZ, oder wie meinst du das?

 

Grüße

Olaf

 

Wenn du einen Webserver von außen erreichbar machst und ihn in der DMZ hast ist es keine DMZ mehr.

Aufbau ist

 

Webserver -> Firewall -> DMZ

 

Oder für ganz paranoide

 

Firewall -> Webserver -> Firewall -> DMZ

 

nun zu deinem Heimnetzwerk.

 

Paranoid wäre ein aufbau

 

Router --> Server (Webserver)

............|-> Firewall -> Server (vpn) -> Switch

 

wobei dann immer noch das Risiko deine VPn wäre, aber die einaldung Webserver fällt zumindest wech.

 

cu

ew_

Share this post


Link to post
Original geschrieben von ew_

Webserver -> Firewall -> DMZ

Is nich dein Ernst, oder? Wie lange soll der Server da draußen überleben? Vielleicht noch ein IIS? Ich weiss nicht.... :suspect:

Share this post


Link to post

Wie lange soll den deine Sicher Zone existieren wenn du den Webserver neben den geschützten rechner hast.

 

Ob du nun nen Portforward durch eine Firewall zu nem Webserver machst oder ihn vor der firewall betreibst und nur den den einzelnen dienst anbietest.

der einzige unterschied bei den beiden sachen ist, daß wenn deiner gehackt wird, der hacker vollen zugriff auf dein intranet hat und bei der anderen variante nur nen Webserver hat und nicht soviel schaden anrichten kann.

 

cu

ew

Share this post


Link to post

@ew

Also ich bleibe dabei: ein Webserver in der DMZ mit einer guten (selbstkonfigurierten) (IPTables-)Firewall lebt länger und besser. Bisher hat sich keiner unserer Kunden beschwert :)

 

Grüße

Olaf

Share this post


Link to post

Nur ob sich für Dein privates Netzwerk eine DMZ lohnt??

 

Auf jeden Fall solltest Du jede Aktive Komponente hinter eine Firewall stellen.

Den Router mal ausgenommen, der muss ja schließlich die Verbindung aufbauen.

 

Ich für meinen Teil hab meine Teledat Telefon DSL Anlage bei Ebay verkauft und mit ein T300 Modem geholt und das vor die Linuxfirewall gestellt.

Wer weiss was es alles für Hacks gibt... Ich muss ja nicht mit meiner Telefonanlage ins Internet gehen...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...