Jump to content
Sign in to follow this  
Der Newbie

Ist ein DSL Router ein Risiko für einen DC???

Recommended Posts

Hallo,

 

ich habe meine versuche mit der eumex aufgegeben und mir einen dslrouter mit switch zugelegt.

 

auf dem testserver läuft er auch und ich komme ins internet.

 

ABER!

 

Wie sieht es mit der Sicherheit aus? Ich habe hier mal gestöbert und eine Aussage aufgeschnappt:

 

Wer sich mit Packetfilterung und Ipfilterung nicht auskennt sollte es bleiben lassen...

 

im handbuch des ar220E steht was von:

 

Secure NAT Firewall, Packetfiltering access control.

 

In den Threads hier habe ich rausgelesen, das ein router

 

"wenn er denn richtig konfiguriert wird" eine bessere firewall darstellt als eine softwarelösung ala outpost, die ich zur zeit benutze.

 

lt. handbuch ist beschrieben, wie ich den zugriff von innen auf bestimmte ports und ip adressen nach draussen blockiere...

 

 

Wortlaut des Handbuches:

 

"Die Packetfilterung gibt ihnen die möglichkeit, den Zugriff von Benutzern auf bestimmte Adressen im I-net zu blockieren. Administratoren können beispielsweise benutzern den zugriff auf POP3 Mail-Services verweigern........."

 

oder bei ip-Filterung:

 

"Geben Sie die IP-Adresse des Netzwerkgerätes ein, auf das der Zugriff durch die Benutzer unterbunden werden soll. Alle an diese IP gesendeten Pakete werden vom Router blockiert."

 

 

ich bin hier echt supernewbie, aber das hört sich doch alles danach an, wie ich z.Bsp. bestimmten clients MEINES netzwerkes den Zugriff auf bestimmte Seiten (Porno, Gameseiten...) oder bestimmte ports (emule, edonkey...) verbieten kann.

 

Mein interesse ist aber genau das umgekehrte. Ich möchte verhindern, das jemand von aussen auf meinem Server und den clients rumtummelt und dort party´s feiert.

 

gibt es im internet eine anleitung für dummies, wie ich den router konfigurieren kann, das ich relativ safely bin?

 

bei outpost hatte ich es immer so gemacht, das ich den lernmodus hatte und so nach wochen relativ bequem surfen konnte und nicht mehr durch z.Bsp. Port 135 zugriffe genervt war...

 

aber das alles per hand über den webzugang zum router zu konfigurieren, kann es ja auch nicht sein!

 

Weiss jemand ein tip? Unter google findet sich nur ein haufen zeug wie man trotz router edonken kann, oder irgendwelche final fantasy II server ins netz bringt.

 

ich versteh das nicht, sicherheit sollte doch mehr einträge bringen als fun und downloads....

 

ratloser newbie....

Share this post


Link to post

Also erstmal sei gesagt, dass heutzutage nichts sicher ist. Wenn du dir nicht sicher bist, wie du deinen DSL Router am besten schützen kannst, schau dir paar howtos zu deinem router an oder guck ob du was bei dem Hersteller findest.

 

Ansonsten sind die Features auf moderenen routern sehr gut was die sicherheit angeht.

 

Check das Forum ab was grizzly mitgeteilt hat.

 

vergess nie, ein firmware upgrade auf die neueste version ist immer vom vorteil, wenn du sehr auf security achtest!

 

...wer tut das nicht :p

 

Gruß

 

BJW

Share this post


Link to post

Oh, so schnell antworten!

 

danke...

 

die howtows geben nicht viel her, per default ist auf dem router alles deaktiviert. ist das die richtige einstellung?

 

also lt. Webinterface:

 

Virtual Server = disabled

Packetfiltering = disabled

keine einträge bei IP rule und bei port rule.

DMZ (was hat das eigentlich mit militär zu tun???) steht nur die Broadcastadresse des netzwerkes: 192.168.10.0

 

IP Adresse des Routers ist hinten die 10.10

die IP des Wk2 Servers ist die 10.1 und Clients 2 bis 9

 

bedeutet das jetzt totale Offenheit (alle ports offen) oder totale sicherheit (kein Port wurde für das routen vom intranet in das extranet freigegeben?)

 

gruss newbie

Share this post


Link to post

Virtual Server hat nix mit security zutun.

 

packet filtering kannst du einschalten, aber nicht schlimm, wenn es nicht ist.

 

DMZ ist eine Funktion dass wenn pakete nicht durch den router kommen (also verworfen werden) durch einen eintrag einer IP adresse, dort hin versendet werden.

 

Finde diese Lösung nur brauchbar, wenn eine connection nicht funktioniert um das testen zu können, ob die pakete verworfen werden...

 

das mt den Ports, joar, wenn dort rechner von 2 bis 9 sind, und alle belegt und deine range ist nur soweit beschränkt, würde ich dir raten wennde 100% sicher sein willst, das du ein mac filter machst, das heißt, nur diese mac adressen dürfen an den router ran, dass wären dann diese pcs zwischen 2 und 9

 

Gruß

 

Bastian

Share this post


Link to post

thanks...also meint das, das ein router von hause aus erstmal alles sperrt und ich etwas freigeben muss?

 

@grizzly, die frage ist ja, meinst du mit pakete den zugriff? also auch diese windowswürmer und port 135 angriffe und so weiter?

 

gruss newbie

Share this post


Link to post

Jo die meine ich. Normalerweise lässt der Router kein einziges Paket rein, egal auf welchen Port. Eine Ausnahme bildet das ICMP-Protokoll (ping), damit man von aussen testen kann, ob der Router antwortet. Aber ansonsten sollte bei den Tests auf der Site, die ich dir gegeben habe bis auf ICMP alle andern Ports den Status blocked oder closed haben.

 

grizzly999

Share this post


Link to post

hi grizzly,

 

habe alle ports closed, aber nicht stealth, wie unter outpost.

 

der port ist offen:

 

ICMP 8 OPEN An ICMP ping request is usually used to test Internet access. However, an attacker can use it to determine if your computer is available and what OS you are running. This gives him valuable information when he is determining what type of attack to use against you.

 

 

muss ich mir jetzt in die hosen machen?? und wie kann man den port den sperren, wenn es der router nicht macht???

 

gruss newbie

Share this post


Link to post

Nein, ist alles im grünen Bereich. Dein Router antwortet nur auf ping, das ist nichts schlimmes, so kann man wenigstens Troubleshooting machen, wenn's mal sein muss. Ansonsten ist keiner open, das reicht ;)

 

grizzly999

Share this post


Link to post

Moin grizzly,

 

gut, dann bin ich ja relativ sicher.

 

Noch ne Folgefrage dazu. Die Clients (Domänenmitglieder) könnten sich doch einen trojaner, oder einen anderen fiesen Gast downloaden. Die wären dann ja hinter der Firewall und dann sieht es ja eher schlecht aus....

 

Gut, ein Virenscanner schützt vor Viren und vor den bekannten trojanern....gibt es denn da noch was zu beachten?

 

Die nächste Frage ist: Wenn ein computer (Laptop) der nicht Domänenmitglied ist, aber mit der gleichen Netzmaske konfiguriert wurde, um das internet über den router zu nutzen, kann der mir gefährlich werden? Bsp. neffe kommt mit seinem laptop um im internet zu surfen und grosse downloads mit dsl zu machen, statt mit isdn daheim. ich gebe ihm 192.168.10.X, damit der router den laptop auch findet. das funktioniert auch prima.

 

der laptop ist jetzt kein domänenmitglied und hat auch keine freigaben in der domäne bekommen und ist auch nicht irgendwie auf ein share mit passwort mit dem server verbunden.

 

allerdings ist die netzmaske ja identisch. lauert da noch ein gefahrenpotential auf mich? (Junge leute versprechen ja viel, aber haben einen spieltrieb) will nicht unnötigerweise als böser onkel dastehen, nur weil ich ihm das nicht erlaube, obwohl es eventuell gefahrlos möglich wäre.

 

was meinst Du?

 

gruss newbie

Share this post


Link to post

Gegen Trojaner helfen wie du richtig bemerkt hast am besten gute Antivirenprogramme, den natürlich hilft mir ein von aussen dichter Router nichts, wenn von innen eine Verbindung initiiert wird, und dies zugelassen wird. Dafür wären dann Firewalls zuständig, die nur bestimmte Ports nach aussen öffnen, oder das Einrichten von Paketfiltern auf dem Router (Richtung ausgehend).

 

Rechner im Netz, über die ich keine Kontrolle habe, sind immer ein Bedrohungspotential, sie können Viren, Würmer und Trojaner in ein geschütztes Netz einschleppen. Auch hier ist der beste Schutz gute Virenscanner auf allen eigenen Rechnern.

 

grizzly999

Share this post


Link to post

hi,

 

okay, virenscanner sind ja eh auf jedem rechner ebenso wie die neuesten sp von ms.

 

ist eine softfirewall eher für paranoiker gedacht, wenn ich einen router habe, oder sinnvoll?

 

wäre der obig beschriebene laptop denn "im Netz" ?

 

denn wenn ich dran denke, was ich teilweise für einen krampf habe, bis sich ein client auf dem server anmelden darf:

 

"computerkonto erstellen"

"User anlegen"

 

ist für mein "menschliches" empfinden der lapi nicht im netz, sondern neben dem netz, oder denke ich da so falsch?

 

newbie

Share this post


Link to post

Hi,

 

Softwarefirewall ist Schlangenöl. Bringt weder mit noch ohne Router was.

 

Für Viren ist es normalerweise egal ob der Rechner (Laptop) Mitglied der Domäne ist oder nicht.

 

Aber ein DC Server sollte eh keinen direkten Zugriff ins Internet haben.

 

Am Besten wäre es, wenn dein Server das GAteway (Router) nicht kennt.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...