Sinn oder Unsinn einer Hardwarefirewall für Heimnetzwerk

[iceview]

Hallo,

in einem anderen Thread kam mal die Frage auf ob sich eine Hardwarefirewall für den Privatanwender lohnt. Mich würde hierzu mal Eure Meinung interessieren.

Ein gut gesichertes W-LAN mit WPA2, Mac-Filter und verborgener SSID sollte so gut wie unhakbar sein. Somit ist die mißbräuchliche Nutzung und Diebstahl von Daten im eigenen Netz ersteinmal gebannt.

Angriffe von außen, heißt über die WAN Seite sollten doch durch die W-LAN-Router-FW und die Software-/Windows Firewall abgewehrt werden.

Das was ich in der Tat schlechter kontrollieren kann sind ausgehende Dienste. Wenn ich z.B. via VPN von daheim arbeite, dann bin ich froh mittels einer FW sicherzustellen, dass wirklich nur das durch den Tunnel geht was auch durchgehen soll.

Was ist Eure Meinung? Lohnt sich eine Hardwarefirewall wie z.B. IP-Cop, Endian oder Astaro?

 

[archiv]

Meiner Meinung nach überflüssig für Zuhause.
Sind das so hoch brisante Daten die man schützen muss?

 

[iceview]

Naja das muss jeder für sich entscheiden. Bankgeschäfte oder ähnliches macht man doch eher für sich, als diese mit dem Web zu teilen

Deine Post kommt ja auch im Umschlag und hängt nicht an der Litfasssäule an der Ecke...

Die Frage ist eben, ist ein normaler W-LAN Router und eine Softwarefirewall "so unsicher"?

 

[Scheinweltname]

Ein gut gesichertes W-LAN mit WPA2, Mac-Filter und verborgener SSID sollte so gut wie unhakbar sein. Somit ist die mißbräuchliche Nutzung und Diebstahl von Daten im eigenen Netz ersteinmal gebannt.

definitiv falsch. MAC-Filter und versteckte SSID bieten keinerlei zusätzlichen Schutz gegen "echte" Hacker; damit hältst du höchstens die Kiddies von den Nachbarn ab, in deinem Netzwerk zu surfen.
MAC-Adressen lassen sich leicht fälschen (die Netzwerkkarte von meinem EEE-PC hat dafür sogar standardmäßig ein Feature in den Netzwerkkarten-Einstellungen); und über irgendwelche DHCP-Anfragen kriegt ein Hacker bestimmt auch raus, welche MAC-Adressen erlaubt wären (Hinweis: Um ganz sicherzugehen, sollte man auch die DHCP-Funktion des Routers deaktiveren, allen Rechnern feste IP-Adressen geben und die MAC-Filterung nicht nur für die Anmeldung, sondern auch den Internetzugriff benutzen). Die versteckte SSID macht nur dir selbst das Leben schwerer; jedes Netzwerk-Monitoring-Programm erkennt auch WLANs, die ihre SSID nicht senden - weil eben bloß der "Name" nicht kommuniziert wird; die Daten schwirren ja trotzdem für jeden aufnehmbar (dank Verschlüsselung aber nicht lesbar) durch die Luft.

WPA2 ist nur eine Verschlüsselung der Verbindung, und keine Hürde dafür, wie leicht oder schwer man sich an deinem Router anmelden kann - aber es ist derzeit das Maß der Dinge im Privatbereich, wenn es darum geht, Datenströme für Dritte unlesbar zu verschlüsseln.

In den seltensten Fällen werden Angreifer versuchen, dein Passwort bzw. den Router direkt zu hacken; viel eher werden die über deinen Rechner gehen, wenn du gerade im Netz bist; d.h. dein eigener Rechner wird in den meisten Fällen deinen Router "von innen" angreifen.

Die kritische Schwachstelle ist immer der Rechner und der Benutzer dahinter, nicht der Router (schonmal gesehen, mit wie wenig Aufwand und wenigen Klicks man z.B. mit Fastviewer einen fremden Rechner fernsteuern kann - selbst in high-end gesicherten Firmennetzwerken? Und das Opfer (bzw. der Hilfesuchende, im Falle von Fastviewer) muss dafür nur ein paar Klicks machen.)

Insgesamt halte ich es aber für paranoid, eine dedizierte "Hardware-Firewall" in einem Heimnetzwerk einzurichten. Angriffe durch Zombies bzw. Botnetze sind automatisiert und suchen nach Schwachstellen; solche Zugriffe blockiert jede Firewall selbst in billigen Routern.

... ganz zu schweigen vom Preis ... die Teuren sind mit ca. 15.000 € tatsächlich "teuer".

 

[HisN]

öhm. Dein Router ist eine Hardware-Firewall.
Oder wie bezeichnest Du ein Gerät das alles was aus dem Internet kommt blockt, bis auf die Ausnahmen die Du einlädst?

 

[Scheinweltname]

öhm. Dein Router ist eine Hardware-Firewall.
Oder wie bezeichnest Du ein Gerät das alles was aus dem Internet kommt blockt, bis auf die Ausnahmen die Du einlädst?

Beispiele dafür, was ich (und der Threadersteller) mit Hardware-Firewall meinen, stehen im ersten Beitrag. Gemeint sind Firewalls, die komplett auf eigener Hardware mit eigenem OS laufen.

Router-Firewalls sind eher Software-Firewalls, die zufällig nicht auf dem Rechner selbst, sondern als Anwendung auf dem Router, laufen

Sowas z.B. verstehe ich unter Hardware-Firewall: http://www.endian.com/de/products/utm-hardware/macro-r-series/

p.s. dein Satz wäre richtiger in dieser Form: Router haben (i.d.R.) eine Firewall. Bei vielen, z.B. den Routern der Telekom, ist das nicht einmal eine echte Firewall, sondern lediglich Port- und Protokoll-Überwachung. Router dienen eben hauptsächlich dem Routing; und nicht dem Firewall-ing

 

[cma_i]

Moin, interessiert mich jetzt mal:
Ich habe einen Draytek 2900vgi, ziemlich altes Modell. Was genau hat der denn für eine Firewall?
Würde es sich lohnen den gegen ein neueres Modell zu tauschen weil die von Haus aus sicherer wären?
z.B. gegen einen 2930vsn oder einen 5300vsn?

 

[Andreas75]

cma_i, mit dem draytek bist du schon gut bedient, grundlegendes firewalling kann der ausreichend. mehr gibts dann höchstens noch für 4-stellige summen.

 

[kernel panic]

Ich sehe es ganz ähnlich ne Firewall für Privatnutzer ist unsinn, zumal deren Konfig auch nicht so einfach ist.

 

[Funkenschlag]

Völlig überzogen für Privat Anwender so was. Diese sollten sich lieber Gedanken machen wie sie ihr Netzwerk vernünftig von "innen" schützen xD ... Ein Einbruch von außen in das Netzwerk ist nicht einmal notwendig so lange es genügend Anwender gibt die vornehmlich die Malware selber installieren und damit die Türe öffnen

 

[allstar]

Ich hätte mal eine völlig wertfreie Frage zum Thema Hardwarefirewall im Privathaushalt.

Wie genau würde denn der Aufbau aussehen?

Router -> Firewall -> LAN?

Das würde doch nur dann Sinn machen, wenn man die Firewall im Router deaktiviert. Ist dann aber nicht der Router angreifbar? Und wenn der Router WLAN hat, darf man dieses dann ja auch nicht einsetzen, da die Firewall ja ansonsten umgangen wird.

Im Prinzip würde es doch nur dann Sinn machen, wenn die Hardwarefirewall auch gleichzeitig als Router verwendet wird oder selber über WLAN verfügt.

Oder habe ich da etwas falsch verstanden?

Achso als Hardwarefirewall verstehe ich z.B. soetwas

 

[iceview]

Hallo,

naja die Firewall ist ein Router. Über W-LAN verfügen diese meist nicht. Bei manchen Herstellern gibts eigene Access Points die sich dann sogar über die Firewall administrieren lassen. Schau mal hier zum Thema Hardware Firewall.

Die bieten aber sonst auch das gesamte andere Portfolio an... Hardware Appliance, Software, AccessPoint usw...

Der Aufbau wäre von außen gesehen:

WAN -- HW_Firewall -- LAN

Dein WLAN Router ist ja dann Teil Deines LAN... also:

WAN -- HW_Firewall -- WLAN Router -- ClientPC


Praktisch schleust Du den gesamten Traffic der von außen kommt (oder aus anderen LANs) durch die Firewall. Du routest von LAN nach LAN oder eben von LAN nach WAN... ob Du das per Kabel oder WLAN machst ist dann relativ egal.

Grüße

 

[Positiv-Man]

Der Artikel ist sehr alt...
Aus gegebenen Anlass kommt diese Frage allerdings verstärkt erneut in mir hoch.
Macht es JETZT vielleicht doch Sinn?

Wenn ich jetzt die Frage ausweiten darf: Reicht eine Hardwarefirewall überhaupt aus um eine NSA die Arbeit zu erschweren?
Oder bedarf es hier mehr?
TOR? 2048 bit Verschlüsselung der Email. Verschlüsselung der Festplatte? Anonymer Browser?
Oder reicht hier wirklich eine Firewall?

 

[Neronomicon]

Wieso eine extra Hardwirf. wenn die Konzerne Micros/Googl/Fratzebuch un co die Daten angeblich weitergeben an die NSA.

 

[d4nY]

@Positiv-Man: das was scheinweltname gesagt hat, gilt noch immer:

In den seltensten Fällen werden Angreifer versuchen, dein Passwort bzw. den Router direkt zu hacken; viel eher werden die über deinen Rechner gehen, wenn du gerade im Netz bist; d.h. dein eigener Rechner wird in den meisten Fällen deinen Router "von innen" angreifen.

Die kritische Schwachstelle ist immer der Rechner und der Benutzer dahinter, nicht der Router (schonmal gesehen, mit wie wenig Aufwand und wenigen Klicks man z.B. mit Fastviewer einen fremden Rechner fernsteuern kann - selbst in high-end gesicherten Firmennetzwerken? Und das Opfer (bzw. der Hilfesuchende, im Falle von Fastviewer) muss dafür nur ein paar Klicks machen.)

wieso die holzhammer-methode und mit dem kopf durch die wand, wenn man bedeutend einfacher durch die hintertüre reinkommt?

das NAT deines routers hält so ziemlich allem stand (es geht quasi per definition gar nicht anders)...wenns probleme gibt, dann durch sicherheitslücken in der router-firmware oder eben durch korrumpieren eines internen geräts
der großteil der (erfolgreichen) angriffe erfolgt von innen

und ich würde es mir wirklich 3x überlegen, ob ich 5-6 stellige beträge für IDS und IPS ausgebe, nur um daten zu schützen, an die sowieso niemand (oder zumindest nicht die regierung/NSA) interesse hat

 

[Neronomicon]

d4nY

Wieso sagst du das mir? Das ist mir doch klar. Das ist doch gängige Praxis.

 

[d4nY]

sry, ich hab mich verkuckt sollte eigentlich an den poster über dir sein *gleich mal editier*

 

[Daaron]

Die NSA betreibt doch, wie jeder Geheimdienst, nicht nur SIGINT, sondern auch HUMINT. Wenn die wirklich an die Daten eines Netzwerkes hinter einer monströsen Firewall wollen, dann lösen die das nicht mit dem Brecheisen an der Vordertür, sondern per Social Engineering.

Kann man einen Angestellten durch SE dazu verleiten, unbewusst einen Trojaner zu installieren oder geheime Daten preis zu geben? Kann man verdammt oft...
Kann man einen Angestellten an seiner Gier packen und als Agenten rekrutieren? Aber sicher.
Kann man jemanden einschleusen? Möglich.

 

[DerGast]

Um das Thema erneut aufzuwärmen:

Es geht hier vielleicht nicht direkt um den Sinn, den man eigentlich nur bestätigen kann.
Eine moderne UTM (die Astaro wurde ja angesprochen) verfügt nicht nur über den Paketfilter und NAT-Konfiguraion, sondern besitzt eben auch AV-Scanning für Webproxy und Mail, sowie IPS und Application-Control, etc p.p..

Interessant finde ich dabei durchaus die Meldungen die durch die IPS erzeugt werden wenn ich auf manchen Websiten lande und/oder ich den TV benutze. Oder auch welche Programme im Netzwerk benutzt werden die ich wiederum sperren kann (gut, eher etwas fürs Business).
Ebenso macht der Spamfilter / AV-Mailscan einen exzellenten Job was natürlich auch schon einiges abhält und die Gefahr einer kompromittierung senkt!

Kurz gesagt: ich bin froh das meine läuft... nach 2 Wochen Urlaub habe ich in den Quarantäne Bericht geschaut und konnte alle Mails auf einmal löschen... die Hand voll Mails die dann noch im Programm landeten waren kaum der Rede wert.

 

[Tiu]

Habe den Thread hier aus 2011 / 2013 interessehalber noch einmal reaktiviert

Im Moment beschäftige ich mich auch mit der Frage des Sinn / Unsinn einer Hardware basierten Firewall wie bsw der ipfire Duo Box für Zuhause.
Zum einen liegen solche Firewalls längst nicht mehr im vierstelligen Bereich bei der Anschaffung, und zum anderen steigt die Zahl der Geräte die mit dem Internet verbunden sind stetig. Ob es nun das SoHo Office ist oder aber weil es wohl auch immer mehr SmartHome Geräte gibt bis hin zu eigenen Cloud usw.

Nachdenklich wurde ich bei einem der letzten Erpresser Viren, die eben nicht nur PC´s u.ä. befallen haben, sondern eben auch Smart TV´s / Receiver.
Ich kann mir sehr gut vorstellen, dass solche Geräte zukünftig vermehrt angriffen aus dem Netz ausgesetzt sein werden.

Was denkt ihr darüber?