ComputerBase Menü
Aktuelles

Absicherung SOHO-Netz ?

P

Pudel17

Cadet 4th Year
Registriert
Jan. 2011
Beiträge
127
Hi,

um nicht mit Kanonen auf Spatzen zu schießen, stell' ich die Frage mal ganz allgemein.

Familien-Netzwerk, einige private PCs, auch 2 dienstliche, diverse Mediengeräte, WLAN um mit Smartphones & Notebook ins Netz zu kommen. Meine Firewall liegt auf einem Linux-Rechner, der auch als Datenserver fungiert - dort möchte ich die FW weg haben. Speedtouch-Modem der Telekom.

Was ist jetzt notwendig, um das SOHO-Netzwerk nach außen abzusichern? Es sollte halt wenig Strom brauchen und keine laufenden Lizenzkosten verursachen. Momentan ist es kein Thema von unterwegs (d.h. von außen per VPN) ins Netz zu kommen - wär' vielleicht aber nicht schlecht. HW-Firewall? Welche? Selbst noch einen Mini-Linux-Server bauen und eine open source FW drauf laufen lassen? Zu berücksichtigen wäre, dass ich kein großer Firewall-Spezialist bin...

Welchen Weg soll ich gehen?

Thx für Hinweise.
LG
 
speedtouch ? telekom austria ?

ich hab schon seit gut 2 jahren ein TG585V7 am laufen. Gerät als Multiuser NAT+FW, zugriff auf einzelne Webserver von aussen möglich ( zb.: webserver für sonnenkollktoren ), das interne netz ist sogar eine spur umfangreicher als deines und das alles läuft über das TG/SPT ohne probleme.

Firmware und Konfigs dazu finden sich auf www.dieschmidts.at
 
Wofür denn ne extra Hardware-Firewall? Wenn lieber nen Profi-Router (z. B. LANCOM oder Teldat (Bintec)) nehmen...
Die haben auch VPN-Möglichkeiten für Zugriffe von außen.
 
Hallo,
schaue dir ipFire an. Recht gute/r Forum/Community/Wiki, braucht keine riesen Hardware und bietet sehr viele möglichkeiten, was Schutz angeht. Ich stand vor kurzem auch vor ähnlicher Entscheidung und ich bereue es nicht, dass ich mich für ipFire entschieden habe.
 
supastar schrieb:
Wenn lieber nen Profi-Router (z. B. LANCOM oder Teldat (Bintec)) nehmen... Die haben auch VPN-Möglichkeiten für Zugriffe von außen.
Zum Vergrößern anklicken....
An welche Modelle hättest Du da gedacht?

düscha schrieb:
schaue dir ipFire an. Recht gute/r Forum/Community/Wiki, braucht keine riesen Hardware und bietet sehr viele möglichkeiten, was Schutz angeht...
Zum Vergrößern anklicken....
Und das auf einem ITX mit aufgelötetem Atom laufen lassen?

Thx
 
Die Firewall im Router langt, was nicht freigegeben ist kommt auch nicht rein, lieber würde ich meine Server in eine DMZ stellen und noch einen zweiten Router nehmen, bei dem alle Ports geschlossen sind. Alternativ gibt es auch Router mit DMZ-Funktion, so spart man sich das zweite Gerät. Im übrigen gibt es keine Hardware Firewall. Eine Firewall ist immer eine Software, was als Hardware Firewall bezeichnet wird, ist nichts weiter als eine Appliance bestehend aus der Software (Firewall) und Hardware mit entsprechender Austattung um die Last zu stemmen. Da hier alles perfekt aufeinander abgestimmt ist sind diese Lösungen besonders Leistungsstark und für zu Hause viel zu teuer.
 
Pudel17 schrieb:
Was ist jetzt notwendig, um das SOHO-Netzwerk nach außen abzusichern?
Zum Vergrößern anklicken....
D.h. gegen Zugriffe von außen? Das ist es durch jeden beliebigen NAT-Router. Die Fritz!Box bietet z.B. auch VPN und das soll dort auch recht einfach einzurichten sein.
 
Dr. MaRV schrieb:
Die Firewall im Router langt, was nicht freigegeben ist kommt auch nicht rein,
Zum Vergrößern anklicken....
Standard-Home-Router haben keine Firewall. Die Nichtweiterleitung an nicht freigegbene Ports ist noch lange keine Firewall.

Dr. MaRV schrieb:
Im übrigen gibt es keine Hardware Firewall.
Zum Vergrößern anklicken....
Falsch. Auch wenns für den Anwendungsfall hier nicht relevant ist: es gibt auch Hardware-Firewalls auf Basis programmierbarer ASICs.

Solange der TE nicht sagt, welches Schutzlevel er überhaupt braucht, kann man nicht sagen, ob ein einfacher Home-Router mit VPN-Funktion reicht oder er eine wirkliche Firewallfunktion benötigt. Relevant wäre zum Beispiel, ob nur bestimmte IP-Adressen auf bestimmte Ports zugreifen dürfen oder ob auch der Upstream regelmentiert werden muss.
 
Zuletzt bearbeitet:
Dr. MaRV schrieb:
Die Firewall im Router langt, was nicht freigegeben ist kommt auch nicht rein
Zum Vergrößern anklicken....
Hmmm ... wenn ich mir jetzt beispielsweise diesen Lancom anschaue, hat der hausintern RJ-45 und extern ISDN oder ADSL. Nachdem ich das Speedtouch-Modem nicht weg tun kann/darf (weil Telekom-Eigentum), brauch ich was mit RJ-45 als Input und Output - passt also nicht.

Thx
 
Bist du denn gezwungen das Speedtouch-Modem zu verwenden? Du kannst doch auch das Modem im Lancom verwenden?
 
Atkatla schrieb:
Solange der TE nicht sagt, welches Schutzlevel er überhaupt braucht, kann man nicht sagen, ob ein einfacher Home-Router mit VPN-Funktion reicht oder er eine wirkliche Firewallfunktion benötigt. Relevant wäre zum Beispiel, ob nur bestimmte IP-Adressen auf bestimmte Ports zugreifen dürfen oder ob auch der Upstream regelmentiert werden muss.
Zum Vergrößern anklicken....
Darüber hab' ich - ehrlich gesagt - noch nicht nachgedacht. Pentagon-Sicherheit brauch' ich keine, Buchhaltungsdaten und Bankdaten sollten halt sicher sein. Auf der anderen Seite soll das Einrichten der Geschichte keine Doktorarbeit sein.

Was ich auf der Startseite von ipFire lese, würd' mir auf den ersten Blick mal Mut machen.

Thx
Ergänzung ()

Atkatla schrieb:
Bist du denn gezwungen das Speedtouch-Modem zu verwenden? Du kannst doch auch das Modem im Lancom verwenden?
Zum Vergrößern anklicken....
Ich geh' mal davon aus, weil die Telekom bei Netzwerkproblemen sich von außen hier einloggt und herum konfiguriert und bei Netzwerkproblemen Support darüber bietet.
 
Standard-Home-Router haben keine Firewall. Die Nichtweiterleitung an nicht freigegbene Ports ist noch lange keine Firewall.
Zum Vergrößern anklicken....

Da scheiden sich die Geister und es ist Definitionssache.... Auf den meisten Routern läuft ein in irgendeiner Forum angepasstes Linux mit netfilter (braucht man fürs NAT) also haben die technisch auch ne Firewall. Ob man NAT jetzt als Firewall Funktion bezeichnen will oder nicht ist auch egal, fakt ist das ohne Weiterleitung von Ports von außen alles dicht ist und man somit exakt das gleiche erreicht als würde man hier zusätzlich filtern.

@TE: Wenn du keine speziellen Anforderungen hast (Filter von innen nach außen, Proxy Funktionen, VPN,...) reicht dir jeder Wald und Wiesen Router aus.

Viiiiiiel wichtiger für die Sicherheit deiner Daten ist es deinen Rechner selbst sicher zu halten. So ziemliche alle Schädlinge kommen heut zu Tage als Mailanhang (relativ selten) oder als Drive-By Download über irgendwelche Browser-Plugin Lücken (relativ oft).
Halte dein (Betriebs-)System aktuell und vor allem auch die Software die darauf installiert. Hilfreich dabei ist der Secunia Personal Inspektor. Wenn du kein Java im Browser brauchst deaktiviere es und wenn du nicht auf Funktionen des Adobe Reader angewiesen bist installiere einen anderen. Nutze einen Browser der Flash automatisch im Hintergrund aktualisiert (Chrome oder IE10).
Damit hast du dich aus der Schussbahn von 99% aller Exploits bewegt.
 
Zuletzt bearbeitet:
Wie schon eingangs erwähnt, wäre langfristig VPN vielleicht ein Vorteil. Und bei mir sind die Scripts im FF standardmäßig deaktiviert. Was halten die anderen von ipFire?
 
Wenn du noch nicht mal weißt, was du überhaupt willst, kann man schlecht was empfehlen. Ich halte eine zusätzliche Firewall zwischen Internet und Heimnetz eher für übertrieben. Dem Beitrag von Masamune2 stimme ich voll zu.

Für ipFire brauchst du auch wieder einen PC, der ständig läuft und mehr Strom als ein Router verbraucht. Das Ausfallrisiko dürfte auch höher als bei einem Router sein.
 
IPFire kannste nehmen, ich persönlich mag pfsense aber für deine Zwecke macht das keinen großen Unterschied. Beide laufen auf jeden Fall ohne Probleme auf nem kleinen Atom.
 
Pudel17 schrieb:
Ich geh' mal davon aus, weil die Telekom bei Netzwerkproblemen sich von außen hier einloggt und herum konfiguriert und bei Netzwerkproblemen Support darüber bietet.
Zum Vergrößern anklicken....

Das Speedtouch kann auch auf den sogenannten SU ( Singleuser ) modus umstellen. dann fungiert es als "modem / bridge " und die einwahl übernimmt dann ein weiterer router/firewall ! das war früher mal das standard setup der telekom austria, mittlerweile ist das eher eine seltene konfig.

der telekom würde ich aber im gerät den fernwartungszugang abdrehen *ggg* die haben haben da schon genug an deren firmware verpfuscht ...ich empfehle www.dieschmidts.at zum nachlesen !
 
Wie wäre es mit einem Router auf Basis der dd wrt Firmware? Noch mehr kann man fast nirgendwo Einstellen. U.A bietet diese eine SPI-Firewall.


//Edit
Mit Einstellen meine natürlich auf einem Router selber, nicht auf einem Rechner mit FW wie IPFire, IP Tables, IpCop etc. Könnte für Privat etwas überdimensiniert sein^^ Wenn man Bock auf sowas hat, ist das schon ne interessant Sache.
 
Zuletzt bearbeitet:
Hi,

ich hab' mich (ausnahmsweise mal ;) ) schnell entschieden - ich werde mit IpFire auf einem Alix-Board Erfahrungen sammeln (link). HW ist schon bestellt :D

Danke!

LG
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Grundlagenfragen: Firewall zur Absicherung des Firmennetzwerk
Antworten
5
Aufrufe
4.357
t-6
t-6
S
Netzwerkdrucker hängt direkt am Internet- Möglichkeiten zu Absicherung?
2
Antworten
24
Aufrufe
2.207
strex
S
M
Absicherung VPN-Verbindung zwischen 2 Fritzbox-Netzwerken
Antworten
11
Aufrufe
1.707
PhilAd
P
J
Passt LAN Absicherung für daheim
Antworten
11
Aufrufe
1.472
shadow_one
shadow_one
Revan335
Absicherung in öffentlichen Netzen
Antworten
11
Aufrufe
1.317
Revan335
Revan335
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz