Firewall / DHCP und DNS

[Nerdlol]

Hallo liebe Experten,

folgende Frage habe ich: welchen Vorteil hat es eine (statische)Firewall DHCP und DNS Auflösung machen zu lassen anstatt den Router der davor steht? Folgendes Szenario : Router (macht die Einwahl ins Internet + DHCP+ DNS Auflösung) daran wird eine Firewall angeschlossen man kann dort einstellen ob die Firewall nun DHCP und DNS machen soll oder der Router weiterhin, hat man dadurch das die Firewall das macht erhöhte Sicherheit oder irgendeineinen anderen Vorteil?

 

[BFF]

Mal so nebenbei.

Wenn die FW vernuenftig eingestellt ist, sind die Port fuer DHCP bzw. DNS zwischen PC <-> Router zu.
Was sagt Dir das? Du machst die Ports auf oder laesst die FW das machen.

Was fuer ein Konstrukt willst Du da aufziehen? Oder sind das Hausaufgaben?

BFF

 

[nitech]

Wenn der Router das macht hebelst du damit die Firewall aus, bzw. wenn die Geräte richtig angeschlossen sind (also per switch an der Firewall) dann sollten diese gar kein DHCP/DNS vom Router bekommen, da ja die Firewall dazwischen ist.

 

[OliverL87]

Lass die Firewall das DHCP und DNS machen, erhöht die Sicherheit ;-)

Was möchtest du genau bauen? Welche Firewall hast du im Einsatz?

 

[Twostone]

Eine Firewall mach keine Namensauflösung und vergibt keine Adressen. Es ist nur ein Dienst, genauso wie DHCP und DNS-Resolver nur Dienste sind, die auf beliebigen oder der selben Maschine ausgeführt werden können.

Generell gilt, eine Maschine ist umso angreifbarer, je mehr Code sie ausführt oder besser, je mehr Dienste sie anbietet. Im Heimbereich ist es jedoch nicht allzu praktikabel, sich dedizierte Maschinen für jeden Verwendungszweck hinzustellen, insofern ist es sinnvoll, firewall, DHCP und DNS-Resolver auf der selben Maschine ausführen zu lassen. Die Anforderungen sind nicht allzu hoch, und die Teilnehmerzahl überschaubar.

Es bringt zudem auch Vorteile, wenn DHCP und DNS-Resolver auf der gleichen Maschine miteinander kommunizieren können, statt dies über's Netzwerk zu machen.

Was im Heimbereich durchaus interessant sein kann, sind die bescheidenen Fähigkeiten der vom Provider gestellten Geräte. Hier kann es durchaus hilfreich sein, eine dedizierte Maschine hinzustellen, die eine deutlich freiere und umfangreichere Konfiguration der benötigten Dienste ermöglicht.

 

[martinallnet]

Falsch konfiguriert nicht, die Telekom hat mich per Post letztens darauf aufmerksam gemacht, das bei meinem MikroTik snmp auf dem WAN offen war.

 

[Raijin]

Hinzu kommt, dass eine Firewall nicht durch ihre bloße Existenz sicher ist. Die Konfiguration macht die Sicherheit. Ein Laie oder auch ein Möchtegernprofi mit gefährlichem Halbwissen hat von der Technik hinter Firewalls, connection states, chains, etc keine Ahnung und hat somit gar nicht das KnowHow, eine nackte Hardware-Firewall sicher einzurichten.

Vermeintliches Profi-Equipment bringt in Laienhänden wenig, wenn dieser nicht damit umzugehen weiß. Das was man bei einem 08/15 Heimrouter wie Fritzbox und Co als "Firewall" bezeichnet, ist keine. Das sind nur Wizards, die in zT sehr engen Grenzen automatisierte Regeln in die Firewall im Hintergrund einbauen. Die eigentliche Firewall sieht der Anwender gar nicht, weil sie in der GUI gar nicht zu sehen ist, sondern mehr oder weniger tief im Betriebssystem vergraben ist.

Ich möchte fast behaupten, dass eine pfSense - ohne adäquates KnowHow eingerichtet - sogar _un_sicherer ist als eine 08/15 Fritzbox/Asus/xy - RouterFirewall ist

 

[Bob.Dig]

@Raijin Wobei auch pfSense ein GUI hat und Assistenten und OOTB auch sicher ist. Solltest Du dir mal angucken, Du hättest deinen Spaß daran. 😉

 

[Twostone]

Ich glaube, Raijin kennt das...

 

[Raijin]

@Bob.Dig
Ich weiß schon wie das aussieht. Es geht darum, dass man zB bei einem 08/15 Internetrouter in der GUI gar nix einstellen kann wie "state = established => accept", also der Shortcut für bestätigte Verbindungen damit nicht jedes verdammte Paket der Verbindung gegen ein Dutzend Regeln gematched werden muss. Solche Regeln sind Standard beim Design eines Rulesets - mit Sicherheit auch bei Fritzbox und Co - aber der Anwender sieht diese Regeln in einem Consumer-Router-Wizard nicht und kann und wird sie daher auch nicht manuell in einer Hardware-Firewall erstellen, weil er gar nix davon weiß.

Dann gibt's noch die obligatorische "drop invalid" Regel und ggfs noch "drop bogon" und und und... Bei Fritz und Co gibt man nur ne Portweiterleitung ein und der Wizard erzeugt die dazugehörige Firewall-Regel automatisch. In Firewall-Systemen ohne Wizards muss der Admin wissen, dass Portweiterleitungen aka NAT/PAT und Firewall zwei Paar Schuhe sind.

pfSense und Co sind natürlich auch weitestgehend auf usability ausgelegt - ja auch mit GUI - aber während man bei Fritz und Co dir Firewall gar nicht "kaputtkonfigurieren" kann, weil man gar nicht erst rankommt, kann man eine pfSensd eben doch falsch konfigurieren und im worst case riesige Scheunentore einbauen oder die Performance in den Keller ziehen.