Firewall im Router - brauch ich jetzt keine andere mehr?

[Michael]

ich habe mir folgenden Router gekauft:
Linksys WRT54G (V2)

Hier die Details:
LAN-Schnittstelle:
LAN-Standard: Fast Ethernet
Funk-LAN Standard: IEEE 802.11g
IEEE 802.11b
LAN-Ports: 4xRJ45
Wireless Access Point: Ja
Integrierter Switch: Ja

WAN-Schnittstelle:
DSL Technologie: DSL
WAN Port (DSL/Cable): 10/100

Andere Ports:
Uplink-Port: Ja (Auto MDI/MDI-X)

Internetzugang:
SUA: 1
NAT & PAT: Ja

Protokolle:
LAN Protokolle: TCP/IP
NetBEUI
IPX/SPX
WAN Protokolle: PPTP
Routing: RIP1
RIP2

Merkmale:
Web-basierend: Ja
LED-Anzeigen: Ja
Utilities: Setup Wizard

Security- & Firewall-Funktionen:
Filtering: IP-Filtering
MAC-Filtering
Port-Filtering
DHCP-Support: Server
Verschlüsselung: IPSec
128bit WEP
VPN: Ja
Firewall: Ja

Brauche ich jetzt noch eine Firewall im Betriebssystem (Windows oder Linux), oder reicht die aus? Der Hersteller schreibt auf seiner Seite nur: The Router protects your PC from most known Internet attacks with a powerful Stateful Packet Inspection firewall.

*edit*
Hier gibts nochmehr Details.

 

[User1024]

Ein Router leitet grundsätzlich keine Datenpakete weiter, die "unaufgefordert" reinkommen.

Beispiel: Du rufst eine Webseite auf. Schickst also eine Anfrage an den Server von Computerbase, doch bitte die index.php zu schicken. Die Seite, die dann an dich geschickt wird, ist eine Antwort auf eine ausgehende Anfrage => erwartet => wird vom Router angenommen.

Beispiel2: Blaster kommt => ist unerwartet => wird vom Router verworfen.

Also ein Router schützt dich gut gegen ankommende Viren. Er bietet aber keine Programmkontroille wie sie jede Software-Firewall bietet. Du hast also keine Kontrolle welche Programme auf deinem PC ins Internet verbinden können. Ich bin daher für den kombinierten EInsatz von Hardware-Firewall (Router) und Software-FW.

 

[Esberitox]

Besser ist das, keine Frage, zumal die Hardware-Firewall der Router oft mehr versprechen, als sie tatsächlich halten. Ich war jedenfalls ziemlich überrascht, als ic mal einen online Test gemacht habe, was da noch so alles durch kam. Seitdem läuft bei mir nichts mehr ohne Softwarefirewall. Setze übrigens auf Sygate.
Greetz

 

[Dschuel]

Die Doppel-Lösung nehme auch ich her.

Jedoch finde ich es gut ein- wie ausgehenden Traffic grundsätzlich zu untersagen (DENY_ALL) und nur benötigte Protokolle / Ports freizugeben (ALLOW_WINDOWSTIME).

Gegf. auch nach MAC-Adresse (wobei die gefälscht werden kann) Zugriff auf den Router gestatten.

 

[Rika]

Ojeojeoje...

>Ein Router leitet grundsätzlich keine Datenpakete weiter, die "unaufgefordert" reinkommen.
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#NAT

>Er bietet aber keine Programmkontroille wie sie jede Software-Firewall bietet.
Eine "Software-Firewall" bietet auch keine Programmkontrolle, sowas ist nicht Bestandteil einer Firewall und ohne ein externes Application Layer Gateway nicht mal ansatzweise zuverlässig zu realisieren. Kurz: Das Feature ist für 'n Hintern.

>Ich war jedenfalls ziemlich überrascht, als ic mal einen online Test gemacht habe, was
>da noch so alles durch kam.
Etwa den von Sygate, der nicht mal open von closed unterscheiden kann und nur technischen Unsinn brabbelt? Wie leider viele andere Online-Portscans?

>Seitdem läuft bei mir nichts mehr ohne Softwarefirewall.
Du weißt aber das "Software-Firewalls" weder was mit Firewalls noch mit Sicherheit, aber dafür viel mit Kinderspielzeug zu tun haben? Wenn du wirkliche Sicherheit möchtest, dann denke nochmal darüber nach wie man sowas wirklich bewerkstelligen kann.

>Setze übrigens auf Sygate.
Von allen möglichen Übeln wählt er auch noch das zweitgrößte... gut, wenn du deinen Rechner gegen netzwerkbasierende Eindringmethoden anfällig machen willst gegen die er vorher gar nicht anfällig war... nein, das ist kein Witz, sondern bitterböser Ernst.

>Jedoch finde ich es gut ein- wie ausgehenden Traffic grundsätzlich zu untersagen >(DENY_ALL) und nur benötigte Protokolle / Ports freizugeben (ALLOW_WINDOWSTIME).
Ähm... wie sonst willst du denn eine Firewall konfigurieren?
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Konfig

Fazit: Den Router mit seiner relativ leichtgewichtigen Firewallimplementierung ist eine tatsächliche und sicherheitstechnisch viel bessere Umsetzung eines Firewall-Konzeptes als eine PFW, obwohl weder einer PFW noch eine echte Firewall zum Schutz irgendwie notwendig oder sinnvoll sind (ja, da können die Marketing-Leute noch so sehr rumposaunen...), erst recht nicht wenn nicht wesentlich wichtigere Sicherheitsmaßnahmen wie Brain 1.0, Patches, das Abschalten von Diensten und das Wegwerfen von IE/OjE vernachlässigt werden.

 

[stummerwinter]

Ich würde auch eine SW-FW zusätzlich einsetzen, da wie oben beschrieben keine Programmkontrolle erfolgt.

Ich setzte diese Kombination jetzt schon 3 Jahre (SMC Barricade + Zonealarm) ein, keine Probs...

In all den Jahren hatte ich nur ganz wenige (unter zehn) Angriffen, die durch den Router gingen und vom ZA geblockt wurden.

ZZ teste ich den Router mit der XP-FW, macht sich auch ganz gut, allerdings ist auch hier die Programmkontrolle eingeschänkt.

 

[hurga_gonzales]

Da wollen wir die Gemüter mal etwas beruhigen, nicht dass unser lieber Rika vor lauter Polemik noch explodiert.

@Rika
Imgrunde hast Du schon recht. Kann man aber auch anders und konstruktiever sagen.

Meiner Erfahrung nach bringen in Routern (gerade in billige Router) integrierte Firewalls nur sehr bedingten Schutz. Was sicherlich funktioniert, sind Port-Filter, sofern sie richtig eingestellt sind, aber auch da hakt es bei den meisten billigen Routern immens.

Was eine Software-Firewall angeht, so wird diese zunächst immer nur so sicher sein, wie der innerste Kern des Betriebssystems. Nicht mal bei Linux werde ich das Herz des Kernels gegen wirklich findige Angriffe hinreichend absichern können. Man darf sich nicht einbilden, Linux sei soooo sicher (@Moderator: sorry für das lange O).

Gut, das haben wir geklärt. Aber was brauchst Du denn nun?

Was willst Du absichern? Was bist Du bereit, für die Sicherheit Deiner heiligen Daten zu bezahlen?
Wo hört sich der Spaß auf, will heißen, ab wann solltest Du ein gewisses Restrisiko in Kauf nehmen?

Ich würde als Faustregel mal Privat-Computer von gewerblichen Computern und Netzwerken trennen und so die zu sichernden Bereiche priorisieren. Obgleich es in der wirklichen Netzwelt sehr viel mehr Details zu beachten gibt. Aber dafür gibt es Netzwerk- und Security Designer, die sich den ganzen Tag nur mit Abwehrstrategien beschäftigen.

Wenn Du also einen privaten Rechner einsetzt, KEINE Deiner Bank- und Kreditkarteninformationen auf dem Rechner ablegst, dann rate ich Dir, mit der FW im Router vorlieb zu nehmen.
Einige Desktop-Firewalls, wie die von Deerfield (Visnetic Firewall for Workstations) ermöglichen weitergehende Funktionen, wie Schutz vor Pests etc.. Wenn Du das haben möchtest und nciht so echt madige Produkte, wie Norton Internet Securit oder McAfee All-In-One Sh*tte verwenden möchtest, dann ist diese Firewall die erste Wahl.

Also, eine Kombination aus Router-Firewall und Desktop-SW-Firewall.

Gehen Deine Daten in richtung existenzsützende Einrichtung, dann solltest Du keine Kosten und Mühen scheuen, und eine Hardware-Firewall ab der Größe einer Cisco Pix 505 oder kleinere Watchguard-Produkte anschaffen. Allerdings ist der Administrationsaufwand dann schon etwas größer.

Bei Fragen bitte melden.

Hurga

 

[[Moepi]1]

Also ich vertrau meinem Router uneingeschränkt. Es sind die Ports offen und weitergeleitet, die offen sein müssen. Der Rest (von draußen nach drinnen) ist dicht. Raus darf prinzipiell alles.
Der Router hat mich bisher noch vor allem geschützt, was in mein Netz rein wollte.

Das Schmuckstück ist ein Bintec X1200 und ich könnte ohne ihn nicht mehr leben.

 

[Rika]

@hurga_gonzales: Das Problem ist daß die Application Control wirklich nur extrem unzuverlässig ist (legitime Programme stört sie, angebliche Spyware sind meist legitime Programme die falsch bzw. un-konfiguriert sind, Trojaner und manche Würmer umgehen sie einfach), selber eine Quelle der Unsicherheit (schau mal allein nur bei Bugtraq... aber auch netzwerktechnisch sind sie leicht zu umgehen, bekannte Fehler werden seit Jahren nicht gefixt) und vor allem die Risikokompensation fördern. Letzteres ist ein nicht zu verachtender Punkt, der idR alles schlimmer als vorher macht (bei PFWs schon immer, neuerdings sogar bei schlechten Virenscannern wie NAV), weshalb ich schon allein von einem Meta-Standpunkt aus von sowas abrate.
Außerdem war das, was da als Angriff bezeichnet wurde, mit ca. 99.9% (ernsthaft, das belegen Statistiken von ISP-Helpdesks) ungefährlich, von der Wirksamkeit mal ganz abgesehen (auch ohne ein Paketfilter ist ein gepatchtes Windows praktisch immun gegen alle Spielereien).

@Moepi: Hast du dir den Link mal angeschaut? Sowas ist weder zuverlässig (nein, auch nicht nach langer Zeit) noch oft korrekt implementiert (z.B. kann man das in vielen Fällen mit 'ner ip reassembly attack umgehen), daher wäre ich vorsichtig mit solchen Behauptungen, wenn du die Implementierung nicht gegen eine wirklcih hinreichende Menge an bekannten Umgehungsmethoden geprüft hast (idR hat man das nämlich nicht).

Aber mal von alle dem abgesehen... wenn die Sicherheit eures Rechners von einer Filterung des Netzwerkverkehrs auf Layer 3 oder 4 oder 7 abhängt, dann macht ihr grundsätzlich etwas falsch, was auch Firewalls und Pseudofirewalls nicht in Ordnung bringen können. Der Link zum Linkblock, insbesondere zu der Dienstekonfiguration, ist nicht umsonst eine sinnvolle Empfehlung und der Verweis auf das Abschaffen der Wurmschleudern IE/OjE auch nicht polemisch gemeint.

 

[Michael]

Um es mal kurz zusammenzufassen:
Billig-Lösungen wie Personal-Firewalls und Router sind nicht der Weisheit lezter Schluß. Sie setzen an einer Stelle an, an der man eben nicht den perfekten Schutz bieten kann.
Andererseits ist es empfehlenswert, jeden Schritt zu unternehmen, der den eigenen Rechner ein wenig sicherer macht.
Klar ist eine gasdichte Maske mit separater Sauerstoffversorgung bei einem Brand besser als ein nasses Tuch vor der Nase. Aber gänzlich ohne ist noch fataler.
Ich lese hier raus:
1) Router schützt (bedingt) vor Netzwerkverkehr von draußen
2) Software schützt zudem ein wenig mehr und kann (bedingt) den Zugriff von Programmen aus dem Rechner nach draußen blockieren

"2)" kann "1)" nicht, und somit ist es ein verbesserter Schutz, sich noch zusätzlich mit einer Personal Firewall zu schützen. Das enthebt einen Anwender natürlich nicht davon, Sorge zu tragen, keine verseuchten Programme zu nutzen. Spyware-Tools etc. sind immer noch Pflicht.

Ich danke Euch für Eure Hinweise.