ComputerBase Menü
Aktuelles

Firewall (Whitelist)

/root

/root

Lt. Commander
Registriert
Okt. 2007
Beiträge
1.294
hallo

habe einen WRT54GL mit dd-wrt firmware laufen.

jetzt würde mich nur folgendes interessieren:
wie wäre es wenn man mithilfe von iptable alle ports ins WAN blockiert, und nur diejenige öffnet die man wirklich braucht.
Meint ihr das wäre in der praxis zu umständlich und nicht zweckdienlich?
sicherheitstechnisch wäre das allerdings top oder? könnte kein programm/trojaner eine verbindung ins netz aufbauen wenn ich es nicht explizit erlaube. und ein verseuchter rechner wäre auch nicht weniger geschützt.
würde mich mal interessieren was ihr davon haltet und ob das jemand vlt schon ausprobiert hat!!
grüße, philipp
 
Ich hab meine Linux-FW so aufgebaut. Das Problem bei Trojanern/Spyware ist aber, dass sie meistens über Port 80 rausgehen. Anders wäre es wenn du 'nen Proxy für's Surfen dazwischenschaltest, so dass Port 80/443 nicht direkt nach draussen geroutet werden.
Es kommt auch drauf an, welche Dienste du so benutzt. Wenn du nur Surfst, FTP, ICQ... dann ist das kein Problem. Wenn du aber noch diverse andere Dienste benutzt (div. VPNs, NTP, NNTP, POP3, POPS, SMTP, SSMTP, SSH, IMAP, IMAPS, div. andere Messenger, Skype, HBCI, XFire, div. SPIELE (BF2 benötigt ca 10 Ports!!), dann sieht das ganz anders aus.... ;)

gruß
hostile
 
benutze eigentlich schon ziemliche services/ports(eigentlich fast alle die du aufgezählt hast ^^), und gelegentlich wird schon mal ein spiel online gezockt.
aber das trojaner gerne port 80 benutzt haben war mir nicht bewusst.

aber es wären 3 clients über diese fw im netz.
1 client: notebook meiner freundinn (firefox, thunderbird)
2 client: htpc (updates, webradio)
3 client: arbeits rechner (viele services)

also ich glaube am anfang wäre es ne ordentliche arbeit alles so zu konfigurieren das es klappt, aber danach würde nicht mehr oft arbeit anfallen oder?
aber wäre der aufwand den (geringen?) sicherheitszuwachs wirklich wert?
 
Naja, also so viel Arbeit ist das dann doch nicht, wenn du weisst wie iptables funktioniert. Einfach nen Skript erstellen und gut.
Ich persönlich musste mich erstmal in Iptables reinwursteln und kenne auch nur die einfachsten Funktionen. Deswegen war es erstmal ein Aufwand etliche Regeln zu testen, wieso, weshalb warum etwas nicht funktioniert hat.

gruß
hostile

PS: Du musst dich mal in die Lage eines Trojanerprogrammierers reinversetzen: Welcher Port ist meistens offen? Die ganzen Home-Setups haben alle nen default gateway...

Achso ein Wort zur erhöhten Sicherheit: Die objektive Sicherheit wird damit wohl nicht viel erhöht, aber es fühlt sich toll an :lol::
 
Zuletzt bearbeitet:
Ich hab auch so ein ähnliches Problem!

Hab ne Fritzbox!


Notebook Eltern
Notebook meins
Gamerrechner Mein

und meinen FILESERVER!
Auf dem Fileserver befinden sich diverse sensibele Daten, z.B. Fotos
Ziel: Alle wollen von überall drauf zugreifen! Komunikation nach AU?EN gibts nicht!
Wie kann ich mein Netzwerk am sichersten aufbauen? Ich seh da 2 möglichkeiten!


1. ROUTER WLAN ------>LINUX PROXY oder mit IPtables hier eine Hardware Firewall stellen und dann mit dem Fileserver separat an den Linux rechner rangehen! ALLE Ports sperren und nur für USER mit PW aufmachen! Geht das so?

2. Sicherheit in Abwesenheit von Gefahren
--->eigenen WLAN Router ohne Internet-->sicherlich sollte man auch hier den Fileserver streng administrieren


Was würdet ihr machen?
 
was bedeutet "Komunikation nach AU?EN gibts nicht!"? das man vom internet nicht auf den fileserver zugreifen kann? dan müsstest du nur schauen das keine portweiterleitung auf den fileserver eingestellt ist, was default mäßig auch nicht sein sollte.

um den fileserver zu schützen würde ich auf dem fileserver:
- ne ordentliche firewall installieren, und da alles sperren was nicht benötigt wird
- ein ordentliches antivirenprogramm installieren
- zugriff auf den server nur mit authentifizierung

und wenn mans wirklich übertreiben will kann man ja noch dem fileserver(mit iptables) jegliche kommunikation mit dem WAN verbieten, dan kann auch kein trojaner mehr (der an dem virenprogramm + firewall vorbeigekommen ist) sensible daten ins WAN verschicken.
 
@deathhour
Sollen jetzt nur deine Eltern nicht draufschauen?

Ich versteh dein Problem nicht.

Welche Dienste laufen denn so? Samba schätze ich. Einfach mal nobody-zugriff sperren ;)

gruß
hostile
 
Naja ich sag mal so, meine Eltern sollen ja drauf zu greifen! Ich muss die Netzlaufwerke irgendwie schützen, ich denk da an eine einfache windows freigabe!


Ich sag ml so mit Samba hab ich nicht viel am hut, muss auch erhlich sein hab damit noch nicht viel gearbeitet!

was für eine Firewall könntet ihr mir empfehlen? Gateprotect? Wir haben bei uns auf arbeit eine echt geile Gateprotect firewall aber ich will nicht wissen was die kostet ^^.




@root

Naja komunikation nach Außen bedeutet:
--->Virus updates
--->MS Nachhause telefonie
--->Trojaner ^^

Ich wollte eigentlich nur aus dem Intranet auf den Server zugreifen via Remote und windowsfreigabe.
Mit der berücksichtigung das niemand fremdes auf meinen server zugreifen kann! Den es könnte ja mal sein das jemand mein WLAN oder meine Fritzbox hackt und die windowsfreigabe förmlich erblickt!

Wie kann man sich am besten vor sowas schützen? Ist das realistisch?

Muss selbst zugeben das ich kein großer netzwerkfreak bin, ich kenne so die grundzüge und ideen.




INTERNET---->Frotzbox<----Clients
|
|
FILESERVER​


So soll es aussehen! Laut meiner Studiumskenntnisse ist die methode realativ bescheiden!
Normaler weise müsste man vor den FILESERVER ein Gateway stellen bzw. eine Hardwarefirewall! Ich hab mal gehört das softwarefirewalls nicht unbedingt sicher sind!

Es gibt einfach nix besseres als nen Linux rechner vor den fileserver gestellt mit irgend ner Gateprotect distribution oder was weiß ich die eben die komplette komunikation blockt und wirklich nur die Zertifizierten CLIENT anfragen durchlässt!
Es gibt noch eine möglichkeit, wir wechseln demnächst den DSL anbieter! Das bedeutet ich hab noch ne fritzbox über, normaler weise könnte ich doch die Fritzbox als WLAN Router einsetzen sodass der Fileserver komplett vom internet getrennt ist! Das wäre sicherlich die beste methode! Aber mir gehts hier einfach mal um das Prinzip von Sicherheitsstrategien! Einfach ein 2. Netzwerk machen das vom inet getrtennt ist wäre zu leicht ;)




INTERNET---->Frotzbox<----Clients
|
|
GATEWAY(IPFILTER)
|
FILESERVER​


Gibts da ne andere Lösung? Was würdet ihr mir empfehlen!
 
Zuletzt bearbeitet:
Achso, du hast nen Windows-Rechner :lol::
Ich verstehe dein Problem immer noch nicht.
Deaktiviere alle unwichtigen Dienste und mach ein PW auf deine SMB-Shares (Windowsfreigaben sind nichts anderes!). Wenn jmd dein WLAN knackt steht er auch da vor ner Wand.
Vom Internet kommt ja keiner rein und deine Eltern können einen anderen SMB-Share benutzen.
Du musst auch mal bissl auf dem Teppich bleiben: Frag dich mal, wer ernsthaftes Interesse an deinen Daten hat, dass er versucht dein WLAN zu knacken. Trojaner bekommst du ggf. nur, wenn du unbekannte Programme auf deinem Server ausführst.

Ausserdem - so hab ich mal gehört - kann man auch ne Fritzbox nen Linux installieren. Dann hast du auch iptables zur Verfügung und kannst explizit Verbindungen über die Interfaces zulassen.

Dein Modell mit der extra Firewall ist totaler overkill.

gruß
hostile
 
Jo das hab ich mir auch gedacht ^^ totaler overkill deswegen frag ich ja!

Gut mit der fritzbox daswäre ne alternative! Da is das ganze 1und1 zeug drauf ist ne 7170 :P
Hast du plan wie das geht? Also Linux rauf machen? Was für ein Linux würdest empfehlen?


SMB kann man das direkt im server konfigurieren? Klingt aber auf jedenfall interessant!


Mal was anderes kannst mir irgendwas empfehlen um Files schön gediegen zuverwalten? Ich hab da an eine art webapp gedacht :)


Sag mal hast du plan von true crypt? Kann man in einem RAID 1 auch truecrypt verwenden?
 
Zuletzt bearbeitet:
Ich selbst habe keine fritzbox, aber ich bin sicher, dass du in "fritzbox-foren" fündig wirst.
was ich aber sicher weiss ist, dass du nicht jedes linux installieren kannst. es gibt für diese "kleinen linuxe" busybox, da sind alle standardprogramme sind. ob es eine einfache graphische oberfläche dafür gibt weiss ich auch nicht.

ein samba-share (oder samba-service) in linux oder eine netzwerkfreigabe (r. maustaste auf einen ordner -> freigabe und sicherheit) in windows sind das gleiche. du kannst in windows den zugang über zwei ebenen regeln - einmal die netzwerkebene und einmal die dateisystemebene.
zuerst muss du sicherstellen, dass mit einem gültigen konto auf den PC zugegriffen wird. falls ja, dann kannst du in der netzwerkfreigabe einstellen, welches gültige konto welche rechte bekommt. das gleiche auf dateisystemeben einstellen.

was meinst du mit dateien verwalten? reicht dir nicht der windows dateiexplorer? ;)

mit raid 1 kannst du truecrypt auch verwenden. aber ich rate davon ab, einen billigen raidcontroller zu benutzen.

gruß
hostile
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

X
Reisen in China und die Great Firewall
2
Antworten
21
Aufrufe
3.682
XXXBold
X
flashmastär
Chrome Browser Whitelist mit Passwort
Antworten
8
Aufrufe
660
otru
O
zidius
Windows Firewall - Programm lokal erlauben, global blockieren?
Antworten
8
Aufrufe
1.258
cartridge_case
cartridge_case
T
Bluetooth-fähiger Browser mit Erweiterung für Whitelist von Websites?
Antworten
8
Aufrufe
1.153
Typ
T
O
Sophos XGS 136 - Whitelist
Antworten
7
Aufrufe
709
Hammelkoppter
Hammelkoppter
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz