Portsperren bei DSL-Router setzen

[_jo_]

Hi,
habe seit kurzem DSL und nutze den Vigor 2500We Router mit Hardware-Firewall. Leider habe ich keine Ahnung, welche Ports ich sicherheitshalber schliessen soll. Im Forum habe ich trotz Suche nichts passendes gefunden. Dafür aber die Portsperren der Uni Regensburg.
Meine Frage:
Sollte ich als Heimanwender ebenfalls alle diese Ports schliessen, oder ist das übertrieben. Ich will meinen Anschluss ja auch nicht künstlich ausbremsen und ggf. auch emule nutzen und online-zocken (welche Ports müssen dazu offen bleiben?). Außerdem verfügt der Router über die DoS-Funktion. Soll ich diese aktivieren, oder ist das als 'Normaluser' überflüssig?

Schonmal danke.

jo

 

[Ste_Ett]

Pauschal ALLE Ports zu, die du nicht nutzen willst.

http 80
ftp 20/21
emule deine entscheidung

ggf.
irc 6667-6670 + DCC Ports (s. IRC-CLient)
icq
msn

usw.

 

[Dschuel]

Gute Frage

Du musst halt wissen, was Du tun willst.

Im Prinzip ist das Beste: Deny_All.
Also alles Sperren und dann nur die Ports aufmachen, die Du brauchst.
Dabei musst Du Dir aber im klaren sein: Wenn Du von aussen nach innen dicht machst, ist das okay. Aber viel wichtiger ist es von innen nach aussen dicht zu machen. Die beste Firewall ist nur so gut wie sie vom Anwender eingestellt wird und welche Applikationen er über welche Ports freigibt und welche Schwächen die haben. Z.B. geht auch: nur 192.168.0.1 mit MAC Adresse darf auf Port 143 senden...

Denial of Service etc. würde ich schon setzen. Und natürlich wirklich nur explizit freigeben.

Du kannst Dich auch unter http://www.lancom-systems.de ein wenig schlau machen.

Und nicht Deny_All und dann mit einer anderen Regel wieder ein Loch schaffen...

 

[_jo_]

schon klar, dass ich die freigeben muss/kann die ich brauche, ich habe aber keinen plan von dem zeuchs. welche brauche ich denn? kann man das irgendwo nachlesen?

 

[Dschuel]

Lade Dir bei Lancom Systems ein Handbuch runter (pdf) und schau da mal nach. Die haben das ganz gut beschrieben. Denke, da ist sogar ein Beispiel drin. (früher wars so)

 

[BunkerFunker]

Was willst du bei nem Router großartig für Ports (nach innen also) sperren? Der Router nutzt sowieso NAT, also werden die Portnummern von innen nach aussen dynamisch bestimmt. Was von außen an einen nicht gewünschten (nicht in der NAT-Tabelle eingetragenen) Port kommt wird sowieso geblockt. Einzige Außnahme sind die Portforwardings - und die macht man ja damit bestimmte Dienste/Programme funktionieren.

Bevor hier einige posten, sollten sie sich wenigstens ein wenig mit NAT und Routing beschäftigen.

PS: Wichtiger sollte dir erstmal ein Schutz nach außen sein (Personal Firewall auf den Clients).

 

[Dschuel]

kommt halt auf die HW Firewall an, die verbaut ist.

"Aufbau einer expliziten ”Deny-All”-Strategie
Für einen maximalen Schutz und bestmögliche Kontrolle über den Datenverkehr
wird empfohlen, zunächst einmal jeglichen Datentransfer durch die Firewall
zu unterbinden. Danach werden dann selektiv nur genau die benötigten
Funktionen und Kommunikationspfade freigeschaltet. Dies bietet z.B. Schutz
vor sog. ’Trojanern’ bzw. E-Mail-Viren, die aktiv eine abgehende Verbindung
auf bestimmten Ports aufbauen....
In der Objekt-Tabelle werden diejenigen Elemente bzw. Objekte definiert, die
in der Regel-Tabelle der Firewall verwendet werden sollen. Objekte können
sein:

einzelne Rechner (MAC- oder IP-Adresse, Host-Name)

ganze Netze

Protokolle

Dienste (Ports oder Port-Bereiche, z.B. HTTP, Mail&News, FTP, ...)
Diese Elemente lassen sich beliebig kombinieren und hierarchisch strukturieren.
So können z.B. zunächst Objekte für die Protokolle TCP und UDP definiert
werden. Später kann man drauf aufbauend Objekte z.B. für FTP (= TCP + Ports
20 und 21), HTTP (= TCP + Port 80) und DNS (= TCP, UDP + Port 53) anlegen.
Diese können dann wiederum zu einem Objekt zusammengefasst werden, das
alle Definitionen der Einzelobjekte enthält."

Quelle: http://lancom-systems.de/download/Documentation/Reference_Manual/LANCOM_Reference_Manual_3.32_DE.pdf