wie kann ich eine gute firewall im meinem netzwerk einbauen

#1 hi leute
ich bin noch anfänger in sachen netzwerk und so und bräuchte hilfe
wie kann ich eine gute firewall im meinem netzwerk einbauen.

#2 Hi, ging mir genauso.
Folgendes, Du gehst in den nächsten Softwareladen, sagst:" Guten Tag,
ich würde gerne ein Firewallprogramm käuflich erwerben, z.Bsp. Zonealarm pro, Norton Personal Firewall oder McAffee, oder Du schaust ganz einfach im Internet nach, da gibt es die Outpost Firewall 1.0 von Agnitum oder Zonealarm standardausführung zum Anfangen bestens geeignet und sie
wecken Bedürfnisse,weil sie sind ja nun mal nur Standartausführungen.
Bitte keine Warez oder so, es geht hier um ein bißchen Sicherheit,
und es bringt nichts, wenn Du im Internet bist, und der Hersteller
nockt sie Dir aus, spreche aus eigener Erfahrung.
Es gibt halt Proggies, die beim Hersteller auf Deinem Namen registriert
sein sollten
Dann dann installierst Du das Prog. Was die Konfiguration betrifft,
schaust Du wieder in das Forum, und informierst Dich durch vorhandene Beiträge, oder fragst Dich durch.

Mehr ist es eigentlich nicht

Gruß

Rumpeldipumpel..

#3 Outpost brauchst Du nicht käuflich erwerben, es gibt davon eine kostenlose Version - Outpost Free. Outpost weckt nicht nur Bedürfnisse, sondern befriedigt diese auch. Es handelt sich dabei nämlich, im Gegensatz zu ZoneAlarm, um eine richtig, anständig konfigurierbare PFW. Dagegen würde ich Dir von kommerziellen Produkten wie von Symantec oder McAfee abraten - da bist Du schnell enttäuscht, daß Du für sowas Geld ausgegeben hast.

Ansonsten, wie mein Vorredner schon sagte, schau Dich hier im Foum und auf http://faq.at/firewalls um und wenns Probleme gibt, dann frag einfach!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 Hi,

wie wäre es denn wenn du Dir mit iptaples eine Firewall aufsetzt ? Das ist gar nicht so schwer und im Netz findest du eine Menge Anleitungen. Benutze selbst ein iptables Script auf meinem Router und es klappt bestens und ích kann alles bis in kleinste Detail konfigurieren.

Gruß und viel Erfolg

Onlinefreak :-)

#5 Der Hinweis von Onlinefreak ist richtig, nur möchte ich folgendes einwerfen:

Bei iptables oder ipchains handelt es sich um einen klassischen Portfilter - mit all seinen Vor- und Nachteilen. Ein PFW hat den Vorteil, daß er zumindest diesen Portfiler bis auf die Applikation herunterbricht.

Sind wir doch mal ehrlich: Worum geht es denn wirklich? Es geht in erster Linie nicht darum, daß ein böser Angreifer nicht die Gewalt über unseren Rechner übernimmt. Es geht vielmehr darum, daß sich nicht alle Programme mit dem Internet verbinden dürfen. Genau dort liegt der Vorteil der PFW gegenüber dem klassischen Portfilter!

Dazu: http://www.protecus.de/hosting/robert/firewall.html

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 Hi,
Ging es menemen nicht um ne Firewall für ein Netzwerk? Dann sind PFWs ganz sicher nicht das richtige.
Welche siehe Onlinefreak.
Grüsse
Smaggmampf

#7 So pauschal kann man imo nicht sagen, Smaggmampf.

Wenn man z.B. einen Rechner als NAT-Router (und sonst nix) benutzen will, sind die Clients gegen Zugriffe von außen sowieso geschützt. Als outbound-Schutz für die Clients sind PFW's auf jedem Client wesentlich wirkungsvoller als ein zentraler Portfilter (da applications-basiert).
Evtl. kann auch der Router mit einer PFW ausgestattet werden, sofern man auch auf diesem in irgendeiner Form arbeiten will.

OK, es ist sicherlich etwas aufwendig, auf jedem Client eine PFW zu konfigurieren (kommt halt darauf an, wie groß das Netz ist), aber ein wirksamer outbound-Schutz ist mit einem Portfilter kaum möglich. Und Inbound ist wie gesagt eh nicht das Problem...

Mal ehrlich: wann ist ein Portfilter überhaupt sinnvoller?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#8 Von der Seite habe ich die Frage noch gar nicht betrachtet - obwohl es offensichtlich ist - ich werd wohl alt.

In dem Fall kann man über IPTables nachdenken. Jedoch ist das für einen "Anfänger" wohl etwas zuviel. Wie wäre es mit einem Router/Proxy, der auch Paketfilterfunktionen realisiert? Beispielsweise WinProxy (www.ositis.com) oder WinRoute (www.kerio.com)? Diese Software auf einem zentralen Rechner installiert. Dieser wäre dann das Gateway zum öffentlichen Netz.

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Ich habe auch ein kleines Netzwerk mit vier Rechnern, welches über WinRoute ins Netz geht. Dennoch sehe ich wie gesagt keinen Sinn darin, den eigebauten Portfilter zu konfigurieren... kann mir den bitte einer erkären?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 @forge77: Über Sinn oder Unsinn lässt sich natürlich streiten. Jedoch kann ich mit einem konfiguriertem Filter beispielsweise Phonehome auf gewissen Ports verhindern.

Des Weiteren wäre es doch denkbar, daß ein schadhaftes Programm von sich aus Daten aus Deinem Netz heraus sendet. Dies wird erst durch die NAT Technologie ermöglicht. Zugegeben, sehr abstrakt, denn wenn ein solches Programm existieren würde, dann sollte es Port 80 nehmen.

Mir fällt momentan kein praxis-relevantes Beispiel ein, aber ich werde drüber nachdenken.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#11 es gibt eigentlich kein wirkliches bsp dazu seitden man hat einen proxy für alle wichtigen
ports wie smtp pop3 und http dann kann ich port 80 25 usw sperren da alles über den
proxy läuft.
Phonehome läuft eigentlich immer über port 80
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#12 @spunki: Es besteht aber ein kleiner Unterschied zwischen Proxy und Router. WinRoute würde ich schon als Router einordnen, oder? Beim Proxy geb ich das frei, was ich möchte. Beim Router muss ich das sperren, was ich nicht möchte!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#13 ich meinte zusätzlich zu nat einen http proxy laufen lassen das meinte ich
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#14 Hmm,
Also ein Grund einen reinen Portfilter laufen zu lassen besteht darin, dass PFWs ausgetrickst werden können in Form eines eigenen IP Stacks, welcher dann meines Wissens nicht von der PFW geprüft wird. Phonehome unterbinden kann man mit einem Portfilter nicht, jedoch geht das auch mit ner PFW effiktiv?

Zitat

sofern man auch auf diesem in irgendeiner Form arbeiten will.

Nie!!!! Sowas macht man doch nich!

Noch ein Grund ist, dass (gehen wir von einem Router aus) der Router als einzigstes System physisch Kontakt zum externen Netz hat und somit nur dieses als Angriffspunkt dient.
weitere Gründe folgen, wenn ich mehr Zeit habe
Grüsse
Smaggmampf

#15 Eigene IP-Stacks sind anscheinend für neue PFW's kein Problem mehr (wenn ich das richtig verstanden habe...): http://www.hackbusters.net/ob.html

Klar kann man PFW's austricksen, aber ein Paketfilter ist in Bezug auf "outbound-protection" eh so löchrig, dass das kein "Einsatzgebiet" sein kann. Somit sind hier PFW's immer noch besser.
Und beim "inbound" sind PFW's ähnlich zuverlässig wie ein Paketfilter (wobei inbound für ein (Heim-)Netzwerk, wie gesagt, ohnehin nicht DAS Problem ist.)

Weitere Gründe für einen Paketfilter würden mich sehr interessieren.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?