[Umfrage] Welche Soft/Hardware-router verwendet ihr

#61 Tja, da hast du wohl recht @MacDefender. Selbst mein Router hat mit der Original Firmware ne total beschissene Firewall als ob sie gar nicht existiert. Die Firmware vom anderen Hersteller ist zwar nicht sehr bedienfreundlich, dafür kann man tief ins Betriebssystem eingreifen durch einen Command Interpreter Mode oder den Debug Mode und kann da einiges mehr erreichen als über die Standard Menü Punkte. Meinen Router benutze ich mittlerweile nur als einen Ethernet Gateway Router. Der Router der mir den Zugang ins Netz möglich macht, ist ein fli4l Linux Router der sich in einer ganz anderen Netzmaske befindet. Sollte sich jemand in mein Netzwerk einschleichen, so hat er eben nicht die direkte Möglichkeit in meine Netzwerkumgebung zu sehen, sondern müsste erst noch durch den Gateway Router, bei dem alle Ports geblockt sind, durch. Auf dem fli4l befindet sich außerdem auch noch eine Firewall und ein Packet Filter. Sollte doch noch jemand durch beide Router durch kommen, so ist auf allen Rechnern noch ne Software Firewall installiert, außer am Print Server. Soo, da ich selber mal in der Hackerbranche tätig war und weiss wie man sich Zugang zu anderen Systemen verschafft, hab ich dann mein eigenes Netzwerk versucht von außen zu hacken und bin nicht durch gekommen. Von dem her kann ich wohl behaupten das meine Systeme mit einfachsten und auch nicht grad teuersten Mitteln ziemlich sicher sind.
Mein Windows 2000 hab ich auf meinem Hauptrechner jetzt schon fast zwei Jahre installiert und hatte bis jetzt keinen einzigen Wurm, Trojaner oder Virus drauf. Allerdings muss ich hier betonen das ein normaler Router mit ner Firewall nichts gegen Hackerangriffe schützt. Es gibt immer einen Weg. Das kann ich aufgrung meiner Kollegen und Bekannten sagen, die ständig irgendetwas auf dem Rechnern, trotz Firewall, Router und AntiVirus, haben.

Mfg Igi

PS. Bitte keine Fragen übers Hacken, denn die werde ich ganz bestimmt nicht beantworten!

#62

Zitat

MacDefender postete
Wäre es vielleicht möglich das diese ganzen billigen teile vielleicht nicht so sicher sind wie ihr alle denkt und das die nur so "viel" können laut Anleitung weil man unwissende Käufer mit schönen Listen beeindrucken kann da sie eh nicht wissen was das alles bedeutet?

Ja wäre schon möglich leider fehlen mir konkrete Nachweise warum ein billigerer Router weniger "sicher" sein sollte. Du könntest ja mal ein paar Beispiele nennen wo wichtige Updates ausbleiben, der Support schlecht ist oder Features angepriesen werden die gar nicht existieren.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#63 Das ganze geht doch schon los mit den ganzen Scans die man durchführen kann. Sicher werden die normalen Router die gängigen Connect oder auch Null-Scans etc erkennen. Aber was ist mit anderen Abarten wie ACK ohne SYN vorher? Antwortet der Router da dann auch darauf? Leitet er diese Sachen an den Rechner weiter wenn der angesprochene Port offen ist? Kann man darüber vieleicht ganz normal auf offene Ports scannen ohne das es im Log erscheint wärend teure Router das nicht erlauben. Es gibt da massig Abarten wo billigere Geräte einfach versagen.

Auch sehr beliebt sind zu kurze Fragmente oder Fragmente die sich gegenseitig überschreiben. Kann man bei ganz vielen billigen einfach mit durch die Firewall als existiert sie nicht. Und was ist wenn man ständig weitere Fragmente schickt und nie ein "Last" Fragment. Versucht der Router dann alle zu sichern intern um das sobald es komplett ist weiterzuschicken. Und was ist wenn der Speicher plötzlich voll ist und noch mehr kommt Wäre ein schöner DoS Fall. Genauso mal eine schicker Smurf oder Fraggle Angriff. Erkennt der Router die und reagiert entsprechend? Antwortet der Router auf ICMP's richtig und kann man da bestimmte (wie Ping) deaktivieren?
Kann die Firewall auch gut mit UDP umgehen. Auch da versagen viele.

All das kann mein Router zum Beispiel und das ganze wird NICHT beworben. Das ist einfach selbstverständlich in der Klasse. Und ich habe schon viele Longshine, SMC oder D-Link gesehen die damit nichts anfangen können.

Und bei vielen Geräten gibt es so tolle Werbesprüche wie "Kann beliebige Ports nach innen durchreichen oder sperren. Auch möglich mehrere Ports oder Bereiche durchzureichen etc..." Dabei hätte ein einfaches "Besitzt NAT" gereicht.

Da gibt es noch viel mehr Beispiele die aber den Rahmen sprengen würden. Ausserdem muß der normale Leser hier nicht alles wissen was so möglich ist. Fakt ist einfach das die meisten günstigen Firewalls nicht sicher sind wenn jemand mit etwas Erfahrung da rangeht. Richtig konfiguriert schützen sie sicher gegen die normalen Kids die Hacker spielen aber das wars dann auch schon. Und falsch konfiguriert (out of the Box) können die sogar mehr Schaden anrichten. Hab selber schon genug Fälle gesehen wo Remotezugang mit Defaultpasswort offen ist. Da kann dann jeder von aussen rein und beliebig Zugänge für sich schalten und sogar den Besitzer selber aussperren. Bei ISDN Routern könnte man dem Besitzer sogar eine schöne 0190 Nummer für den Zugang schalten

Wie gesagt: Heutzutage bei der Konkurenz kann es sich ein Routerhersteller nicht erlauben ein gleich schlechtes Produkt für das doppelte anbieten. Damit wäre er sofort pleite. Also MUß der für 350 Euro um einiges mehr bieten als der für 50. Sicher sind kleine Differenzen von 20-50 Euro für Markentitel mit drin aber der Rest hat ganz sicher seine Ursache in technischen Vorteilen.

Auch der Leistungsbedarf ist oft nicht zu verachten. Ich habe meine über 250 Euro damals mehr in gut in einigen Jahren wieder über die Stromrechnung gegenüber einigen anderen Billigprodukten mit schlechten Netzteilen

#64 Meinen vermisse ich hier irgendwie noch ...

Also, facts :
WinRoute Firewall von Kerio
läuft unter W2K Server auf nem 400PII mit 256mb und bedient 4 Rechner mit 'ner 2,4mbit Leitung mit fastpath.
Vorteile gegenüber vielen HW-Router :
- NAT-Table per Registry nahezu beliebig erweiterbar
- (nahezu) beliebige Anzahl an Rules / Portmaps
- ausgeklügeltes Content Filtering / Virenscan
- viele weitere features wie VPN-Passthrough, transparenten Proxy usw.
Nachteile :
- teuer
- fastpath fast wertlos (ping 30-80 zu den meisten game-servern von den clients aus)
- nicht ganz trivial

Mittlerweile hantiere ich bereits seid 4 Jahren mit Kerio WinRoute und dem Nachfolger, der WinRoute Firewall herum, und sie hat, auch wenn es ein bissel gedauert hat, immer das gemacht, was ich von ihr verlangt hab, sei es eseln mit hoher ID, oder Online-Games oder was auch immer. Sogar ein Lan-to-Lan VPN lies sich problemlos integrieren. Aber naja, die spielt auch in einer anderen Klasse .. *g*
gruß
hugo

#65 Ich verwende einen Schei... Router ZYXEL Prestige 650R-31
kann man nicht einaml Ports öffnen!!

hätte ich vorher gewusst, dass ich nicht über GameSpy spielen kann dann hätte ich mir eine andere Anschaffung gemacht!!!!!

#66 Wo ich des gerade sehe ....

Bin seit einiger Zeit über einen T-Sinus 130 DSL online.
(Da der BR 1200 das Zeitliche segnete ...)
Sehr zufrieden mit dem Teil, alle PC's via WLAN (verschlüsselt)

@MacDefender
Es mag durchaus an der Unwissenheit liegen, daß die Leute mit ihren billig-Teilen zufrieden sind.
Selber habe ich auch nicht die Ahnung, wie der Router entscheidet, was mit welchem Datenpaket geschehen soll, aber er macht's halt irgendwie.

Klar, nen Virenkiller und ggf ne FireWall sollten schon installiert sein (also auf dem PC).

Nun aber mal ne Frage an dich:
Warum schreibst du etwas, sorry, überheblich über die Leute, die aus Ihrer Unwissenheit heraus stolz auf sich (und ihren Router) sind, daß das Teil direkt lief?
Wenn dir nicht gesagt wird, daß man am Radio nen Knopf hat, mit dem man die Lautstärke einstellen kann, wirst du wohl nur sehr selten daran spielen (und eventuell dabei etwas kaputt machen).

Es ist mir klar, daß dir, der scheinbar doch etwas mehr Ahnung von der Materie hat, wie ca 200 der 'Normal'-User diverse Unterschiede der einzelnen Router direkt ins Auge springen, eben weil du die Hintertüren kennst bzw auch weißt, wie man diese benutzen kann.

Selber bin ich in dem Glauben, daß in mein Netzwerk nur angeforderte Daten gelangen..... Dabei denke ich aber, daß es Leuten mit Wissen mit Sicherheit möglich ist, meinen Router zu überwinden (und dann als Leckerlie meine FireWall zu überlisten)

Jesses ... was hab ich jetzt wieder viel geschrieben ...
Hoffe, ich habe hiermit niemanden verärgert.

Auch, wenn ich MacDefender hier direkt angeschrieben habe, denke ich, daß einige andere Leute (eben Die mit Wissen) sich mal in die Lage der Leute versetzen möchten, die dieses Wissen nicht haben.

MfG

** 2. Edit **
Hatte MaxDefender geschrieben *üps*

#67 Hi,

Router: D-Link DSL-G664T
Firewall: Outpost freeware
3 Clients

DHCP: aus
MAC-Filter: an
NAT: an
Wireless: aus

im Grunde hat MacDefender recht. Dafür fährt er vielleicht eine Gurke als Auto. Man kann nicht auf allen Gebieten Freag sein. Aber eins ist richtig, man sollte sich nicht eine Sicherheit einreden, die nicht gegeben ist. Wenn man weis wo die Grenzen sind, da kann man eben über Firewall usw. was machen. Letztendlich kann keiner sagen das er sicher ins Netz gehen kann.
__________
MfG
Baumfalke

#68 @MacDefender

Joa stimmt, danke für den Post - is mal ganz informativ. Vor allem weil ich selbs nicht so firm darin bin was tatsächlich möglich ist und was nicht. Aber mich persönlich stören port scans wenig - sollen die doch meine kiste scannen, sollen die doch wissen welcher Port offen ist und welcher nicht. Ich versteh nicht worin der Sinn ist wenn jemand fragt "wie kann ich meine IP verstecken?" oder "wie kann ich Ports verstecken". Wobei die meisten doch eh keinen Schimmer haben wie das alles funktioniert. Außerdem ist das ganze mit den desktop-firewalls usw. nach meiner Meinung eh Panik mache. Was sollte schon passieren, dass ein Port offen ist heißt ja nicht gleich das man auch damit was anfangen kann. Aber naja aber die ganze Sache mit Windows, Viren, Trojaner, Hacker etc. Die Werbung stellt alles so hin als ob jeder jetzt an deine persönlichen Daten kann - das ist nen schöner Trick. Die Leute fallen ja auch massig darauf rein. Plötzlich wird IP und offene Ports als was schlimmes hingestellt, als was was man unbedingt vermeiden müßte. Aber an jeder Haustüre steht ja auch ein Name dran, an jedem Haus eine Hausnummer. Sollen wir die jetzt alle abreissen. Sollen wir uns jetzt alle graue Tüten über den Kopf ziehen damit uns keiner erkennen kann. Das ist doch exakt das selbe. Die meisten haben wohl weniger zu verstecken als sie verstecken wollen. Okay das einzige was gefährlich werden könnte DoS attacken. Klaro aber ehrlichgesagt ist mir noch nicht passiert, wär sollte es denn machen - da brauchst du schon ne dicke Leitung. Und solche Leute mit festen IP's etc missbrauchen die nicht unbedingt. Und ich glaub nicht das ich sooo interessant bin
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#69 Weisst di eigentlich was für einen Mist du gerade geschrieben hast @Xeper? Wenn ich das so lese dann sehe ich schon an den ersten drei Sätzen das du keine Ahnugn hast von was hier überhaupt die Rede ist. Klar, du interessierst niemanden, außer die die an deine Kennung wollen um auf deine Kosten im Netz zu surfen. Lass mal deinen Rechner ca. ne halbe Stunde ohne Firewall rennen wo die Standardports offen sind, dann kannst du am zwei Stunden später deinen Rechner formatieren und neu aufsetzten weil dein Betriebssystem dermaßen verbogen ist. Außerdem wenn einige der Ports offen sind, kann man sich Zugang zum Rechner machen und ihn manipulieren oder mißbrauchen. Ich weiss wie sowas funktioniert.

Mfg Igi

#70 @Igi2003

Falls du zum Kindergarten wolltest - du bist hier falsch.
Was für Standardports - Standardmäßig hat Debian GNU/Linux gar keine Ports offen es sei denn du öffnest welche. Alles was ich hier an Firewall hab ist mein netfilter. Du weißt wie sowas funktioniert - okay in meiner sig ist mein dyndns - ich wünsche dir viel Spaß. Falls du so unglaublich bist kann ich das akzeptieren, aber vorher musst du mir das beweisen.
Ansonsten behalte deine argumentlosen Beiträge für dich.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#71 Hi Xeper,

Zitat

Aber an jeder Haustüre steht ja auch ein Name dran, an jedem Haus eine Hausnummer. Sollen wir die jetzt alle abreissen. Sollen wir uns jetzt alle graue Tüten über den Kopf ziehen damit uns keiner erkennen kann. Das ist doch exakt das selbe.

Sicher steht der Name an der Haustür. Aber auflassen und für Stunden weggehen machst du bestimmt auch nicht, es sei du wohnst so abgelegen das keiner vorbeikommt. In der Regel wird hier auch vom Windof BS gesprochen.
__________
MfG
Baumfalke

#72 @Baumfalke

nene Topic: "Welche Soft/Hardware-router verwendet ihr".
Ich spreche vom technischen Standpunkt der auch beim windows OS gleich ist - was ihr daraus macht ist eure Sache. Und die Sache mit der Haustür ist meiner Meinung nach kein guter Vergleich. Außerdem war das mit der Hausnummer auch eher auf's "Ich will unbedingt anonym sein" topic. Stimmt ich lass meine Haustür nicht offen, aber zb. mit dem Windows Nachrichtendienst - da brauchst du auch keine zusätzliche Software - du schaltest den Dienst einfach ab - so einfach ist das. Und das mit den Firewalls und Router die euch achso vor Hackern schützen ist teilweise nur Panikmache und das stimmt. Die übertreiben maßlos.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#73 Ok, dann hab ich dich falsch verstanden. Klar, die Router schützen nicht wirklich vor Hackern. Mit der Strasse und den Hausnummern kannst nicht anonym bleiben, aber da wäre es mit dem Telefon schon etwas leichter formuliert, denn da kannst ja den Telefonbucheintrag ja weg lassen und somit hast ne anonyme Nummer. Vorausgesetzt du gibst sie nicht jedem weiter. Was ich damit sagen wollte is, das wenn du dein BS z.B. Win2000 drauf knallst und einfach ne DFÜ Verbindung machst, egal ob DSL, ISDN oder Analog, ist das Windows offen wie ein Scheunentor. Du kannst an nem bestimmten Port eine Anfrage stellen und das OS meldet dir ne Antwort das es z.B auf Port xxxx zum Datenempfang bereit ist. Somit kannst du ein Programm schicken das sich installiert und weiter Ports auf macht oder die Daten ausliest und an ne bestimmte DNS/IP zurückschickt. wenn man einigermaßen seinen Router, Firewall oder auch den Packetfilter konfiguriert hat, dann kann man das schonmal ausschliessen. Ich weiss nicht was du unter Panikmache verstehst, aber das was in vielen Heften steht oder auch im Fernsehen gezeigt wird, stimmt zu 60%, sag ich jetzt mal und da haben die Schlicht und einfach Recht. Vorausgesetzt du hast ein Geschäft, egal was, und du musst wichtige Dokumente auf dem rechner bearbeiten oder auch Firmeninterne Sachen verwalten, dann ist es ein Risiko einfach nen ALDI PC mit der Standardkonfiguration dafür zu benutzen und dazu noch ne direkte DFÜ Verbindung laufen zu lassen. das ist für die Hacker ein gefundenes Fressen. Nix jetzt gegen ALDI Rechner. Zum ein bissel Schreibkram erledigen zun die es auch. Mein Fall wärs zwar nicht, aber egal. Aber was ich zum Teil als Service Techniker bei kleinen bis mittelgroßen Unternehmen gesehen hab is traurig. Und was ich erst an Daten bei Firmen sichern musste, damit der neu aufgesetzt werden musste, wegen Hacker, Trojaner und Viren, kann sich sicher keiner Vorstellen. Vielleicht ist es ja üblich das die Firmen X-viele Zugänge haben, damit jeder rechner sein Postfach einsehen kann, anstatt nen gescheiten Router und/oder nen Proxy hinzustellen der vielleicht auch noch etwas das Netzwerk von aussen schützt.
Zum linux, du hattest nicht erwähnt das du Linux nutzt. Ich bin von den meisten User aus gegangen, die Windoof nutzen. Ich selber nutze auch Linux und weiss das man es nicht so schnell knacken kann. Das genauso ne Norton Firewall, McAfee Firewall und ne ZoneAlarm nicht 100%ig schützen is auch klar. Mein Router hat ja auch nur nen Packetfilter, mehr nicht und es reicht aus.

Mfg Igi

PS. @Xeper, falls ich dich irgendwie beleidigt haben sollte, dann tut es mir leid.

#74 hi,

ich verwende "meinen" router .. LR101 .. mit

- BGP,OSPF,IP,IPIP-Tunnel Routing
- PPPOE,PPtP,DHCP,Static-IP
- IPSec, L2TP
- IP-Tables 1.2.9
- ISP Failover von DSL auf ISDN und wieder zurück ;-)
- Dynamic DNS (NO-IP.com)
- SSH Shell
- WebInterface (nur n paar dinge machbar .. muss noch ausgebaut werden, wenn ich Zeit hab)
- QoS ( z.B. optimal mit dem skript von lartc.org )
- Shell-Konfigurationsinterface

usw.

Nennt sich : LR101 .. zu finden unter ... http://www.linux-vpn.de/lr101.php ..

Basiert auf fixer Hardware, man kann sich aber auch die i386er Version herunterladen und testen .. wem's gefällt kanns dann auch dabei belassen ;-) ... eigentlich als Linux Hardwarerouter gedacht, bis zum endgültigen Ausbau wird's wohl aber noch dauern, da ich im Moment wenig Zeit habe um daran zu arbeiten ..

-Alex
__________
http://www.linux-vpn.de

#75 Teledat DSL-Router 400 und Janaserver auf altem PC als Proxy, HTTP und FTP-Server. Dynamische DNS über no-IP.com und Selfhost.de

Ratz