Router als Firewall ausreichend?

#1 Hallo allerseits,
ich möchte mein Kabelmodem (ish) mit meinem LAN (5 PCs) verbinden.
Ist es richtig, dass jeder Router eine Firewall-funktionalität bietet?
Reicht das als Schutz vor Eindringlingen aus?
Schließlich ist das Kabelmodem ständig mit dem Internet verbunden.

Gruß
Peter
__________
www.smarterWeb.de

#2 Durch das verwendete NAT-Protokoll bietet ein Router sehr guten Schutz gegen ungewollte, eingehende Verbindungen.
Gegen alles, was von deinem Rechner raus will, aber nicht soll, bietet ein Router aber keinen Schutz. Hier hilft nur eine (application-basierte) Desktop-Firewall.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Ich kann an der Stelle dem Kollegen forge77 nur zustimmen! Ein NAT-Device bietet zwar keinen 100%tigen Schutz, jedoch ist relativ viel Wissen und auch der nötige Anreiz von Nöten, um den Router zu überwinden.

Wenn Du mehr über NAT und Firewalls erfahren möchtest, dann schau Dir mal folgende Links an:

http://www.different-thinking.de/nat.php
http://www.different-thinking.de/firewall.php

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 Mensch Robert, Deine Signatur spricht mir aus dem Herzen!

#5 Tach zusammen...

forge77... kleine Korrektur: NAT ist kein Protokoll. Oder hab ich da irgendwas verpasst??

Zitat

smarterweb fragte:
Ist es richtig, dass jeder Router eine Firewall-funktionalität bietet?
Reicht das als Schutz vor Eindringlingen aus?

In Abhängigkeit von deiner persönlichen Definition von "ausreichendem Schutz"... auf beide Fragen ein ganz klares NEIN. forge77 und Robert haben NAT beschrieben. NAT bietet keinen Schutz im Sinne einer Firewall... weder auf App-Ebene noch auf Paket-Ebene. NAT "versteckt" lediglich deine LAN-Rechner. Von außen ist ein Netzwerk hinter einem NAT-Router o.ä. nicht sofort erkennbar. Das bietet sicherlich einen erheblich besseren Schutz, als ohne. Beide haben auch in dem Punkt Recht, als dass schon erweitertes Wissen dazu gehört NAT im Sinne eines Angriffs zu überwinden... aber mit Blick auf die Eingangsfragen trotzdem: nein.

Viele (alle?) Routeranbieter werben in irgendeiner Form mit Firewall-Funktionalität. In den meisten Fällen wird NAT in diesem Zusammenhang genannt. In meinen Augen reines Marketing, wenn es ausschließlich um NAT geht. Hände weg von einem Router der nichts weiter als NAT zu bieten hat. Als Minimum sollte auf jeden Fall ein Paket-Filter integriert sein, der es ermöglicht auf Basis von selbstdefinierten Regeln z.b. LAN und WAN-Trafic auf Paketebene zu trennen. Nicht jeder Router ermöglicht außerdem die korrekte Administration auf Portebene... d.h. Freigaben, Sperren, Mapping...

Auch dass mit dem Schutz ist bei Routern eine relative Sache: verfügt er über keinen bzw. nur einen schwachen Paketfilter, der dazu kaum in der Lage ist, mit "ausgefiltertem" Müll richtig umzugehen, ist es relativ unproblematisch in via DoS abzuschießen mit den entsprechenden Folgen, die man überall im I-Net nachlesen kann Ein cooler Router erkennt, wenn er durch "zumüllen" abgeschossen werden soll... wie gesagt: ein cooler

Eines sollte man aber nicht vergessen: je feiner ein Router konfiguriert werden kann, desto schwieriger wird es auch. Etwas weniger aber dafür sicher beherrschbarer Leistungsumfang ist imo besser, als ein hight-end-Teil, bei dem keiner durchsieht.

Grundsätzlich liegst du aber bei dem was du vorhast mit einem Router auf der richtigen Seite... das nur für den Fall, dass der Eindruck entstanden ist, ich würde dir von einem Roter abraten

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#6 @dicon

stimmt NAT ist KEIN Protokoll. Es bedeutet Network Address Translation,
dieses System kann die quellip (SNAT) oder die Zielip (DNAT) verändern und/oder die Packete auf ein ganz anderen Port umleiten.

@smarterweb

Hmm ich persönlich mag keine Hardware Router als Firewall, mein Kollege hat ein solches Dingen und man kann nur bis zu 9 Regeln definieren das ist schon erbärmlich.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode