Mit Router aber keine Firewall - trotzdem sicher ? |
||
---|---|---|
#0
| ||
19.07.2007, 19:34
Propylon
zu Gast
|
||
|
||
20.07.2007, 08:44
Member
Beiträge: 647 |
#2
NAT ersetzt keine Firewall, es macht es nur den Script Kiddies schwerer auf deinen Rechner zu kommen.
Für den Privatgebrauch reicht es, die Schutzfunktionen deines Routers zu aktivieren, und UPnP zu deaktivieren. Grundlage so eines Setups ist aber das die Rechner hinter dem Router nur mit eingeschränkten Rechten laufen und immer auf dem aktuellen Patch-Stand sind. __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
20.07.2007, 09:22
Member
Beiträge: 327 |
#3
Zitat NAT ersetzt keine Firewall, es macht es nur den Script Kiddies schwerer auf deinen Rechner zu kommen.heptamer666, ein Router kann nur vor Dingen schützen, die von "außen" kommen/angreifen. Für "innen" ist dann PEBKAC zuständig. ein Trojaner mit reverser Verbindung hat in der Regel keinerlei Probleme mit einem Router. Mal ein paar Cracks probiert, etwas Warez, den neuesten codec für den Player, schon kann es passiert sein. insoweit ist ein Router auch nur Scheinsicherheit, zumindestens in Teilbereichen. Natürlich kann man seinen Router auch möglichst sicher durch Konfiguration der ausgehenden Verbindungen machen, aber ein Restrisiko besteht immer. __________ darknight, die wo anders Heike ist. |
|
|
||
20.07.2007, 12:17
Member
Beiträge: 647 |
#4
Zitat darknight posteteWas habe ich anderes geschrieben? Zitat darknight posteteein Trojaner mit reverser Verbindung hat in der Regel keinerlei Probleme mit einem Router. Mal ein paar Cracks probiert, etwas Warez, den neuesten codec für den Player, schon kann es passiert sein.Darum schrieb ich auch was von "weiteren Schutzfunktionen aktivieren", zum Beispiel SPI beim Router, dürfte dann schwer werden mit dem Homephoning des Trojaners, zumindest wenn es richtig implemntiert wurde (die Netgear Teile haben da eine ganz gute). Ach ja, und mein Hinweis auf eingeschränkte Benutzerechte und aktuelle Systempatches hast dann direkt auch gleich mit überlesen, oder? Frage mich nämlich gerade wie auf so einem System ein z.b. Trojaner installiert werden kann, ausser der Anwender handelt mehr als grob fahrlässig und kennt das Admin-Paßwort... Zitat darknight posteteinsoweit ist ein Router auch nur Scheinsicherheit, zumindestens in Teilbereichen.Jo, ich habe auch nicht behauptet das das der Weisheit letzter Schluss ist. Zitat darknight posteteNatürlich kann man seinen Router auch möglichst sicher durch Konfiguration der ausgehenden Verbindungen machen, aber ein Restrisiko besteht immer.Auch das stimmt, aber ein router schützt definitiv besser und effektiver als eine Softwarefirewall... __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
20.07.2007, 12:37
Member
Beiträge: 327 |
#5
Zitat heptamer666 postetehabe ich überlesen, und zwar ganz bewußt er ist nämlich nicht sehr wichtig. Systempatches sind wichtig, aber zu vermitteln, wenn man sie alle hat ist man geschützt, ist einfach verkehrt. eingeschränkte Benutzerechte schützen vor Malware? wenn Du der Überzeugung bist, dann solltest Du sie mal überprüfen. es geht doch einfach um folgendes: wenn jemand, der keine Ahnung hat, meint er ist durch einen Router geschützt, einfach weil er eben da ist, dann ist die Aussage falsch. So, und zwar genauso würde ein Ahnungloser Dein 1. Posting verstehen. __________ darknight, die wo anders Heike ist. |
|
|
||
23.07.2007, 11:05
Member
Beiträge: 647 |
#6
Zitat darknight posteteAutsch... Sag mir was ist wohl wichtiger? Irgendeine "Schutz"-Software von Drittanbietern die man auf ein unsicheres System aufspielt und sich dann vorgaukeln lässt "alles wäre gut", oder das System von Grund auf so zu härten das man sich erst gar keine Gedanken um Trojaner etc. pp machen muss? Zitat darknight postete1. Ist die Kombination Router mit SPI+Paketfilter (Standard bei allen SOHO-Geräten heutzutage) + aktuell gepatchtes System mit eingeschränkten Benutzerrechten absolut ausreichend. Das Malware sich wohl zum grössten Teil durch Sicherheitslücken installieren lässt ist klar - sollte mit aktuellen Patches zum grössten teil erschlagen sein. und 2. gegen 0-day-exploits macht nun mal keiner was - aber da kann ein eingeschränktes benutzerkonto noch was retten, indem es die Installationsroutinen unterbindet - was eine Softwarefirewall die mit Admin-rechten läuft wohl nicht hinbekommt. So, nun warte ich mal auf eine vernünftige Gegenargumentation von dir zu dem Thema... *g Zitat darknight posteteSelbst von Ahnungslosen sollte man erwarten können das man sich ein Posting komplett durchliest (auch mehrmals), und wenn man was nicht verstanden hat, dann nachfragt. Vielleicht solltest du das auch noch mal machen bevor du mir hier irgendwelche Aussagen unterschiebst bzw. verdrehst. __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
23.07.2007, 16:52
Member
Beiträge: 327 |
#7
Du hast Recht, ich habe meine Ruhe.
Ich finde es gut, das Du von Deinem Wissen so überzeugt bist. Zitat oder das System von Grund auf so zu härten das man sich erst gar keine Gedanken um Trojaner etc. pp machen muss?Warum hast Du Dir dies Wissen nicht schon längst patentieren lassen? Damit könntest Du doch sehr reich werden, wenn es denn so stimmt. oder stimmt es doch nicht? __________ darknight, die wo anders Heike ist. |
|
|
||
23.07.2007, 20:51
Propylon
zu Gast
Themenstarter |
#8
Warum sollte man den UPNP deaktivieren ? Ist das nicht für Plug and Play ?
|
|
|
||
23.07.2007, 21:32
Moderator
Beiträge: 2312 |
#9
UPnP ist leider teilweise nicht vernünftig implementiert...
z.B. http://www.heise.de/security/result.xhtml?url=/security/news/meldung/73412&words=UPnP&T=upnp __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
23.07.2007, 22:36
Member
Beiträge: 291 |
#10
@heptamer666:
Immer mit der Ruhe . Außerdem bringt es wirklich einen enormen Sicherheitsgewinn den Rechner mit Sicherheitssoftware zu zu pflastern. Spätestens ab dem dritten Virenscanner mit aktivem Hintergrundscanner ist man so gut wie absolut sicher . Außerdem des mit dem patentieren is auch keine schlechte Idee. Hättest dann fast ne Microsoft ähnliche Monopolstellung auf Computersicherheit. Was meinste was du da an Lizenzkosten kassieren könntest @darknight: Kleiner Denkanstoß: Überleg mal warum vernünftige Betriebssysteme wie Linux oder BSD von Haus aus für den normalen Gebrauch eingeschränkte Konten verwenden. Und zu guter letzt um auch noch was (hoffentlich) Sinnvolles beizutragen: Außerdem ist es durch UPnP doch auch möglich die Sicherheitseinstellungen des Routers zu verändern, so dass das z.B. auch evtl. installierte Trojaner können oder? Gruß Markus Dieser Beitrag wurde am 23.07.2007 um 22:40 Uhr von vfgt editiert.
|
|
|
||
23.07.2007, 22:51
Member
Beiträge: 327 |
#11
Markus, Du kannst Linux oder BSD nicht mit Windows vergleichen, bei XP lassen sich jedenfalls einige Trojaner auch installieren, wenn das eingeschränkte Konto benutzt wird.
Zitat Außerdem ist es durch UPnP doch auch möglich die Sicherheitseinstellungen des Routers zu verändern, so dass das z.B. auch evtl. installierte Trojaner können oder?so etwas gibt es bereits. Viele Grüße, Heike __________ darknight, die wo anders Heike ist. |
|
|
||
24.07.2007, 00:44
Member
Beiträge: 546 |
#12
@Darknight:
Und du empfiehlst letztendlich was? Zusätzlich zum Router zwingend eine Pers. Firewall mitsamt deiner Meinung nach essenziell notwendigen Virenscanner? Das war nun reine Spekulation meinerseits, da du ja bis dato deine Ratschläge nicht mitgeteilt hast. Was jedoch deine Antworten auf Heptamers Tipps angeht, teile ich deine Meinung nicht. [Patche & Konto im Benutzer-Kontext] Zitat [..]habe ich überlesen, und zwar ganz bewußt er ist nämlich nicht sehr wichtig.Doch. Sogar elementar wichtig. Zitat Systempatches sind wichtig...Eben. Zitat ...aber zu vermitteln, wenn man sie alle hat ist man geschützt, ist einfach verkehrt.Diese Aussage lese ich nicht aus Heptamers Posting. Wenn dem so wäre, hättest du Recht. Dem ist aber nicht so. Zitat Warum hast Du Dir dies Wissen nicht schon längst patentieren lassen?[..]wenn es denn so stimmt.Es stimmt so. Betrachte es einfach als Axiom. Andererseits kann ich nicht nachvollziehen, warum du diese unsinnige These von einem "verzichtbaren, eingeschränkten Benutzerkonto" vertrittst. [Notwendigkeit von eingeschränkten Benutzerkonten] Zitat Du kannst Linux oder BSD nicht mit Windows vergleichen, bei XP lassen sich jedenfalls einige Trojaner auchDas ist sekundär. Der Sinn eines eingschränkten Kontos liegt u.a. darin, dass der lokale Schaden, den die Schadsoftware mangels fehlender Rechte anrichten kann, gering(er) ist. Des weiteren existiert eine bei weitem höhere Chance auf Reparatur bzw. Desinfektion. In Verbindung mit dem Fakt, dass sich der überwiegende Großteil der Schadsoftware meines Wissens nach nur unter einem Admin-Konto wohlfühlt, ist dieser Aspekt elementar wichtig und richtig. Zitat [..]insoweit ist ein Router auch nur Scheinsicherheit, zumindestens in Teilbereichen.Nein. Er ergänzt das komplette Sicherheitskonzept vorzüglich. Letzteres sollte natürlich existieren. Zitat [..]ein Router kann nur vor Dingen schützen, die von "außen" kommen/angreifen. Für "innen" ist dann PEBKAC zuständigVollkommen richtig. Der Router soll vor allem eins: routen! Er ist nicht dafür verantwortlich zu machen, was der User vor dem Keyboard mit seinem OS anstellt und mit welchem bösen Programm er sich infiziert. Dank NAT -und je nach Modell mehr oder weniger funktionierender Firewall, IDS oder SPI- bringt er seine Sicherheitskomponenten ins Spiel. Kurzum: Es ist auch nicht seine Aufgabe, sich um kuriose Dinge von "innen" zu kümmern. Deshalb kann man "ihm" auch keine Scheinsicherheit unterstellen. Die Jobs, die er sicherheitstechnisch abhandeln kann, erledigt er -je nach Modell- aber sehr gut. Alleine die Tatsache, dass sein Sicherheitskonzept auf einer physikalisch vom eigentlichen PC getrennten Hardware läuft, ist Gold wert. Gruß, Sepia |
|
|
||
ich lese immer wieder dass wenn man einen Router hat keine (Software-) Firewall verwenden braucht.
Meine Frage nun:
Brauche ich keine Software-Firewall weil mein Router NAT hat oder brauche ich keine Software-Firewall weil ich die im Router verwenden soll ?