Mit Router aber keine Firewall - trotzdem sicher ?

#1 Hallo Leute,

ich lese immer wieder dass wenn man einen Router hat keine (Software-) Firewall verwenden braucht.

Meine Frage nun:
Brauche ich keine Software-Firewall weil mein Router NAT hat oder brauche ich keine Software-Firewall weil ich die im Router verwenden soll ?

#2 NAT ersetzt keine Firewall, es macht es nur den Script Kiddies schwerer auf deinen Rechner zu kommen.

Für den Privatgebrauch reicht es, die Schutzfunktionen deines Routers zu aktivieren, und UPnP zu deaktivieren. Grundlage so eines Setups ist aber das die Rechner hinter dem Router nur mit eingeschränkten Rechten laufen und immer auf dem aktuellen Patch-Stand sind.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#3

Zitat

NAT ersetzt keine Firewall, es macht es nur den Script Kiddies schwerer auf deinen Rechner zu kommen.

heptamer666, ein Router kann nur vor Dingen schützen, die von "außen" kommen/angreifen. Für "innen" ist dann PEBKAC zuständig.

ein Trojaner mit reverser Verbindung hat in der Regel keinerlei Probleme mit einem Router. Mal ein paar Cracks probiert, etwas Warez, den neuesten codec für den Player, schon kann es passiert sein.

insoweit ist ein Router auch nur Scheinsicherheit, zumindestens in Teilbereichen.

Natürlich kann man seinen Router auch möglichst sicher durch Konfiguration der ausgehenden Verbindungen machen, aber ein Restrisiko besteht immer.
__________
darknight, die wo anders Heike ist.

#4

Zitat

darknight postete
heptamer666, ein Router kann nur vor Dingen schützen, die von "außen" kommen/angreifen.

Was habe ich anderes geschrieben?

Zitat

darknight posteteein Trojaner mit reverser Verbindung hat in der Regel keinerlei Probleme mit einem Router. Mal ein paar Cracks probiert, etwas Warez, den neuesten codec für den Player, schon kann es passiert sein.

Darum schrieb ich auch was von "weiteren Schutzfunktionen aktivieren", zum Beispiel SPI beim Router, dürfte dann schwer werden mit dem Homephoning des Trojaners, zumindest wenn es richtig implemntiert wurde (die Netgear Teile haben da eine ganz gute).
Ach ja, und mein Hinweis auf eingeschränkte Benutzerechte und aktuelle Systempatches hast dann direkt auch gleich mit überlesen, oder? Frage mich nämlich gerade wie auf so einem System ein z.b. Trojaner installiert werden kann, ausser der Anwender handelt mehr als grob fahrlässig und kennt das Admin-Paßwort...

Zitat

darknight posteteinsoweit ist ein Router auch nur Scheinsicherheit, zumindestens in Teilbereichen.

Jo, ich habe auch nicht behauptet das das der Weisheit letzter Schluss ist.

Zitat

darknight posteteNatürlich kann man seinen Router auch möglichst sicher durch Konfiguration der ausgehenden Verbindungen machen, aber ein Restrisiko besteht immer.

Auch das stimmt, aber ein router schützt definitiv besser und effektiver als eine Softwarefirewall...
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#5

Zitat

heptamer666 postete
Ach ja, und mein Hinweis auf eingeschränkte Benutzerechte und aktuelle Systempatches hast dann direkt auch gleich mit überlesen, oder?

habe ich überlesen, und zwar ganz bewußt er ist nämlich nicht sehr wichtig.

Systempatches sind wichtig, aber zu vermitteln, wenn man sie alle hat ist man geschützt, ist einfach verkehrt.
eingeschränkte Benutzerechte schützen vor Malware? wenn Du der Überzeugung bist, dann solltest Du sie mal überprüfen.

es geht doch einfach um folgendes:
wenn jemand, der keine Ahnung hat, meint er ist durch einen Router geschützt, einfach weil er eben da ist, dann ist die Aussage falsch. So, und zwar genauso würde ein Ahnungloser Dein 1. Posting verstehen.
__________
darknight, die wo anders Heike ist.

#6

Zitat

darknight postete

Zitat

heptamer666 postete
Ach ja, und mein Hinweis auf eingeschränkte Benutzerechte und aktuelle Systempatches hast dann direkt auch gleich mit überlesen, oder?

habe ich überlesen, und zwar ganz bewußt er ist nämlich nicht sehr wichtig.

Autsch... Sag mir was ist wohl wichtiger? Irgendeine "Schutz"-Software von Drittanbietern die man auf ein unsicheres System aufspielt und sich dann vorgaukeln lässt "alles wäre gut", oder das System von Grund auf so zu härten das man sich erst gar keine Gedanken um Trojaner etc. pp machen muss?

Zitat

darknight postete
Systempatches sind wichtig, aber zu vermitteln, wenn man sie alle hat ist man geschützt, ist einfach verkehrt.
eingeschränkte Benutzerechte schützen vor Malware? wenn Du der Überzeugung bist, dann solltest Du sie mal überprüfen.

1. Ist die Kombination Router mit SPI+Paketfilter (Standard bei allen SOHO-Geräten heutzutage) + aktuell gepatchtes System mit eingeschränkten Benutzerrechten absolut ausreichend. Das Malware sich wohl zum grössten Teil durch Sicherheitslücken installieren lässt ist klar - sollte mit aktuellen Patches zum grössten teil erschlagen sein.

und 2. gegen 0-day-exploits macht nun mal keiner was - aber da kann ein eingeschränktes benutzerkonto noch was retten, indem es die Installationsroutinen unterbindet - was eine Softwarefirewall die mit Admin-rechten läuft wohl nicht hinbekommt.

So, nun warte ich mal auf eine vernünftige Gegenargumentation von dir zu dem Thema... *g

Zitat

darknight postete
es geht doch einfach um folgendes:
wenn jemand, der keine Ahnung hat, meint er ist durch einen Router geschützt, einfach weil er eben da ist, dann ist die Aussage falsch. So, und zwar genauso würde ein Ahnungloser Dein 1. Posting verstehen.

Selbst von Ahnungslosen sollte man erwarten können das man sich ein Posting komplett durchliest (auch mehrmals), und wenn man was nicht verstanden hat, dann nachfragt. Vielleicht solltest du das auch noch mal machen bevor du mir hier irgendwelche Aussagen unterschiebst bzw. verdrehst.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#7 Du hast Recht, ich habe meine Ruhe.

Ich finde es gut, das Du von Deinem Wissen so überzeugt bist.

Zitat

oder das System von Grund auf so zu härten das man sich erst gar keine Gedanken um Trojaner etc. pp machen muss?

Warum hast Du Dir dies Wissen nicht schon längst patentieren lassen? Damit könntest Du doch sehr reich werden, wenn es denn so stimmt.

oder stimmt es doch nicht?
__________
darknight, die wo anders Heike ist.

#8 Warum sollte man den UPNP deaktivieren ? Ist das nicht für Plug and Play ?

#9 UPnP ist leider teilweise nicht vernünftig implementiert...
z.B.
http://www.heise.de/security/result.xhtml?url=/security/news/meldung/73412&words=UPnP&T=upnp
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#10 @heptamer666:
Immer mit der Ruhe . Außerdem bringt es wirklich einen enormen Sicherheitsgewinn den Rechner mit Sicherheitssoftware zu zu pflastern. Spätestens ab dem dritten Virenscanner mit aktivem Hintergrundscanner ist man so gut wie absolut sicher .

Außerdem des mit dem patentieren is auch keine schlechte Idee. Hättest dann fast ne Microsoft ähnliche Monopolstellung auf Computersicherheit. Was meinste was du da an Lizenzkosten kassieren könntest

@darknight:
Kleiner Denkanstoß:
Überleg mal warum vernünftige Betriebssysteme wie Linux oder BSD von Haus aus für den normalen Gebrauch eingeschränkte Konten verwenden.


Und zu guter letzt um auch noch was (hoffentlich) Sinnvolles beizutragen:
Außerdem ist es durch UPnP doch auch möglich die Sicherheitseinstellungen des Routers zu verändern, so dass das z.B. auch evtl. installierte Trojaner können oder?

Gruß

Markus

#11 Markus, Du kannst Linux oder BSD nicht mit Windows vergleichen, bei XP lassen sich jedenfalls einige Trojaner auch installieren, wenn das eingeschränkte Konto benutzt wird.

Zitat

Außerdem ist es durch UPnP doch auch möglich die Sicherheitseinstellungen des Routers zu verändern, so dass das z.B. auch evtl. installierte Trojaner können oder?

so etwas gibt es bereits.

Viele Grüße,

Heike
__________
darknight, die wo anders Heike ist.

#12 @Darknight:
Und du empfiehlst letztendlich was? Zusätzlich zum Router zwingend eine Pers. Firewall mitsamt deiner Meinung
nach essenziell notwendigen Virenscanner?

Das war nun reine Spekulation meinerseits, da du ja bis dato deine Ratschläge nicht mitgeteilt hast. Was jedoch deine
Antworten auf Heptamers Tipps angeht, teile ich deine Meinung nicht.

[Patche & Konto im Benutzer-Kontext]

Zitat

[..]habe ich überlesen, und zwar ganz bewußt er ist nämlich nicht sehr wichtig.

Doch. Sogar elementar wichtig.

Zitat

Systempatches sind wichtig...

Eben.

Zitat

...aber zu vermitteln, wenn man sie alle hat ist man geschützt, ist einfach verkehrt.

Diese Aussage lese ich nicht aus Heptamers Posting. Wenn dem so wäre, hättest du Recht. Dem ist aber nicht so.

Zitat

Warum hast Du Dir dies Wissen nicht schon längst patentieren lassen?[..]wenn es denn so stimmt.

Es stimmt so. Betrachte es einfach als Axiom. Andererseits kann ich nicht nachvollziehen, warum du diese unsinnige
These von einem "verzichtbaren, eingeschränkten Benutzerkonto" vertrittst.

[Notwendigkeit von eingeschränkten Benutzerkonten]

Zitat

Du kannst Linux oder BSD nicht mit Windows vergleichen, bei XP lassen sich jedenfalls einige Trojaner auch
installieren, wenn das eingeschränkte Konto benutzt wird.

Das ist sekundär. Der Sinn eines eingschränkten Kontos liegt u.a. darin, dass der lokale Schaden, den die Schadsoftware
mangels fehlender Rechte anrichten kann, gering(er) ist.
Des weiteren existiert eine bei weitem höhere Chance auf Reparatur bzw. Desinfektion. In Verbindung mit dem Fakt,
dass sich der überwiegende Großteil der Schadsoftware meines Wissens nach nur unter einem Admin-Konto wohlfühlt,
ist dieser Aspekt elementar wichtig und richtig.

Zitat

[..]insoweit ist ein Router auch nur Scheinsicherheit, zumindestens in Teilbereichen.

Nein. Er ergänzt das komplette Sicherheitskonzept vorzüglich. Letzteres sollte natürlich existieren.

Zitat

[..]ein Router kann nur vor Dingen schützen, die von "außen" kommen/angreifen. Für "innen" ist dann PEBKAC zuständig

Vollkommen richtig. Der Router soll vor allem eins: routen! Er ist nicht dafür verantwortlich zu machen, was der User
vor dem Keyboard mit seinem OS anstellt und mit welchem bösen Programm er sich infiziert. Dank NAT
-und je nach Modell mehr oder weniger funktionierender Firewall, IDS oder SPI- bringt er seine Sicherheitskomponenten
ins Spiel. Kurzum: Es ist auch nicht seine Aufgabe, sich um kuriose Dinge von "innen" zu kümmern. Deshalb kann man
"ihm" auch keine Scheinsicherheit unterstellen.
Die Jobs, die er sicherheitstechnisch abhandeln kann, erledigt er -je nach Modell- aber sehr gut. Alleine die Tatsache,
dass sein Sicherheitskonzept auf einer physikalisch vom eigentlichen PC getrennten Hardware läuft, ist Gold wert.


Gruß,

Sepia