KPF sinnvoll in kleinem lan??

#1 hallo,

ich habe zu haus ein kleines lan mit 3 rechnern. einer davon ist ständig an und dient mit winroute pro als router ins web (per dsl). nun ich wollte ich endlich noch zusätzlich eine firewall einsetzen...allerdings bin ich mir jetzt nicht mehr so schlüssig was für mich das beste ist.

auf dem winroute-pc läuft emule/ftp - beides nicht auf standardports und im falle von emule nciht im öffentlichen netz. auf den restlichen pc's laufen je nach laune icq, mirc, webzeugs usw..

macht es sinn die kpf nur auf dem router-pc einzusetzen? oder doch lieber die kpf auf jedem client? oder vielleicht sogar ne "echte" firewall auf dem router-pc?

in dem zusammehang wäre sicherlich interessant zu wissen, ob die kpf auf dem router-pc die icq-anfragen eines pc's im lan zu deuten weiß (in bezug auf die funktionalität einer application-firewall) - wenn die kpf das kann, dann würde dem alleinigen einsatz auf dem router-pc nichts mehr im wege stehen, oder??

#2 Aber genau das kann sie leider nicht...
Daher macht es eigentlich nur Sinn, PFW's auf den Clients als "Outbound-Filter" einzusetzen. Wenn du auf dem Server/Router allerdings auch allerlei Dinge anstellst (runtergeladene Apps installieren, Surfen, Mailen,...) - was man tunlichst unterlassen sollte - kannst du auch auf dem Server eine FW installieren.

So oder so ist aber jeder Rechner vor Zugriffen von außen durch WinRoute gut geschützt (vorausgesetzt, du auch für lässt den Server NAT ausführen.)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 also nat ist für die schnittstelle ins lan aktiviert und die portzuordnung von winroute sorgt ja auch dafür das von außen nur wenige sachen wirklich erreichbar sind. den portfilter habe ich nach längerem probieren nicht mehr aktiv, da die funktionalität so wie ich sie brauche nicht gescheit hinzubekommen war (vielleicht war ich auch zu blöd alles ordentlich zu konfigurieren sodaß icq & emule und alles andere gescheit funktionieren...aber meiner meinung nach ist das aufgrund der funktionalität von emule und icq eh alles zwecklos). deswegen hoffe ich jetzt auf eine etwas intelligentere lösung richtung kpf...

#4 Ja, der Portfilter ist eh für die Hose in einem privaten LAN.
Wie gesagt: wenn du eine (gewisse) Outbound-Protection für die Clients erreichen willst, musst du PFW's auf jedem Client installieren.

Ob sich der Aufwand lohnt, ist eine andere Sache, denn soo viel effektiven Schutz können FW's sowieso nicht bringen.
Wichtiger sind vernünftige Virenscanner auf jedem Cient.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5 hmm, und was würde die kpf auf dem dem router-pc machen, wenn anfragen aus dem lan ins web gehen, und auch vom web ins lan??

also kurz gesagt, wie kann ich in einem lan emule, ftp & icq gescheit laufen lassen, aber trotzdem einen (dem umständen entpsrechend) brauchbaren schutz realisieren? auf jedem client eine app-firewall ist ja auch nicht sooo der hammer. und eine reine firewall wird sicherlich mit der emule-problematik nicht ordentlich umgehen können, oder??

#6

Zitat

hmm, und was würde die kpf auf dem dem router-pc machen, wenn anfragen aus dem lan ins web gehen, und auch vom web ins lan??

Naja, durchlassen oder blocken, je nachdem, wie du es einstellst...
Jedenfalls kannst du mit einer PFW auf dem Router _keinen_ sinnvollen Filter für den "Client<->Web"-Verkehr einrichten, weil die Applications-Zuordnung fehlt.

Du brauchst - gerade bei deiner Netzwerk-Konfig mit Router - nicht unbedingt PFW's, um "brauchbaren Schutz" zu erlangen. PFW's können dir imho nur als "Notfall-Schutz" dienen, wenn du dir (trotz Vorsicht, Virenscanner u.ä.) mal einen Trojaner oder ein Spyware-Programm installiert hast.

Als Beispiel: emule kannst du definitiv nicht mit einer PFW "schützen" - sondern nur durch regelmäßige Updates.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?