Suche Router Firewall Kombination

#16 Ja ok.

Wie meinst du das?

Der Server soll nur die Pakete weiterleiten und ansonsten nicht selber aufs internet zugreifen, wenn du das meinst.

Aber wäre das nicht sicherer, wenn die Firewall nur Winroute senden und empfangen lässt
und alles andere blockt?
__________
So wird mein Post von allen gelesen..

#17

Zitat

sh4rk postete
Der Server soll nur die Pakete weiterleiten und ansonsten nicht selber aufs internet zugreifen, wenn du das meinst.

Aber wäre das nicht sicherer, wenn die Firewall nur Winroute senden und empfangen lässt und alles andere blockt?

Das kannst Du machen. Ich meine eher Sachen, die direkt durch Windows offen sind - NetBios zum Beispiel.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#18 Ja das verstehe ich schon.

Aber ist doch auch einfacher alles zu blocken und winroute freizugeben,
anstatt alles einzeln versuchen abzudichten...

Ich scheue mich vor viel Konfigurationen
__________
So wird mein Post von allen gelesen..

#19 Und ich scheue mich vor zuviel Programmen, die ich konfigurieren muß. Mach wie Du denkst, probier es aus, versuch es auch mal anders rum. Es geht so oder so, keine Frage.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#20

Juhu all meine Probleme sind gelöst.

Vielen Dank für die viele hilfe, die ich hier bekommen habe
und die Geduld die ihr aufgebracht habt mir zu helfen

Wenn ich dann am Sonntag, wenn ich kostenlos ins internet gehe ,
noch Fragen habe werde ich mich melden.

Danke noch mal
__________
So wird mein Post von allen gelesen..

#21 Ich würde gern noch ein paar eigene Erfahrungen anmerken:

Du kannst bei WinRoute (WR) grundsätzlich entscheiden, ob mit dem Server selbst NAT ausgeführt werden soll oder nicht, also ob er quasi unabhängig von WR (kein NAT) oder hinter WR (mit NAT) laufen soll.
Nur im zweiten Fall gelten die Sicherheitseinstellungen (u.a. der Paketfilter) von WR auch für den Server. Wenn du keinerlei Progs auf dem Server laufen lassen möchtest, würde ich ihn in jedem Fall "hinter" WR laufen lassen und evtl. auf eine zusätzliche PFW verzichten. Der Server kann in dem Fall nur dann Verbindungen entgegennehmen, wenn die entsprechenden ports gemappt werden, d.h. auch Netbios wäre "sicher".
Im anderen Fall (wie bei mir) wird's etwas komplizierter...

Zitat

Aber wäre das nicht sicherer, wenn die Firewall nur Winroute senden und empfangen lässt und alles andere blockt?

Das dachte ich am Anfang auch... ...geht aber leider nicht, da der NAT-Verkehr gar nicht an WR gebunden ist, d.h. nicht WR versendet und empfängt die Daten... das ganze läuft offensichtlich Applikations-unabhängig, was die Konfig der PFW auf dem Server durchaus problematisch macht...
Du musst u.U. ganze port-ranges für "any application" freigeben, damit es funzt.

<edit> Das eben geschriebene gilt nur für den NAT-Verkehr. Wenn du den Proxy von WR benutzen willst (wie du woanders angedeutet hast), kannst du diesen gezielt freigeben. Für andere Progs (z.B. file-sharing) gilt dagegen das eben geschriebene. <edit>


Zum Schluß noch ein kleiner Schocker (hab ich gestern erfahren):

http://www.securiteam.com/windowsntfocus/5VP021535K.html

Das gilt für WR 4.x und soll erst mit dem anstehenden WR 5 geändert werden.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#22 Na toll.

Hast es geschafft. Bin wieder verwirrt..

Also muss ich dann in Winroute NetBios und was weiss ich noch von Hand
eintragen um es zu sichern, damit der Server relativ sicher ist.
Und dann auf allen clients die PFW installieren?

Kann ich denn zum Beispiel einstellen, dass alles was von den Clients kommt
weitergeleitet wird und von außerhalb... moment, dann kann der client ja keine
daten empfangen...

Naja gut geht das dann nicht.

Das heißt ich muss außerdem dann alle ports freigeben, die von den Programmen
auf den Clients benötigt werden, damit die zugriff haben.
Gibt es irgendwo eine Liste an Ports, die nach Programmen geordnet ist ???
__________
So wird mein Post von allen gelesen..

#23 Keine Angst, ist alles nicht so schlimm

Wenn du den Server "hinter" WR laufen lässt (so, wie die Clients), KÖNNEN gar keine eingehenden Verbindungen bis zum Server "durchkommen", sofern du nicht gezielt die entsprechenden ports mappst. D.h. netbios ist so ohnehin "sicher."
Eine zusätzl. FW auf dem Server hätte in dieser Konstellation nur den Sinn, ausgehende Verbindungen durch Programme auf dem Server zu kontrollieren (z.B. home-phoning, evtl. Trojaner o.ä.)
Wenn du aber gar keine Progs auf dem Server laufen lassen möchtest (und du darüberhinaus Windoof vertraust ), ist eine zusätzl. FW eigentlich überflüssig.
Gegen Zugriffe von "außen" ist der Server ja genauso gesichert, wie die Clients.

Den WR-Paketfilter würde ich überhaupt nicht weiter konfigurieren (außer einer "Erlaube alles"-Regel.) Eine FW auf jedem Client bringt hier mehr.

Alles klar?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#24 Der packetfilter ist wohl wirklich sinnlos da jedes schadensprogramm über port 80 gehen kann und der ist ja wohl immer offen also reicht allow all aus

wenn man sich trotz Nat unsicher finden sollte kann man eine PFW installieren ist aber unnötig besser Virenscanner (Trojanerscanner) und Adware Xp Antispy und solche Sachen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#25 Am besten lese ich deinen Text noch einmal...

...

Ok mit der Sicherheit und Server hinter WR ist klar..

Paketfilter.. also soll WR alles durchlassen und das Blocken geschieht auf
den clients?
__________
So wird mein Post von allen gelesen..

#26 Ein Software-Router wie WinRoute blockt unabhängig vom Paketfilter erstmal alles, was nicht angefordert wurde. Er "weiß" ja auch gar nicht, an welchen Rechner (ob Server oder Client) die unangeforderten Pakete gehen sollen.

Wenn du aber ein Server-Programm auf einem der Rechner laufen hast (z.B. einen Web- oder FTP-Server, eDonkey etc.), "erwartest" du dagegen unangeforderte Pakete, da sich andere ja mit deinem Rechner verbinden können sollen (du bietest einen "Dienst" an.)
In diesem Fall musst du WR explizit sagen, an welchen Rechner die unangeforderten Pakete (die eingehenden Verbindungen) weitergeleitet werden sollen (port-mapping oder -forwarding.)

Ein restriktiver Paketfilter macht daher in diesem Fall keinen Sinn, da eingehende Verbindungen standardmäßig geblockt werden, und die ausgehenden Verbindungen durch die PFW's auf den Clients kontrolliert werden.

Außerdem gilt, was spunki schreibt.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#27 forge77, ich stimme Dir zu, bis auf den Punkt, daß Windows selbst auf einigen Ports horcht. Diese sollten geblockt werden. Ich kenne WinRoute leider nicht, daher weiß ich nicht was passiert, wenn die Option "hinter" WR aktiviert ist. Müsste man mal testen.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#28 Mit "hinter" WR meine ich, dass NAT auf für den Server ausgeführt wird, d.h. es ist so, also ob der Server ein Client ist...
WR setzt sich in diesem Fall tatsächlich komplett "vor" den Server, so dass auch von Windows geöffnete ports geblockt werden. Jedenfalls zeigen das meine Versuche mit pcflank...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#29 Eigentlich kann man alle Listening ports von Windows ausschalten wenn man den dazugehörigen Dienst beendet ob Winrout dann noch funktioniert weiß ich aber nicht sicher
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#30 Geht alles
Bei mir ist, laut pcflank und KerioFW, kein "Windows-port" mehr offen, auch wenn ich FW und WinRoute deaktiviere.
So sollte es ja eigentlich auch sein...

Das einzig komische an KerioFW und WinRoute: Beide halten jeweils einen port offen (44333 u. 44334), die auch vom Internet aus sichtbar sind. :o
Möglicherweise zu Fern-Administrationszwecken, aber das ist bei mir jeweils deaktiviert...
Allerdings werden auch die ports geblockt, wenn der Server "hinter" WR läuft.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?