mikrocontroller.net

Forum: PC Hard- und Software Was nützt eine Hardwarefirewall im Router?


Autor: Routersammler (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hi,
wie "sinnvoll" ist eine Hardwarefirewall in einem externen router (für 
den DSL-Anschluß) - kann man da pauschal die Aussage treffen dass man 
damit auf alle Fälle besser/sicherer dran ist als ohne, oder nützt eine 
solche Firewall eher nichts?

Autor: Zwölf Mal Acht (hacky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ohne passende Konfiguration bringt eine firewall wenig.

Autor: Routersammler (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
wobei man ja eine Firewall im Router nicht sonderlich konfigurieren 
kann, oder?

Ich rede jetzt von den DSL-Routern die man von der Telekom bekommt, 
präzise gesagt von einem Speedport W701V

Ich habe in diesem Menü nie etwas geändert, es ist also alles so wie es 
die Telekom eingestellt hat. Ich glaube dann sind erstmal nur die 
Standardports offen (http, pop3, ftp...)

Autor: Icke (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Auf jeden Fall sinnvoller als Softfirewalls á la Zonealarm & Co, da sie 
nicht so einfach zu umgehen sind. In der Defaulteinstellung der meisten 
Router schützt sie zumindest vor dem Eindringen von außen. Die 
Einschränkung abgehender Verbindungen muß erst konfiguriert werden, 
soweit überhaupt möglich (bei Billigroutern meistens nicht).

Autor: Routersammler (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
okay,
ich merke schon, ich muss meine Frage präziser stellen, es gibt zuviele 
Faktoren die da rein spielen.

genau so einen "Billigrouter" habe ich - einen Speedport W701V.
die integrierte HW-FW blockt eigentlich alles von aussen ausser den 
Standardports 80, 21, ....

Was ich jetzt nicht weiß ist, ob an diesen Ports wirklich mal was 
ankommt, ob es Eindringversuche von aussen an nicht-Standardports gibt 
und ob eine solche Firewall angriffe wirklich sinnvoll abwehrt?

WENN es solche Eindringversuche geben sollte, wie sehen die dann aus, 
sind das einfache pings oder unmengen von Daten wo man versucht das 
System lahm zu legen oder oder oder...

Ich habe echt nicht viel Ahnung von der Materie und will mich damit 
jetzt einfach mal beschäftigen, ich merke aber dass mir dazu einfach 
noch ein paar Hintergrundinfos feheln :-(

Autor: Sven P. (haku) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Naja, solange die Firewall eingehende Packete (UDP, TCP-established) 
oder Verbindungen (TCP) sofort aussortiert, ist das der Sicherheit schon 
ziemlich dienlich.

Die Frage ist immer, was 'drinnen' los ist:
Wenn da z.B. ein Rechner läuft, etwa mit Unix, BSD, Apple oder sowas, 
dann kann man dort alle Serverdämonen abstellen und damit hat sichs. Wo 
nix lauscht, kann auch nix angegriffen werden (funktionierender 
'Netzwerktreiber' [...] vorausgesetzt).
Hat man da allerdings sowas wie Netzwerkdrucker, -kopierer oder sowas 
stehen, also Geräte, bei denen man nicht mit Sicherheit sagen kann, was 
wo lauscht, dann hält so eine Firewall eine ganze Menge zurück.

Prima Beispiel waren früher die ganzen Dienste unter Windows, die ab 
Standardkonfiguration aktiv waren, also Samba, Nachrichtendienst, RPC 
und so weiter, wobei grad letzterer (Remote Procedure Call) ja nicht 
gerade berühmt für Sicherheit war.
Den meisten Leute war garnicht bewusst, dass dort überhaupt etwas 
lauscht.


Recht sinnvoll ist es, einfach mal per SSH auf einen Rechner 'draußen' 
(Hochschul-Rechenzentrum etc.) zuzugreifen und von da mit nmap den 
eigenen DSL-Anschluss abklopfen zu lassen.

Autor: Zwölf Mal Acht (hacky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Man sollte Softwarefirewalls nicht gegen Hardwarefirewalls ausspielen, 
sie ergaenzen sich. Eine Softwarefirewall ueberwacht welche Programme 
Verbindung mit draussen aufnehmen.
Ein Router hat schon von Hause aus NAT und das muss man explizit oeffnen 
um von draussen reinzukommen. Sonst muss jede Verbindung von innen 
kommen.
Wobei man nur fuer Serverdienste oeffnet, so man sie denn anbietet.

Autor: Sven P. (haku) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wobei 'Softwarefirewall' eh Käse ist... auch der Router hat i.d.R. 'nur' 
ne Softwarefirewall.
Der Unterschied ist, dass diese freistehend ist, d.h. nicht auf einem 
möglicherweise kompromittierten System läuft.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
die Frage ist was du von einer Firewal erwartest.

Die Router verhindert zuverlässig das jemand von aussen auf deinen 
Computer zugreifen kann.
Da aber die meisten leute mittlerweile so ein Router haben, gibt es 
recht wenig angriffe die so ablaufen.

viel schlimmer sind die Angriffen die von "innen" kommen. Jedes Programm 
auf dem Computer kann daten nach außen übertragen. An der stelle hilft 
nur eine Personal-Firewall auf dem Computer. Aber sie bieten keinen 100% 
schutz an, weil sie immer irgendwie umgangen werden können.

Autor: Icke (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Auch bei Käse gibt es Hartkäse und Weichkäse -> Wortspalterei.

Beim 701V ist die Konfiguration der Firewall beschränkt möglich. Per 
Default sind alle eingehenden Verbindungen (auch 80, 21 usw.) gesperrt. 
Man kann sie durch Portweiterleitungen freigeben, macht aber nur Sinn, 
wenn du z.B. einen Webserver von außen zugänglich machen willst oder 
bestimmte Ports für Onlinegames oder ähnliches benötigt werden. Der 
Datenverkehr nach außen kann durch Filterfunktionen begrenzt werden, 
sowohl durch vor- als auch benutzerdefinierte Sperren (Menü 
Sicherheit-Filterfunktion).

Autor: Sven P. (haku) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
An der Stelle hilft auch eine vernüftige dedizierte Firewall. Nimmt man 
etwa iptables, so kann man mit den conntrack-Modulen auch noch in die 
Pakete reingucken.

Autor: Michael U. (amiga)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

Routersammler schrieb:
> genau so einen "Billigrouter" habe ich - einen Speedport W701V.
> die integrierte HW-FW blockt eigentlich alles von aussen ausser den
> Standardports 80, 21, ....
Sie blockt ALLES von Außen (Ausnahme sind eingebaute Löcher bei einigen 
Routern für Wartungs-/Updateports, die einge Hersteller incl. Telekom 
manchmal hinterlassen und nicht dokumentieren...)

> Was ich jetzt nicht weiß ist, ob an diesen Ports wirklich mal was
> ankommt, ob es Eindringversuche von aussen an nicht-Standardports gibt
> und ob eine solche Firewall angriffe wirklich sinnvoll abwehrt?
Die Teile sind recht zuverlässig dicht von Außen, mit sehr bösen 
Methoden war maximal ein Absturz des Routers zu erreichen, DLink614 und 
W500V, getestet von einem Bekannten mit geeigneten Tools...).
Zugriffe von Außen werden nur durch entsprechendes 
Portforwarding/virtueller Server per Einstellung im Router erlaubt.

> WENN es solche Eindringversuche geben sollte, wie sehen die dann aus,
> sind das einfache pings oder unmengen von Daten wo man versucht das
> System lahm zu legen oder oder oder...
Einige loggen das mit, die billigen meist nicht. Ping-Flood oder DDOS 
kann natürlich die Leitung komplett ausbremsen, ist mir noch nie 
passiert, warum sollte auch jemand eine dynamische IP angreifen wollen?

Gruß aus Berlin
Michael

Autor: Stephan Henning (stephan-)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ich halte es doch für wichtig zu erwähnen das es solche und solche 
Firewalls in Routern gibt. Denn nicht überall wo Firewall drauf steht 
ist auch SPI drin. Und nur eine SPI würde ich auch als Firwall 
bezeichnen.

Autor: ... ... (docean) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
https://www.grc.com/x/ne.dll?bh0bkyd2

ist ein ganz guter port scanner, damit kann man gut überprüfen ob der 
Router irgendeinen port gerade offen hat

Autor: min (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Eine Hardwarefirewall im Router bringt auf jeden Fall mehr als eine 
Windooffirewall. Die Frage ist jedoch inwieweit sich der Vertreiber des
Routers (Internetanbieter) sich das Recht rausnimmt, über die Firmware, 
die
Firewall selbst extern zu konfigurieren. Der Telekom würde ich in diesem 
Punkt jedenfalls nicht trauen.

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
min schrieb:
> Eine Hardwarefirewall im Router bringt auf jeden Fall mehr als eine
> Windooffirewall. Die Frage ist jedoch inwieweit sich der Vertreiber des
> Routers (Internetanbieter) sich das Recht rausnimmt, über die Firmware,
> die Firewall selbst extern zu konfigurieren. Der Telekom würde ich in
> diesem Punkt jedenfalls nicht trauen.

Gerade bei diesem Punkt würde ich mir keine Gedanken machen. Was sollte 
das bringen? Eher würde ich drauf achten das die Firewall nicht von 
innen automatisch (UPnP) aufgebohrt wird.

Autor: Michael U. (amiga)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

Reinhard S. schrieb:
> min schrieb:
>> Eine Hardwarefirewall im Router bringt auf jeden Fall mehr als eine
>> Windooffirewall. Die Frage ist jedoch inwieweit sich der Vertreiber des
>> Routers (Internetanbieter) sich das Recht rausnimmt, über die Firmware,
>> die Firewall selbst extern zu konfigurieren. Der Telekom würde ich in
>> diesem Punkt jedenfalls nicht trauen.
>
> Gerade bei diesem Punkt würde ich mir keine Gedanken machen. Was sollte
> das bringen? Eher würde ich drauf achten das die Firewall nicht von
> innen automatisch (UPnP) aufgebohrt wird.

Sehe ich nicht so. Ein von außen offener Port, der auf den Router 
zugreifen kann ist ein potenzielles Risiko wenn das Ziel nicht passend 
abgesichert ist.
Er ist ein echtes Risoko, wenn mir selbiger Zustand nichtmal von 
Hersteller bekannt gemacht wird und dann im I-Net bekannt wird. 
Irgendjemand kann sich da dann den "Spaß" machen, einen Bug in der 
Firmware zu suchen und zu nutzen.

UPnP ist da heut sicher auch ein Problem, allerdings hilft die 
Routerfirewall sowieso nciht dagegen, wenn ein Programm von Innen den 
Laden aufmacht...

Gruß aus Berlin
Michael

Autor: Gerry E. (micky01)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn Router mit Feuermauer auch nur einen einzigen Port ohne Zustimmung 
des Anwenders (besser Eigentümers) eingangsseitig offenhalten so ist das 
ein Skandal!
Gibt es dafür Beispiele? Würde mich mal interessieren.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Wenn Router mit Feuermauer auch nur einen einzigen Port ohne Zustimmung
> des Anwenders (besser Eigentümers) eingangsseitig offenhalten so ist das
> ein Skandal!
> Gibt es dafür Beispiele? Würde mich mal interessieren.
liest dir doch mal durch was UPNP ist. Es macht auch teilweise sinn. 
Dann kann z.b. eine Serverdienst extra einen Port anfordern der von 
aussen erreichbar ist. Willst du wirklich einem Anwender erklären was 
ein Portforwarding ist? Selbst wenn der Firewall alle Ports offen hat 
und an dem PC weiterreicht ist das meist auch kein Problem. Denn die 
Windowsfirewall ist seit XP SP2 genausso dicht wie die Firewall im 
Router.

Autor: Gerry E. (micky01)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
>> Wenn Router mit Feuermauer auch nur einen einzigen Port ohne Zustimmung
>> des Anwenders (besser Eigentümers) eingangsseitig offenhalten so ist das
>> ein Skandal!
>> Gibt es dafür Beispiele? Würde mich mal interessieren.

> liest dir doch mal durch was UPNP ist. Es macht auch teilweise sinn.
> Dann kann z.b. eine Serverdienst extra einen Port anfordern der von
> aussen erreichbar ist. Willst du wirklich einem Anwender erklären was
> ein Portforwarding ist? Selbst wenn der Firewall alle Ports offen hat
> und an dem PC weiterreicht ist das meist auch kein Problem. Denn die
> Windowsfirewall ist seit XP SP2 genausso dicht wie die Firewall im
> Router.

Darum geht es doch nicht, Peter.
Ich weiß sehrwohl was UPNP ist.

Ich wollte nur wissen welche Router nachweislich einen 
"undokumentierten" Fernwartungszugang besitzen. Asche auf mein Haupt 
wenn ich mich undeutlich ausgedrückt haben sollte.

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
undokumentiert vilt. nicht, aber die Speedport-Router haben i.d.R. eine 
autom. Updatefuntion.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
auch das ist Dokumentiert: http://de.wikipedia.org/wiki/TR-069

Autor: Arc Net (arc)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Gerry E. schrieb:
> Ich wollte nur wissen welche Router nachweislich einen
> "undokumentierten" Fernwartungszugang besitzen. Asche auf mein Haupt
> wenn ich mich undeutlich ausgedrückt haben sollte.

http://www.heise.de/netze/artikel/DSL-fernkonfigur...
Die Frage ist welche aktuellen DSL-Modems/Router-(Kombinationen) TR-069 
nicht unterstützen bzw. so vom ISP gebrandet sind, das man die autom. 
Updates noch abschalten kann...

Autor: Markus ---- (mrmccrash)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Aber selbst das Automatische Update, besser bekannt als TR.069, ist 
nicht nach aussen offen, sondern ein dienst, der regelmäßig den 
Konfigurationsserver des Betreibers pollt.

EDIT: Ach mist. Zu lange gewartet mit der Antwort...

_.-=: MFG :=-._

Autor: Gerry E. (micky01)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Danke, das mit dem TR-069 war mir bis jetzt unbekannt.
Machen die Fritz-Boxen das auch? Bei meiner 7150 musste ich die Updates 
immer selber veranlassen...

Autor: Markus ---- (mrmccrash)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die Fritz-Boxen können das auch, aber wenn du die nicht gerade bei einem 
Provider (1&1, Alice etc) gekauft hast, dürfte TR069 ausgeschalten sein.

o.g. Provider nutzen TR069 (meines Wissens nach) intensiv - bei 1u1 wird 
es zusammen mit dem "Startcode" verwendet, um die gesamte 
DSL/VoIP-Konfiguration vom Benutzer abzuschotten.

_.-=: MFG :=-._

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hersteller-Passworte ändern und Änderung notieren, könntE auch eine sehr 
nützliche Maßnahme sein...

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Markus ---- schrieb:
> Die Fritz-Boxen können das auch, aber wenn du die nicht gerade bei einem
> Provider (1&1, Alice etc) gekauft hast, dürfte TR069 ausgeschalten sein.
>
> o.g. Provider nutzen TR069 (meines Wissens nach) intensiv - bei 1u1 wird
> es zusammen mit dem "Startcode" verwendet, um die gesamte
> DSL/VoIP-Konfiguration vom Benutzer abzuschotten.

Die DTAG auch, zumindest konfigurieren sich die aktuellen Speedports 
auch ziemlich eigenständig.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.