[HaBo]

IsNull

Anzeige

Hallo,

Ich überlege mir gerade für das Heimnetz (welches langsam zu einem Kleinbüro mutiert) eine Hardware-firewall zuzulegen. Bisher ging ich davon aus, dass eine NAT-Firewall, welche ja im Router integriert ist, absolut ausreichend ist. Wie dem auch sei, beim stöbern nach Infos bin ich auch hier im Habo-Wiki gelandet und habe folgende, für mich unverständliche, Stelle gefunden.

Evtl. deute ich den Sinn ja falsch, aber ein NAT Router schützt das Intranet ja, in dem er sich sichtbar zwischen das LAN und WAN hängt. Also ein riesiger Sicherheitsgewinn, da man als Angreifer keinen* Kontakt zu dem LAN aufbauen kann. Somit auch keine Dienste auf den PCs angreifen.

Ich glaube es gibt hier ein Definitionsproblem (auf meiner Seite!?): Denn dies trift ja wohl für eine NAT-Firewall überhaupt nicht zu.

Hoffe jemand kann mir das kurz erläutern...


*ja, klar gibt es techniken um sich durch die Firewall zu schummeln

brain21

NAT != Firewall

NAT beschreibt nur ein Technik um "Adressinformationen in Datenpaketen durch andere zu ersetzen" [1] und hat zunächst garnichts mit Firewalls zu tun.

Vollkommen richtig :-) Wenn das NAT-Gerät eine Firewall hat, trifft dies überhaupt nicht zu.

Ich kann z.B. bei meinen Router, der Firewall-Funktionen beinhaltet, diese auch ausstellen (exposed Host); dann ist mein Rechner so verwundbar, alsob er direkt mit dem Internet verbunden wäre, obwohl ich dann immernoch über einem NAT-Router mit dem Internet verbunden bin.

[1] http://de.wikipedia.org/wiki/Network...ss_Translation

NeonZero

@IsNull: Das, was der DSL-Router macht, ist nicht static NAT, sondern PAT (auch ?dynamic NAT?, ?IP-? oder ?NAT-Masquerading? bzw. ?hiding NAT? genannt). Dein obiger Link bezieht sich aber auf _static_ NAT.

@brain21: Deine Aussage ?NAT != Firewall? trifft jedenfalls auf static NAT, nicht jedoch auf dynamic NAT zu; im letzteren Fall ist das wenigstens Ansichtssache. Siehe dazu auch den Beitrag im unserem Wiki: ?Handelt es sich bei einem DSL-Router wirklich um eine Firewall??

Der von Dir erwähnte exposed Host (welcher manchmal auch ?Standardserver?, ?exposed DMZ? oder fälschlicher Weise auch kurz ?DMZ? genannt wird) schaltet übrigens den DSL-Router für _diesen_einen_Rechner in den _statischen_ NAT-Modus. Er leitet also alle seine externen Ports ungefiltert zu diesen internen Rechner (abgesehen von der eigenen Dynamic-Port-Range, welche der DSL-Router für die Zugriffsverwaltung der anderen internen Rechner benötigt; je nach Hersteller betrifft das meist die Ports zwischen 10.000 bis 20.000).

Bye, nz

Nachtrag @IsNull: Für eine Entscheidungsfindung, ob Dir wohl der DSL-Router genügt, oder aber ein professionelleres Modell gefragt ist, kann ich Dir auch den Abschnitt Sicherhietstechnische Mängel der DSL-Rouer empfehlen.

IsNull

Danke, ich glaube jetzt habe ich die Begriffe kapiert:


(static) NAT != Firewall (da sämtliche Anfragen 1:1 durchgereicht werden)
(dynamic NAT) PAT = Firewall (oder was in die Richtung, SPI usw. hat man dann natürlich noch nicht)


Das mögliche Problem wäre also:

...ein von anfang an als static NAT eingestellter Router oder...
...automatisches IP forwarding ...
..aktivierte Triger-Ports.


Ich denke diese "Gefahren" kann ich bei meinem Router ausschliessen. Desweitern werden auch manuell keine Ports geöffnet da keine Dienste von aussen erreichbar sein müssen. Was also bleibt, sind die normalen http/ftp/smtp/pop Datenverbindungen, die von innen nach aussen geöffnet werden. Der eingehende Internetverkehr könnte man untersuchen.

Anscheinend gibt es auch Hardware Firewalls, welche mit Hilfe von SPI den Datenverkehr auf Viren untersuchen. Interessant wäre, ob sich eine "bessere" Hardware FIrewall (Zywall) sich gegen solche Attacken hier: http://wiki.hackerboard.de/index.php...Firewallrouter (besser) schützen kann als ein normales PAT. Durch SPI sollte dies ja zumindest möglich sein.

Aufbau wäre dann folgender:

WAN <--> PAT-Router <--> Application Level Firewall (SPI [Virenscanner usw]) <--> LAN

Naja, komischerweise kommen viele Zyxel Router mit integrierter Firewall auch gleich mit Virenfilter daher, aber die bezahlbaren Zywalls haben meist keinen Virenscanner. Und gerade hier sehe ich den grössten Sinn für unser Netz...

Gruss
IsNull

NeonZero

Stateful Packet Inspection (SPI) hat zunächst einmal nichts mit einem Virencheck zu tun. SPI ist ein technisches Verfahren, was die Firewall in die Lage versetzt, auch noch nach einem Verbindungsaufbau zu erkennen, ob und wann der interne Client mit dem exteren Zielsystem kommuniziert. Eine solche Firewall lässt nur dann Antworten darauf zu. Sendet das Zielsystem also Daten, die von dem internen Client nicht angefordert wurden, so blockiert die Firewall den Transfer selbst bei bestehender Verbindung zwischen dem Client und Zielsytem. Das unterscheidet eine SPI-Firewall massiv von einem gewöhnlichen Paketfilter.

Ja und nein. Zunächst einmal hilft SPI hierbei nichts, da bei der genannten Attacke die Verbindung von innen angefordert wird. Allerdings muss der interne Code dahingehend angepasst sein, dass er die externe Kommunikation durch regelmäßiges Pollen permanent möglich macht. Oder aber der externe Server muss in regelmäßigen Abständen Anfragen an den PC senden, die irgendeine Antwort provoziert, und dabei hoffen, den Intervall nicht zu unterschreiten.

Helfen tut hier aber ein guter FTP-Filter, der eine solche Attacke erkennt und unterbindet. Auf einem gewöhnlichen DSL-Router wirst Du ihn vermutlich nicht finden (die Philosophie der Hersteller ist einfach eine andere), wohl aber auf einem professionellen Gerät. Zudem kannst Du auf einem solchen Gerät in der Regel den Dienst für _aktives_ FTP deaktivieren, was diese Attacke ebenfalls unterbindet. Der durchschnittliche DSL-Router lässt so etwas in der Regel nicht zu ? es sei denn, er lässt sich mit einem vernünftigen System bespielen, das wenigstens eine Konsole für sein Betriebssystem beinhaltet (meist Linux).

Bye, nz