Sicherheit von DSL ?!?

  • Themenstarter Themenstarter bkimme
  • Beginndatum Beginndatum
B

bkimme

Guest
Hallo zusammen, vieleicht kann mir von euch einer helfen! D.H. bestimmt kann das einer, wenn man sich anschaut, was hier alles abgehandelt wird. :D

Also, bei mir im Geschäft habe wir eine Standleitung (LAN --> Cisco Router ----> Zentrale Niederlassung ---> Firewall ----> Internet) diese ist derzeit nur leider sehr langsam. Deshalb überlegen wir gerade eine Lösung über DSL zu nutzen.

Da ich dann direkt aus dem LAN ins INet geh wollt ich mal fragen, wie es da mit der Sicherheit ausschaut! ich mein, das DSL Modem hat ja keine eigene IP.

Was ist zu beachten, um dies sicher zu machen (genutzt werden sollen ftp, http und ganz evtl. VPN).

Mein PC-Händler sagte mir was von DSL-Routern von SMC, die scheinbar ne Firewall eingebaut haben.

Ich weiß jetzt schon, daß ich wieder ne menge Postings von euch bekommen werde. Freu mich schon auf ein paar Lektionen! ;-) nur her damit!

Gruß
Björn ;)
 
Es gibt nicht wirklich nen Sicherheitsunterschied, wenn du wieder eine Firewall zwischen das lan und das Internet hängst, da diene Daten dann auch erst die Firewall passieren müssen, so wie vorher:

lan -> (router) -> firewall -> internet

und zur statischen ip: die müsste denke ich auch noch Vorteile bringen, da du nicht immer unter der selben Addresse erreichbar bist, was auch einen gewissen Schutz mit sich bringt.....
 
und zur statischen ip: die müsste denke ich auch noch Vorteile bringen, da du nicht immer unter der selben Addresse erreichbar bist,
Zum Vergrößern anklicken....
Müsste das dann nicht eine dynamische IP sein, eine statische is immer gleich. Sofern man sich nicht über einen Dients wie z.B. Dyndns.org einen statischen Namen zulegt bringt´s einen gewissen Schutz mit sich, aber überschätzen würd ich´s auch nicht.

Wenn du einen günstigen Router suchst empfehle ich dir den RT314 von Netgear (benutze ihn selber, ist ein relativ zuverlässiges Gerät, braucht aber neueste Firmware für einige Sachen), er wird zwar nicht mehr produziert, ist aber dennoch in den Geschäften vorhanden.

mfg
Noob
Wenn´s den nimmer gibt würd ich den FV318 nehmen, er ist der "grosse Bruder" des RT314, er unterstützt schon wesentlich mehr Sachen und hat auf eine eingebaute Firewall (für 20 User). Er beherrscht auch NAT, Port-Forwarding (für den ftp und Http Server im LAN), hat Packetfilter und ist auch ein VPN Endpunkt. Ausserdem hat er auch gleich einen 8-Port Switch "onboard".
Viele SMC und auch andere Router haben eine Firewall integriert, wie genau das allerdings zu verstehen ist, weiss ich nicht so genau. Sind das Packetfilter oder eine Firewall die auch Packetinhalte prüft? Eigentlich ist eine Firewall ja auch nur ein Packetfilter oder? ?(
 
@niedriger noob
Eigentlich ist eine Firewall ja auch nur ein Packetfilter oder?
Zum Vergrößern anklicken....

Nein. Ein Firewall-System ist nicht ein Produkt, das gekauft werden kann und automatisch Sicherheit gewährleistet, sondern eine Sicherheitspolitik dass auf einem Security Management aufbaut welches manigfaltige Aspekte berücksichtigen muss. :D


Viele SMC und auch andere Router haben eine Firewall integriert
Zum Vergrößern anklicken....
Dies sind zumeist "Paket Filter". Ein "Application Gateway" benötigt eine etwas andere Hardware.


@bkimme
Da ich dann direkt aus dem LAN ins INet geh wollt ich mal fragen, wie es da mit der Sicherheit ausschaut! ich mein, das DSL Modem hat ja keine eigene IP.
Zum Vergrößern anklicken....

Du bekommst die IP vom Provider zugewiesen. Sinnvoll wäre der Einsatz eines DSL-Router mit integriertem Paket Filter und NAT.


Was ist zu beachten, um dies sicher zu machen
Zum Vergrößern anklicken....
Sehr viel. Siehe oben meine Antwort an 'niedriger noob'
 
Hallo,

auch ich möchte hier noch ein paar Anmerkungen machen:

Natürlich ist es möglich, ein LAN direkt mit dem DSL-Modem zu verbinden. Ich würde dies schon bei meinem privaten LAN nicht tun. Wer dies im Umfeld einer Firma tut, gehört bestraft. Man lässt ja auch die Türen der Firma nicht einfach offen.

Ich weiss natürlich nicht, wie gross die Firma von bkimme ist. Der Anschluss des Firmen-LAN an das Internet kann wie folgt sicher erfolgen:

Man benötigt zunächst einen DSL-Router. Dies kann u.U. ein schon etwas betagter Rechner sein, der über zwei Netzwerkkarten verfügt. Eine Karte wird mit dem DSL-Modem und eine mit dem LAN verbunden. Als Betriebssystem kann man Linux einsetzen. Es gibt inzwischen schon diverse Routerprojekte. Wirklich einfach zu konfigurieren ist der Router fli4l. Die gesamte Software kann hier heruntergeladen werden: www.fli4l.de. Dazu gibt es auch noch eine gute Dokumentation. Ein Packet-Filter ist auch noch mit dabei. Es ist aber auch denkbar, dass man einen fertigen DSL-Router kauft (wurde schon in einem vorherigen Beitrag angeregt). Häufig sind auch auf diesen Router Packet-Filter implementiert.

Sollte dies nicht der Fall sein, so muss zwischen dem LAN und dem DSL-Router mindestens ein Packet-Filter installiert werden. Verbessern kann man den Schutz noch, sofern man zwischen dem LAN und dem Packet-Filter ein Aplikationlevel-Gateway einfügt. Um das Applikationslevel-Gateway auch noch vor Angriffen von innen zu schützen, wir zwischen dem LAN und dem Applikationlevel-Gateway nochmal ein Packetfilter eingesetzt. Man kommt dann zu folgendem Aufbau:
LAN-> Packetfilter->Applikationslevel-Gateway->Packetfilter-> Internet. Das Netzsegment zwischen den beiden Packetfiltern wird dann auch als demilitarisierte Zone bezeichnet.

Soweit zum technischen Aufbau. Solch ein System bringt aber nichts, sofern es nicht auf einer umfassenden Sicherheitspolitik aufbaut. Insbesondere müssen die Logs regelmäßig überprüft werden. Auch ist festzulegen, wer die Systeme administrieren darf und wie mit neuen Verbindungswünschen umzugehen ist.

Ich habe hierzu auch noch ein bisschen was zum Lesen gefunden:
http://www.bsi.bund.de/literat/studien/firewall/fwstud.htm
http://www.bsi.bund.de/literat/doc/linux/pfl_030.htm
http://www.bsi.bund.de/fachthem/sinet/index.htm

So, jetzt solls aber genug sein.

Gruss
thobie
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben