staging.inyokaproject.org

Hallo,

Ich hoffe mal das ich hier richtig bin, sonst bitte verschieben 😉

Also, ich sitzt nun grad vor meiner Linuxkiste die per Wlan mit einem Wlan-Router verbunden ist. Der Router ist der Gigaset SE515 dsl. Mir ist ja schon klar, das Linux / Ubuntu schon per Default relativ sicher ist, nur würde ich gerne die Routerfirewall konfigurieren. Und außerdem hängen ja noch 2 Windowsrechner dran. Ich hab mir auch schon das Handbuch des Router angesehen, nur standen zum Thema Sicherheit kaum Hinweise was ich brauche und was nicht. Im Router kann ich folgendes auswählem:

• WAN Port Ping Reply

• IP-Paket-Filter
  Jetzt frag ich mich eben, ob ich beides aktivieren sollte, aber weiß nicht so recht was ich dann für Konsequenzen spüren könnte. Kann ich beides ohne Bedenken aktivieren? Das beides die Sicherheit der Rechner verstärkt ist schon klar, nur sollte ja alles so laufen wie bisher. Also www, http, ftp, emails und msg.

Danke schonmal für die Antworten.

Tropical

Moin Tropical,

wenn Dein Router Network_Address_Translation unterstützt, aktiviere bzw nutze es. Ob es etwas hilft, sei dahingestellt, aber Du bist zumindest für die sogenannten Script_Kiddies nicht sichtbar (Stichwort: Security_through_obscurity )

Ob Du angepingt werden möchtest, trägt eigentlich nicht zur (Un-)Sicherheit Deines Netzwerkes bei. Ping (Datenübertragung)

Ein Router sollte eigentlich von Haus aus nur von Dir angefragte Pakete durchlassen. Die Personal Firewalls sind in ihrer Wirkung umstritten. Sie können allerdings insofern nützlich sein, als dass man sie zum Überwachen von Software nutzen kann, die gerne nach Hause telefonieren will (z. B. Microsoft_Windows_XP –> Kritik).

Ich denke, mit Linux bist Du in jedem Fall schon mal auf der sehr sicheren Seite. Ein guter Router tut sein übriges dazu. Weiterhin sollte man überlegen, welche "lebensnotwendigen" Daten auf einem Rechner sind, dass sich jemand die Mühe macht, um auf/in selbigen zu kommen. Sind da irgendwelche Server oder Firmenrechner nicht viel interessanter?

Sorry, für die ganzen Wiki-Links, aber ich denke, das verschafft Dir erstmal einen gewissen Gesamtüberblick.

Nichts für ungut!

FLO

Danke für die Links 😉

Okay, das ich mit Linux schonmal wesentlich sicherer fahre als mit Windows ist mir klar. Aber 2 Andere hier bei uns im Haus denen ich Wlan eingerichtet habe, benutzen ja leider Gottes noch Windows, und ich kann sie nicht bekehren auf die gute Seite der Macht zu wechseln 😉

Deshalb wäre es ja für alle wunderbar, vor allem für die anderen 2. Ich werd mich da mal reinfitzen, auf jeden Fall schonmal danke.

Gude Tropical,

also auf meinen Windows-Systemen habe ich nur einen Antivirus (www.free-av.de) und ZoneAlarm laufen. ZA dient aber ausschliesslich zur Überwachung der Programme. Der Schutz des Netzwerkes obliegt dem Router (Linksys WRT54G). Da ich allerdings beruflich viel unterwegs bin und dann online im Hotel bin, überwacht ZA auch dort den Traffic und die Inbounds. Denn es erschreckt, wenn man über das hoteleigene Netzwerk mal einen Portscan macht und dann auf den meisten Rechnern ohne jegliche Anstrengung munter alles lesen/kopieren kann.

Mein Ziel ist Ubuntu eine Weile parallel laufen zu lassen - so lange, bis ich genau durchblicke. Dann fliegt Windows runter. Ich werde dann nur noch einen Zock-Computer haben, auf dem Windows läuft.

Bei Windows solltest Du darauf achten, dass Ihr Euch immer alle Security-Updates zieht. Desweiteren ist ein Virusscanner obligatorisch. Wenn Dein Router vernünftig eingestellt ist, brauchst Du an sich keine Firewall mehr. Siemens stellt eigentlich vernünftige Hardware her, so dass ich davon ausgehe, dass er nichts reinlassen sollte.

Regards,

FLO

Solange du dem LAN trauen kannst, ist eine Firewall (und ganz besonders eine Personall Firewall) komplett unnötig und wäre sogar zum Teil eine zusätzliche Schwachstelle. Hier wird darüber eifrig diskutiert. Ganz besonders lege ich dir die Beiträge von otzenpunk auf den Seiten 7/8 ans Herz.

Generell empfehle ich allen bei XP auf das SP2 zu setzen und dort den Paketfilter zu installieren. Dieser ist wirklich gut. Anwendungen am "Nachhause" telefonieren zu hindern ist übrigens Utopie. Wenn eine Anwendung ins Netz will, kann sie das. Es gibt zahlreiche Wege an PFWs vorbei...

Tschuess
Christoph

Gude Chris,

hundert Prozent Zustimmung! Im Hotel kann ich dem LAN nicht trauen. Dem Router wahrscheinlich schon, aber nicht den anderen Gästen dort...

Wen/was genau meinst Du mit dem Paketfilter? Habe ich da etwas verpasst?

FLO

Hallo Flo,

nein Du hast nichts verpasst. "Firewall" ist nur der Oberbegriff für eine Komponente die Kontrollmechanismen im Netzwerkverkehr ausübt. Der Paketfilter ist die unterste Stufe der Funktionalität, die im Konetxt des einzelnen Paketes prüft, ob Quell- und oder Zieladresse und Ports gem. dem Regelwerk duchgelassen oder blockiert werden. Viel mehr ist es nicht, was die WinXP SP2 Firewall tut, aber das tut sie wohl recht zuverlässig, und es ist viel mehr als gar kein Filter. Inwieweit sich MS selbst Hintertüren offen gelassen hat, ist natürlich immer wieder Gegenstand von Spekulationen, die mich aber nicht interessieren.

Zum Thema "Firewall" in einer inhaltlichen Übersicht empfehle ich (wenig überraschend): Firewall. Dort sind die Begriffe "Firewall", "Paketfilter" "Stateful Inspection" und andere gut abgegrenzt (wie ich finde).

Cheers
count-0

EDIT(OT): ich kämpfe noch mit der BBCode-Implementierung, sorry.

Gude count,

achso, ich dachte M$ hätte in das SP2 einen Paketfilter eingebaut, den ich noch nicht kenne. So hatte ich das verstanden. Mein Fehler!

Mit dem Windows-Zeug und dem Sichern von Netzwerken kenne ich mich ganz gut aus, was ich leider von Ubuntu/Linux noch nicht behaupten kann. Aber ich arbeite daran!

Danke Dir für die Aufklärung!

FLO

Nun okay, ich hoff mal ich hab nun ein paar Dinge etwas verstanden.

1. Um mein Ubuntu zu schützen, brauche ich gar nichts weiter tun, da die Firewall des Routers ja aktiv ist und der IP-Filter aktiviert ist. (Den ich nicht extra konfiguriert habe, aber ich denke das ist nicht weiter nötig). Außerdem hat Linux / Ubuntu keine Dienste per Default aktiviert, sodass nichts (fast nichts) nach außen / innen dringen kann.

2. Um die Windowskisten hinreichend zu sichern, reicht es aus, die Updates einzuspielen und den Virenscanner immer auf dem neuesten Stand zu halten. Und vor allem das die Benutzer der Rechner nicht Jeden Anhang öffnen und überall hinklicken, das ist klar. Was ich mich aber frage, ist die Sache mit der Personal Firewall. Hier gibt es scheinbar einige, die meinen sie wäre hilfreich, andere wiederum meinen Sie bringen nichts in Sachen Sicherheit und sind nur Schwachstellen da Software.

Richtig verstanden? 😉

Tropical[/i]

Gude Tropical,

(...) gegenüber einer externen Firewall bietet die Desktopfirewall zusätzliche Funktionalitäten, welche zwar nicht zum Firewallmodul gehören, jedoch fester Bestandteil vieler Desktopfirewalls geworden sind. Diese können unter anderem helfen, den Autostarteintrag einer Malware zu unterbinden und im günstigsten Fall den unerlaubten Netzwerkzugriff eines Programms zu erkennen oder gar zu verhindern. Fragwürdig wird das Konzept beider Firewallarten allerdings, wenn man deren Tücken und vor allem deren Grenzen nicht kennt, die in den Beiträgen über die externe Firewall und Desktopfirewall ausführlich behandelt werden. Quelle Hackerboard-Wiki

Wie gesagt: Dein Router sollte mehr als 99,99% des (incoming) Traffics filtern; so ist es bei mir. ZoneAlarm schlägt nur noch ab und an im Hotel an, das sind meist aber "unbedeutende" Warnungen. Sensibilisiere Deine anderen User auf "böse" Mails und/oder dubiose Seiten. Nicht alles anklicken –> Stichwort Pishing

FLO

Hallo Messias..äh..Tropical (sorry, konnt's mir nicht verkneifen 😉 ),
eigentlich sollte ich die Klappe halten, weil es andere bestimmt besser wissen, aber bevor dich aus Zeitmangel niemand warnt, setze ich doch lieber ein paar Zeilen ab:
@1: Deinen Router kenne ich nicht, kann Dich also nicht in Deinen Annahmen bestärken, und zu den Standardeinstellungen der Ubuntu-FW wissen andere hier deutlich mehr als ich.
@2: Ergänzend zu dem von Flo Geschriebenen, kann ich nur dringend raten, nicht mit einem Administratoraccount unter Windows im Netz herumzufuchteln. Es sei denn, um Windows-Updates einzuspielen. Selbst benutze ich auf Windows auch eine persönliche FW, aber ganz wohl ist mir dabei immer noch nicht, denn es ist closed source, den kein Spezi unersuchen könnte, und es gibt den unter Windows scheinbar allmächtigen svchost, dessen Pakete man wohl oder übel passieren lassen muss, wenn man überhaupt auf's Netz zugreifen will. Hingegen verlangen z. B. manche VPN-Tunnel-Clients unter Windows, dass eine Personal Firewall vorhanden ist, weil sie sich sonst weigern, auf einem Rechner zu arbeiten, der sonst offen mit dem Internet verbunden ist, womit die Gefahr bestünde, dass auch der Tunnel nach außen geöffnet wird.

Damit kann ich Dir leider auch kein Patentrezept geben.
Auf dass Deine Rechner gesund bleiben
count-0

Danke für die Antworten 😉

Naja, dann werde ich mich mal mit dem Router näher beschäftigen und eventuell Paketfilterregeln erstellen falls es notwendig ist. Ich persöhnlich habe mich ja von Windows komplett verabschiedet und darf nun alle paar tage entweder nach oben oder unten laufen weil wieder irgendwelche Viren auf den Windowskisten der anderen sind. Das mit dem eingeschränkten User fürs Internet habe ich denen zwar schon 100 mal gesagt, aber ist halt bequemer als Admin zu surfen.

Und dann wundern warum der Rechner nach 120 sek. runterfährt 😉

Tropical[/i]

Wenn dein Router Network Address Translation (NAT) durchführt - und das tut er 100%ig, wenn du keinen teuren Business-Anschluss mit mehreren festen IP-Adressen hast - dann brauchst du überhaupt nix dort filtern, außer du willst ausgehenden Verkehr reglementieren. Rein kommt dadurch genau gar nix, wenn du nicht extra Port-Forwarding eingerichtet hast.