Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall ALLOW-ALL

Mitglied: 111784

111784 (Level 1)

29.01.2014 um 19:16 Uhr, 1907 Aufrufe, 18 Kommentare, 1 Danke

Hallo zusammen,

spricht etwas in einem sehr einfach gehaltenem Netz - 3 PCs - etwas gegen dieses Firewall Konzept?

- Von außen kommt niemand ohne Port-forwarding auf Ports die von innen erreichbar sind, z.B. Server 443

- Wenn ich ein Port-forwarding einrichte, muss ich dies an einer stelle machen und nicht noch zusätzlich in der Firewall

Ich habe hier einen LANCOM Router 1821+. Dieser ist default schon so konfiguriert.

Ebenso wenn ich ein VPN einrichte.
Ich sehe noch nicht so richtig, wieso ich alles sperren sollte und anschließen einzelne Ports/Protokolle wieder freigeben soll.

Ohne Port-forwarding kommt ja schließlich so schon keiner in mein LAN.

Vielleicht könnt Ihr mir kurz die Augen öffnen.
Mitglied: certifiedit.net
29.01.2014 um 19:17 Uhr
Mit allow all ist die Frage: Warum nicht eine einfache FritzBox? Sorry, aber...kurzgedacht.
Bitte warten ..
Mitglied: 111784
29.01.2014, aktualisiert um 19:27 Uhr
Naja..

Primär zwecks VPN.

Da wird es dann ggf. eine Regel geben, die den Zugriff vom zweiten LAN (VPN) auf die Firewall blockt.
Ich denke nicht, dass das mit einer FirtzBox möglich ist.

Nur was bringt es mir, wenn ich deny all sage und dann anschließend wieder alles öffne, wie z.B. von LAN ins WAN
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 19:29 Uhr
Dann mach es bitte ordentlich. Es gibt schon genug Netze mit any-any Verschnitt.

Abgesehen davon, willst du wirklich alles vom LAN ins WAN lassen? Ich nicht.
Bitte warten ..
Mitglied: 111784
29.01.2014, aktualisiert um 19:35 Uhr
Und was soll da passieren wenn das LAN mit any ins WAN kann.

Wenn bei uns 1 Server und 2 PCs stehen dann sieht das ungefähr so aus:

Deny all
open SMTP -> WAN
open HTTP -> WAN
open HTTPS -> WAN
open FTP -> WAN
etc...

sehe da keinen wirklichen Verschnitt
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 19:36 Uhr
Das ist aber kein allow all. Was dürfen die Leute denn noch mehr?
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:42 Uhr
Die sollen alles dürfen.

Vom LAN auf den Server
Vom LAN auf den Router
Vom LAN ins Internet

Einfach alles, keine Einschränkungen
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014, aktualisiert um 19:43 Uhr
Warum fragst du dann hier, wenn die sowieso "alles" dürfen inkl. diverse Botserver über ausgehend Port 13344 anzapfen.

LG
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:49 Uhr
Genau der Gedanke hat mir irgendwie gefehlt.

Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine Chance.

Klar Wald <-> Baum und so.

Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014, aktualisiert um 19:51 Uhr
Zitat von 111784:

Genau der Gedanke hat mir irgendwie gefehlt.

Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine
Chance.

Klar Wald <-> Baum und so.

Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?

Darf ich dich mal Fragen, wofür du sonst Firewalls einsetzt?

Nun, Kunden ohne Server gibt es nur im privaten, denen eine Firewall anzudrehen ist, wie deinen Lancom mit any any zu betreiben. I.d.R verantwortungslos.
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:51 Uhr
Für stabile VPN Site to Site Verbindungen
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:54 Uhr
Es gibt garantiert genügend "Firmen" mit 1-2 PCs die keinen Server haben.
Und genauso werden die auch nur eine Fritz!Box haben.

Zahnärzte zum Beispiel
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 19:56 Uhr
Zitat von 111784:

Für stabile VPN Site to Site Verbindungen

Da kannst du auch ne Fritte nehmen, wofür brauchen die denn Ihre VPN?
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:59 Uhr
Das sind kleine außenzentralen die über das VPN Ihre ausgedrucken Packzettel bekommen
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 20:01 Uhr
Zitat von 111784:

Das sind kleine außenzentralen die über das VPN Ihre ausgedrucken Packzettel bekommen

Gut, und was hast du auf der anderen Seite?
Bitte warten ..
Mitglied: Arch-Stanton
29.01.2014 um 21:13 Uhr
Spätestens wenn Du eine zweite WAN-Leitung in Betrieb nehmen willst, dann ist das deny-all Konzept zwingend, Stichwort policy based routing. Hast Du Dir schon einmal die vorgefertigten Scripte für deny all auf der Lancom-Seite angeschaut?

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Dani
29.01.2014 um 21:21 Uhr
Moin,
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.

Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet. Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl. Mailserver der Spam verschicken kann und es merkt keiner.


Grüße
Dani
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 21:29 Uhr
Zitat von Dani:

Moin,
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast
Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.

Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet.
Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl.
Mailserver der Spam verschicken kann und es merkt keiner.


Grüße
Dani

Treiben wir es auf die Spitze, stell dir vor, auf einem der Rechner der Zahnärzte ist ein kleiner Mailserver, der fein die "Kundendaten" in die Welt streut. Da ist der ZA ganz schnell seinen 1950er BMW nebst dem aktuellen x6 los..jetzt rat mal, wo er die (zu Recht) wieder holt? ;)
Bitte warten ..
Mitglied: 108012
30.01.2014 um 09:30 Uhr
Hallo,

Und was soll da passieren wenn das LAN mit any ins WAN kann.
Das sich ein PC über eine Webseite infiziert und dann "Dein"
Netzwerk gar nicht mehr Dein Netzwerk ist!

Ich würde ein DMZ einrichten wollen und dort den Server
hinein "stellen" wo auch Ports vorne geöffnet werden die auf
den Server zeigen und die PCs sind dann eben im LAN.

Danach würde ich alles unterbinden was rein will ins LAN und
nicht von innen angefordert wurde.

Und dann würde ich Sachen freigeben die nach außen wollen
und das auch dürfen.

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Firewall

Hardware Firewall für den Heimgebrauch an All IP

Frage von SMoller02Firewall4 Kommentare

Ich wünsche einen Wunderschönen guten Nabend allerseits. Da ich im Fernstudium gerade auch in Richtung Firewall und Sicherheit komme ...

Netzwerke

ALL-IN-ONE: Firewall, PBX und Co. auf einer Hardware?

Frage von Looser27Netzwerke8 Kommentare

Moin zusammen, ich will für mein Heimnetzwerk die olle Fritzbox ablösen. Da ich aber nicht unzählige Geräte stattdessen aufbauen ...

Linux Netzwerk

Ubuntu squid https allow

Frage von Florian86Linux Netzwerk3 Kommentare

Hallo, ich habe folgendes Problem mit unseren Proxy. Wenn ich an den Clients den Proxy im IE eintrage muss ...

Off Topic

Systemadministrator Gehalt und All-in Verträge

Frage von samet22Off Topic10 Kommentare

Hallo Leute wollte euch fragen was ihr zu meiner Situation sagt. Ich arbeite seit 4 Jahren als Systemadministrator und ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 6 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 6 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Viren und Trojaner
Neue Avira Management Console Egosecure
Information von OSelbeck vor 1 TagViren und Trojaner1 Kommentar

Hallöchen zusammen, ich weiß nicht, wer von euch noch Avira einsetzt Wir haben ein paar Kunden Avira hatte ja ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
Frage von YellowcakeExchange Server15 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server12 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...