Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall ALLOW-ALL

Frage Sicherheit Firewall

Mitglied: 111784

111784 (Level 1)

29.01.2014 um 19:16 Uhr, 1847 Aufrufe, 18 Kommentare, 1 Danke

Hallo zusammen,

spricht etwas in einem sehr einfach gehaltenem Netz - 3 PCs - etwas gegen dieses Firewall Konzept?

- Von außen kommt niemand ohne Port-forwarding auf Ports die von innen erreichbar sind, z.B. Server 443

- Wenn ich ein Port-forwarding einrichte, muss ich dies an einer stelle machen und nicht noch zusätzlich in der Firewall

Ich habe hier einen LANCOM Router 1821+. Dieser ist default schon so konfiguriert.

Ebenso wenn ich ein VPN einrichte.
Ich sehe noch nicht so richtig, wieso ich alles sperren sollte und anschließen einzelne Ports/Protokolle wieder freigeben soll.

Ohne Port-forwarding kommt ja schließlich so schon keiner in mein LAN.

Vielleicht könnt Ihr mir kurz die Augen öffnen.
Mitglied: certifiedit.net
29.01.2014 um 19:17 Uhr
Mit allow all ist die Frage: Warum nicht eine einfache FritzBox? Sorry, aber...kurzgedacht.
Bitte warten ..
Mitglied: 111784
29.01.2014, aktualisiert um 19:27 Uhr
Naja..

Primär zwecks VPN.

Da wird es dann ggf. eine Regel geben, die den Zugriff vom zweiten LAN (VPN) auf die Firewall blockt.
Ich denke nicht, dass das mit einer FirtzBox möglich ist.

Nur was bringt es mir, wenn ich deny all sage und dann anschließend wieder alles öffne, wie z.B. von LAN ins WAN
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 19:29 Uhr
Dann mach es bitte ordentlich. Es gibt schon genug Netze mit any-any Verschnitt.

Abgesehen davon, willst du wirklich alles vom LAN ins WAN lassen? Ich nicht.
Bitte warten ..
Mitglied: 111784
29.01.2014, aktualisiert um 19:35 Uhr
Und was soll da passieren wenn das LAN mit any ins WAN kann.

Wenn bei uns 1 Server und 2 PCs stehen dann sieht das ungefähr so aus:

Deny all
open SMTP -> WAN
open HTTP -> WAN
open HTTPS -> WAN
open FTP -> WAN
etc...

sehe da keinen wirklichen Verschnitt
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 19:36 Uhr
Das ist aber kein allow all. Was dürfen die Leute denn noch mehr?
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:42 Uhr
Die sollen alles dürfen.

Vom LAN auf den Server
Vom LAN auf den Router
Vom LAN ins Internet

Einfach alles, keine Einschränkungen
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014, aktualisiert um 19:43 Uhr
Warum fragst du dann hier, wenn die sowieso "alles" dürfen inkl. diverse Botserver über ausgehend Port 13344 anzapfen.

LG
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:49 Uhr
Genau der Gedanke hat mir irgendwie gefehlt.

Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine Chance.

Klar Wald <-> Baum und so.

Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014, aktualisiert um 19:51 Uhr
Zitat von 111784:

Genau der Gedanke hat mir irgendwie gefehlt.

Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine
Chance.

Klar Wald <-> Baum und so.

Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?

Darf ich dich mal Fragen, wofür du sonst Firewalls einsetzt?

Nun, Kunden ohne Server gibt es nur im privaten, denen eine Firewall anzudrehen ist, wie deinen Lancom mit any any zu betreiben. I.d.R verantwortungslos.
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:51 Uhr
Für stabile VPN Site to Site Verbindungen
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:54 Uhr
Es gibt garantiert genügend "Firmen" mit 1-2 PCs die keinen Server haben.
Und genauso werden die auch nur eine Fritz!Box haben.

Zahnärzte zum Beispiel
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 19:56 Uhr
Zitat von 111784:

Für stabile VPN Site to Site Verbindungen

Da kannst du auch ne Fritte nehmen, wofür brauchen die denn Ihre VPN?
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:59 Uhr
Das sind kleine außenzentralen die über das VPN Ihre ausgedrucken Packzettel bekommen
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 20:01 Uhr
Zitat von 111784:

Das sind kleine außenzentralen die über das VPN Ihre ausgedrucken Packzettel bekommen

Gut, und was hast du auf der anderen Seite?
Bitte warten ..
Mitglied: Arch-Stanton
29.01.2014 um 21:13 Uhr
Spätestens wenn Du eine zweite WAN-Leitung in Betrieb nehmen willst, dann ist das deny-all Konzept zwingend, Stichwort policy based routing. Hast Du Dir schon einmal die vorgefertigten Scripte für deny all auf der Lancom-Seite angeschaut?

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Dani
29.01.2014 um 21:21 Uhr
Moin,
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.

Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet. Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl. Mailserver der Spam verschicken kann und es merkt keiner.


Grüße
Dani
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 21:29 Uhr
Zitat von Dani:

Moin,
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast
Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.

Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet.
Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl.
Mailserver der Spam verschicken kann und es merkt keiner.


Grüße
Dani

Treiben wir es auf die Spitze, stell dir vor, auf einem der Rechner der Zahnärzte ist ein kleiner Mailserver, der fein die "Kundendaten" in die Welt streut. Da ist der ZA ganz schnell seinen 1950er BMW nebst dem aktuellen x6 los..jetzt rat mal, wo er die (zu Recht) wieder holt? ;)
Bitte warten ..
Mitglied: Dobby
30.01.2014 um 09:30 Uhr
Hallo,

Und was soll da passieren wenn das LAN mit any ins WAN kann.
Das sich ein PC über eine Webseite infiziert und dann "Dein"
Netzwerk gar nicht mehr Dein Netzwerk ist!

Ich würde ein DMZ einrichten wollen und dort den Server
hinein "stellen" wo auch Ports vorne geöffnet werden die auf
den Server zeigen und die PCs sind dann eben im LAN.

Danach würde ich alles unterbinden was rein will ins LAN und
nicht von innen angefordert wurde.

Und dann würde ich Sachen freigeben die nach außen wollen
und das auch dürfen.

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (7)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Firewall
Passende Firewall gesucht (7)

Frage von harald.schmidt zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (12)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...