ComputerBase Menü
Aktuelles

Firewall für Laien?

T

Toooby

Cadet 4th Year
Registriert
Feb. 2018
Beiträge
73
Hallo,
Als Ein-Mann Betrieb bin ich auf den Computer angewiesen. Auch wenn ich wirklich vorsichtig bin, habe ich mir schon Viren eingefangen, trotz Antivirus-Programm und einer Zyxel Zywall USG 20.
Nun möchte ich mein Synology NAS auch von aussen erreichen (z.b. für Mantis), aber die Einrichtung der Portweiterleitung etc. auf dem Firewall ist mir schlicht zu kompliziert - ausserdem ist die USG 20 schon sehr in die Jahre gekommen und bremst das Netz stark aus.
Frage: Gibts schnelle Firewalls, welche sich auch mit wenig Netzwerk-Kenntnissen konfigurieren lassen?
Oder, da mein Router (von Cablecom, in CH) ja eine (einfache) Firewall mit sich bringt und Win 10 zumindest eine Soft-FW hat, brauche ich überhaupt noch eine Hardware-Firewall? Das Heimnetzwerk wird auch von meiner Freundin sowie ab und zu ein paar anderen Leuten genutzt, auf diesen Computern können auch Viren sein. Nützt die FW hier etwas?
Danke vielmal!
 
Budget?

Nein, Firewalls "für Laien" gibt es leider nicht.

Gegen Viren schützt die FW auch nicht, schon gar nicht gegen solche, die sich schon drinnen befinden. Bestenfalls kann man diese noch vom "Nach-Hause-Telefonieren" abhalten. Mehr geht aber nicht.

Idealerweise würdest Du jemanden damit beauftragen, der sich damit auskennt und mit dem Du Dich zusammensetzen müßtest zwecks Anforderungen und existierender Problematik, was man ggfs. mit den vorhandenen Ressourcen umsetzen kann und wo Aufrüstbedarf besteht.
 
  • Gefällt mir
Reaktionen: up.whatever und K3ks
@RalphS: falsch. Du gehst von einer SPI oder Paket-Firewall aus. Was ist mit Application Layer Firewalls? Welche auch die Nutzdaten analysieren?

Ist dann aber nichts für zu Hause, jedenfalls muss man sich ein bisschen auskennen, alleine schon um die Ausnahmen zu bilden und SSL sauber abzufangen.
 
Und wenn Du mir jetzt noch verraten kannst, wie ein ALG gegen Bedrohungen von innen schützen soll?

Gut, mit viel Geraschel könnte die womöglich auch Viren erkennen, aber dann muß da auch explizit ein AV-Service auf dem ALG laufen. Ohne passiert da nichts. Das ginge dann auch eher Richtung Proxykonfiguration - im realtime-Datenstrom findet auch ein ALG keine Viren, wenn da nur komprimierte Daten vorbeilaufen; die müssen schon geladen und nach vollständigem Download per AV-Plugin extrahiert und gescannt werden.

Paßt aber auf dem vom TO genannten Anwendungsfall noch weniger als eine "normale" Firewall, kostet mehr und ist weniger performant, also mehr oder weniger exakt das, was der TO nicht möchte.
 
Na von innen gar nicht, deine Aussage war aber sehr allgemein gehalten.

Klar, ein ALG ist dann ein Proxy, alles läuft da durch. Die Performance ist in der heutigen Zeit kein Problem mehr. Es muss ja nicht gleich eine Sandbox sein.

Dass das für den TE nicht praktikabel ist, ist richtig.
Viel wichtiger wäre, Leute, auf deren Geräten Viren vermutet werden, konsequent rauszuhalten. Absolute Sicherheit gibt es nie, man muss es ja aber nicht so arg herausfordern.
 
Trenne einfach deine Netzwerke auf. Gäste/ Freundin sollten nicht im selben Netz unterwegs sein wie dein Arbeitsrechner. Einfach ein Gäste WLAN aufbauen und das Passwort für dein Arbeitsnetz niemanden anvertrauen. Ein anständige Fritzbox sollte es schon sein. Da wirst du im Netz auch genug Doku finden, wie sich so etwas reicht einfach konfigurieren lässt.
 
  • Gefällt mir
Reaktionen: rapanui, areiland, K3ks und eine weitere Person
Netze trennen ist der richtige Ansatz. Du kannst auch das Modem in den Bridge Mode setzen und dann zwei seperate Router anschliessen, dann musst du deinen Heimbereich nicht in ein Gäste-WLAN ausgliedern. Nimm dafür Router eines Herstellers, der auch regelmässig und lange Updates liefert (Asus, Synology, AVM) und update diese auch regelmässig (am besten automatisch).
 
  • Gefällt mir
Reaktionen: areiland
Tja dem muss ich RalphS leider grossteils zustimmen.

Ich habe mich ziemlich lange damit rum experimentiert, bis endlich mal etwas lief, und dann nochmal 3x mal so lange, bis es sinnvoll konfiguriert war.
Anfangs mit älterer Hardware und zwei Netzwerkkarten, auf der ich dann Endian installiert habe.
Danach Astaro UTM und pfSense.
Für private Zwecke bietet die Astaro (Sophos) UTM-Firewall eine gute Lösung im Application Layer Bereich und basiert auf Linux, hat jedoch einen gewissen Hunger nach Hardware.

Für Gäste einen separaten Anschluss mit eigenem Netz zu einem Wlan-AP ist nicht das dümmste.

Steht fast alles was man wissen muss im Internet. Zeit, Nerven und Geld musst du selbst mitbringen.
Halte dich am besten am die Hardwareempfehlungen bezüglich Server Netzwerkkarten von Intel (z.b. occasions Intel Gigabit ET). Als Plattform habe ich früher gerne die alten HP SFF Desktops benutzt, danach standen mit geringer Leistungsaufnahme und guter Erweiterbarkeit sowie genug Leistung die Atom C2000 auf dem Programm, jetzt in der Nachfolgegeneration Atom C3000.

Jeder wird seine eigenen Präferenzen haben, und es kennen sich hier sicher genug sonst noch damit aus.

PS: beim rumprobieren kann es mal vorkommen, dass du dich aus Unachtsamkeit selbst aussperrst... :rolleyes:

Grosszügige Hardware für Firewall (1/10Gbit FTTH-fähig theoretisch...)
fwhardwarechoice.jpg
 
Verbinde dein nas mit einem VPN, sowieso wäre ein VPN ein besserer Schutz als direkte portfreigabe mit Firewall.
 
Hmm.., danke für die ausführlichen Antworten. Allzu viel schlauer bin ich leider noch nicht. Vielleicht könnte ich eine Zyxel USG60 kaufen, ich wäre bereit, das Geld hinzuwerfen - und die Standard-Einstellungen verwenden, welche wohl schon recht vernünftig sind. So eine Firewall unterstützt ja auch VPN - und damit könnte ich dann das NAS verbinden. Mit Windows kenn ich mich recht gut aus, bei VPN weiss ich grade mal, was das heisst...
 
Grundsätzlich kommt die Sicherheit einer Hardware-Firewall nicht durch das Gerät an sich, sondern durch die Konfiguration. Während man bei einem 08/15 Router in der Firewall eigentlich gar keine Fehler machen kann, weil die Firewall gar nicht direkt erreichbar, sondern nur über einen Wizard in der GUI konfigurierbar ist, kann man bei einer dedizierten Firewall sehr wohl Fehler machen und sich Löcher ins Netzwerk reißen, in die ein A380 reinpassen würde, quer.

Nicht zuletzt besteht die Konfiguration einer Firewall auch nicht nur aus dem Blickwinkel der Sicherheit, sondern auch der Performance. Beispielsweise shortcuts für bestimmte connection states.

Toooby schrieb:
aber die Einrichtung der Portweiterleitung etc. auf dem Firewall ist mir schlicht zu kompliziert
Zum Vergrößern anklicken....
Das spricht schon Bände. Ja, auf einer Fritzbox gibt man nur externe/interne Ports und eine Ziel-IP ein, speichern, fertig. Aber das ist nur die halbe Wahrheit, weil es eben nur ein Wizard ist, der die eigentliche Portweiterleitung und die dazugehörige Ausnahme in der Firewall im Hintergrund automatisch hinzufügt. Bei einer Hardware-Firewall gibt es je nach Hersteller ebenso Wizards, die ganz ähnlich funktionieren, oder man muss die Weiterleitung (NAT/PAT) manuell einrichten und eben auch die passende Freischaltung in der Firewall vornehmen.

Deswegen muss man leider sagen: Firewalls und Laien sind daher nur schwierig miteinander vereinbar, weil ein Laie nicht mal den Begriff Firewall wirklich definieren kann, geschweige denn weiß wie sie funktioniert und mit anderen Komponenten zusammenspielt. Das ist bitte nicht als Vorwurf aufzunehmen, sondern einfach nur dem Umstand geschuldet, dass Otto Normal mit Fritzbox und Co nur mit ca. 2% der Materie in Berührung kommt, weil alles in Automatismen weggekapselt ist - damit der doofe Otto auch ja nix kaputtkonfigurieren kann ;)


Toooby schrieb:
ausserdem ist die USG 20 schon sehr in die Jahre gekommen und bremst das Netz stark aus.
Zum Vergrößern anklicken....
Und das heißt was genau? Was wie wo wird ausgebremst und wie stellst du das fest?


Toooby schrieb:
So eine Firewall unterstützt ja auch VPN - und damit könnte ich dann das NAS verbinden.
Zum Vergrößern anklicken....
VPN kann man auch über das Synology-NAS direkt realisieren, dazu braucht man keine HW-Firewall.
 
Hi Raijin, Danke dir. Leider kann ich auch schwer abschätzen, wieviel mir die Firewall überhaupt bringt. Der Ottonormalo hat ja keine FW zu Hause. Ich würde nicht mal merken, wenn jemand remote auf meinen Computer zugreift. Das klingt beschämend, doch da bin ich wohl nicht der Einzige. Auch wenn ich Software nur von grossen Herstellern wie M$, Adobe, Autodesk etc. und dazu Seiten wie Heise und Sourceforge runterlade, Mail-Anhänge nur von mir bekannten Personen öffne, dabei genau auf den Datei-Typ achte, habe ich mir schon Viren eingefangen. System und Treiber halte ich aktuell, Backups mache ich regelmässig.
Grade deshalb wäre mir zusätzliche Sicherheit etwas wert.
Bei der Zyxel USG 20 sehe ich, dass mit dieser die Netzwerk-Geschwindigkeit stark sinkt, übereinstimmende Infos finde ich auch im Netz. Bei einem neueren Zyxel USG gibts ja den "Easy mode". Ich dachte, dass ich damit leben kann.
Soll ich als Netzwerk-Dummy nun besser keine Firewall verwenden, oder soll ich eine mit Wizard für Dummies verwenden, oder soll ich einen Experten herbestellen, welchem ich dann aber auch nur vertrauen kann? Stellt dieser alle Ports auf Durchzug, hat er's ja am einfachsten...
 
Toooby schrieb:
Der Ottonormalo hat ja keine FW zu Hause.
Zum Vergrößern anklicken....
Doch, aber er weiß nix davon. In jedem Internetrouter ist eine Firewall integriert. Otto hat aber keinen Zugriff darauf, da sich die Firewall unterhalb der GUI befindet und nicht sichtbar und schon gar nicht bedienbar ist. Für jede Portweiterleitung - auch in einer Fritzbox - muss jedoch in der Firewall auch eine dazu passende Freigabe erfolgen. Die wird vollautomatisch von der GUI erstellt, wenn man bei Fritzbox und Co bei der Weiterleitung auf speichern klickt.

Wie auch immer, die integrierte Firewall eines Routers ist für Otto Normal auch vollkommen ausreichend. Sie blockt grundsätzlich sämtliche Kommunikation, die von außen initiiert wird - beispielsweise durch einen aktiven Angriff eines Skriptkiddies - und erlaubt eingehend nur die Antworten auf ausgehende Verbindungen. Nichts anderes würde auch eine sauber eingerichtete HW-Firewall tun, das ist gängige Praxis.

Natürlich hat man bei einer HW-Firewall mehr Möglichkeiten. Während man bei Fritzbox und Co beispielsweise maximal eine Portweiterleitung noch auf die Quell-IP einschränken kann (zB nur vom Büro aus erlaubt), kann man bei einer HW-Firewall deutlich mehr Möglichkeiten. Portknocking, rate limit und so weiter. Aber auch hier wieder: Wenn man keine Ahnung davon hat, bringt es nix, wenn die Firewall es kann, weil man nicht damit umzugehen weiß.


Firewalls sind aber auch kein Hexenwerk. Man muss das Konzept dahinter verstanden haben und dann ist auch eine HW-Firewall kein Geheimnis mehr.



Ich behaupte jedoch, dass du mit einem 08/15 genauso gut fährst wie mit einer Profi-Firewall. Wenn du dir laufend Viren einfängst, kann eine Firewall auch nur bedingt etwas dagegen tun. Die wirksamste Maßnahme gegen Vireninfektionen ist die Disziplin des Anwenders.
 
Okee.., wie zu Beginn geschrieben, ist im Router des Providers, über den das Internet ins Haus gelangt, eine Firewall eingebaut. Dann meinst du, die ist für mich ausreichend und eine zusätzliche Firewall bringt in meinem Fall nichts?
 
Du kannst die Connectbox doch auch im Bridge-Mode an einen etwas "besseren" Router klemmen
z.B. die Fritzbox 7590 erlaubt es dir neben dem Gast Wlan auch einen Gast-Lan-Port zu definieren, dann bleibt dein Firmennetz eben von Freunden und Familie getrennt
 
Toooby schrieb:
Dann meinst du, die ist für mich ausreichend und eine zusätzliche Firewall bringt in meinem Fall nichts?
Zum Vergrößern anklicken....
Wenn du mit der zusätzlichen Firewall nicht umzugehen weißt, nein. HW-Firewall kaufen, anstöpseln, sicher sein, so einfach ist das eben nicht ;)

Fremde Teilnehmer im Netzwerk sind natürlich immer ein unkalkulierbares Risiko. Deswegen bieten viele Router eine Gast-Funktion wie sie hier schon mehrfach angesprochen wurde.


Ein DIY erweitertes Firewall/Router-Szenario wurde hier ebenfalls schon vorgeschlagen:

{{{www}}}
|
(WAN- bzw. Modem-Port)
Internetrouter (LAN) --- (WAN) Subrouter1 (WLAN+LAN)--- Büro
(LAN)
|
(WAN)
Subrouter2 (WLAN+LAN) --- Familie
(GastWLAN+GastLAN)
|
Gäste

Bei diesem Setup agiert das Netzwerk des Internetrouters nur als Durchgangsnetz in Richtung Internet. Dadurch dass Subrouter1+2 via WAN-Port an diesem Netzwerk hängen, ist auch ihre integrierte Firewall aktiv und verhindert jeden Zugriff auf das dahinterliegende Netzwerk.
Subrouter2 isoliert wiederum mit der Gastfunktion die Familie von den Gästen, um auch hier für eine klare Trennung zu sorgen.
Für einen etwaigen Fernzugriff aus dem www auf das Büro, müsste man nun allerdings 2 Portweiterleitungen einrichten, eine im Internetrouter und im Anschluss daran noch eine in Subrouter1. Hierfür rate ich wie bereits mehrfach thematisiert wurde dringend zu einem VPN!


Mit einer HW-Firewall, die ausreichend viele LAN-Ports bietet (min. 4), kann man so ein Setup natürlich "simpler" gestalten im Sinne von übersichtlicher, aber nicht unbedingt einfacher in der Einrichtung.

{{{www}}}
|
(WAN)
Internetrouter
(LAN)
|
(LAN1 bzw WAN)
HW-Firewall (LAN2) --- Büro
(LAN3 / 4)
|
Familie / Gast
 
Raijin schrieb:
Deswegen muss man leider sagen: Firewalls und Laien sind daher nur schwierig miteinander vereinbar, weil ein Laie nicht mal den Begriff Firewall wirklich definieren kann, geschweige denn weiß wie sie funktioniert
Zum Vergrößern anklicken....

Dem stimme ich zu.
Eine Firewall ist Teil eines Konzepts. Ohne Konzept entspricht eine Firewall dem hier:
https://cdn.head-fi.org/a/730143.jpg
 
  • Gefällt mir
Reaktionen: Raijin
Hehe, das Bild ist nice ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Chibi88
Firewall für zu Hause - Palo Alto
Antworten
17
Aufrufe
2.548
Joe Dalton
Joe Dalton
VanessaN
Erster Gaming-PC für Laien
2 3
Antworten
58
Aufrufe
3.357
Maxysch
Maxysch
S
Firewall für "Self-made-Router" mit Linux, nftables-Firewall
Antworten
4
Aufrufe
1.227
SvenjaW
S
ItsAlive
Einfaches System Backup für Laien ?
2
Antworten
20
Aufrufe
2.116
ItsAlive
ItsAlive
E
Neue Abfrage der Firewall für Spiele?
Antworten
2
Aufrufe
539
arvan
arvan
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz