ComputerBase Menü
Aktuelles

Heimnetzwerk mit Firewall hinter Router

M

mclovin01

Ensign
Registriert
Okt. 2007
Beiträge
179
Hallo.

Habe einiges vor, um mein Netzwerk zu Hause sicherer zu machen.
Ich habe einen Netzwerkplan angehängt. (Sorry für die Qualität, aber hatte gerade kein Visio zur Hand).

netg.jpg



Der Router hat ein intergriertes Modem und keine Firewall.
Die Firewall ist ein alter Rechner mit Linux.

Nun habe ich 2 Fragen.^:

1. Macht das überhaupt Sinn, hinter dem Router eine Firewall zu setzen?

2. Ist das, was sich zwischen Router und Firewall befindet, eine DMZ?

Wäre dankbar für gute Antworten.
Gruss
 
1. Software wird m0n0wall oder embcop. Wegen Konfiguration muss ich mich noch schlau machen.

2. Habe mir den Artikel bei wikipedia schon vorher durchgelesen. Wenn ich das aber richtig verstehe habe ich dann eine sogenannte dirty-dmz aufgebaut, richtig?

Habe noch eine weitere Frage. Angenommen ich habe einen alten PC als Server, auf dem ein Web- Ftp- und Filedienst laufen.. hänge ich den in die dirty-dmz oder bessers ins Lan hinter der Firewall?

Noch was, angenommen jemand verschafft sich Zugriff ins Netz zwischen Router und Firewall. Dann kann er theoretisch schon über meinen Provider surfen, da der Router selber ja nicht wirklich gut geschützt ist, richtig?
 
1. Macht das überhaupt Sinn, hinter dem Router eine Firewall zu setzen?

JA, denn sonst ist das gánze Heimnetz ungeschützt

2. Ist das, was sich zwischen Router und Firewall befindet, eine DMZ?

JA, da keine Firewall im Router

Mal im Ernst, was ist denn das für ein Router, der keine Firewall hat ?
Ist das noch ein Analogmodem ?
 
1. Macht das überhaupt Sinn, hinter dem Router eine Firewall zu setzen?

JA, denn sonst ist das gánze Heimnetz ungeschützt

2. Ist das, was sich zwischen Router und Firewall befindet, eine DMZ?

JA, da keine Firewall im Router

Mal im Ernst, was ist denn das für ein Router, der keine Firewall hat ?
Ist das noch ein Analogmodem ?
Zum Vergrößern anklicken....

Beides blösinn....

Was willst du denn mit der Firewall überhaupt erreichen? Dein Rechner ist durch die NAT Funktion deines Router ohnehin nicht direkt aus dem Internet zu erreichen. Welchen Sicherheitsgewinn versprichst du dir durch eine zusätzliche Firewall?

Das zwischen deinem Router und der Firewall wäre übrigens keine DMZ solange der Router keine Firewall bietet. In einer DMZ ist sowohl der Weg vom Internet in die DMZ, als auch von der DMZ ins interne Netz durch eine Firewall geschützt. Üblicherweise werden in einer DMZ aber auch öffentliche IPs genutzt denn nur dann macht dieses Konstrukt auch Sinn.
 
Beides blösinn....
Zum Vergrößern anklicken....
Du liegst falsch.
NAT schützt nur begrenzt, denn alle Ports sind offen, auch diejenigen die gefährlich werden.
Und wenn die PC-Dienste rumpalavern, dann hören im Inet viele Ohren zu und schwups gibts eine Verbindung von aussen nach innen. NAT ersetzt keinen Paketfilter.

In einer DMZ ist der Weg vom Internet in die DMZ durch eine Firewall geschützt.
Zum Vergrößern anklicken....
Bei SoHo-Routern ist die DMZ ist zum Inet offen und das LAN ist durch eine Firewall geschützt !
 
Du liegst falsch.
NAT schützt nur begrenzt, denn alle Ports sind offen, auch diejenigen die gefährlich werden.
Zum Vergrößern anklicken....

Welche Ports sind wohin offen und warum sind Ports denn "gefährlich"? Wenn ich keine Ports weiterleite ist von außen auch keiner offen, außer der Router hat selbst von außen erreichbare Ports.
Wenn ich hingegen alle Ports an einen Rechner im LAN weiterleite (Exposed Host und nicht wie bei vielen SoHO Routern DMZ genannt) ist dieser Schutz natürlich für die Füße, aber wenn ich einer Firewall alles erlaube genauso.

Bei SoHo-Routern ist die DMZ ist zum Inet offen und das LAN ist durch eine Firewall geschützt !
Zum Vergrößern anklicken....
Die meisten SoHO Router haben gar keine DMZ Funktion sondern lediglich die Möglichkeit einen Host zum Exposed Host zu machen indem alle Ports der DNAT auf ihn weitergeleitet werden. In einer klassischen DMZ ist ein Host sowohl ins Internet als auch ins lokale Netz durch eine Firewall reglementiert. Eine DMZ die auf einer Seite offen ist ist keine DMZ.
 
Würde mich eher der Sichtweise von Masamune2 anschliessen.

Wenn der Router NAT-Funktionalität bietet (und falls er dies unwahrscheinlicherweise nicht tun sollte, würde ich es eher als Modem mit integriertem Switch bezeichnen) - und wenn man keine Ports zu einem Rechner weiterleitet (normalerweise tut man das auch nicht), dann ist das eigentlich schon ein einigermassen solider Schutz.
'Ungefragte' schädliche Pakete von Aussen kommen dann nämlich nicht zu den Clients durch und sind somit ungefährlich.
Wenn du natürlich eine Schadsoftware bereits auf dem Rechner hast, die von innen nach aussen sendet, dann schauts wieder anders aus. Aber auch eine Firewall hilft dir dann normalerweise nicht mehr viel ;)

Lange Rede kurzer Sinn: Mir ist nicht klar, wozu du überhaupt eine 'Firewall' dazwischenschalten willst. Wenn der Router mit NAT arbeitet, hast du bereits in etwa den üblichen Schutz. Bei normaler Konfiguration wird das wohl durch eine Firewall auch nicht mehr wirklich sicherer.

EDIT:

Noch was, angenommen jemand verschafft sich Zugriff ins Netz zwischen Router und Firewall. Dann kann er theoretisch schon über meinen Provider surfen, da der Router selber ja nicht wirklich gut geschützt ist, richtig?
Zum Vergrößern anklicken....

Ja. Aber das muss dann PHYSISCHER Zugriff sein ;) D.h. er muss ein Kabel an deinem Router einstecken. Oder wie stellst du dir das vor?
Und wenn einer erstmal in der materiellen Welt an deinen Router rankommt, hat er ihn sowieso in der Hand.
(Falls du diese Möglichkeit tatsächlich für realistisch hältst, solltest du das erwähnen ^^)
 
Zuletzt bearbeitet: (Ergänzung)
Noch was, angenommen jemand verschafft sich Zugriff ins Netz zwischen Router und Firewall. Dann kann er theoretisch schon über meinen Provider surfen, da der Router selber ja nicht wirklich gut geschützt ist, richtig?
Zum Vergrößern anklicken....

Wie soll er sich denn diesen Zugriff verschaffen wenn keine Ports weitergeleitet sind? Wahrscheinlicher ist das dein Rechner direkt über irgendwelche Schwachstellen im Browser infiziert wird und da hilft eine Firewall natürlich auch nicht weiter.

Vielleicht solltest du von diesem Hollywood Klischee der "bösen Hacker die durch jede Firewall kommen" weg kommen. Eine Firewall anzugreifen ist Blödsinn da es viel leichter zu nutzende Schwachstellen gibt.
 
Und woher wollt ihr wissen, dass dieser "Router" NAT "beherrscht".

Vielleicht nennt der TE mal das Modell, denke eher dass dies nur ein Modem ist.

Btw: Gibt es Modemrouter ohne Firewall überhaupt ?
 
Wissen wir nicht... daher habe ich ja geschrieben "Wenn der Router NAT-Funktionalität bietet [...]"

Allerdings wäre es ziemlich unglücklich in diesem Zusammenhang von einem Router zu sprechen, wenn dieser kein NAT beherrscht.
 
Und woher wollt ihr wissen, dass dieser "Router" NAT "beherrscht".
Zum Vergrößern anklicken....

Weil ein Router der kein NAT beherrschen würde bedeuten würde, dass er in seinem Netzwerk öffentliche IP Adressen verwenden muss. Und das bekommt man heut zu Tage nicht mehr so ohne weiteres, selbst als Firma.

Btw: Gibt es Modemrouter ohne Firewall überhaupt ?
Zum Vergrößern anklicken....

"Modemrouter" ist schonmal ein blöder Begriff. Es gibt Modems (OSI Schicht 1), Switche (OSI Schicht 2) und Router (OSI Schicht 3) in der Regel findet man aber alle Funktionen in einem Gerät. Ob es Router ohne Firewall gibt kommt darauf an wie die Firewall definierst.
Ich würde es als Fähigkeit definieren Pakete anhand von Quelladresse, Zieladresse, Quellport und Zielport zu filtern. So gesehen hat nicht jeder Router ein Firewall, zumindest ist diese Funktion über das Management nicht erreichbar (unter der "Haube" hat es jeder).
 
Allmählich solltest Du eine andere Sprache benutzen, oder denkst Du immer andere sind blöd.

Der Begriff Modemrouter hat sich durchgesetzt für Router mit integriertem Modem schon seit ISDN, vielleicht nicht in Deinem erlauchten Kreisen.

Und unter Firewall versteht sich bei Routern im allgemeinen eine konfigurierbare und nicht die ominöse "NAT-Firewall"

Und gibt es jetzt einen Modemrouter ohne SPI-Firewall überhaupt ?
 
Mein aller erster Router (weiß nicht mehr was das für ein Modell war) hatte keine Firewall Funktionen (zumindest keine die in der Weboberfläche ersichtlich wären). Die Fritzbox hat bis heute keine Möglichkeit ohne telnet Zugang oder alternative Firmware Firewallregeln zu erstellen.... Also ja es gibt welche.

(Natürlich sind die Geräte theoretisch in der Lage Pakete zu filtern aber was bringt mir das wenn ich es nicht konfigurieren kann)

PS: Für einen Begriff der sich "durchgesetzt" hat gibt es für "Modemrouter" allerdings sehr wenige Google Treffer:
http://www.google.de/search?hl=de&s...=de&q="modemrouter"&btnG=Suche&meta=&aq=f&oq=
 
naja wenig ist wohl relativ, übrigens, man könnts ja auch auseinanderschreiben :)

lass mas
 
Weil ein Router der kein NAT beherrschen würde bedeuten würde, dass er in seinem Netzwerk öffentliche IP Adressen verwenden muss. Und das bekommt man heut zu Tage nicht mehr so ohne weiteres, selbst als Firma.
Zum Vergrößern anklicken....

Nicht dass ich nicht grundsätzlich deiner Meinung wär - aber hat man bei euch keine Chance auf mehrere öffentliche IPs?
Bei meinem Heimkabel-Anschluss würde das Modem (als DHCP-Relay) bis zu vier öffentliche IPs an meine Rechner verteilen, wenn ich anstelle des NAT-Routers nen Switch anhängen würde.
 
Also ich habs natürlich bei nem Privat Anschluss noch nie versucht aber ich weiß das wir bei unser Leitung in der Firma einen Grund angeben müssen wenn wir mehrere IPs haben wollen.
In anbetracht der Tatsache das die verbleibenden IPv4 Adressen in den nächsten Jahren komplett aufgebraucht sein werden kann ich das auch verstehen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

McGillis
Heimnetzwerk mit Glasfasermodem + Hub im Keller
Antworten
18
Aufrufe
979
norKoeri
N
X
Heimnetzwerk Ausbau/Verbesserung (Firewall, Netzsegmentierung)
2
Antworten
29
Aufrufe
1.933
XXXBold
X
H
Planung Heimnetzwerk
Antworten
13
Aufrufe
932
norKoeri
N
H
Möglichst anonym im Internet unterwegs sein, IP verschleiern, Heimnetzwerk absichern - Netzwerk-Sicherheits-Anfänger fragt
2 3
Antworten
40
Aufrufe
2.394
Thorakon
T
B
Unmanaged Switch für Heimnetzwerk
Antworten
9
Aufrufe
596
computerbase107
computerbase107
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz