Firewall vs. konventioneller Router (und: kann ich das konfigurieren?)
- Ersteller reach
- Erstellt am
Hi there!
Der Titel ist eh recht sprechend: mein geliebter Linksys 54irgendwas Router schafft die Bandbreite meines Fiber-Anschlußes nicht mehr und drum überlege ich: neuer Router mit ein paar Port-Forwards, oder eine dedizierte Firewall. Preisklasse <150EUR
Die Fragen wären:
- allen voran: kann ich das als nicht Security-Fachmann überhaupt sinnvoll konfigurieren??
- ist das, richtig konfiguriert, echt halbwegs sicher?
- ist das besser als ein normaler WLAN Router? (WLAN deshalb, weil's meistens eh dabei ist. Brauchen tu ichs nicht)
Ich weiß grob, was eine stateful Firewall tut. Und ich denke, auf das zielen diese Kisten ab. Als ich allerdings einmal mit "monowall" experimentiert habe, mußte ich erkennen, daß ich da um Häuser zu wenig Ahnung habe. Daher meine Zweifel. Monowall kommt übrigens außerdem aufgrund des Stromverbrauches eines PCs nicht in Frage.
Generell: wieso gibt es hier denn keine "Security" Sparte? Das fände ich bitter nötig!
Der Titel ist eh recht sprechend: mein geliebter Linksys 54irgendwas Router schafft die Bandbreite meines Fiber-Anschlußes nicht mehr und drum überlege ich: neuer Router mit ein paar Port-Forwards, oder eine dedizierte Firewall. Preisklasse <150EUR
Die Fragen wären:
- allen voran: kann ich das als nicht Security-Fachmann überhaupt sinnvoll konfigurieren??
- ist das, richtig konfiguriert, echt halbwegs sicher?
- ist das besser als ein normaler WLAN Router? (WLAN deshalb, weil's meistens eh dabei ist. Brauchen tu ichs nicht)
Ich weiß grob, was eine stateful Firewall tut. Und ich denke, auf das zielen diese Kisten ab. Als ich allerdings einmal mit "monowall" experimentiert habe, mußte ich erkennen, daß ich da um Häuser zu wenig Ahnung habe. Daher meine Zweifel. Monowall kommt übrigens außerdem aufgrund des Stromverbrauches eines PCs nicht in Frage.
Generell: wieso gibt es hier denn keine "Security" Sparte? Das fände ich bitter nötig!
ghostadmin
Grand Admiral Special
Eine Firewall ist nur soviel Wert wie man damit umgehen kann, dass dürfte aber allgemein alle Geräte betreffen.
Wenn man IP Masquerading nutzt, sehe ich ohnehin keinen Grund dafür sowas einzusetzen. Erst recht nicht wenn man keine Dienste anbieten will.
Firewalls machen eigentlich eh nur auf Application Layer Sinn und da wirds dann schon etwas teurer als dediziertes Gerät (Checkpoint) wenn man das sich nicht selbst mit Linux bastelt (iptables/L7) oder sowas wie pfsense mit GUI verwendet.
Normale Router sind eigentlich eh schon so konfiguriert das sie am WAN Port alles abblocken ausser vielleicht Ping oder SSH/Web.
Stateful heisst das man nur eine Regel braucht und nicht 2 wie beim Paketfilter für eingehend und ausgehend. Der Vorteil ist das man bei Stateful z.B. nur ausgehend erlauben kann und dir das Gegenüber kein neues Paket mit SYN schicken darf, nur über bereits ESTABLISHED Verbindungen. Beim Paketfilter ist nur volle bidirektionale Kommunikation möglich. iptables ist auch Stateful da man Regeln mit SYN definieren kann.
Ich würde mich mal nach ddwrt oder openwrt umsehen.
Wenn man IP Masquerading nutzt, sehe ich ohnehin keinen Grund dafür sowas einzusetzen. Erst recht nicht wenn man keine Dienste anbieten will.
Firewalls machen eigentlich eh nur auf Application Layer Sinn und da wirds dann schon etwas teurer als dediziertes Gerät (Checkpoint) wenn man das sich nicht selbst mit Linux bastelt (iptables/L7) oder sowas wie pfsense mit GUI verwendet.
Normale Router sind eigentlich eh schon so konfiguriert das sie am WAN Port alles abblocken ausser vielleicht Ping oder SSH/Web.
Stateful heisst das man nur eine Regel braucht und nicht 2 wie beim Paketfilter für eingehend und ausgehend. Der Vorteil ist das man bei Stateful z.B. nur ausgehend erlauben kann und dir das Gegenüber kein neues Paket mit SYN schicken darf, nur über bereits ESTABLISHED Verbindungen. Beim Paketfilter ist nur volle bidirektionale Kommunikation möglich. iptables ist auch Stateful da man Regeln mit SYN definieren kann.
Ich würde mich mal nach ddwrt oder openwrt umsehen.
Hallo Landsmann 
DDWRT hab ich eh auf meinem Linksys. Oder meintest Du, daß es da ein eigenes FW Derivat gibt?
Was ich eben meine ist das, was Du im ersten Absatz schreibst. Ich hab nur port 80, 22 und 443 offen. Wäre da eine Firewall aus irgendeinem Grund trotzdem sicherer, in der Form, daß sie die Pakete halt anschaut und böse Absichten erkennt - wie auch immer sie das anstellen mag. Laut Dir nicht wirklich, oder?
Irgendwann einmal hab ich auch damit experimentiert, über IP Tables im Linksys die Kommunikation nach außen zu beschränken, so daß nur der Proxy raus darf. Da stieß ich aber schnell an meine Limits. Manche Website gingen einfach nicht mehr, weil die offenbar mehr als nur 80 brauchten, oder irgendwelches SNMP Zeug, weiß nimmer.
Das brachte mich dann auch auf die Frage, ob eine Consumer-Firewall, mit buntiklicki GUI, das mir hoffentlich vieles abnimmt, dann aufgrund dieser Vereinfachung trotzdem sicherer ist, oder, ob genau das dann nicht wieder Türen öffnet.
lg!
reach
DDWRT hab ich eh auf meinem Linksys. Oder meintest Du, daß es da ein eigenes FW Derivat gibt?
Was ich eben meine ist das, was Du im ersten Absatz schreibst. Ich hab nur port 80, 22 und 443 offen. Wäre da eine Firewall aus irgendeinem Grund trotzdem sicherer, in der Form, daß sie die Pakete halt anschaut und böse Absichten erkennt - wie auch immer sie das anstellen mag. Laut Dir nicht wirklich, oder?
Irgendwann einmal hab ich auch damit experimentiert, über IP Tables im Linksys die Kommunikation nach außen zu beschränken, so daß nur der Proxy raus darf. Da stieß ich aber schnell an meine Limits. Manche Website gingen einfach nicht mehr, weil die offenbar mehr als nur 80 brauchten, oder irgendwelches SNMP Zeug, weiß nimmer.
Das brachte mich dann auch auf die Frage, ob eine Consumer-Firewall, mit buntiklicki GUI, das mir hoffentlich vieles abnimmt, dann aufgrund dieser Vereinfachung trotzdem sicherer ist, oder, ob genau das dann nicht wieder Türen öffnet.
lg!
reach
ghostadmin
Grand Admiral Special
Ich hab ddwrt noch nicht benutzt aber in OpenWRT ist iptables dabei was man noch relativ leicht via GUI administrieren kann. Das reicht voll und ganz aus. Ist ein komplettes Linux was da läuft.
Ich würde die TP-Link Geräte empfehlen z.B. 1043ND
Ich würde die TP-Link Geräte empfehlen z.B. 1043ND
@Reach
Für den Heimgebrauch bin ich ein großer Fan von Server Lösungen auf Basis von alten Notebooks (verbraucht weniger Strom und Platz als PCs, besonders, wenn der Monitor abgeklemmt wurde). Auf der Suche nach UTMs sind mir IPFire und Untangle positiv aufgefallen aber ich stecke da auch noch in der Recherche. Es gibt dazu nette Beiträge im Netz. Da ich noch nicht verlinken darf, hier die Suchbegriffe für Google, die Beiträge sollten jeweils das erste Ergebnis sein:
The Hunt For the Ultimate Free Open Source Firewall Distro
Wikipedia Comparison of firewalls
Für den Heimgebrauch bin ich ein großer Fan von Server Lösungen auf Basis von alten Notebooks (verbraucht weniger Strom und Platz als PCs, besonders, wenn der Monitor abgeklemmt wurde). Auf der Suche nach UTMs sind mir IPFire und Untangle positiv aufgefallen aber ich stecke da auch noch in der Recherche. Es gibt dazu nette Beiträge im Netz. Da ich noch nicht verlinken darf, hier die Suchbegriffe für Google, die Beiträge sollten jeweils das erste Ergebnis sein:
The Hunt For the Ultimate Free Open Source Firewall Distro
Wikipedia Comparison of firewalls