WLAN Internet

[biernikolauz]

Also ich geh mal davon aus das dein Router, selbst wenn es ein billiges Gerät ist, einen sog. Paketfilter bietet. Wenn dem so ist dann handelt es sich dabei quasi um nix anneres als eine Firewall.

Hier ist es dann natürlich sinnvoll nur benötigte Ports freizugeben und bei allen anderen Paketen per default zu blocken. So erstellst du dir dann quasi ein Regelwerk basierend auf deinen Bedürfnissen.

Außerdem unterstützt er denke ich auch Network Adress Translation (NAT) was bedeutet das nur die IP deines Routers im Internet sichtbar ist. Alle Rechner dahinter können also nicht direkt aus dem Internet angesprochen werden, da alle Anfragen eben zuerst an deinem Router ankommen der diese entsprechend ins interne Netzwerk weiterleitet...oder halt eben nicht. 

Soweit mal grob die Theorie.

[Sky]

Also er hat Port, IP und MAC Filterung.
Bei Ports muss man eine Range eingeben, außerdem ob man UDP und TDP oder beides filtern möchte.

[Itchy]

Der Router selber ist natürlich nicht geschützt, denn irgendwo muss ja die Verbindung zum Internet hergestellt werden. Das ist bei einer Firewall ja auch nicht anders (der Router ist im Endeffekt Deine Firewall), sie selbst ist ja nicht geschützt - und wenn man vor die Firewall noch einen weiteren Kasten stellen würde, dann wäre dieser nicht geschützt, das Problem wird also nur nach vorn verschoben.

Eine Firewall definiert sich dadurch, dass dort möglichst wenige Dienste laufen, die Angriffsfläche bieten und so die Gefahr der Kompromitierung der Firewall möglichst gering gehalten wird - ein Router ist dafür ideal, der hat im Endeffekt nur 2 Dienste laufen, das eine ist IP-Forwarding und das andere ist das Konfigurationsmenü, i.d.R. ein kleiner Webserver.

[Kent Brockman]

mein router ist so konfiguriert, dass er alles durchlässt. firewall und co habe ich jeweils am PC. bin damit bisher immer gut gefahren.

[biernikolauz]

mein router ist so konfiguriert, dass er alles durchlässt. firewall und co habe ich jeweils am PC. bin damit bisher immer gut gefahren.

 

Das dich ein ordentlich konfigurierter Paketfilter (z.B. in Form eines Routers) deutlich besser schützt als jede Software ist dir aber schon klar?!

Eben weil, wie von Itchy ja schon gesagt, ein Router in der Regel wesentlich weniger Angriffspunkte bietet.

Außerdem wird der Großteil an schädlicher Software ohnehin für die gebräuchlichen Plattformen entwickelt, also Windows, Linux und Konsorten. Es macht sich also eher selten Jemand die Arbeit und versucht gezielt die Software von bestimmten Routern anzugreifen.

Wenn würde es dann imho sowieso eher Geräte von Cisco z.B. treffen, da hier ein weitestgehend einheitliches OS läuft und das Netzwerk hinter eben solchen Kisten wohl auch vielversprechender sein dürfte als ein piemeliges Heimnetzwerk.

Da würde ich an deiner Stelle ggf. mal nen gewissen Zeitaufwand investieren und diesen Zustand ändern. *g*

[Itchy]

mein router ist so konfiguriert, dass er alles durchlässt. firewall und co habe ich jeweils am PC. bin damit bisher immer gut gefahren.

Ich denke Du meinst in ausgehender Richtung? Das ist ja ok.

Wenn der von außen alles durchlässt (sprich, Dein Rechner ist die DMZ), dann ist das überaus hoher Leichtsinn.

[Shadowcaster]

Sprich, dein Router ist die Verbindung ins Internet, kein Forwarding ist aktiv und so.
Was haste denn für einen "Billig-Router"?

[Kent Brockman]

mein router ist so konfiguriert, dass er alles durchlässt. firewall und co habe ich jeweils am PC. bin damit bisher immer gut gefahren.

Ich denke Du meinst in ausgehender Richtung? Das ist ja ok.

Wenn der von außen alles durchlässt (sprich, Dein Rechner ist die DMZ), dann ist das überaus hoher Leichtsinn.

die ports werden automatisch geforwardet. ohne portforwarding kann ich ja so einiges vergessen: icq, onlinespiele etc...
und jetzt bestimmte bereiche oder einzelne ports im router-config manuell freigeben ist mir zu blöd, zumal sich das ja mit jedem spiel/programm ändert.
da der pc ne firewall hat, sind dort ja eh alle ports gehidet, ausser die die, die ich brauche.
wo ist denn da der überaus hohe leichtsinn?
bin ich wirklich so dumm?? 

[Sky]

Danke für die Hilfe. 

Ich hab das im Moment genauso wie Kent, und wenn das blöd ist, dann frag ich mich halt, was man bei der Port Range überhaupt sperren sollte.

[Shadowcaster]

die ports werden automatisch geforwardet. ohne portforwarding kann ich ja so einiges vergessen: icq, onlinespiele etc...

Äh nein, die werden nicht automatisch geforwarded. Es ist so, daß wenn PC1 hinter dem Router ein Paket abschickt und die Anwort kommt, dann wird sie zu PC1 zurückgeleitet. Genauso für PC2. NATing halt.

und jetzt bestimmte bereiche oder einzelne ports im router-config manuell freigeben ist mir zu blöd, zumal sich das ja mit jedem spiel/programm ändert.

Das brauchst du aber für diverse Tauschbörsen, ... Wenn PC1 ein Paket anfordert und es kommt an Port 0815 an, welcher aber auf PC2 manuell forgewardet wird, dann wird PC1 niemals eine Antwort erhalten. Wenn aber eine Tauschbörse sich an deinen Rechner connecten will ohne daß dein Rechner vorher eine Anfrage abgeschickt hat, dann wird das Paket verworfen und du bekommst ne LowID.

da der pc ne firewall hat, sind dort ja eh alle ports gehidet, ausser die die, die ich brauche.

Die sind normal alle offen, aber nur auf der Basis deines lokalen LANs. Außer sie sind fest im Router geforwarded.
Mach mal netstat -a und schau auf was dein Rechner (im LAN) so alles lauscht.

[Itchy]

da der pc ne firewall hat, sind dort ja eh alle ports gehidet, ausser die die, die ich brauche.

Jo, das kann z.B. der Datei- und Druckfreigabedienst sein, der ja ganz praktisch ist, wenn man mehrere Rechner hat. Warum der aber übers Internet freigegeben sein muss, verschließt sich etwas meinem Verständnis

[Kent Brockman]

da der pc ne firewall hat, sind dort ja eh alle ports gehidet, ausser die die, die ich brauche.

Jo, das kann z.B. der Datei- und Druckfreigabedienst sein, der ja ganz praktisch ist, wenn man mehrere Rechner hat. Warum der aber übers Internet freigegeben sein muss, verschließt sich etwas meinem Verständnis

hab grad nachgeschaut, IP forwarding ist an, mehr nicht.
btw: sämtliche dienste sind deaktiviert, also autoupdates, drucker- und dateifreigabe, remote desktop etc.

ist das jetzt schlimm?
und wie soll ichs sonst lösen? per NAT alle benötigten ports von hand weiterleiten?

[Itchy]

Also ich zumindest mache das so. Bei mir ist aber auch der einzige Eintrag da drin ein TCP und UDP Port für BitTorrent.

[Kent Brockman]

Also ich zumindest mache das so. Bei mir ist aber auch der einzige Eintrag da drin ein TCP und UDP Port für BitTorrent.

hmm na mal sehen. muss den rechner eh mal wiede rneu aufsetzen. kann dann, solange er installiert, mit dem router spielen.

[Sky]

Jau, also eine letzte Frage hätte ich noch.

Wenn ich bei dem Router Port Filtering einstellen soll. Welche Range nehm ich denn dann? 00000 bis 99999 und dann die als Ausnahme, die ich durchlassen will?


Und wenns theoretisch dinger gibt, die meinen router "befallen", gibts dann virensuchprogramme für den? *g*