Firewall sicherer machen!

Samsung_Freak

Mitglied
Mitglied seit
14 Nov 2008
Beiträge
206
Punkte für Reaktionen
0
Punkte
16
Guten Abend,
ich habe heute mal meine Firewall getestet. Ich habe einfach mal ein paar Ports geöffnet um zu testen wie sicher meine Firewall ist wenn sie gescannt wird.Ich habe das ganze mit NMAP getestet von extern. Bei einem normalen Scan konnte NMAP keine Ports sehen etc erst bei einem aggresiven. Dort konnte ich dann alle Ports sehen die auf meiner Fritzbox geöffnet sind.


Möchte meine Firewall so sichern das selbst bei aggresiven Scans keine offenen Ports angezeigt werden. Kann ich das irgendwo irgendwie modifizieren?
 
Nochmal langsam zum mitschreiben: Du hast Ports "geöffnet" und wunderst dich, dass der Portscanner offene Ports findet?
 
@André: ist Dir überhaupt klar, was "Firewall sicher machen", "aggressive Scans" und "Ports öffnen" bedeuten?

--gandalf.
 
Manche Firmwareversionen antworten nicht auf ICMP, was die Netzwerkanalyse erheblich erschwert. Man findet seinen Router nicht. :rolleyes:
http://www.protecus.de/Firewall_Security/icmp.html
Manche sogenannten Sicherheitsseiten empfehlen die Unterdrückung von ICMP, was bei einem Heimnetzwerk sinnfrei ist.
 
Solange man nur ICMP Echo Request aus dem LAN läßt und ICMP Echo Reply bzw. ICMP Unreachable ins LAN läßt, ist das ok. Der Firewall selbst muss nicht auf ICMP-Requests antworten und muss auch keine ICMP Port/Host Unreachable etc. versenden.

Grundprinzip von Firewalls sollte sein, daß sie keine Antworten auf Anfragen geben, die nicht vom Benutzer initiiert oder explizit gewünscht wurden. Also: kein Echo Reply auf externe pings.

--gandalf.
 
@André_Neustadt:

Absolute Sicherheit gibt es nicht, wenn Systeme vernetzt werden. Sobald Dein Router im Netz ist, ist er auch theoretisch angreifbar.

Als Erstes würde ich mir sehr genau überlegen, was der erwünschte Nutzverkehr sein soll: welche Richtung initiiert ihn, welche Protokolle / Ports werden dafür benötigt, kann man die Zugänge auf bestimmte Adressen / Adressbereiche einschränken, Braucht man Tunnel und wofür...

Dann muss man 2 verschiedene Dinge auseinander halten: Der Schutz der Box selbst vor Angreifer und den Schutz des LAN hinter der Box.

Wenn man das alles hat, kann man sich daransetzen, Regeln für diesen Verkehr zu formulieren.

Man sollte beachten, dass die Box auch eigene "Bedürfnisse" nach Kommunikation hat (Zeitdienst, DNS, DHCP Client / Server, ...) und auch eigene Verwaltungsprotokolle, die für den User komplett unsichtbar sind, anbietet (TR069 für die Provider etc.), sowie ipv6 Tunnel und VoIP-Freigaben hat.

Das ICMP Protokoll ist noch das geringste "Übel", wenn man seinen Router sichern will.

Hinzu kommen die vielen ipv6 Tunnel, die Klients durch die Router "bohren" und sich damit komplett der Firewall der Box entziehen (teredo, sixxs, six2four etc).

Standardmäßig schützt die Box nur vor Angriffen von Außen durch das NAT Protokoll auf IPV4 Ebene indem es nur interne Adressen zu freigegebene Ports und für Rückantworten auf aus dem LAN initiierte Pakete mapt.

Alle Rechner im LAN, die ipv6 Protokolle und deren Tunnelvarianten nutzen, marschieren ungefiltert ins Internet und sind dann auch über diese Tunnel angreifbar.

Ein Port scan auf die Adresse der Box hilft Dir da nicht wirklich weiter. Er zeigt nur an, für welche Ports der Router Dienste anbietet (Portweiterleitung ipv4, icmp, tr069,...) Das bedeutet aber nicht automatisch, dass Dein LAN sicher ist.

Wenn Du ernsthaft über Sicherheit nachdenkst, solltest Du eine Firewall (z.B. netfilter/iptables) entsprechend konfigurieren und den Verkehr loggen und auswerten. Desweiteren solltest Du im LAN deine Rechner zusätzlich durch Software Firewalls schützen und den Verkehr ebenfalls protokollieren und auswerten (wegen der Tunnel, Trojaner & Co).

Das ist natürlich recht aufwendig, aber eine "ein-mal-Lösung" gibt es bei Sicherheitsbedürfnis nicht. Das ist wie mit einem Haus, es genügt nicht die Eingangstür abzuschließen, man muss alle Türen und Fenster regelmäßig kontrollieren, ob sie noch zu sind oder ob bereits eingebrochen wurde...
 
[EDIT: Absolut unsinniges Monster-Vollzitat des Beitrags direkt darüber entfernt. Was soll das denn sein? --gandalf.]

Danke erstmal für die vielen und ausführlichen Antworten! Ich werde mich jetzt erstmal richtig in die Materie einlesen!!
 
Hinzu kommen die vielen ipv6 Tunnel, die Klients durch die Router "bohren" und sich damit komplett der Firewall der Box entziehen (teredo, sixxs, six2four etc).

Standardmäßig schützt die Box nur vor Angriffen von Außen durch das NAT Protokoll auf IPV4 Ebene indem es nur interne Adressen zu freigegebene Ports und für Rückantworten auf aus dem LAN initiierte Pakete mapt.

Alle Rechner im LAN, die ipv6 Protokolle und deren Tunnelvarianten nutzen, marschieren ungefiltert ins Internet und sind dann auch über diese Tunnel angreifbar.
Windows Firewall einschalten.
http://www.microsoft.com/germany/technet/datenbank/articles/600950.mspx#EME
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.