Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall ALLOW-ALL

Mitglied: 111784

111784 (Level 1)

29.01.2014 um 19:16 Uhr, 2055 Aufrufe, 18 Kommentare, 1 Danke

Hallo zusammen,

spricht etwas in einem sehr einfach gehaltenem Netz - 3 PCs - etwas gegen dieses Firewall Konzept?

- Von außen kommt niemand ohne Port-forwarding auf Ports die von innen erreichbar sind, z.B. Server 443

- Wenn ich ein Port-forwarding einrichte, muss ich dies an einer stelle machen und nicht noch zusätzlich in der Firewall

Ich habe hier einen LANCOM Router 1821+. Dieser ist default schon so konfiguriert.

Ebenso wenn ich ein VPN einrichte.
Ich sehe noch nicht so richtig, wieso ich alles sperren sollte und anschließen einzelne Ports/Protokolle wieder freigeben soll.

Ohne Port-forwarding kommt ja schließlich so schon keiner in mein LAN.

Vielleicht könnt Ihr mir kurz die Augen öffnen.
Mitglied: certifiedit.net
29.01.2014 um 19:17 Uhr
Mit allow all ist die Frage: Warum nicht eine einfache FritzBox? Sorry, aber...kurzgedacht.
Bitte warten ..
Mitglied: 111784
29.01.2014, aktualisiert um 19:27 Uhr
Naja..

Primär zwecks VPN.

Da wird es dann ggf. eine Regel geben, die den Zugriff vom zweiten LAN (VPN) auf die Firewall blockt.
Ich denke nicht, dass das mit einer FirtzBox möglich ist.

Nur was bringt es mir, wenn ich deny all sage und dann anschließend wieder alles öffne, wie z.B. von LAN ins WAN
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 19:29 Uhr
Dann mach es bitte ordentlich. Es gibt schon genug Netze mit any-any Verschnitt.

Abgesehen davon, willst du wirklich alles vom LAN ins WAN lassen? Ich nicht.
Bitte warten ..
Mitglied: 111784
29.01.2014, aktualisiert um 19:35 Uhr
Und was soll da passieren wenn das LAN mit any ins WAN kann.

Wenn bei uns 1 Server und 2 PCs stehen dann sieht das ungefähr so aus:

Deny all
open SMTP -> WAN
open HTTP -> WAN
open HTTPS -> WAN
open FTP -> WAN
etc...

sehe da keinen wirklichen Verschnitt
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 19:36 Uhr
Das ist aber kein allow all. Was dürfen die Leute denn noch mehr?
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:42 Uhr
Die sollen alles dürfen.

Vom LAN auf den Server
Vom LAN auf den Router
Vom LAN ins Internet

Einfach alles, keine Einschränkungen
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014, aktualisiert um 19:43 Uhr
Warum fragst du dann hier, wenn die sowieso "alles" dürfen inkl. diverse Botserver über ausgehend Port 13344 anzapfen.

LG
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:49 Uhr
Genau der Gedanke hat mir irgendwie gefehlt.

Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine Chance.

Klar Wald <-> Baum und so.

Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014, aktualisiert um 19:51 Uhr
Zitat von 111784:

Genau der Gedanke hat mir irgendwie gefehlt.

Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine
Chance.

Klar Wald <-> Baum und so.

Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?

Darf ich dich mal Fragen, wofür du sonst Firewalls einsetzt?

Nun, Kunden ohne Server gibt es nur im privaten, denen eine Firewall anzudrehen ist, wie deinen Lancom mit any any zu betreiben. I.d.R verantwortungslos.
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:51 Uhr
Für stabile VPN Site to Site Verbindungen
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:54 Uhr
Es gibt garantiert genügend "Firmen" mit 1-2 PCs die keinen Server haben.
Und genauso werden die auch nur eine Fritz!Box haben.

Zahnärzte zum Beispiel
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 19:56 Uhr
Zitat von 111784:

Für stabile VPN Site to Site Verbindungen

Da kannst du auch ne Fritte nehmen, wofür brauchen die denn Ihre VPN?
Bitte warten ..
Mitglied: 111784
29.01.2014 um 19:59 Uhr
Das sind kleine außenzentralen die über das VPN Ihre ausgedrucken Packzettel bekommen
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 20:01 Uhr
Zitat von 111784:

Das sind kleine außenzentralen die über das VPN Ihre ausgedrucken Packzettel bekommen

Gut, und was hast du auf der anderen Seite?
Bitte warten ..
Mitglied: Arch-Stanton
29.01.2014 um 21:13 Uhr
Spätestens wenn Du eine zweite WAN-Leitung in Betrieb nehmen willst, dann ist das deny-all Konzept zwingend, Stichwort policy based routing. Hast Du Dir schon einmal die vorgefertigten Scripte für deny all auf der Lancom-Seite angeschaut?

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Dani
29.01.2014 um 21:21 Uhr
Moin,
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.

Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet. Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl. Mailserver der Spam verschicken kann und es merkt keiner.


Grüße
Dani
Bitte warten ..
Mitglied: certifiedit.net
29.01.2014 um 21:29 Uhr
Zitat von Dani:

Moin,
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast
Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.

Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet.
Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl.
Mailserver der Spam verschicken kann und es merkt keiner.


Grüße
Dani

Treiben wir es auf die Spitze, stell dir vor, auf einem der Rechner der Zahnärzte ist ein kleiner Mailserver, der fein die "Kundendaten" in die Welt streut. Da ist der ZA ganz schnell seinen 1950er BMW nebst dem aktuellen x6 los..jetzt rat mal, wo er die (zu Recht) wieder holt? ;)
Bitte warten ..
Mitglied: 108012
30.01.2014 um 09:30 Uhr
Hallo,

Und was soll da passieren wenn das LAN mit any ins WAN kann.
Das sich ein PC über eine Webseite infiziert und dann "Dein"
Netzwerk gar nicht mehr Dein Netzwerk ist!

Ich würde ein DMZ einrichten wollen und dort den Server
hinein "stellen" wo auch Ports vorne geöffnet werden die auf
den Server zeigen und die PCs sind dann eben im LAN.

Danach würde ich alles unterbinden was rein will ins LAN und
nicht von innen angefordert wurde.

Und dann würde ich Sachen freigeben die nach außen wollen
und das auch dürfen.

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Firewall

Hardware Firewall für den Heimgebrauch an All IP

Frage von SMoller02Firewall4 Kommentare

Ich wünsche einen Wunderschönen guten Nabend allerseits. Da ich im Fernstudium gerade auch in Richtung Firewall und Sicherheit komme ...

Linux Netzwerk

Ubuntu squid https allow

Frage von Florian86Linux Netzwerk3 Kommentare

Hallo, ich habe folgendes Problem mit unseren Proxy. Wenn ich an den Clients den Proxy im IE eintrage muss ...

Verschlüsselung & Zertifikate

Vulnerability in TPM could allow Security Feature Bypass

Information von DerWoWussteVerschlüsselung & Zertifikate7 Kommentare

Suuper. Nun dürfen wir alle TPM chips lokalisieren, feststellen, ob deren Firmware betroffen ist und vermutlich sämtliche bitlocked Geräte ...

PHP

PHP Befehl preg match all

gelöst Frage von MatthiasKlein88PHP2 Kommentare

Schönen guten Morgen! Ich stoße derzeitig auf einem Problem bei dem Befehl "preg_match_all". Mein Ziel ist alle 11 in ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 3 TagenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 3 TagenSicherheit2 Kommentare

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 4 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 5 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS14 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Windows Server
Sonntagsfrage: Welchen Sinn seht Ihr noch im Server 2019 Essentials
Frage von ashnodWindows Server13 Kommentare

Guten Morgen, ich habe gestern den Windows Server 2019 Essentials als Trial in einer VM installiert um mir das ...

Windows Server
Windows 2012 R2 - Skript um Druckerkonfiguration auszulesen und zu setzen
gelöst Frage von Der-PhilWindows Server11 Kommentare

Hallo! Kennt ihr eine Möglichkeit, per Skript die Konfiguration eines Druckers auszulesen und auf einen anderen anzuwenden? Hintergrund: Ich ...

Grafik
Viele Fotos organisieren - Windows Dateisystem zu lahm bzw. überfordert
Frage von augustaparkGrafik11 Kommentare

Hallo und Guten Morgen, hat einer eine Idee, wie man viele Fotos sinnvoll und effizient organisieren kann? Wir haben ...