12
UFW im Heimnetzwerk sinnvoll?
Hallo,
würdet Ihr eine ufw Firewall auf einem Raspberry Pi aktivieren (drauf ist adguard, paar andere Docker Container) ?
Raspi hängt hinter der Fritzbox und ist NICHT von außen erreichbar. ist mein privates Netz ...
Danke
würdet Ihr eine ufw Firewall auf einem Raspberry Pi aktivieren (drauf ist adguard, paar andere Docker Container) ?
Raspi hängt hinter der Fritzbox und ist NICHT von außen erreichbar. ist mein privates Netz ...
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21369302178
Url: https://administrator.de/contentid/21369302178
Printed on: April 27, 2024 at 23:04 o'clock
12 Comments
Latest comment
Nabend.
Das kommt auf dein eigenes Sicherheitsbedürfnis an.
Wenn da nur bestimmte Geräte dran sollen, dann kannst du die Firewall aktivieren und entsprechend eine Whitelist pflegen.
Der Adguard stellt für alle Netzwerkgeräte den DNS Forwarder ins Internet dar oder wie ist der Dienst konfiguriert?
Was kommt denn sonst zum Einsatz im Bereich Firewall/Router?
Edit:
Fritzbox überlesen
Gruß
Marc
Das kommt auf dein eigenes Sicherheitsbedürfnis an.
Wenn da nur bestimmte Geräte dran sollen, dann kannst du die Firewall aktivieren und entsprechend eine Whitelist pflegen.
Der Adguard stellt für alle Netzwerkgeräte den DNS Forwarder ins Internet dar oder wie ist der Dienst konfiguriert?
Was kommt denn sonst zum Einsatz im Bereich Firewall/Router?
Edit:
Fritzbox überlesen
Gruß
Marc
Was kommt denn sonst zum Einsatz im Bereich Firewall/Router
Schreibt er doch: Ne stateful firewall
Adguard ist der DNS Forwarder fürs ganze Netz hinter Fritzbox, ja. Keinerlei Portweiterleitungen etc. Wenn ich von außen ins Heimnetzwerk will => Wireguard VPN über Fritzbox
Das kannst Du handhaben wie Du willst. Bedenke, dass z.B. die Windows-Clients üblicherweise auch die FW „oben haben“. Die Zahl der offenen Ports variiert hier zwischen „fremden/public“ und „vertrauensvollen/private“ Netzwerken. Das ginge gedanklich also so ein wenig in Richtung „zero trust“.
Wir hatten vor Jahren mal den Fall, dass die Business-Router der Telekom nach nem FW-Update „offen“ waren und die lokalen Geräte im Anschluss von „außen“ angreifbar.
Da hätte so ein dezentrale FW-Setup in der Theorie evtl Vorteile. In der Praxis haste aber trotzdem erstmal alle im Betrieb genutzten Ports offen (Admin, ggf. ssh, smb, …). Alleine damit, ist der Mehrwert also überschaubar. Und immer erst per ssh die ufw deaktivieren, bervor Du etwas veränderst kann je nach Gerät nervig sein.
Wir hatten vor Jahren mal den Fall, dass die Business-Router der Telekom nach nem FW-Update „offen“ waren und die lokalen Geräte im Anschluss von „außen“ angreifbar.
Da hätte so ein dezentrale FW-Setup in der Theorie evtl Vorteile. In der Praxis haste aber trotzdem erstmal alle im Betrieb genutzten Ports offen (Admin, ggf. ssh, smb, …). Alleine damit, ist der Mehrwert also überschaubar. Und immer erst per ssh die ufw deaktivieren, bervor Du etwas veränderst kann je nach Gerät nervig sein.
würdet Ihr eine ufw Firewall auf einem Raspberry Pi aktivieren
Wenn überhaupt eine nftables Firewall denn die ist mittlerweile Default bei Bookworm.Ist aber in der Regel überflüssiger Overhead wenn es ein Host in deinem eigenen lokalen und gesichterten LAN ist.
Letztlich ist es aber immer eine Frage DEINER persönlichen Sicherheits Policy die DU in deinem Netzwerk umsetzen willst. Niemand aus einem Forum kennt die und kann dir ergo diese Frage auch nie belastbar beantworten. Solche Fragen sind deshalb mehr oder minder generell sinnfrei ohne Rahmenbedingungen zu schildern.
Zitat von @aqui:
UFW ist nur ein Frontend für netfilter, das kann nftables als auch iptables als Backend verwenden ...würdet Ihr eine ufw Firewall auf einem Raspberry Pi aktivieren
Wenn überhaupt eine nftables Firewall denn die ist mittlerweile Default bei Bookworm.https://wiki.archlinux.org/title/Uncomplicated_Firewall
Ist aber in der Regel überflüssiger Overhead wenn es ein Host in deinem eigenen lokalen und gesichterten LAN ist.
Viele Angriffe finden erfahrungsgemäß aus dem eigenen Netz heraus statt, insofern gilt die Regel Zero Trust auch im LAN und dazu gehört auch das Abdichten der Hosts per Client-Firewall.PJ.
Moin,
ich hab‘ die UFW auf dem pi-hole auch oben/aktiviert. Ist ja kaum Mehraufwand und im eigenen Netzwerk ist später ein nicht erreichbarer Port schnell diagnostiziert und die UFW angepasst.
Das Risiko scheint zwar gering, aber man weiß ja nie… 😉
Viel Erfolg
ich hab‘ die UFW auf dem pi-hole auch oben/aktiviert. Ist ja kaum Mehraufwand und im eigenen Netzwerk ist später ein nicht erreichbarer Port schnell diagnostiziert und die UFW angepasst.
Das Risiko scheint zwar gering, aber man weiß ja nie… 😉
Viel Erfolg
Viele Angriffe finden erfahrungsgemäß aus dem eigenen Netz heraus statt
Bei nem Heimnetz ist die Schar der Angreifer meist recht überschaubar 😂
1Zitat von @Visucius:
Es braucht sich nur ein einzelner Rechner im Netz infizieren und schon kann sich das blitzartig ändern und dann kommt der Angriff eben über diesen Host als Relay aus dem eigenen Netz 😉, das vergessen viele.Viele Angriffe finden erfahrungsgemäß aus dem eigenen Netz heraus statt
Bei nem Heimnetz ist die Schar der Angreifer meist recht überschaubar 😂1
Also, ich vergesse das nicht.
Nur wenn der Angreifer aktiv schon auf meinem PC ist, habe ich andere Probleme als meinen Werbefilter 😏
Aber jeder wie er will. Die Frage ist ja nicht nur firewall unten/oben, sonder welche Ports noch offen bleiben.
Nur wenn der Angreifer aktiv schon auf meinem PC ist, habe ich andere Probleme als meinen Werbefilter 😏
Aber jeder wie er will. Die Frage ist ja nicht nur firewall unten/oben, sonder welche Ports noch offen bleiben.
Hallo,
Na ja, ich unterstelle einfach mal, daß der Raspi gut installiert ist!
d.h. es laufen nur Dienste, die auch wirklich gebraucht werden und sauber configuriert und die sind up-to-date.
Gilt genauso für die Dockercontainer.
damit hat sich eigentlich das mit der Firewall erledigt -> wird nicht gebraucht (als "Schutz" für den Raspi)
Ansonsten ist die Firewall auch wieder ein weiterer angreifbarer Dienst auf der Kiste.
Angriff als relay setzt voraus dass dazu ein Dienst rennt, der das möglich macht - und der eh freigeschaltet ist!
Quasi ein "kaputter" Dienst.
Raspi ist ja nicht mit Windows, wo nicht ganz klar ist welcher Dienst gerade "nach Hause" - wo ist das ?? - telefoniert.
Firewall für den Netzschutz ist ja ein ganz anderes Thema.
Fred
Es braucht sich nur ein einzelner Rechner im Netz infizieren und schon kann sich das blitzartig ändern und dann kommt der Angriff eben über diesen Host als Relay aus dem eigenen Netz 😉, das vergessen viele.
Na ja, ich unterstelle einfach mal, daß der Raspi gut installiert ist!
d.h. es laufen nur Dienste, die auch wirklich gebraucht werden und sauber configuriert und die sind up-to-date.
Gilt genauso für die Dockercontainer.
damit hat sich eigentlich das mit der Firewall erledigt -> wird nicht gebraucht (als "Schutz" für den Raspi)
Ansonsten ist die Firewall auch wieder ein weiterer angreifbarer Dienst auf der Kiste.
Angriff als relay setzt voraus dass dazu ein Dienst rennt, der das möglich macht - und der eh freigeschaltet ist!
Quasi ein "kaputter" Dienst.
Raspi ist ja nicht mit Windows, wo nicht ganz klar ist welcher Dienst gerade "nach Hause" - wo ist das ?? - telefoniert.
Firewall für den Netzschutz ist ja ein ganz anderes Thema.
Fred
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
How can I mark a post as solved?
How can I mark a post as solved?
