itstrue
Goto Top

UFW im Heimnetzwerk sinnvoll?

Hallo,

würdet Ihr eine ufw Firewall auf einem Raspberry Pi aktivieren (drauf ist adguard, paar andere Docker Container) ?
Raspi hängt hinter der Fritzbox und ist NICHT von außen erreichbar. ist mein privates Netz ...

Danke

Content-ID: 21369302178

Url: https://administrator.de/contentid/21369302178

Ausgedruckt am: 24.11.2024 um 04:11 Uhr

radiogugu
radiogugu 20.12.2023, aktualisiert am 21.12.2023 um 07:08:39 Uhr
Goto Top
Nabend.

Das kommt auf dein eigenes Sicherheitsbedürfnis an.

Wenn da nur bestimmte Geräte dran sollen, dann kannst du die Firewall aktivieren und entsprechend eine Whitelist pflegen.

Der Adguard stellt für alle Netzwerkgeräte den DNS Forwarder ins Internet dar oder wie ist der Dienst konfiguriert?


Was kommt denn sonst zum Einsatz im Bereich Firewall/Router?

Edit:
Fritzbox überlesen face-sad

Gruß
Marc
Visucius
Visucius 20.12.2023 um 22:19:29 Uhr
Goto Top
Was kommt denn sonst zum Einsatz im Bereich Firewall/Router
Schreibt er doch: Ne stateful firewall
itstrue
itstrue 20.12.2023 um 22:36:06 Uhr
Goto Top
Adguard ist der DNS Forwarder fürs ganze Netz hinter Fritzbox, ja. Keinerlei Portweiterleitungen etc. Wenn ich von außen ins Heimnetzwerk will => Wireguard VPN über Fritzbox
Visucius
Visucius 21.12.2023 aktualisiert um 07:54:59 Uhr
Goto Top
Das kannst Du handhaben wie Du willst. Bedenke, dass z.B. die Windows-Clients üblicherweise auch die FW „oben haben“. Die Zahl der offenen Ports variiert hier zwischen „fremden/public“ und „vertrauensvollen/private“ Netzwerken. Das ginge gedanklich also so ein wenig in Richtung „zero trust“.

Wir hatten vor Jahren mal den Fall, dass die Business-Router der Telekom nach nem FW-Update „offen“ waren und die lokalen Geräte im Anschluss von „außen“ angreifbar.

Da hätte so ein dezentrale FW-Setup in der Theorie evtl Vorteile. In der Praxis haste aber trotzdem erstmal alle im Betrieb genutzten Ports offen (Admin, ggf. ssh, smb, …). Alleine damit, ist der Mehrwert also überschaubar. Und immer erst per ssh die ufw deaktivieren, bervor Du etwas veränderst kann je nach Gerät nervig sein.
aqui
aqui 21.12.2023 um 10:59:16 Uhr
Goto Top
würdet Ihr eine ufw Firewall auf einem Raspberry Pi aktivieren
Wenn überhaupt eine nftables Firewall denn die ist mittlerweile Default bei Bookworm.
Ist aber in der Regel überflüssiger Overhead wenn es ein Host in deinem eigenen lokalen und gesichterten LAN ist.
Letztlich ist es aber immer eine Frage DEINER persönlichen Sicherheits Policy die DU in deinem Netzwerk umsetzen willst. Niemand aus einem Forum kennt die und kann dir ergo diese Frage auch nie belastbar beantworten. Solche Fragen sind deshalb mehr oder minder generell sinnfrei ohne Rahmenbedingungen zu schildern.
10138557388
10138557388 21.12.2023 aktualisiert um 11:22:35 Uhr
Goto Top
Zitat von @aqui:

würdet Ihr eine ufw Firewall auf einem Raspberry Pi aktivieren
Wenn überhaupt eine nftables Firewall denn die ist mittlerweile Default bei Bookworm.
UFW ist nur ein Frontend für netfilter, das kann nftables als auch iptables als Backend verwenden ...
https://wiki.archlinux.org/title/Uncomplicated_Firewall

Ist aber in der Regel überflüssiger Overhead wenn es ein Host in deinem eigenen lokalen und gesichterten LAN ist.
Viele Angriffe finden erfahrungsgemäß aus dem eigenen Netz heraus statt, insofern gilt die Regel Zero Trust auch im LAN und dazu gehört auch das Abdichten der Hosts per Client-Firewall.

PJ.
5388706050
5388706050 21.12.2023 um 14:30:15 Uhr
Goto Top
Moin,

ich hab‘ die UFW auf dem pi-hole auch oben/aktiviert. Ist ja kaum Mehraufwand und im eigenen Netzwerk ist später ein nicht erreichbarer Port schnell diagnostiziert und die UFW angepasst.
Das Risiko scheint zwar gering, aber man weiß ja nie… 😉

Viel Erfolg
Visucius
Visucius 21.12.2023 um 15:02:24 Uhr
Goto Top
Viele Angriffe finden erfahrungsgemäß aus dem eigenen Netz heraus statt
Bei nem Heimnetz ist die Schar der Angreifer meist recht überschaubar 😂
10138557388
10138557388 21.12.2023 aktualisiert um 15:11:30 Uhr
Goto Top
Zitat von @Visucius:

Viele Angriffe finden erfahrungsgemäß aus dem eigenen Netz heraus statt
Bei nem Heimnetz ist die Schar der Angreifer meist recht überschaubar 😂
Es braucht sich nur ein einzelner Rechner im Netz infizieren und schon kann sich das blitzartig ändern und dann kommt der Angriff eben über diesen Host als Relay aus dem eigenen Netz 😉, das vergessen viele.
Visucius
Visucius 21.12.2023 aktualisiert um 15:15:25 Uhr
Goto Top
Also, ich vergesse das nicht.

Nur wenn der Angreifer aktiv schon auf meinem PC ist, habe ich andere Probleme als meinen Werbefilter 😏

Aber jeder wie er will. Die Frage ist ja nicht nur firewall unten/oben, sonder welche Ports noch offen bleiben.
fredmy
fredmy 22.12.2023 um 09:02:40 Uhr
Goto Top
Hallo,

Es braucht sich nur ein einzelner Rechner im Netz infizieren und schon kann sich das blitzartig ändern und dann kommt der Angriff eben über diesen Host als Relay aus dem eigenen Netz 😉, das vergessen viele.

Na ja, ich unterstelle einfach mal, daß der Raspi gut installiert ist!
d.h. es laufen nur Dienste, die auch wirklich gebraucht werden und sauber configuriert und die sind up-to-date.

Gilt genauso für die Dockercontainer.

damit hat sich eigentlich das mit der Firewall erledigt -> wird nicht gebraucht (als "Schutz" für den Raspi)
Ansonsten ist die Firewall auch wieder ein weiterer angreifbarer Dienst auf der Kiste.
Angriff als relay setzt voraus dass dazu ein Dienst rennt, der das möglich macht - und der eh freigeschaltet ist!
Quasi ein "kaputter" Dienst.

Raspi ist ja nicht mit Windows, wo nicht ganz klar ist welcher Dienst gerade "nach Hause" - wo ist das ?? - telefoniert.

Firewall für den Netzschutz ist ja ein ganz anderes Thema.

Fred
aqui
aqui 30.12.2023 um 12:40:41 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?