 |
|
|
|
| Autor |
Nachricht |
tzepf
Anmeldungsdatum: 19.06.2008
Beiträge: 14
|
 Verfasst am:
Mi 25 Jun, 2008 14:12 |
  |
|
Hallo zusammen,
ich bin am überlegen ob ich meiner Firewall im 1611+ eine Deny-all Regel spendiere.
Ich wollte nur wissen, ob denn das sinnvoll ist wenn ich die Firewall nur einsetzen will, um Angriffe von außen abzublocken. von innen soll eigentlich fast alles erlaubt sein.
Sorgt SPI nicht dafür, das von außen sogut wie kein Zugriff möglich ist?
Bin Anfänger in Sachen Firewall Konfiguration, deswegen sind meine Fragen vielleicht auch zu blöd 
Viele Grüße
Tobias Zepf |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 25 Jun, 2008 18:29 |
|
|
Hi tzepf
| Zitat:
|
|
Sorgt SPI nicht dafür, das von außen sogut wie kein Zugriff möglich ist?
|
nein! SPI sorgt "nur" dafür, daß die Regeln richtungsabhängig sind und daß jede Session einzeln nachgehalten wird. Wenn du keine Deny-All Regel hast, dann greift die implizite "Allow-All" Regel.
Natrürlich hilft dir aber schon die Maskierung auf der Defaultroute, daß nicht einfach alles durchkommt - dicht ist das aber nicht:
Wenn du von innen eine Session geöffnet hast, dann wird sie von der Maskierung auf einen Port gemappt. Auf diesen Port kann von aussen ain Angreifer Pakete senden, die von der Maskierung auch "brav" nach innen weitergeleitet werden.
Hier greift nun die Firewall - aber nur wenn du eine Deny-All-Regel hast
Gruß
Backslash |
|
|
|
|
tzepf
Anmeldungsdatum: 19.06.2008
Beiträge: 14
|
| Verfasst am:
Mi 25 Jun, 2008 18:35 |
|
|
Ah, jetzt verstehe ich die funktionsweise etwas besser. danke für den hinweis |
|
|
|
|
Enno26
Anmeldungsdatum: 26.09.2006
Beiträge: 113
|
| Verfasst am:
Mi 16 Jul, 2008 17:38 |
|
|
Kann ich den sicherheitsstatus eines Lancoms ohne Deny All regel mit dem eines Privatkunden Routers von der Telekom oder AVM vergleichen. Diese Arbeiten ja auch nicht mit einer Deny All Strategie?
Greetz
Enno |
_________________
Lancom 1722 VoIP, L54g |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 16 Jul, 2008 17:58 |
|
|
Hi Enno26
im Prinzip ja, denn dann hast du halt nur noch die Maskierung, die zumindest ein bischen Schutz liefert.
Etwas höher ist der Schutz dann doch noch, weil die Firewall im LANCOM z.B. FTP oder IRC auf bestimmte Protokollverletzungen prüft und es auch nicht möglich ist, mit manipulierten URLs ein FTP vorzugaukeln um einen Port öffnen zu können...
Eine solche URL sähe z.B. so aus: http://boeserserver.hackerdomain.de:21/xxxxxxx ... xxxPORT 192,168,1,10,0,137
Sehr einfach getrickte Maskierungen öffnen bei einer passenden Anzahl von 'x' (oder sonstigen Zeichen) den Port 137 wodurch sich dein Rechner dann fernsteuern liesse.
Gruß
Backslash |
|
|
|
|
Enno26
Anmeldungsdatum: 26.09.2006
Beiträge: 113
|
| Verfasst am:
Mi 16 Jul, 2008 18:04 |
|
|
Vielen Dank für die schnelle Antwort, habe mit der Deny All regel nämlich teilweise erhebliche Probs bei bestimmten Anwendungsszenarien. Wenn ich mir durch das nicht verwenden nun kein offenes Scheunentor hier hinstelle würde mir das, da eh nur Privat verwendet, völlig reichen.
greetz
enno |
_________________
Lancom 1722 VoIP, L54g |
|
|
|
|
|
|
|
| |
|
|
