Verständniss: Firewall ohne deny-all sicher?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
tzepf
Beiträge: 14
Registriert: 19 Jun 2008, 14:34

Verständniss: Firewall ohne deny-all sicher?

Beitrag von tzepf »

Hallo zusammen,

ich bin am überlegen ob ich meiner Firewall im 1611+ eine Deny-all Regel spendiere.

Ich wollte nur wissen, ob denn das sinnvoll ist wenn ich die Firewall nur einsetzen will, um Angriffe von außen abzublocken. von innen soll eigentlich fast alles erlaubt sein.

Sorgt SPI nicht dafür, das von außen sogut wie kein Zugriff möglich ist?

Bin Anfänger in Sachen Firewall Konfiguration, deswegen sind meine Fragen vielleicht auch zu blöd :-)

Viele Grüße
Tobias Zepf
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi tzepf
Sorgt SPI nicht dafür, das von außen sogut wie kein Zugriff möglich ist?
nein! SPI sorgt "nur" dafür, daß die Regeln richtungsabhängig sind und daß jede Session einzeln nachgehalten wird. Wenn du keine Deny-All Regel hast, dann greift die implizite "Allow-All" Regel.

Natrürlich hilft dir aber schon die Maskierung auf der Defaultroute, daß nicht einfach alles durchkommt - dicht ist das aber nicht:

Wenn du von innen eine Session geöffnet hast, dann wird sie von der Maskierung auf einen Port gemappt. Auf diesen Port kann von aussen ain Angreifer Pakete senden, die von der Maskierung auch "brav" nach innen weitergeleitet werden.

Hier greift nun die Firewall - aber nur wenn du eine Deny-All-Regel hast

Gruß
Backslash
tzepf
Beiträge: 14
Registriert: 19 Jun 2008, 14:34

Beitrag von tzepf »

Ah, jetzt verstehe ich die funktionsweise etwas besser. danke für den hinweis :-)
Enno26
Beiträge: 117
Registriert: 26 Sep 2006, 09:27

Beitrag von Enno26 »

Kann ich den sicherheitsstatus eines Lancoms ohne Deny All regel mit dem eines Privatkunden Routers von der Telekom oder AVM vergleichen. Diese Arbeiten ja auch nicht mit einer Deny All Strategie?
Greetz
Enno
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi Enno26

im Prinzip ja, denn dann hast du halt nur noch die Maskierung, die zumindest ein bischen Schutz liefert.

Etwas höher ist der Schutz dann doch noch, weil die Firewall im LANCOM z.B. FTP oder IRC auf bestimmte Protokollverletzungen prüft und es auch nicht möglich ist, mit manipulierten URLs ein FTP vorzugaukeln um einen Port öffnen zu können...

Eine solche URL sähe z.B. so aus: http://boeserserver.hackerdomain.de:21/xxxxxxx ... xxxPORT 192,168,1,10,0,137

Sehr einfach getrickte Maskierungen öffnen bei einer passenden Anzahl von 'x' (oder sonstigen Zeichen) den Port 137 wodurch sich dein Rechner dann fernsteuern liesse.

Gruß
Backslash
Enno26
Beiträge: 117
Registriert: 26 Sep 2006, 09:27

Beitrag von Enno26 »

Vielen Dank für die schnelle Antwort, habe mit der Deny All regel nämlich teilweise erhebliche Probs bei bestimmten Anwendungsszenarien. Wenn ich mir durch das nicht verwenden nun kein offenes Scheunentor hier hinstelle würde mir das, da eh nur Privat verwendet, völlig reichen.
greetz
enno
Antworten