Verständniss: Firewall ohne deny-all sicher?

tzepf · Beitrag von **tzepf** » 25 Jun 2008, 14:12

Hallo zusammen,

ich bin am überlegen ob ich meiner Firewall im 1611+ eine Deny-all Regel spendiere.

Ich wollte nur wissen, ob denn das sinnvoll ist wenn ich die Firewall nur einsetzen will, um Angriffe von außen abzublocken. von innen soll eigentlich fast alles erlaubt sein.

Sorgt SPI nicht dafür, das von außen sogut wie kein Zugriff möglich ist?

Bin Anfänger in Sachen Firewall Konfiguration, deswegen sind meine Fragen vielleicht auch zu blöd

Viele Grüße
Tobias Zepf

backslash · Beitrag von **backslash** » 25 Jun 2008, 18:29

Hi tzepf

Sorgt SPI nicht dafür, das von außen sogut wie kein Zugriff möglich ist?

nein! SPI sorgt "nur" dafür, daß die Regeln richtungsabhängig sind und daß jede Session einzeln nachgehalten wird. Wenn du keine Deny-All Regel hast, dann greift die implizite "Allow-All" Regel.

Natrürlich hilft dir aber schon die Maskierung auf der Defaultroute, daß nicht einfach alles durchkommt - dicht ist das aber nicht:

Wenn du von innen eine Session geöffnet hast, dann wird sie von der Maskierung auf einen Port gemappt. Auf diesen Port kann von aussen ain Angreifer Pakete senden, die von der Maskierung auch "brav" nach innen weitergeleitet werden.

Hier greift nun die Firewall - aber nur wenn du eine Deny-All-Regel hast

Gruß
Backslash

tzepf · Beitrag von **tzepf** » 25 Jun 2008, 18:35

Ah, jetzt verstehe ich die funktionsweise etwas besser. danke für den hinweis

Enno26 · Beitrag von **Enno26** » 16 Jul 2008, 17:38

Kann ich den sicherheitsstatus eines Lancoms ohne Deny All regel mit dem eines Privatkunden Routers von der Telekom oder AVM vergleichen. Diese Arbeiten ja auch nicht mit einer Deny All Strategie?
Greetz
Enno

backslash · Beitrag von **backslash** » 16 Jul 2008, 17:58

Hi Enno26

im Prinzip ja, denn dann hast du halt nur noch die Maskierung, die zumindest ein bischen Schutz liefert.

Etwas höher ist der Schutz dann doch noch, weil die Firewall im LANCOM z.B. FTP oder IRC auf bestimmte Protokollverletzungen prüft und es auch nicht möglich ist, mit manipulierten URLs ein FTP vorzugaukeln um einen Port öffnen zu können...

Eine solche URL sähe z.B. so aus: http://boeserserver.hackerdomain.de:21/xxxxxxx ... xxxPORT 192,168,1,10,0,137

Sehr einfach getrickte Maskierungen öffnen bei einer passenden Anzahl von 'x' (oder sonstigen Zeichen) den Port 137 wodurch sich dein Rechner dann fernsteuern liesse.

Gruß
Backslash

Enno26 · Beitrag von **Enno26** » 16 Jul 2008, 18:04

Vielen Dank für die schnelle Antwort, habe mit der Deny All regel nämlich teilweise erhebliche Probs bei bestimmten Anwendungsszenarien. Wenn ich mir durch das nicht verwenden nun kein offenes Scheunentor hier hinstelle würde mir das, da eh nur Privat verwendet, völlig reichen.
greetz
enno