Hallo zusammen,
ich bin am überlegen ob ich meiner Firewall im 1611+ eine Deny-all Regel spendiere.
Ich wollte nur wissen, ob denn das sinnvoll ist wenn ich die Firewall nur einsetzen will, um Angriffe von außen abzublocken. von innen soll eigentlich fast alles erlaubt sein.
Sorgt SPI nicht dafür, das von außen sogut wie kein Zugriff möglich ist?
Bin Anfänger in Sachen Firewall Konfiguration, deswegen sind meine Fragen vielleicht auch zu blöd
Viele Grüße
Tobias Zepf
Verständniss: Firewall ohne deny-all sicher?
Moderator: Lancom-Systems Moderatoren
Hi tzepf
Natrürlich hilft dir aber schon die Maskierung auf der Defaultroute, daß nicht einfach alles durchkommt - dicht ist das aber nicht:
Wenn du von innen eine Session geöffnet hast, dann wird sie von der Maskierung auf einen Port gemappt. Auf diesen Port kann von aussen ain Angreifer Pakete senden, die von der Maskierung auch "brav" nach innen weitergeleitet werden.
Hier greift nun die Firewall - aber nur wenn du eine Deny-All-Regel hast
Gruß
Backslash
nein! SPI sorgt "nur" dafür, daß die Regeln richtungsabhängig sind und daß jede Session einzeln nachgehalten wird. Wenn du keine Deny-All Regel hast, dann greift die implizite "Allow-All" Regel.Sorgt SPI nicht dafür, das von außen sogut wie kein Zugriff möglich ist?
Natrürlich hilft dir aber schon die Maskierung auf der Defaultroute, daß nicht einfach alles durchkommt - dicht ist das aber nicht:
Wenn du von innen eine Session geöffnet hast, dann wird sie von der Maskierung auf einen Port gemappt. Auf diesen Port kann von aussen ain Angreifer Pakete senden, die von der Maskierung auch "brav" nach innen weitergeleitet werden.
Hier greift nun die Firewall - aber nur wenn du eine Deny-All-Regel hast
Gruß
Backslash
Hi Enno26
im Prinzip ja, denn dann hast du halt nur noch die Maskierung, die zumindest ein bischen Schutz liefert.
Etwas höher ist der Schutz dann doch noch, weil die Firewall im LANCOM z.B. FTP oder IRC auf bestimmte Protokollverletzungen prüft und es auch nicht möglich ist, mit manipulierten URLs ein FTP vorzugaukeln um einen Port öffnen zu können...
Eine solche URL sähe z.B. so aus: http://boeserserver.hackerdomain.de:21/xxxxxxx ... xxxPORT 192,168,1,10,0,137
Sehr einfach getrickte Maskierungen öffnen bei einer passenden Anzahl von 'x' (oder sonstigen Zeichen) den Port 137 wodurch sich dein Rechner dann fernsteuern liesse.
Gruß
Backslash
im Prinzip ja, denn dann hast du halt nur noch die Maskierung, die zumindest ein bischen Schutz liefert.
Etwas höher ist der Schutz dann doch noch, weil die Firewall im LANCOM z.B. FTP oder IRC auf bestimmte Protokollverletzungen prüft und es auch nicht möglich ist, mit manipulierten URLs ein FTP vorzugaukeln um einen Port öffnen zu können...
Eine solche URL sähe z.B. so aus: http://boeserserver.hackerdomain.de:21/xxxxxxx ... xxxPORT 192,168,1,10,0,137
Sehr einfach getrickte Maskierungen öffnen bei einer passenden Anzahl von 'x' (oder sonstigen Zeichen) den Port 137 wodurch sich dein Rechner dann fernsteuern liesse.
Gruß
Backslash