Modem ohne Router gefährlich? Thomson Kabelmodem THG540K

Deutsch (German) Netzwerk
#1

Hi Leute!

Bin seit heute bei Kabel Deutschland als Anbieter. Ich war mir bisher darüber nicht bewusst, dass statt eines Routers (wie beim DSL) zunächst nur ein Modem angeschlossen wird … Nun, ich probiere den Netzzugang gerade ohne den mitgelieferten Router, und es funktioniert hervorragend.

Ist es aber OK angesichts drohender Angriffe aus dem Netz, den Router wegzulassen?

Noch was: Ich kann openSuSE nicht updaten. Hängt das damit zusammen?

##########

  • Notebook: Lenovo G530 4446-25G — Dualboot: (1) Windows 7 32bit; (2) openSUSE 11.4 (i586), Kernel: Linux 2.6.37.1-1.2-default i686, KDE 4.6.00 (4.6.0) “release 6”
#2

Ist es aber OK angesichts drohender Angriffe aus dem Netz, den Router wegzulassen?

Ich würde es nicht machen.

Noch was: Ich kann openSuSE nicht updaten.

??? Das heißt jetzt was genau? Etwas spärliche Aussage.

Dietger

#3

Schei…benkleister. Das heißt, auf meine kleinen Stellplatzbereich noch einen Router zusätzlich inklusive dessen Stromverbrauch. Naja, da war DSL doch irgendwie komfortabler.

Gibt es eine Software, die die Routerfunktion irgendwie ausgleicht?

Zum Update-Prozess

KPackageKit

Es trat ein (möglicherweise temporäres) Problem beim Verbinden mit einer Softwarequelle auf.
Weitere Informationen können dem ausführlichen Fehlerbericht entnommen werden.


Details:


Es trat ein (möglicherweise temporäres) Problem beim Verbinden mit einer Softwarequelle auf. Weitere Informationen können dem ausführlichen Fehlerbericht entnommen werden.
Download (curl) error for 'http://download.opensuse.org/repositories/openSUSE:/11.4:/Contrib/standard/repodata/repomd.xml':
Error code: Connection failed
Error message: Couldn't resolve proxy 'HTTP_PROXY'
#4
  • ThJJackson wrote, On 04/06/2011 09:36 PM:
    >
    > Schei…benkleister. Das heißt, auf meine kleinen Stellplatzbereich noch
    > einen Router zusätzlich inklusive dessen Stromverbrauch. Naja, da war
    > DSL doch irgendwie komfortabler.
    >
    > Gibt es eine Software, die die Routerfunktion irgendwie ausgleicht?

Sicher? Wenn Du Deinen PC direkt ans Modem stöpselst, bekommt er dann eine routbare IP vom Modem? Oder bekommt er eine aus einem der prvaten Netze?

Grundsätzlich geht es auch mit einer “offiziellen” IP. Du solltest dann aber auf jeden Fall die SuSEfirewall benutzen.
Was fehlt, ist der Schutz, den NAT bietet, indem es Deine interne IP verbirgt. Machbar ist das auf jeden Fall.
Ich frag mich allerdings, was so ein Router an Strom verbraucht und ob man das nicht einfach in Kauf nehmen kann.

> Zum Update-Prozess
>

Mach bitte dafür einen separaten Thread im Installation/administration-Forum auf.

Gruß
Uwe

#5

Hi Uwe! Danke für die Antwort.

Wie überprüfe ich das mit der routbaren IP?
(Anm.: Das Thomson-Kabelmodem bleibt Eigentum von Kabel Deutschland. Leider habe ich dazu auch keine Bedienungsanleitung erhalten.)

Und: Muss ich den Firewall manuell aktivieren?

Zum Update: Update 11.4 fails / schlägt fehl

##########

  • Notebook: Lenovo G530 4446-25G — Dualboot: (1) Windows 7 32bit; (2) openSUSE 11.4 (i586), Kernel: Linux 2.6.37.1-1.2-default i686, KDE 4.6.00 (4.6.0) “release 6”
#6

Vergesse einfach Softwarefirewalls. Klemme den Router an und mache unter Sicherheitseinstellungen bei NAT einen Haken, ein Kreuz oder was dahin kommt. Dann bist Du auf der sicheren Seite.
Eine Anleitung wird sich ja wohl mittels Google im Internet finden lassen.
Im Telekomforum habe ich mal eine nette Antwort des Telekomteams zum Thema Softwarefirewall gelesen welche ungefähr so lautete:
Wer eine Softwarefirewall zum Absichern seines Rechners einsetzt kann genau so gut eine Aldi-Plastiktasche als Kondom benutzen. Der Sicherheits- und Lustgewinn ist in beiden Fällen etwa gleich. :wink:

Dietger

#7

Ein Suchergebnis von mehreren für “NAT Sicherheit” unter google.

NAT verursacht zwei Dinge: Erstens verhindert NAT, dass jemand von außen die Struktur eines internen Netzes erkennt. Doch es stellt sich unter dem Sicherheitsaspekt die Frage: Inwiefern ist die Topologie Ihres Netzes für einen Angreifer überhaupt wichtig? Was hat ein Angreifer davon, wenn er die Topologie Ihres Netzes kennt? Und hätten Sie kein NAT, käme ein Angreifer dann wirklich so einfach an die Informationen zur Netztopologie? Der Aufwand ist auch ohne NAT dafür nämlich ziemlich groß – also viel Aufwand für wenig Nutzen.

Aber nehmen wir dennoch mal an, die Topologie Ihres Netzes wäre höchst vertraulich. **Ist NAT dann wirklich das richtige Mittel, diese Information zu schützen? **Ich behaupte: Nein, NAT ist dafür unzureichend. Denn Informationen über die Topologie Ihres Netzes können auch durch viele Seitenkanäle sickern. Am deutlichsten wird dies in Mailheadern.

Zum zweiten Punkt, der oft als Argument für NAT angeführt wird: Es erschwert es NAT einem Angreifer, ins Netz einzudringen: Dies verhindert nämlich die Status-Tabelle, die der Router für dynamisches NAT benötigt. Sie funktioniert ähnlich der State Table einer Firewall, die unbekannte Pakete nicht durchlässt. Da jedoch heutzutage jeder billige WAN-Router eine Statefull Firewall eingebaut hat – die mehr leistet –, ist NAT für diesen Zweck einfach unnötig.

http://www.all-about-security.de/kolumnen/cissp-gefluester/artikel/10327-nat-bringt-keine-sicherheit/
Dieser Stellungnahme nach wäre der statefull firewall das Entscheidende eines Routers …

vgl. auch
http://betrieblicher-datenschutz-extern.de/artikel/paketfilter-nat-router-sicherheit
http://differentia.wordpress.com/2010/11/28/nat-ist-kein-sicherheitsfeature-bemerkungen-zu-kristian-kohntopp/

#8

Dieser Stellungnahme nach wäre der statefull firewall das Entscheidende eines Routers …

Kann man so sehen und genau das ist ja auch in in modernen Routern in NAT implementiert.
Wenn NAT eingeschaltet ist ist es die Statefull Firewall auch.

Dietger

#9
  • ThJJackson wrote, On 04/08/2011 09:36 PM:
    > Wie überprüfe ich das mit der routbaren IP?

Als root, ifconfig aufrufen.
Ist die IP aus einem privaten Bereich, arbeitet dein Kabelmodem als Router.
http://de.wikipedia.org/wiki/Private_IP-Adresse

Die Firewall startest DU einfach per Yast, Benutzer und Sicherheit o.s.ä.
HTH
Uwe

#10

Ausgabe ist folgendes:

$ sudo -i
§ ifconfig

eth0      Link encap:Ethernet  HWaddr xx:yy:zz:aa:bb:cc  
          inet addr:178.xxx.xxx.xxx  Bcast:178.xxx.xxx.xxx  Mask:255.255.248.0
          inet6 addr: ...] 4 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3268 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:8116812 (7.7 Mb)  TX bytes:355343 (347.0 Kb)
          Interrupt:17

Das heißt dann wohl, dass die Konfiguration ungünstig ist, weil Adressbereich 178… :frowning:

#11
  • ThJJackson wrote, On 04/12/2011 06:36 PM:
    > Das heißt dann wohl, dass die Konfiguration ungünstig ist, weil
    > Adressbereich 178…:frowning:

Yep.
Wie gesagt, das ist nicht per se schlimm. Konfigurier Deinen PC so, dass nichts an Netzwerkdiensten läuft, was nicht laufen muss und lass die Firewall an.
Ich würde einen Router benutzen. Kostet wenig und frisst fast keinen Strom. Außerdem schläft meine Katze gern drauf :slight_smile:

Gruß
Uwe