Netzwerk-Router mit Firewall - soll sicher sein

Hallo Forum,

ich bin auf der Sucher nach einem Netzwerkrouter mit Firewall der meinen Zugang absichern soll.

Mein Rechner ist mit einem TV Kabel-Modem nach draußen verbunden. Momentan erledigt die Suse-Firewall die Abwehr.
Welche Hardware-Firewall bietet eine hohe Sicherheit? Oder braucht das ein Linux-Rechner nicht?

Ich habe einige Pro/Contra zu Soft-/Hardware-Firewalls gelesen.
Wenn ich richtig verstanden habe erledigt die Hardware-Firwall die Paketkontrolle nur von außen nach innen, die Software-Firewall den Transfer im internen Netzwerk und die Annahme der Daten-Pakete von außen.
Wäre dann eine Software-Firewall sicherer?
Kann man die Hardware-Firewall noch zusätzlich mit einer Software-Firewall kombinieren und wäre das dann die sicherste Variante?

Wer hat eine Empfehlung für ein kleines Heimnetzwerk?

Eine “Hardware-Firewall” ist in der Regel nichts anderes als ein kleines Linux-System + Iptables. Also genau das selbe wie die Suse-Firewall. Wie sicher die Firewall ist, hängt davon ab wie du Iptables konfigurierst bzw. wie die GUI das für die das für dich übernimmt. (Iptables kann theoretisch sowohl eingehende als auch ausgehende Verbindungen blockieren.)

Die Suse-Firewall macht ihre Sache eigentlich ganz gut. Unter den 2 Bedingungen würde ich mir einen Router+Firewall anschaffen:

  • Du betreibst mehr als einen Rechner in deinem Netzwerk. In dem Fall möchtest du vermutlich Daten zwischen deinen Rechnern austauschen, die nicht unbedingt im Internet landen sollen. In dem Fall erleichtert ein Router die Arbeit, da du dann nur eine Firewall zwischen Internet und Heimnetzwerk hast deine Rechner untereinander uneingeschränkt sind.
  • Auf deinem Rechner läuft (gelegentlich) Windows. Windows hat kein Iptables und der Windows-Firewall würde ich nicht vertrauen …

Hallo,

danke für die ausführliche Antwort.:wink:

Nur noch eine Sache, bei der ich mir nicht ganz sicher bin:
Kann man die Software-Firewall bedenkenlos eingeschaltet lassen, wenn dann der Router mit Hardware-Firewall dazu kommt?

On 11.02.2013 13:26, Fruchtratte wrote:
>
> Eine “Hardware-Firewall” ist in der Regel nichts anderes als ein kleines
> Linux-System + Iptables. Also genau das selbe wie die Suse-Firewall. Wie
> sicher die Firewall ist, hängt davon ab wie du Iptables konfigurierst
> bzw. wie die GUI das für die das für dich übernimmt. (Iptables kann
> theoretisch sowohl eingehende als auch ausgehende Verbindungen
> blockieren.)
>
> Die Suse-Firewall macht ihre Sache eigentlich ganz gut. Unter den 2
> Bedingungen würde ich mir einen Router+Firewall anschaffen:
> - Du betreibst mehr als einen Rechner in deinem Netzwerk. In dem Fall
> möchtest du vermutlich Daten zwischen deinen Rechnern austauschen, die
> nicht unbedingt im Internet landen sollen. In dem Fall erleichtert ein
> Router die Arbeit, da du dann nur eine Firewall zwischen Internet und
> Heimnetzwerk hast deine Rechner untereinander uneingeschränkt sind.
> - Auf deinem Rechner läuft (gelegentlich) Windows. Windows hat kein
> Iptables und der Windows-Firewall würde ich nicht vertrauen …
>

+1 :slight_smile:

und wenn du (OP) tatsächlich ein extra Gerät als Firewall
einsetzen willst, hier meine Empfehlung: Untangle. Gibt es in
einer freien Version, die völlig ausreicht. Gut dokumentiert;
sehr gute Filterfunktionen, die auch den Inhalt betreffen; bequem
über ein Webinterface zu administrieren.

Christoph


email:
nurfuerspam → gmx
de → net

Hallo,

@Christoph Schmees
danke für den speziellen Tip.

Überblick: Untangle Gateway 9.2 mit Applikations-Kontrolle - Firewall und Gateway | TecChannel.de

Untangle ist eine Firewall- und Gateway-Distribution. Das Betriebssystem benötigt aus diesem Grund mindestens zwei Netzwerkkarten. Eine wird dem internen und einem dem externen Netzwerk, was auch der Zugang zum Internet ist, zugewiesen.
Die Distribution ist nicht komplett frei. Sie können Abbilder für die Architekturen x86 und x86_64 herunterladen und kostenpflichtige Applikationen und Pakete kommen mit einer Evaluierungszeit von 14 Tagen. Der Applikations-Inspektor ist zum Beispiel im Premium-Paket erhältlich. Dieses fängt bei einem bis zehn Rechnern bei 540 US-Dollar pro Jahr an.

Hardware Requirements - UntangleWiki

Ja, ist aber ein bisschen wie 2 Haustüren mit gleichem Schloss hintereinander einzubauen. Viel sicherer macht es die 2. Haustür auch nicht …

@Christoph: Zeichensatz bitte auf UTF-8 umstellen :wink:

On 12.02.2013 12:36, Fruchtratte wrote:
>
> su_lin_user;2526311 Wrote:
>>
>> Kann man die Software-Firewall bedenkenlos eingeschaltet lassen, wenn
>> dann der Router mit Hardware-Firewall dazu kommt?
>
> Ja, ist aber ein bisschen wie 2 Haustüren mit gleichem Schloss
> hintereinander einzubauen. Viel sicherer macht es die 2. Haustür auch
> nicht …
>
> @Christoph: Zeichensatz bitte auf UTF-8 umstellen :wink:
>

ähm - habe ich, schon länger. In den “Eigenschaften” aller
opensuse Foren habe ich ausdrücklich UTF-8 als gewünschte
Kodierung stehen. Aber TB neigt zu Eigenmächtigkeit und verstellt
die Kodierung immer wieder. Ich habe noch nicht herausgefunden,
woran das liegt. :slight_smile:

Christoph


email:
nurfuerspam → gmx
de → net

Ich halte das offengestanden alles für übertrieben. Firewalls sind eine schicke Sache, wenn man ein wirkliches Netz mit DMZen u.ä. absichern muss und dabei Dienste nach außen anbieten will. Dann sollte man aber auch genau wissen, was man tut.

Für den Heimbetrieb reicht es völlig aus, einen normalen Internet-Router an das Kabelmodem zu hängen und UPnP abzuschalten. Das Ding lässt, wenn man kein Portforwarding einschaltet, rein gar nichts rein und alles raus, was kommunizieren muss. DNS/DHCP sind gleich dabei, eventuell kann man auch noch eine externe Festplatte als NAS anstöpseln.
Mit anderen Worten: Fritzbox (o.ä.) kaufen, Netzwerkkabel vom Kabelmodem in Port 1 der Box, die anderen PCs an die anderen Kabel, fertig.

Gruß
Uwe

Hallo,

danke für die zahlreichen und guten Ratschäge.

@buckesfeld und Fruchtratte
es ist auf jeden Fall schon mal beruhigend zu wissen, dass man mit der SUSE-Firewall nichts befürchten muss.:wink:

Ich habe mir die Fritzbox angesehen, und sie macht einen guten Eindruck mit seinen vielen durchdachten Funktionen.
Vor allen Dingen wird unter Betriebssytemunterstützung auch an LInux gedacht.

Leider ist es mir von meinem Kabelanbieter nicht gestattet ein eigenes Kabelmodem zu benutzen.
Also würde ich die Fritzbox nur als Router verwenden können. Das Kabelmodem der Fritzbox müsste dann aber abschaltbar sein.
Außerdem habe ich auch schon gelesen, dass nicht jedes Kabelmoden (mit Router) an jedem Kabelnetz mit Sicherheit läuft (anders wie bei DSL), da es keinen einheitlichen Standart gibt ! **
Ob dann der Fritzbox Router allein (also ohne Verwendung des Kabelmodem) funktionieren würde
?**

Ich habe mich nach alternativen Routern (also ohne Modemfunktion) umgesehen.
Mittelklasse-Router haben dabei meistens eine eigene Firewall. Manchmal nur eine sog. NAT (Network Address Translation), was allein eigentlich keine Firewall, im vollwertigen Sinn ist. Zusätzlich sind auch oft schon SPI (Stateful Packet Inspection), Paketfilter (packet filtering) und Generischer Proxy integriert. Und Ping-Block noch nebenbei. Was dann schon eine gute Ausstattung darstellt.
Kann ich davon ausgehen, dass jeder Router in jedem Fall in Verbindung mit Linux läuft, auch wenn bei “erforderliches Betriebssystem” nur Windows 7 angegeben ist **?
[size=2][size=2]Z.B.[/size][/size] D-Link DIR-845L N600 SmartBeam Router.
[size=2]Es wird wohl so sein, dass nur gewohnheitsmäßig bei Betriebssystemunterstützung an Windows gedacht wird,
obwohl die Funktionsfähigkeit nicht vom Betriebssytem abhängig ist und somit in Verbindung mit allen Betriebssytemen funktioniert.(!?)[/size]
[size=2]

[/size]**[size=2]Ein USB[size=2]-Anschluss wäre für einen nicht netzwerkfähigen Drucker nicht schlecht, um den Drucker [size=2]unabhängig von überall aus zu erreichen.[size=3][size=2]
Auch kann man daran ein[size=2] Laufwerk anh[size=2]ängen, dass vo[size=2]n allen im Netzwerk unabhängig genutzt werden könnte.[/size][/size][/size][/size][/size][/size][/size][/size]

On 12.02.2013 22:46, su lin user wrote:
>…
> ROUTER) AN JEDEM KABELNETZ MIT SICHERHEIT LäUFT (ANDERS WIE BEI DSL),
> DA ES KEINEN EINHEITLICHEN STANDART GIBT *! *

ach, keine Standarte? Oder meintest du Standard?
Und weshalb schreist du?

> OB DANN DER FRITZBOX ROUTER ALLEIN (ALSO OHNE VERWENDUNG DES
> KABELMODEM) FUNKTIONIEREN WüRDE* ?

ja, das können fast alle Router, bis auf Billigkrempel wie Belkin
und Konsorten.

> .
> Kann ich davon ausgehen, dass jeder Router in jedem Fall in Verbindung
> mit Linux läuft, auch wenn bei “erforderliches Betriebssystem” nur
> Windows 7 angegeben ist **?

ja, natürlich. Bei “erforderliches Betriebssystem” geht es nur um
die Unterlage für die ohnehin völlig überflüssigen SW-Beigaben.
Die Router-Hersteller scheinen überwiegend davon auszugehen, dass
der Benutzer zu blöd ist, den Router per Browser zu
konfigurieren. Deshalb legen sie zusätzliche SW (nur für Windows)
bei.

>
> *Ein USB-Anschluss wäre für
> einen nicht netzwerkfähigen Drucker nicht schlecht, um den Drucker
> unabhängig von überall aus zu erreichen.

Vorsicht: Genau hinsehen, ob es ein USB-Fernanschluss ist
(normal) oder ein vollwertiger Printserver eingebaut (selten)!
ein USB-Fernaschluss ist das Übliche; der braucht sepzielle SW,
die es nur für Windows gibt. Und jeweils nur ein Computer kann
den USB-Fernaschluss exklusiv benutzen. Erst wenn der ihn
freigibt, kann ein anderer ran.

> Auch kann man daran ein Laufwerk anhängen, dass
> von allen im Netzwerk unabhängig genutzt werden
> könnte.
>

Ja, das ist eine feine Sache. Aber auch hier wieder genau
hinsehen: Kann der Router mit anderen Dateisystemen als FAT32
umgehen? Wenn nicht, bist du bei der Dateigröße auf 4GB
eingeschränkt und bei der sinnvollen Plattengröße auch.
Andererseits, für kleine Datenmengen reicht das. Beispielsweise
habe ich gemeinsame Kalender, die von allen Arbeitsplätzen
zugreifbar sein sollen, auf so einer Platte an der Fritzbox liegen.

Christoph


email:
nurfuerspam → gmx
de → net

**

Hallo,

Christoph Schmees;2526838]On 12.02.2013 22:46, su lin user wrote:
>Außerdem habe ich auch schon gelesen, dass nicht jedes Kabelmoden (mit Router) an jedem Kabelnetz mit Sicherheit läuft (anders wie bei DSL), da es keinen einheitlichen Standart gibt **!
**
ach, keine Standarte? Oder meintest du Standard?
Und weshalb schreist du?

Vielen dank noch mal für die Beantwortung meiner Verständnislücken. Also Standart mit weichem “t”;).
Das mit dem Schreien war eigentlich eher für’s Auge als für’s Ohr, sozusagen als Markierung dafür , dass es mir wichtig scheint ;).

Ich glaube ich habe erfahren, was ich wollte.
Die Fritzbox hat viele gute Funktionen und ist technisch up to date.
Vor allem die Option Fax to e-mail würde mir sehr entgegen kommen, da mir sonst keine andere Möglichkeit bekannt ist, mit Linux zu faxen außer man hat ein extra Fax-Gerät.
Leider muss ich auf das DSL/Kabel-Modem im Gerät verzichten und kann es deshalb nicht wirklich ausnützen.

Ich werde deshalb noch mal über weitere Möglichkeiten nachdenken. Kabel-Deut. und Unitymedia bieten ein Fitz Kabelmodem an, aber nur gemietet - mein Kabelanbieter nicht.

  • su lin user wrote, On 02/12/2013 10:46 PM:

> ICH HABE MIR DIE FRITZBOX ANGESEHEN, UND SIE MACHT EINEN GUTEN EINDRUCK
> MIT SEINEN VIELEN DURCHDACHTEN FUNKTIONEN.
> VOR ALLEN DINGEN WIRD UNTER BETRIEBSSYTEMUNTERSTüTZUNG AUCH AN LINUX
> GEDACHT.

Nu ja, auf dem Level braucht man sich über Betriebssysteme keine Gedanken zu machen.

> LEIDER IST ES MIR VON MEINEM KABELANBIETER NICHT GESTATTET EIN EIGENES
> KABELMODEM ZU BENUTZEN.

Es gibt für Kabel eine Version der Fritzbox, die vom Kabelanbieter verteilt wird und statt des Modems eingesetzt wird. Macht z.B. Unitymedia. Die Box gibt es m.W. gar nicht im freien Handel.
Eine normale DSL-Fritzbox kabelst Du einfach über Port 1 des Switches an und sagst der Box, welchen Kabelanbieter Du hast. Du hast dann noch 3 Ethernetports für Endgeräte. Das war’s. Dein provider hat da nichts gegen. Im Fehlerfall wird er Dich natürlich bitten, einen PC direkt an das Kabelmodem zu hängen, kennt man ja von DSL zur Genüge.

> Kann ich davon ausgehen, dass jeder Router in jedem Fall in Verbindung
> mit Linux läuft, auch wenn bei “erforderliches Betriebssystem” nur
> Windows 7 angegeben ist **?

Ja. Das bezieht sich, wie andere schon sagten, nur auf die Softwaredreingaben für die Konfiguration, die sind in 99% der Fälle eh verzichtbar, weil man alles per Browser macht.

> *Ein USB-Anschluss wäre für
> einen nicht netzwerkfähigen Drucker nicht schlecht, um den Drucker
> unabhängig von überall aus zu erreichen.
> Auch kann man daran ein Laufwerk anhängen, dass
> von allen im Netzwerk unabhängig genutzt werden
> könnte.

Kann man mit der Fritzbox machen.
Wobei Drucker mit eingebautem Printserver auch nicht die Welt kosten, ich hab schon ewig einen HP für wenig Geld.

Gruß
Uwe
**