Firewall hinter Router?

Ich habe ein Funktnetz von Elsa, wobei schon im Router von Haus aus ein Firewall "eingebaut" ist. Ist es nun sinnvoll auf meinem Rechner nochmal einen Softwarefirewall extra zu installieren?
Ich habe es mal mit ZoneAlarm versucht - nach der Installation habe ich beim Selbsttest unter "scan.sygatetech.com" genau die gleichen ergebnisse wie ohne ZoneAlarm erhalten - die Ports wurden mit Closed angegeben und nicht als "stealth".

Setzt mein Router-Firewall den anderen außer Kraft? Und ist ZoneAlarm auf dem Rechner noch notwendig oder sinnvoll?

 

Hi Frederic,

vielen Dank für den Hinweis, das wusste ich tatsächlich nicht :-)
Ich war bisher der Meinung, es hinge alles vom Treiber der Karte ab.

Viele Grüße,
Toby

 

Hi Toby,

für Netzwerkkarten gibts eine Art Standard (PC99) von Intel/Microsoft, der die softwaremäßige Zuweisung einer anderen als der eingebrannten MAC (oder gar keiner, dann wird alles mitgelauscht) ermöglicht. Von IBM solls TokenRing-Karten geben, die das absichtlich nicht beherrschen und so insoweit wesentlich sicherere Netzwerke ermöglichen.

Gruß
frederic

 

Hi Frederic,

es gibt tatsächlich die Möglichkeit, in den Eigenschaften der Netzwerkkarte eine abweichende MAC-Adresse anzugeben (soweit ich gehört habe, soll das nicht bei jeder Karte Möglich sein, das hängt dann wohl vom Treiber ab?).

Bei einigen Routern z.B. gibt es auch die Möglichkeit, eine andere MAC-Adresse zu definieren. Das hat den Grund, daß (in den USA) einige Provider verlangen, daß sich der User mit seiner MAC-Adresse beim Gateway identifiziert - falsche MAC, kein Zugriff.

Ich denke mal, jemand könnte tatsächlich über eine gefälschte MAC-Adresse in ein Funklan zugreifen. Aber das setzt voraus, daß der Angreifer nicht nur eine zugelassene MAC-Adresse kennt und einstellen kann, sondern auch, daß der Rechner der die geklaute MAC-Adresse urspr. besitzt, gerade abgeschaltet ist. Ansonsten würden sich die beiden Rechner aufgrund der gleichen MAC-Adresse gegenseitig blockieren.

Du kannst das auch im Ethernet ausprobieren, indem Du einfach mal die MAC-Adresse einer anderen installierten Netzwerkkarte eingibtst. Eigentlich sollte dann keine funktionierende Kommunikation mehr möglich sein.

Viele Grüße,
Toby

 

Jetzt muß ich aber blöd fragen - die Spielchen, die mit den üblichen Netzwerkkarten im Promiscous Mode getrieben werden können, funktionieren dann nicht, weil diese Freischaltung nur die Empfangsfunktion und nicht die Sendefunktion betrifft? Und ists wirklich sicher, daß die MAC nicht auch sendeseitig durch Software abweichend von der Angabe im ROM bestimmt werden kann?

Gruß
frederic

 

Hallo,

bitte entschuldige die verspätete Antwort, ich war gerade beschäftigt.

Eine Möglichkeit, die Sicherheit im WLAN zu erhöhen ist, im Access-Point die MAC-Adressen der Clients einzutragen.

Bei der MAC- oder auch BURN-IN-Adresse handelt es sich um eine 48Bit größe eindeutige Kennzeichnung der Netzwerkkarte. Dabei sind 6 Byte dem Hersteller zugeordnet und weitere 6 Byte dem Netzwerkgerät. Jeder Hersteller hat also seine feste 6Byte große Kennung, die er für jedes Gerät um 6 individuelle Bytes erweitert. Diese Adresse ist unabänderlich im ROM des Netzwerkgerätes untergebracht.

Wenn man im Access-Point diese MAC-Adresse (steht auf der Karte auf einem Aufkleber, kann man aber auch mit \'ipconfig /all" abfragen) einträgt, verhindert dieser, daß sich Geräte mit unbekannter MAC-Adresse sich ins WLAN einloggen können.

Eine andere Möglichkeit besteht darin, die Verschlüsselung des Access-Points zu aktivieren. Funknetze nach dem Standard 802.11b (so heißt der von der IEEE verabschiedete Standard zum Funknetz) arbeiten mit einer Verschlüsselung von 40 bzw. 128 Bit auf Basis des RC4-Verfahrens. Je länger der Schlüssel ist, desto größer ist auch der Aufwand der betrieben werden muss, um diesen zu knacken. Allerdings ist auch die reine Rechenzeit, die notwendig ist, um die empfangenen Daten zu dekodieren bzw. die zu sendenden Daten zu kodieren umso größer, je länger der Schlüssel ist.

Da sich das RC4-Verfahren zum Standard entwickelt hat, können Produkte unterschiedlicher Hersteller miteinander kommunizieren. Damit nun die Ver- und Entschlüsselung der Daten klappt, muss der Schlüssel sowohl am Access-Point, als auch in der Software des Client eingestellt werden.

Inzwischen sind auch Geräte verfügbar, die für jede Übertragung einen Einmalschlüssel generieren, der anschließend seine Gültigkeit verliert. Damit ließ sich die Netzwerksicherheit nochmals steigern. Sollte jemand in Besitz eines solchen Einmalschlüssels sein, kann er nur eine einzige Übertragung abhören.

Viele Grüße,
Toby
[Diese Nachricht wurde von Toby am 08.05.2002 | 15:42 geändert.]

 

Weiß nicht, obs das ist was du meinst, aber da gabs mal einen interessanten Thread dazu. Forumssuche >> WLAN oder WEP

Gruß
frederic

 

Danke erstmal für deine Information, dabei hätte ich noch eine Frage die du gerade aufgeworfen hast - Ist eine 128 bit Verschlüssung im Funknetz sicher [mir ist kein Funknetz gesehen das mehr kann]?

 

Hallo,

durch den vorgeschalteten Router sind die darauf folgenden Geräte im Internet nicht sichtbar. Der Router leitet die Frames mittels NAT an die angeschlossenen Clients weiter:

Grundsätzlich bekommt der Router vom ISP bei dynamischer Adressvergabe während der Einwahl eine IP-Adresse mitgeteilt, über die er mit dem Internet kommuniziert.

Routing-Entscheidungen trifft ein Router grundsätzlich auf IP-Ebene, d.h. anhand der IP-Adressen. Da ein Router aber den Internerverkehr mehrerer Clients abwickeln muss, ihm selbst aber für den Internetverkehr nur die eine dynamische IP-Adresse des Providers zur Verfügung steht, verwaltet er hierzu eine NAT-Table, aus der er seine Informationen bezieht, um die Clients korrekt zu bedienen.

Das bedeutet konkret, daß Deine Rechner nicht direkt mit den Internet verbunden sind, sondern lediglich der Router als einziges Gerät im Internetverkehr aktiv auftritt.

Dadurch kann jemand bei Kenntnis Deiner IP-Adresse zumindest schon mal nicht auf Deinen Rechner zugreifen - also sind damit Portscanns (Suche nach aktiven Netzwerkdiensten) i.d.R. nicht möglich, er kann von außen den Router nicht überwinden, da dieser keinen passenden Eintrag in seiner NAT-Table finded und die Pakete des Angreifers somit verwirft (sofern Portforwarding deaktiviert ist). Das bedeutet immerhin schonmal eine gewisse "Grundsicherheit".

Eine Desktop-Firewall hingegen blockt z.B. nicht nur die Ports bekannter Trojaner, sondern filtert den Netzwerkverkehr auch nach anderen Informationen, enthält also Mehrwertdienste, die die Router-Firewall erst ab einer bestimmten Preisklasse bieten kann.

Norton Internet Security Family Edition z.B. enthält noch einen Content-Filter, mit dem Du den Aufruf nicht jugendfreier Inalte verhindern kannst, oder einen Werbefilter, der (zumindest theoretisch) Werbung rausfiltern soll.

Allerdings ist es echte Arbeit, so eine Firewall zu konfigurieren (man muss sämtliche Filtereinstellungen definieren und dann auch pflegen). Moderne Desktopfirewalls sind hier bereits etwas benutzerfreundlicher geworden. Am bekanntesten sind die Norton-Produkte, die McAfee-Firewall und die (kostenlose) Tiny Personal Firewall.

Häufig unterscheiden sich Firewalls aber erheblich im Leistungsumfang. Die genannten Desktopfirewalls sind alle regelbasierend, dh., sie treffen ihre Entscheidungen auf Grundlage der vom Benutzer definierten Regelsätze und fragen nach, wenn ein unbekanntes Programm versucht, eine Netzwerkverbindung herzustellen. Einige Firewalls verfügen zusätzlich noch über eine Sandbox, in der der Code ausgeführt und analysiert wird um Gefährdungen auszuschließen.

Das bedeutet, daß man eine Desktop-Firewall i.d.R. dann installiert, wenn man sich nicht hinter einem Router "vestecken" kann sondern selbst aktiv am Netzwerkverkehr teilnimmt, oder wenn man zwar hinter einem Router steckt, aber den abgehenden Datenverkehr trotzdem analysieren will. Es ist z.B. einfach nicht einzusehen, warum bestimmte Programme eine Verbindung ins Internet aufbauen sollen - trotzdem tun sie es aber. Das lässt sich mit einer Routerfirewall nicht verhindern, wohl aber mit der Desktopfirewall.

Bei einem Funknetz ist es übrigens wichtig, es gegen "Lauscher" abzusichern, weil hier die Voraussetzung des direkten Kontaktes mit dem physikalischen Übertragungsmedium - wie im klassischen Ethernet notwendig für eine Kommunikation ist - entfällt.

Viele Funknetze sind derart offen, daß jeder beliebige Teilnehmer mit relativ einfachen Mitteln in ein solches W-LAN eindringen kann.

Viele Grüße,
Toby
[Diese Nachricht wurde von Toby am 04.05.2002 | 00:27 geändert.]
[Diese Nachricht wurde von Toby am 04.05.2002 | 01:11 geändert.]

 

Hallo,
ich hatte hier im Forum die gleiche Frage gestellt.
Schau doch bitte mal unter der Rubrik "Vieren, Trojaner ..." auf den Artikel "Firewallproblem". Dort habe ich einige gute Hinweise bekommen. Vielleicht hilfts Dir Ja

Ciao
Uwe

 

Die Routerfirewall ist sicher einer Desktop-Lösung vorzuziehen. ZoneAlarm ist so oder so nicht empfehlenswert.