(Un-)Sinn einer HW-Firewall

  • Moin,


    Die Computerbude, von der mein Vater sein System (Ein Desktop, ein Notebook, ein Switch und zwei Lankabel) im Geschäft hat, wollen ihm momentan eine Firewall andrehen (Natürlich nach Möglichkeiten mit dickem Extraservicevertrag)
    Nun habe ich ihm gesagt, er solle vorerst einmal abwarten, sein Router (Zyxel irgendwas, im ADSL-Abo inklusive) schütze ihn bereits vor dem Meisten. Eine Software-Firewall ist auch noch auf den Systemen.
    Heute Morgen hat mich also einer dieser Techniker angerufen und mich versucht zu überzeugen, dass dies doch Sinnvoll sei. Konkret konnte er mir aber keine Gefahren nennen (ausser dass immer Portscans im Internet aktiv seien, aber das spielt ja mit einem Router auch keine Rolle mehr, solange sie nicht geforwardet sind)
    Nun Frage ich mich, was denn eigentlich der grosse Vorteil einer Firewall ist, wenn es nicht darum geht, den Benutzern im LAN gewisse Aktivitäten im Netz zu verbieten, und auch keine zum Web offenen Server im Netz stehen.
    Wollen die Jungs einfach Kohle machen mit der momentanen Verunsicherung aller DAUs oder ist gibt es tatsächlich konkrete Sicherheitsrisiken ohne Firewall?

  • Der Techi hat's auch probiert mit "Ich habe gemeint sie sind Informatiker!"


    Aber KONKRETE Gefahrenquellen, die nicht durch ein Router (Resp. dessen NAT) bereits eliminiert werden konnte er mir nicht nennen.


    Naja... Aber in Shops sind die Geräte meist getrennt nach "Router" und "Firewall/Router" von dem her ist es keine Firewall. Aber Zeugs wie URL-Filtering kann ich mir eh schenken.

  • Aber wenn er doch keine Argumente hat :D


    Er hat mir aber erzählt, sie hätten eine ganze Abteilung, die sich mit der Problematik beschäftige, darum habe ich ihn dann gebeten, sie mögen mir doch etwas Infomaterial zukommen lassen. Mal schauen was rauskommt.


    Aber dieser Laden hat mich eh schon ein paar Mal zum Kopfkratzen gebracht.
    Als sie den Computer eingerichtet haben waren sie nicht fähig, auf Bitte hin die Auflösung herunterzustellen.
    Ausserdem haben sie zur damaligen Analogverbindung keine Firewall installiert. Als ich dies dann gemacht habe, als ich da war hat der nächstbeste Techi, der im Haus war das Ding wieder deinstalliert :stupid
    Wen wunderts also, dass dann plötzlich einmal der gute alte Blaster dem Netz einen Besuch abgestattet hat, für dessen exekution sie locker auch noch 300 Mäuse eingesteckt haben...
    Nur so am Rande...

  • Zitat

    Original von Schelm
    Der Techi hat's auch probiert mit "Ich habe gemeint sie sind Informatiker!"


    Aber KONKRETE Gefahrenquellen, die nicht durch ein Router (Resp. dessen NAT) bereits eliminiert werden konnte er mir nicht nennen.


    Gefahrenquelle? Windows selber?
    Es gibt nicht nur Spyware oder Viren in .exe Dateien. Es gibt auch Ip Päckchen, die du eigentlich gar nicht angefordert hast. Genau hier greift eine Firewall. Aber Security ist kein Produk! Und was der Typ dir da andrehen will ohne erklären zu können, wie wer was wann wo ist ja wohl geradezu lächerlich. Wie heisst die Firma?



    Zitat: Der Techi hat's auch probiert mit "Ich habe gemeint sie sind Informatiker!"


    Deswegen hast du richtig reagiert und nicht einfach ja und amen gesagt. Sondern dir ne zweite Meinung eingeholt. Congraz

    Dr Cox: "I'm fairly sure that if they took all the porn off the Internet, there'd only be 1 website left, and it would be called Bring Back The Porn."

  • Klar, aber ein böses IP-Päckchen kommt an den Router, der merkt, dass er ja keinen Plan hat, welchen der beiden PC's im Netz er nun mit dem bösen Päckchen überraschen will und schickt es in die ewigen Jagdgründe.


    Firewalls sind jeweils angeschrieben mit IDS (Intrusion Detection System), SPI (Stateful Pacet Inspection) u.Ä.
    Hab zwar einige Erklärungen dazu gelesen, aber ob das ohne öffentlich verfügbare Services im Netz überhaupt Sinn macht habe ich nicht begriffen.


    /edit: oops, da ging mir doch noch eine Frage durch die Lappen. Die Firma heisst VitoData und ist der grösste Anbieter für Praxisverwaltungssoftware in der Schweiz. Haben auch Kunden wie den Spital Winterthur unter Vertrag.

  • also ich kan meine HW-Firewall nur loben...
    wenn n' kumpel von mir ohne Firewall ins netz geht ist innert max. 1min das lestige zeugs schon drauf!

    *******Meine Kleinen*******
    5000Volt: Shuttle SP35P2 Pro, Intel Core 2 Quad Q6600, 2x 2GB OCZ Platinum, 2x 250GB Samsung @ RAID 0, Sapphire HD3850 512MB, Creative Audigy 2 ZS
    B-52: Dual P3 900MHz, 1GB RAM, 80GB (SYS), 7x 250GB (RAID 5 = 1.5TB für Movies), 4x 160GB für alles andere
    Brandy: Dell Latitude D410, 12" TFT, Penitum M 2.0GHz, 2GB RAM, 80GB HDD, Creative Audigy 2 ZS Notebook

  • wenn du via router und NAT ins netz gehst und du keine ports forwardest ist eine firewall ziemlich sinnlos. schliesslich wird ja gar nie offiziell auf euren router zugegriffen und selbst dann ist das netzwerk genügend durch den router geschützt. und wenn ihr ja noch eine desktop-firewall einsetzt, dann könnt ihr ja damit den ausgehenden verkehr überwachen.


    ein IDS überwacht im gegensatz zu einer firewall nicht nur den netzwerk-verkehr, sondern ist auf den einzelnen (normalerweise) servern installiert. es überwacht u.a. die dateien und erstellt z.b. einen hashwert, so dass sie nicht unbemerkt durch einen eindringling ausgetauscht werden können, sammelt daten aus logdateien oder kann auch das netzwerk nach ungewohnten aktivitäten überwachen usw. --> wird erst wirklich sinnvoll, wenn es um gefährdete produktive server geht.


    hätte mich jetzt zwar schon interessiert, was er dir für eine lösung angeboten hätte.


    gruss ganto


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

  • Hab mich mal ein bisschen schlau gemacht.


    http://www.mitp.de/imperia/md/content/vmi/1304/3.pdf



    Sieht so aus, als ob so ein System erst Sinn macht, wenn hier ein dauerhaft verfügbarer Server im System steht . Und ich vermute, dass so etwas nur vor dedizierten Angriffen schützen soll, und nicht vor Würmern etc.


    Hash-Werte erstellt übrigens bereits Kerio und fragt nach, wenn eine geänderte .exe auf das Netz zugreifen will.


    Ich werde die Lösung hier posten, wenn ich noch genauere Infos erhalte. Alles was ich weiss ist, dass sie dann zwei Mal pro Jahr vorbeigekommen wären um alles zu überprüfen.


    /edit:
    Noch ein intressanter Quote


    Im Router wird demzufolge wohl ein NIDS hocken.

  • Zitat

    Original von Schelm
    Im Router wird demzufolge wohl ein NIDS hocken.


    hehe, schön wärs. wird aber afaik nicht gemacht.


    ganto


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

  • Hehe, mein Vater ist auch Kunde bei VitoData :D Aber er geht über das Wlan zu Hause ins Internet, und der Internetzugang ist mit einem IPCop geschüzt. Es hat aber noch keiner angerufen, und meinem Vater gesagt, er solle ne FW kaufen. Sonst mach ich denen Beine :D

  • Scheisse. Ich meinte natürlich nicht im Router, sondern in der damit angeschriebenen Firewall. :D


    Dazu passend:
    (Zusammenfassung: ein pseudo-IDS in der Firewall ist hauptsächlich da, damits im Katalog steht :gap)

  • Zitat

    Original von traxxus
    Jemand mit Internet, mehreren PCs und der KEINE Firewall hat ist schon fast lebensmüde :gap


    Nein im ernst; ich finde mindestens eine Hardwarefirewall ist absolute Pflicht im Zeitalter von Standleitungen.


    Jepp definitiv

    Bremsen macht die Felge dreckig!
    Mitglied der PC4all Schlägertruppe!!!
    DutcheKa (04:41 PM) : aye, skipper ;)
    ...Weasel stopped DLS spamming-spree!
    "National sein heisst nicht, fremde Völker hassen, sondern das eigene Volk lieben." Peter Rosegger (1843 - 1918)
    Unbent, Unbowed, Unbroken! ©Hammerfall 2005 - Pain is temporary, Pride is forever ©? - ONE SHALL STAND. ONE SHALL FALL.©The Transformers 1984


    Meine Ricardo-Auktionen!

  • doch

    Bremsen macht die Felge dreckig!
    Mitglied der PC4all Schlägertruppe!!!
    DutcheKa (04:41 PM) : aye, skipper ;)
    ...Weasel stopped DLS spamming-spree!
    "National sein heisst nicht, fremde Völker hassen, sondern das eigene Volk lieben." Peter Rosegger (1843 - 1918)
    Unbent, Unbowed, Unbroken! ©Hammerfall 2005 - Pain is temporary, Pride is forever ©? - ONE SHALL STAND. ONE SHALL FALL.©The Transformers 1984


    Meine Ricardo-Auktionen!

  • Ich finde, eine Firewall macht erst dann sinn, wenn du irgendwleche ports aufgrund eines Dienstes oder anderem offen haben willst und diesen absichern möchtest.