Eine Firewall bringt nicht mehr Sicherheit!

[Gast]

Tag zusammen,

Ich weiß das eine Firewall wichtig ist. Warum? weil ich es so gelernt habe.

Doch ich hinterfrage gerne Dinge und so bin ich auf mein Gedankenexperiment gekommen.

Ich habe Zuhause eine FritzBox. Dahinter ein ganz normales Heimnetz. Im WLAN sind Handys, ein Fernseher und ein Drucker. Im LAN ist mein PC.
Mein PC ist eingeschaltet und auf dem Desktop liegt eine 100€ Paysafecard. Ich würde behaupten ohne einen Menschlichen Fehler kommt keiner an diese Paysafecard.

lediglich nur falls die FritzBox die ja durch meine Öffentliche IP von außen erreichbar ist eine SIcherheitslücke hat. Da FritzBox ein großes Unternehmen ist und oft Updates und Patches raus bringt und meine FritzBox immer aktuell ist würde ich sagen kommt keiner an die Paysafecard.

falls wohl einer an die Paysafecard rankommt, müssten ja alle Alarmglocken angehen, da 90% der Haushalte gefährdet sind. Da ja alle ein änliches Heimnetz haben. Also eigentlich These 1 von mir keiner kommt ohne einen Menschlichen Fehler wie Schadsoftware runterladen oder auf Links klicken an die Paysafecard.

These 2 eine Firewall würde es nicht sicherer machen. Wenn eine Firewall mein Heimnetz sicherer machen würde, heißt es im Umkehrschluss ohne Firewall ist es unsicher. Das würde die Firma FritzBox ja wohl kaum zulassen. Zudem müsste ich mir dann ja direkt eine Firewall holen weil ich kein Unsicheres Netz haben möchte und das sollte dann ja jeder Haushalt tun. Ich glaube eine Firewall erwitert die Funtkionen wie VPN und bessere Traffic übersicht. Doch die Sicherheit kann sie garnicht erhöhen weil eine FritBox doch hoffentlich schon sicher ist.

Zudem eine Firewall schützt doch nicht vor Viren das macht ein Virenscanner und vor Mails schützen Programme wie FortiMail. Daher würde ich bei IT Sicherheit erstmal gar nicht an eine Firewall denken.

Ich weiß natürlich das Firewalls super wichtig sind, doch hinterfrage ich selbstverständliche Dinge auch mal gerne. Daher nicht zu ernst nehmen

[Desync]

Also möglicherweise verstehe ich die Frage auch falsch, aber dein Heimnetz besitzt doch auch eine Firewall. Jeder Handelsübliche Heim Netz Router besitzt doch auch eine Firewall?

[Gast]

Aber die ist kaum vergleichbar mit einer professionellen Firewall von WatchGuard oder einem anderem Anbieter. Beispielweise gibt es die Sophos Home. Erhöht die wirklich die Sicherheit? dass bedeutet im Umkehrschluss doch ohne Sophos Home ist es unsicher  

Bearbeitet 16. April von 0240

[mylurid]

Dein Denkfehler ist, dass eine Fritzbox bereits ein sehr restriktive Firewall inkl. NAT mitbringt und es damit "sicher" ist.

Ohne richtige Firewall und NAT, wären alle deiner Geräte im Haushalt über deine externe IP-Adresse erreich- und angreifbar.
Somit bringt die Firewall doch sehr viel Sicherheit mit. Du siehst sie aber nicht, weil es einfach schon Stand der Technik ist.

Genauso beim Auto. Sicherheitsgurt, Airbag, BRMESEN!! sind alles Themen die das Auto sicherer machen, aber niemand nicht sie wirklich als Sicherheitsfeature wahr, sondern als Standard. Aber jeder weiß, dass Bremsen wichtig sind..

[Destructor]

Hallo,

wie bereits schon gesagt wurde, eine Firewall ist erstmals nur ein Paketfilter. Und ob der Paketfilter nun sinnvoll ist oder nicht, hängt vom Anwendungszweck und von der Konfiguration ab. 

Denn bspw. bringt Windows auch seine eigene Firewall bzw. Paketfilter (Windows Firewall) mit, diese wird aber in der Regel nicht so ganz beachtet, da man in einem Unternehmen eher auf eine zentrale Firewall setzt. Der Vorteil ist neben der zentralen, einfacheren Administration auch der, dass die Requests schon geblockt werden, bevor sie ihr eigentliches Ziel erreicht haben. 

Man kann aber auch ein Netzwerk ganz ohne Firewall sicher betreiben - zumindest theoretisch. Dann müsstest du aber einzeln die Sockets prüfen und ggf. konfigurieren. Denn ohne Sockets - keine Verbindung. Ich denke es braucht keine große Erklärung warum dies Unsinnig ist und zu viel Aufwand führt.

Der Unterschied bei den Paketfiltern zwischen einem L3 Switch /  Router und einer dedizierten Firewall ist übrigens der, dass eine Firewall hardwaretechnisch für die Paketfilterung optimiert ist. Deshalb nutzt man besonders eine Firewall um komplexe Firewall Regelwerke umzusetzen.

 

 

[Gast]

Also kann man sagen das eine FritzBox sicher ist und zusätzlich eine Sophos Home Firewall die Sicherheit nicht erhöhen würde

[Chief Wiggum]

vor 40 Minuten schrieb 0240:

Da FritzBox ein großes Unternehmen ist

Nein. Das Unternehmen heisst AVM Computersysteme Vertriebs GmbH

https://avm.de/unternehmen/ueber-avm/

vor 42 Minuten schrieb 0240:

Zudem eine Firewall schützt doch nicht vor Viren das macht ein Virenscanner und vor Mails schützen Programme wie FortiMail. Daher würde ich bei IT Sicherheit erstmal gar nicht an eine Firewall denken.

Das ist dann aber ein Denkfehler: https://www.arubanetworks.com/de/faq/was-ist-eine-next-gen-firewall-ngfw/

vor 42 Minuten schrieb 0240:

Beispielweise gibt es die Sophos Home. Erhöht die wirklich die Sicherheit? dass bedeutet im Umkehrschluss doch ohne Sophos Home ist es unsicher  

Sophos Home ist eine Desktop-Security Software. Es gibt von Sophos auch kleine Hardwarefirewalls, die man oft für die Anbindung von kleinen Aussenstellen und auch im Homeoffice verwendet.

[Destructor]

vor 2 Minuten schrieb 0240:

Also kann man sagen das eine FritzBox sicher ist und zusätzlich eine Sophos Home Firewall die Sicherheit nicht erhöhen würde

Korrekt. Denn die Sophos Home macht für den Netzwerkzugriff auch erstmals nur Packet Filtering. Allerdings eventuell etwas effizienter als die Fritz!Box. Neben dem Paketfilter bietet die Sophos Home noch zusätzliche Dienste wie IDS, Webproxy usw. an. 

[Destructor]

vor 3 Minuten schrieb Chief Wiggum:

Sophos Home ist eine Desktop-Security Software

Ich vermute mal, dass er die Sophos XG Home Edition meint. Das ist die Software Appliance für Sophos XG für den Privatgebrauch. Andernfalls würde der Vergleich zur Fritz!Box nicht mehr passen.  Ansonsten hast du natürlich Recht. 

Bearbeitet 16. April von Destructor

[Chief Wiggum]

vor 1 Minute schrieb Destructor:

Ich vermute mal, dass er die Sophos XG Home Edition meint. Das ist die Software Appliance für Sophos XG für den Privatgebrauch.

Thx.

@0240: bitte demnächst etwas deutlicher ausdrücken.

[Gast]

Ja ich meine die Sophos XG Home Edition. Die ist doch so weit ich weiß für einen erweiterten Schutz des Heimnetzes zu verwenden. Daher kam ich darauf ob ich überhaupt einen erweiterten Schutz meines Heimnetzes brauche, da das bedeuten würde aktuell ist es unsicher.

[Destructor]

vor 4 Minuten schrieb 0240:

Die ist doch so weit ich weiß für einen erweiterten Schutz des Heimnetzes zu verwenden.

Der "erweitere Schutz" liegt nur darin, dass die Appliance zusätzliche Features anbietet wie Webproxy, IDS, IPS, VLANs usw . Für den Privatbereich brauchst du nichts davon. Da reicht eine Fritz!Box mit den Standardeinstellungen vollkommen aus. 

 

[Gast]

Cool! Dann hatte ich ja mit meiner These recht. Wenn es nur um die reine Sicherheit in einem Heimnetz geht, reicht eine Fritz!Box aus. Eine zusätzliche Firewall wie Sophos XG Home Edition erhöht nicht die Sicherheit sondern bietet nur mehr Funktionen. Danke!

Zu der anderen These, wenn ich eine Paysafecard auf meinem Rechner liegen habe, dieser eingeschaltet ist, kann ein "Hacker" sich zugang zu der Datei verschaffen? Also ohne das ich am PC einen Fehler mache. (Link anklicken oder etwas runterladen)

[Destructor]

vor 3 Minuten schrieb 0240:

Eine zusätzliche Firewall wie Sophos XG Home Edition erhöht nicht die Sicherheit sondern bietet nur mehr Funktionen.

Nein, das habe ich so nicht gesagt. Die zusätzlichen Dienste wie der Webproxy oder die VLANs erhöhen sehr wohl die Sicherheit. Du musst dir halt immer die Frage stellen, WAS du schützen möchtest. Ein Paketfilter regelt ja nur den Netzwerkzugriff auf L3/L4 Ebene. Für L2 kommt in der Regel Port Security oder 802.1x zum Einsatz. 

Für den Privatbereich reicht eine Fritz!Box (Paketfilter und NAT) aber vollkommen aus....

[Chief Wiggum]

vor 6 Minuten schrieb 0240:

Eine zusätzliche Firewall wie Sophos XG Home Edition erhöht nicht die Sicherheit sondern bietet nur mehr Funktionen. Danke!

Falsch.

Die Sophos XG Appliance würde, wenn korrekt betrieben,. die Sicherheit noch einmal erhöhen. Es ist dir überlassen, ob du mit dem grundsätzlich ausreichenden Schutz der Fritz!Box arbeiten willst oder ob du ein höheres Schutzniveau nutzen willst.

[Gast]

Ah okay. Wenn ich ein VLAN einrichte für Drucker und eins für PCs so kann ich falls ein VLAN infiltriert ist das andere schützen. Das macht es naklar sicherer. In den meisten fällen sind aber eh wichtige Ports zwischen den beiden VLANs offen. Und ein angreifer könnte sich naklar eine IP aus dem anderem VLAN geben und es so auch infiltrieren. Doch ich stimme zu eine kleine verbesserung der Sicherheit erreicht man so

Bearbeitet 16. April von 0240

[Eye-Q]

vor 1 Stunde schrieb 0240:

Und ein angreifer könnte sich naklar eine IP aus dem anderem VLAN geben und es so auch infiltrieren.

Nein, so funktionieren VLANs nicht.

Das, was Du in diesem Fall wahrscheinlich meinst, sind unterschiedliche Subnetze, nicht unterschiedliche VLANs. In der Regel werden unterschiedliche VLANs mit unterschiedlichen Subnetzen betrieben, man kann aber auch innerhalb eines VLANs unterschiedliche Subnetze (bzw. im default VLAN, wenn die Geräte kein VLAN-Tagging können) betreiben, dann kann aber z.B. nur eins der Subnetze mit DHCP betrieben werden.  Nur im zweiten Fall könnte ein Angreifer, der beide Subnetze kennt, der Netzwerkkarte eine zweite IP-Adresse im zweiten Subnetz verpassen und hat dann kompletten Zugriff auf dieses Subnetz. Wenn es getrennte VLANs mit unterschiedlichen Subnetzen gibt, wird das Routing zwischen diesen VLANs/Subnetzen i.d.R. durch einen Router mit integrierter Firewall übernommen. Wenn der Angreifer dann in einem der Subnetze ist und der Netzwerkkarte eine IP-Adresse aus dem anderen Subnetz verpasst, hat der immer noch keinen Vollzugriff auf dieses Subnetz, weil die Pakete nicht mit dem richtigen VLAN-Tag versehen sind.

 

Du hast im Laufe dieses Threads immer mehr Baustellen aufgemacht, wo wir schwer mit dem Erklären hinterher kommen, weil jedes dieser Themen an sich sehr komplex ist. Konzentriere dich bitte erstmal auf ein Thema (z.B. Routing), verstehe das und kombiniere es dann mit einem anderen Thema (z.B. Firewall oder VLAN).

[Whitehammer03]

Eine zusätzliche professionelle Firewall würde dein Heimnetz definitiv sicherer machen. Solche Firewalls bringen wie bereits hier mehrfach erwähnt Unmegen an Sicherheitsfunktionen mit, die z.B. unter dem Namen UTM oder NextGen Firewalls zusammengefasst werden.

Aber vermutlich ist die Frage eher, ob es sich lohnt. Ich behaupte mal, solange du privat ein einfacher 0815-Nutzer bist, lohnt es sich nicht und eine FritzBox reicht vollkommen aus. So sieht es bei mir auch aus. Ich hoste nichts Zuhause, benötige von außen keinerlei Zugriffe in mein Netz ( also so ziemlich 0815 ) und auch bei mir steht keine zusätzliche Firewall im Netz. Ein guter "Hacker" würde vermutlich mit etwas Mühe eine Sicherheitslücke finden und die Sicherheitsfunktionen der FB umgehen können - aber als 0815 User ist man eben kein attraktives Ziel, da lohnt sich die Mühe einfach nicht aus Angreifersicht. 

[Budspencer]

1. Erstmal sorgt bereits ein einfacher SPI dafür das alle Ports von außen dicht sind. 
Somit ist eine Firewall oder SPI unerlässlich, sonst ist jeder sofort bei dir im Netz drinnen und glaub mir Windows hat hunderte Lücken wo man in 10 Minuten Zugriff auf dein System hat, da reicht ein scan mit Metaspoil etc. und 5 weitere Klicks und die fertigen Scripte werden geladen die Lücken werden Automatisch ausgenutzt.

2. Es muss auch keiner von außen rein. Die meisten Privaten Angriffe kommen nicht von außen sondern von innen, durch Programme mit Sicherheitslücken etc. Dabei baut das Programm eine Verbindung nach außen [Ziel IP:Port] auf und da deine Fritte nur ein einfacher Stateful-Packet-Filter ist, besteht eine aktive Verbindung die deine Fritte rein uns raus lässt wie es gerade lustig ist.

Ich empfehle https://www.heise.de/security/
oder das Securi Blog, da sind viele Infos zu diesen Thema inkl. Zero Day Exploits etc.

 

Bearbeitet 16. April von Budspencer

[Spunkee]

"Sag mir, dass du seit 2 Wochen eine Fisi Umschulung machst, ohne mir zu sagen, dass du seit 2 Wochen eine Fisi Umschulung machst"

Da ist so viel Halbwissen (Obwohl es teils wirklich nicht mal zur Hälfte reicht) in deinen Texten. Wenn du wirklich wie in deinem zweiten Satz beschrieben Dinge hinterfragst, solltest du dich dann auch damit auseinandersetzen. 

Alleine solche Sätze wie eine Firewall hätte nichts mit Virenschutz oder Mailsicherheit zu tun. Hast du dir die Funktionen einer Firewall (gerade einer Next Gen) eigentlich wirklich mal angeschaut?

Ob du dir jetzt Zuhause ne Sophos XGS 4300 hinstellen musst, sei ja mal dahin gestellt. Aber einfach mal ohne das geringste praktische und theoretische Wissen über Firewalls hier so ne Behauptung zu droppen zeugt schon wirklich von sehr viel Ignoranz.

Bearbeitet 17. April von Spunkee

[MiaMuh]

vor 47 Minuten schrieb Spunkee:

"Sag mir, dass du seit 2 Wochen eine Fisi Umschulung machst, ohne mir zu sagen, dass du seit 2 Wochen eine Fisi Umschulung machst"

Da ist so viel Halbwissen (Obwohl es teils wirklich nicht mal zur Hälfte reicht) in deinen Texten. Wenn du wirklich wie in deinem zweiten Satz beschrieben Dinge hinterfragst, solltest du dich dann auch damit auseinandersetzen. 

Alleine solche Sätze wie eine Firewall hätte nichts mit Virenschutz oder Mailsicherheit zu tun. Hast du dir die Funktionen einer Firewall (gerade einer Next Gen) eigentlich wirklich mal angeschaut?

Ob du dir jetzt Zuhause ne Sophos XGS 4300 hinstellen musst, sei ja mal dahin gestellt. Aber einfach mal ohne das geringste praktische und theoretische Wissen über Firewalls hier so ne Behauptung zu droppen zeugt schon wirklich von sehr viel Ignoranz.

Oder er möchte es einfach verstehen und fragt deswegen hier, auch um davon zu lernen und zu wissen, das seine Denkweise noch nicht richtig ist?

Wäre aber nur so eine Idee von mir.

[Spunkee]

vor 2 Stunden schrieb MiaMuh:

Oder er möchte es einfach verstehen und fragt deswegen hier, auch um davon zu lernen und zu wissen, das seine Denkweise noch nicht richtig ist?

Wäre aber nur so eine Idee von mir.

Das kann natürlich sein. Wenn ich aber etwas lernen oder verstehen möchte, formuliere zumindest ich das ganze ein wenig anders.
Für mich persönlich liest es sich halt so: "Ich hab mich 5 Minuten eingelesen, stelle nun Behauptungen auf und ihr müsst mir das Gegenteil beweisen".

Aber ja, vielleicht habe ich auch einfach etwas überreagiert und es ist so wie von dir beschrieben.

Bearbeitet 17. April von Spunkee

[alex123321]

Der Mehrwert der Firewall hängt stark davon ab was und wogegen man absichern möchte. Bei einer Umgebung mit voller Kontrolle und Visibilität, die sauber konfiguriert und abgesichert ist, hält sich der Mehrwert einer zusätzlichen Firewall in Grenzen mMn. und der Traffic geht häufig direkt ins Internet. 

Bei einer Produktionsanlage mit veralteter Technologie, Shadow IT, etc. ist eine Firewall Pflicht, siehe Purdue Modell.  

[Asura]

vor 7 Stunden schrieb MiaMuh:

Oder er möchte es einfach verstehen und fragt deswegen hier, auch um davon zu lernen und zu wissen, das seine Denkweise noch nicht richtig ist?

Für mich liegt das Problem hier aber da, dass der Ersteller über Dinge redet, von denen er jedoch nicht mal Halbwissen besitzt. Hier werden wild verschiedene Worte in den Raum geworfen, ohne deren Verständnis auch nur irgednwie verinnerlicht zu haben. Man springt von einer Firewall, zu Sophos, zu VLAN und Subnetting und merkt dabei aber, dass sie falsch verwendet oder verknüpft werden.

Das soll jetzt kein Bashing gegen Lernende sein, jedoch werft doch bitte nicht wie wild Wörter in einen Topf und schaut was dabei herumkommt.
Man kann auch 5 Firewalls in Betrieb haben, wenn diese aber scheiße konfiguriert sind, bist du auch nicht sicherer, als wenn du nur eine Fritzbox nach Casual-User-Art verwendest.

Es werden Baustellen offenbart, ohne deren Schließung man ein derartiges Gedankenexperiment nicht ordentlich führen und/oder hinterfragen kann.
Entsprechend finde ich es gut, dass der Benutzer sich hier Hilfe und Unterstützung sucht - die wir gewillt sind gerne zu geben -, allerdings empfinde ich es etwas komisch, dass man sich an ein derartige Gedanken wagt, wenn es offenbar Baustellen gibt, die weit über "ich habs noch nicht ganz verstanden" gehen.

Von Grundauf würde ich folgende Fragen in den Raum werfen:
- Was ist eine Firewall und wofür ist die Nutzung gedacht?
- Kann ich das mit einer Fritzbox und ihren Funktionen abdecken?
- Was passiert, wenn jemand auf PC1 ist, kann er auf PC2 (PSC) zugreifen?
- Hilft VLANing? Trennung Privatgeräte, Arbeitsumgebung, Kindergeräte?
- Was ist Subnetting, kann ich das für Sicherheitfeatures benutzen?
- Was genau möchte ich verhindern?
- Welche Möglichlkeiten gibt es, Zugriff auf das zu verhindern, was ich verhindern möchte?

Danach mit Transferdenken das Experiment aufziehen und schauen, wo es Fragen und Ungereimtheiten gibt. In Praxisfällen werden Fragen offenbart, die man in der Theorie nicht hatte. Vielleicht tue ich dem Fragenden unrecht, aber es wirkt auf mich nicht so, als wäre etwas ähnliches mal im Vorlauf geschehen.