Router vor Firewall

[Matzel80]

Hey, wer kann mir sagen ob es möglich ist, in einem Hausnetzwerk, bestehend aus zwei Pcs (Win XP und Win 2000) in einer Windows –Arbeitsgruppe, einen W-LAN Router einzusetzen, obwohl beide Rechner nochmals hinter dem Router mittels einer Firewall (Zonealarm) gegeneinander abgeschirmt sind. Problematisch erscheint mir das dahingehend, dass sowohl die Firewall, als auch der Router mittels NAT arbeiten, was eventuell zu Konflikten führen kann.

Danke im Voraus

[JackC]

hängen die 2 Rechner mit nem Patchkabel dran oder wireless am Router? Zonealarm ist für mich ein kleines spielzeug an dem man nix einstellen kann. Wäre es eine richtige Hardwarefirewall würde die sache anderst aussehn. Also du kannst es mal versuchen, es hängt davon ab was das teil so blockt, ich denke mal viel wirste da nich einstellen können an der Firewall um genau festzulegen welcher Port frei sein darf. Grundsätzlich solle es aber gehen. Mit NAT hat das weniger zu tun. Dein WLAN Router benötigt NAT um ins INternet zu gehn also muss das an sein, wenn nun aber Zone Alarm auf Grund eines Angriffs blockt ist sowiso ende gelende. WIso stellst du dir nicht einfach alles richtig an der FIrewall des Routers ein? Port sperrung, MAC FIltering, etc,.. wo liegt da das Problem? Dann kannste Zone Alarm runter haun.

[nic_power]

Hallo,

@Matzel80:

Wenn ich dich richtig verstanden habe, hast Du zwei Rechner hinter einem WLAN Router. Auf beiden Rechnern ist zusätzlich noch ZoneAlarm als Personal Firewall installiert. Diese Konstellation ist nichts ungewöhnliches und wird wahrscheinlich von vielen Nutzern hier eingesetzt (oder in ähnlicher Form).

Allerdings kann ich nicht nachvollziehen, warum 2x NAT eingesetzt wird. Der Router nach aussen muss NAT verwenden, ZoneAlarm tut dies jedoch nicht (und selbst wenn dem so wäre, würde dafür absolut keine Notwendigkeit bestehen).

Nic

[Matzel80]

@ Jack C

Zone Alarm soll auf jeden Fall hinter dem Router installiert bleiben, da es als Applikationsfilter ist, mit dem ich ausgehende VErbindungen unterbinden kann.

@ nic_power

danke, das war ne schnelle und kompetente Antwort.

Ich dachte nämlich, dass Zonealrarm ebenfalls mit NAT arbeitet, aber wenn es nur einen Applikationsfilter darstellt, dann sollte es da wirklich keine Probleme geben. Ich will nur sicher gehen, dass die PCs, die sich hinter dem W-LAN-Router befinden, nocheinmal gegeneinander abgeschirmt sind.

[taschentoast]

Zone Alarm soll auf jeden Fall hinter dem Router installiert bleiben, da es als Applikationsfilter ist, mit dem ich ausgehende VErbindungen unterbinden kann.

Applikationsfilter, soso.. ausgehende Verbindungen unterbinden, aha....

Was hast du denn auf die Frage von ZoneAlarm geantwortet:

Internetzugriff für Programm "iexplore.exe" erlauben?

o ja

o nein

o vielleicht

*gespannt auf die Antwort*

taschentoast

Disclaimer: Die Zonealarm Frage ist NICHT 1:1 aus Zonealarm, sondern sinngemäß zu verstehen, da ich dieses Programm nicht besitze.

[nic_power]

Hallo,

Applikationsfilter, soso.. ausgehende Verbindungen unterbinden, aha....

Was möchtest Du uns damit sagen?

Disclaimer: Die Zonealarm Frage ist NICHT 1:1 aus Zonealarm, sondern sinngemäß zu verstehen, da ich dieses Programm nicht besitze.

Das heisst, Du weisst auch nicht auf welcher Basis Zone-Alarm ermittelt, welche Zugriffe auf das Internet gestattet sind und welche nicht und nach welchen Parametern der Nutzer gefragt wird. Damit ist auch die Frage nach den Wahlmöglichkeiten nur bedingt sinnvoll (da Du diese ebenfalls nicht kennst).

Ein bisschen mehr Sachlichkeit wäre zielführender.

Nic

[taschentoast]

Hallo,

Was möchtest Du uns damit sagen?

Meine Zweifel andeuten, dass die erwähnten Dinge mit Zonealarm möglich sind. Gut, ich gebe zu, das war nicht gut ausgedrückt, ich gelobe Besserung.

Das heisst, Du weisst auch nicht auf welcher Basis Zone-Alarm ermittelt, welche Zugriffe auf das Internet gestattet sind und welche nicht und nach welchen Parametern der Nutzer gefragt wird. Damit ist auch die Frage nach den Wahlmöglichkeiten nur bedingt sinnvoll (da Du diese ebenfalls nicht kennst).

Richtig. Ich habe keine Ahnung wie Zonealarm entscheidet, ob ein Programm eine Verbindung ins Internet aufbauen darf. Und genau das ist für mich der entscheidende Punkt. Weiß es denn ein ZoneAlarm Nutzer? Und weiß dieser Nutzer auch, was es für Möglichkeiten gibt, die ZoneAlarm Mechanismen zu umgehen?

Matzel80 möchte ZoneAlarm gerne als Applikationsfilter einsetzen und ausgehende Verbindungen unterbinden. Ich denke, ZoneAlarm ist dafür völlig ungeeignet, aus den schon lange bekannten und vieldiskutierten Gründen. Und darauf wollte ich Matzel80 sanft hinführen

Ein bisschen mehr Sachlichkeit wäre zielführender.

Das ist ebenfalls richtig. Ich wollte Matzel80 zum kritischen Hinterfragen seiner Software (in diesem Fall ZoneAlarm) bewegen. Tut mir leid wenn das unsachlich rübergekommen ist. Friede?

taschentoast

[cujo]

...obwohl beide Rechner nochmals hinter dem Router mittels einer Firewall (Zonealarm) gegeneinander abgeschirmt sind. Problematisch erscheint mir das dahingehend, dass sowohl die Firewall, als auch der Router mittels NAT arbeiten, was eventuell zu Konflikten führen kann.

Hallo Matze,

entweder ich verstehe das Problem nicht, oder es gibt gar keines Du willst die zwei Rechner gegeneinander abschirmen (in der Trusted Zone)? Ich stimme da nic_power zu, NAT bei der PFW wäre nicht wirklich nachvollziehbar...

Du kannst doch selbst festlegen, welche Kommunikation im LAN erlaubt ist, und welche nicht. Also, von daher ist es nicht unbedingt notwendig, jeden Traffic zu blocken (vorrausgesetzt, ich habe Dich richtig verstanden). Leg einfach los

@taschentoast:

Wieder einer der unerbittlichen Gegner von Desktop-Firewalls Es ist ein zusätzlicher Schutz, der für den Heimgebrauch sehr wohl seine Daseinsberechtigung hat, nicht mehr, und auch nicht weniger. Lies Dir doch das hier mal durch. Aber das war ja eigentlich auch gar nicht die Frage

Gruß, cujo

[cH4PpY]

editiert wegen OT, hades

[hades]

Genug OT.

Zurueck zum Problem von Matzel80.

[Matzel80]

@ taschentoast

"Internetzugriff für Programm "iexplore.exe" erlauben?

o ja

o nein

o vielleicht

*gespannt auf die Antwort*

taschentoast"

Ja, genau, so habe ich es gemacht und eigentlich war ich der Meinung, dass dieser Konfigurationsschritt als Applikationsfilterung zu verstehen ist. Aber ich lasse mich gern eines besseren belehren, wenn es auf sachliche Art und Weise geschieht und nicht auf Groß****-und Klug******ermanier. Also gib konstruktive Antworten oder lass' es gänzlich.

@ cujo

Danke zunächst um ernsthaftes Bemühen zum Lösen des Problems. Mein Anliegen ist folgendes:

Die zwei Rechner, welche sich hinter dem Router verbergen, sollen kontrolliert miteinander kommunizieren können bzw. trotz des Routers (welcher das LAN ja schon durch NAT schützt) gegeneinander abgeschirmt sein, damit ein Angreifer, falls er es schafft durch den Router hindurch auf einen der nachgelagerten Rechner durchzugreifen, nicht auch leichten Spiels auf den anderen Rechner zugreifen kann. Ferner glaube ich, ist es nicht möglich an dem von mir ausgewählten Router einen Programmfilter einzusetzen (d.h. auswählenden Programmen das Auswählen zu verbieten, was ja einwandfrei mit Zone Alarm möglich ist). Deshalb wähle ich diesen Aufbau. Hast Du eine bessere Lösung parat?

Gruß Marcel

@ nic_power

auch Dir vielen Dank für Deine Antworten.

@ cH4PpY

Du schreibst, das es möglich ist, Zone Alarm mittels eines Befehls als Angreifer abzuschießen. Ich habe gelesen, dass das ab Zonealarm 4.5 nicht mehr möglich ist und ich muss sagen, dass ich seit 3 Jahren mit dem Programm arbeite und noch nichts der gleichen geschehen ist. Kannst Du mal genau schildern, wie dieses Abschießen von Statten geht?

[cujo]

Die zwei Rechner, welche sich hinter dem Router verbergen, sollen kontrolliert miteinander kommunizieren können bzw. trotz des Routers (welcher das LAN ja schon durch NAT schützt) gegeneinander abgeschirmt sein, damit ein Angreifer, falls er es schafft durch den Router hindurch auf einen der nachgelagerten Rechner durchzugreifen, nicht auch leichten Spiels auf den anderen Rechner zugreifen kann. Ferner glaube ich, ist es nicht möglich an dem von mir ausgewählten Router einen Programmfilter einzusetzen (d.h. auswählenden Programmen das Auswählen zu verbieten, was ja einwandfrei mit Zone Alarm möglich ist). Deshalb wähle ich diesen Aufbau. Hast Du eine bessere Lösung parat?

Wenn beide Rechner am Router hängen, bringt es Dir nicht viel, wenn Du die Kommunikation zwischen den beiden Systemen einschränkst, weil sie sich im gleichen Netzsegment befinden. Wer erfolgreich über den Router auf PC1 zugreifen kann, der schafft das genauso leicht bei PC2, wenn dieser ebenfalls im Internet ist (will sagen, auf beiden Systemen läuft die gleiche PFW mit ähnlichen Einstellungen, was der eine nicht blocken kann, wird der andere auch nicht abwehren können).

Wenn Du das ändern wolltest, müsstest Du PC1 oder PC2 selbst zu einem Router machen, und am besten wäre es dann auch, wenn bei den beiden unterschiedliche Paketfilter laufen würden...

Aber da gibt es jede Menge Möglichkeiten, ich würde mir da nicht lang den Kopf zerbrechen. Heimnetz mit Arbeitsgruppe, über die PFW die Trusted Zone eingerichtet und den Filter eingestellt, beim Router die Verschlüsselung aktiviert und nur als eingeschränkter User in's Netz, mit aktuellen Patches, Updates und Virenscanner sollte es reichen

Ich hoffe, das hat Dir weitergeholfen

Gruß, cujo

[taschentoast]

Hallo,

@ taschentoast

"Internetzugriff für Programm "iexplore.exe" erlauben?

o ja

o nein

o vielleicht

*gespannt auf die Antwort*

taschentoast"

Ja, genau, so habe ich es gemacht und eigentlich war ich der Meinung, dass dieser Konfigurationsschritt als Applikationsfilterung zu verstehen ist. Aber ich lasse mich gern eines besseren belehren, wenn es auf sachliche Art und Weise geschieht und nicht auf Groß****-und Klug******ermanier. Also gib konstruktive Antworten oder lass' es gänzlich.

Nungut, dann wollen wir mal

Zuerst einmal solltest du dir im Klaren sein, was dein Ziel war: Eine Filterung (= Kontrolle) der Anwendungen, die vom LAN ins Internet Verbindungen aufbauen wollen. Bisher richtig?

Welche Mittel setzt du also ein, um dieses Ziel zu erreichen? Abstrakt formuliert (wie gesagt, ich kenne ZoneAlarm nicht) : Du setzt eine Anwendung ein (= ZA, ZoneAlarm), die technisch genauso in Windows integriert ist wie die zu kontrollierenden Anwendungen. ZA registriert nun, dass eine bisher unbekannte Anwendung ein Verbindung ins Internet (ab jetzt WAN genannt) aufbauen will. Du als Nutzer erfährst davon nur durch ein Fenster, welches dir die Frage stellt, ob du diesem Programm die Verbindung ins WAN erlauben möchtest. Je nach Antwort erlaubt ZA der Anwendung die gewünschte Verbindung. Du erfährst jedoch nichts über die Mechanismen, die ZA benutzt um diese Anwendung zu authentisieren und authentifizieren.

Bedingt durch die Unkenntnis der Mechanismen muss das Ergebnis als nicht vertrauenswürdig betrachtet werden, sprich: Die Meldung "Programm XYZ darf nicht ins Internet" ist nicht nachprüfbar.

Ich unterstelle ZoneLabs (Hersteller von ZA) einfach mal, dass nicht nur z.B. nicht nur die Prozess-Namen der Anwendung überprüft werden, sondern das Ganze etwas umfangreicher ist.

Trotzdem gibt es wohl Möglichkeiten, die ZA-Mechanismen zu unterwandern und auszuhebeln, wobei mir die Moderatoren mit den Boardregeln eins überbraten, wenn ich detaillierter werde

Nächster Punkt: ausgehende Verbindungen verhindern, allgemein.

Kurz gesagt: Es ist technisch nicht möglich. Du willst ja immerhin noch im Internet surfen. Dazu muss also mind. erlaubt sein: Verbindung von IP:Port-ab-1024 zu IP:Port80. Und schon hat das geneigte Schad-Programm einen Ausgang gefunden. Weitere Möglichkeit: DNS-Tunneling. Wirklich eklig. Gabs auf der letzten Systems einen schönen Vortrag. Um DNS-Tunneling zu verhinden, müsste man DNS-Anfragen komplett unterbinden. Nein, das ist ungut

So, ich hoffe, trotz später Uhrzeit war mein Beitrag in deinem Sinne konstruktiv, verständlich und nicht in Groß-Sternchen- und Klug-Sternchen-Manier.

schönen Gruß

taschentoast

[Matzel80]

@ cujo

"Aber da gibt es jede Menge Möglichkeiten, ich würde mir da nicht lang den Kopf zerbrechen. Heimnetz mit Arbeitsgruppe, über die PFW die Trusted Zone eingerichtet und den Filter eingestellt, beim Router die Verschlüsselung aktiviert und nur als eingeschränkter User in's Netz, mit aktuellen Patches, Updates und Virenscanner sollte es reichen"

So werde ich es umsetzen...und Freigaben nur in dem Moment einrichten, in dem keine Verbindung zum Internet besteht

Eine Frage noch: Der Router baut doch nur dann eine Verbindung ins Inet auf, wenn er durch den Browser eines Rechners dazu initiiert wird, oder? Kann ein Angreifer den Router auch von außen lokalisieren, obwohl keiner der dahinterhängenden Rechner eine Verbindung ins Netz hat, sprich der Router nimmt in diesem Moment überhaupt nicht die ihm zugedachte Aufgabe als Einwahlstation wahr?

@ taschentoast

geht doch...wollte auch keine Verbalattacke auf Dich starten, aber, und das scheint nun mal Tatsache zu sein, wenn jemand über mehr Wissen verfügt, als andere, dann sollte er versuchen, dieses Wissen auf die verständlichste Art und Weise weiterzugeben...danke für Deine Ausführungen

Hmm....aber meine Neugier hast Du schon geweckt, weil ich es doch bedenklich finde, dass die Desktop-Firewall so einfach auszuhebeln sein soll

[Matzel80]

@ Gonfucius

Kannst Du kurz begründen, warum es so ist?

[Chief Wiggum]

Zum ersten "Nein" von Gonfucius: Der Router baut dann eine Verbindung auf, wenn sie von einem Client wegen des Gateway- und / oder DNS-Eintrags angefordert wird. Und das kann schon bei einer einfachen Anfrage nach einer DNS-Auflösung passieren, wenn der DNS-Cache des Routers die nicht als lokale Anfrage abarbeiten kann. Zudem gibt es genug Programme, die von alleine, ohne Wissen des Anwenders, eine Internet-Verbindung aufbauen wollen. Sei es ein Messenger, ein Mediaplayer, die automatische Updatefunktion des Virenscanners oder auch z.B. CdEx bei der Erstellung von mp3-Dateien aus einer Audio-CD, wenn das Tool auf die Online-Datenbank für mp3-Tags zugreifen will. Sehr unangenehm ist dann auch Spyware, die permanent ins Internet will.

Zum zweiten "Nein": Bei einer vernünftigen Routerkonfiguration schaltet der Router nach einer definierten Zeit die Leitung nach aussen ab, wenn von intern keine Daten aus dem Internet angefordert werden. Sind die PCs alle ausgeschaltet, werden von intern keine Daten angefordert, der Router wählt die Verbindung nach aussen ab und es kann niemand von aussen auf den Router zugreifen. Hier greifen aber auch wieder die Anmerkungen aus der ersten Antwort, sprich, es kann, auch wenn offensichtlich keine Anforderung ins Internet gestellt wird, zu Datenverkehr ins Internet kommen.

[cujo]

Sind die PCs alle ausgeschaltet, werden von intern keine Daten angefordert, der Router wählt die Verbindung nach aussen ab und es kann niemand von aussen auf den Router zugreifen. Hier greifen aber auch wieder die Anmerkungen aus der ersten Antwort, sprich, es kann, auch wenn offensichtlich keine Anforderung ins Internet gestellt wird, zu Datenverkehr ins Internet kommen.

Der Chief glänzt wieder

@Matze

Da greift ja wieder ein gut konfigurierter Paketfilter, was unerlaubten Datenverkehr angeht (der kann's zwar auch nicht verhindern, wenn sich beispielsweise ein Trojaner über eine vertraute Schnittstelle verbindet, aber dem kannst Du ja vorbeugen, indem Du als eingeschränkter Benutzer im Internet bist und nur vertrauenswürdigen Applikationen Zugriff gewährst).

Da stimmt dann, was der taschentoast gesagt hat - Sicherheit ist keine Sammlung von Programmen. Und selbst mit einem guten Konzept gibt es ein mehr oder weniger großes Restrisiko - viele Firmen stecken einen guten Teil ihres IT-Budgets in diesen Bereich, und trotzdem rennen alle paar Monate die Admins rum und müssen Viren beseitigen, weil irgendjemand wieder Dummheiten gemacht hat

Aber da gibt es soviel zu wissen...und das ist auch irgendwann alles mal gefragt worden im Forum.

Ich glaube auch, dass der taschentoast über gutes Hintergrundwissen verfügt, aber ich vermisse immer noch einen Lösungsvorschlag für Deine Situation. taschentoast: erklär ihm doch mal, wie Du es machen würdest.

Gruß, cujo

[taschentoast]

Horido,

<schnippschnapp>

Ich glaube auch, dass der taschentoast über gutes Hintergrundwissen verfügt, aber ich vermisse immer noch einen Lösungsvorschlag für Deine Situation. taschentoast: erklär ihm doch mal, wie Du es machen würdest.

Der allgemeine Lösungsvorschlag wurde schon zum Teil geäußert in diesem Thread:

- Beide PCs als LAN, abgesichert durch den Router.

Da ich leider nicht rauslesen konnte, was für ein WLAN-Router eingesetzt wird kann ich dazu nix sagen.

Wenn ich persönlich die Aufgabe hätte, 2 Windows PCs in einem LAN mit einem WLAN Router zu kombinieren, würde mir folgendes einfallen:

1. PCs absichern. Nicht benötigte Dienste am Netzwerkinterface abschalten. http://www.ntsvcfg.de/ bietet sehr gute Anleitungen und Skripte dazu.

2. Bekanntermaßen fehlerhafte Software auf den PCs abschaffen/nicht verwenden.

3. WLAN absichern. Die üblichen Maßnahmen, rotierender WEP-Key, VPN usw.

4. Router verstehen. Was läuft als Betriebssystem, wie werden die Filteregeln realisiert? iptables/ipchains/sonstwas. Als nächstes die benötigten Regeln erstellen, NAT, Portforwarding, etc.

5. Soziale Komponente: die ersten 4 Punkte verstehen und anwenden können, Worst-Case-Szenarien überlegen, Sensibilisierung des Nutzers (das berühmte, überstrapazierte Wort "Risikokompensation")

6. Bonus-Material: evtl. Anti-Viren-Programm zum Aussortieren von bekannten(Ausrufezeichen) Viren, bei Bedarf lokaler Spamfilter.

7. Extended Version : Als Nutzer Wissen über Sicherheit anlesen, verstehen, vielleicht eigenen Router bauen.

Die Punkte 1-5 sind Bestandteil einer "Firewall", sprich des Konzepts zum Erreichen eines über den Aufwand definierten Sicherheitslevels (hooray for komplizierte Sätze )

Das wäre so mein ganz schrecklich allgemeiner Lösungsansatz.

*auf zum nachmittags-nickerchen*

taschentoast

[Matzel80]

@ taschentoast

es handelt sich um folgenden Router, er war mehrfach Testsieger

http://www.netgear.de/Privat/Router/Wireless/WGR614/index.html

leider konnte ich auf der Herstellerseite nicht entnehmen, ob man es man Programmen untersagen kann, sich ins Internet einzuwählen --> deswegen sollte ja unter anderem auch die PWF dahinter installiert werden

Eventuell hast Du ja Erfahrungen mit dem Gerät und kannst dazu raten oder vielleicht auch abraten

[hades]

Auf Router findest Du keine Einstellungen, die Programmnamen die Verbindung ins Internet erlaubt bzw. nicht erlaubt.

Du kannst nur Protokolle (Ports) zulassen oder nicht zulassen.

Der Grund:

Programme werden lokal am Client ausgefuehrt, nicht auf dem Router.

[taschentoast]

Hallo,

@ taschentoast

es handelt sich um folgenden Router, er war mehrfach Testsieger

http://www.netgear.de/Privat/Router/Wireless/WGR614/index.html

leider konnte ich auf der Herstellerseite nicht entnehmen, ob man es man Programmen untersagen kann, sich ins Internet einzuwählen --> deswegen sollte ja unter anderem auch die PWF dahinter installiert werden

Eventuell hast Du ja Erfahrungen mit dem Gerät und kannst dazu raten oder vielleicht auch abraten

Ich hab mir mal schnell das Handbuch durchgelesen. Auf den ersten Blick hat das Ding doch einige nette Features, z.B. WPA-Pre-Shared-Key Schutz fürs WLAN, das solltest du auf jeden Fall mal konfigurieren, das ist deutlich besser als die 128bit WEP Verschlüsselung.

Ansonsten denke ich, dass als Paketfilter iptables eingesetzt wird, die murmeln was von Stateful Inspection, usw.

Leider konnte ich nichts finden, wie eigene Filterregeln definiert werden, offensichtlich gehen die nach dem Prinzip vor "Es ist erstmal alles erlaubt, was nicht verboten ist". Suboptimal. Besser wäre andersrum.

Alles in allem kein Top-Gerät, aber habe ich auch nicht erwartet. Für deine Ansprüche denke ich ganz gut geeignet, weil wegen WPA-PSK für WLAN, NAT und Portforwarding gibts auch, also fast alles dabei was der Home-User braucht.

Genaueres kann ich leider auch nicht sagen, ich hab zuhause kein WLAN und mein Router ist aus einem Soekris PC und OpenBSD gebastelt.

Hoffe, das hilft dir wieder ein Stück weiter

taschentoast

[Matzel80]

Ja, ich werde erstmal alles einrichten und falls noch Fragen auftauchen, hier weiter posten.

Danke ersteinmal.

[hades]

Leider konnte ich nichts finden, wie eigene Filterregeln definiert werden, offensichtlich gehen die nach dem Prinzip vor "Es ist erstmal alles erlaubt, was nicht verboten ist". Suboptimal. Besser wäre andersrum.

Mit den Netgear-Werkseinstellung ist der ausgehende Verkehr (HTTP, HTTPS, POP3, IMAP, SMTP, DNS, FTP passiv) uneingeschraenkt erlaubt.

Eingehende Verbindungen (z.B. FTP aktiv) muessen erst konfiguriert werden.

Filterregeln werden nach Diensten (TCP- bzw. UDP-Ports; portunabhaengige Protokolle wie ICMP, IPsec, GRE) und nach Richtung angelegt.