nicht angemeldet
2 Router im Heimnetzwerk...
Hallo zusammen
Ich habe bei mir ein Netopia Cayman 3342 Modem/Router und ein Netgear WGT624 WLAN Router im Netz. Bisher habe ich den Netopia Router ausschliesslich im Bridgemodus benutzt.
Nun frage ich mich ob es auch möglich ist, diesen Netopia Router ebenfalls als Router und nicht im Bridgemodus zu verwenden? Ziel wäre es, dass ich beim ersten Router z.B. Port 80 öffnen kann, hingegen beim zweiten Router sämtliche Ports schliessen kann damit die Clients die am zweiten Router hängen vollständig geschützt sind:
Internet ------- Netopia Router ----------Netgear Router
(Port 80 offen) (Alle Ports geschlossen)
| /\
| / \
| / \
Webserver Client_1 Client_2
Die Clients müssen aber Zugang ins Internet haben. Ist sowas möglich? Von was hängt das ab?
Danke!
Gruss Peter
-
Hello,
Internet ------- Netopia Router ----------Netgear Router
(Port 80 offen) (Alle Ports geschlossen)
| /\ | / \ | / \ Webserver Client_1 Client_2Die Clients müssen aber Zugang ins Internet haben. Ist sowas möglich? Von was hängt das ab?
Wenn Du alle Ports schließt, geht gar nichts mehr. Das bringt natürlich die zweithöchste Sicherheit. Die höchste hättest Du, wenn Du das Kabel kappst. ;-)
Eine bessere Lösung wäre sicher der Einsatz eines Proxys für jeden erlaubten Dienst.
Und den Port für den jeweils erlaubten Dienst musst Du schon offen halten.Und vergiss nicht, dass auch ein Proxy nicht unbedingt in die Applikationsebene eingreift, also dann auch nicht erkennen kann, wenn man Dir Viren und Würmer schickt.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hallo zusammen
Wenn Du alle Ports schließt, geht gar nichts mehr. Das bringt natürlich die zweithöchste Sicherheit. Die höchste hättest Du, wenn Du das Kabel kappst. ;-)
Mit schliessen von allen Ports meinte ich, dass ich mit NAT keine Weiterleitungen der Pakete an bestimmte Rechner mache. Meine Fragen bleiben aber offen...
Gruss Peter
-
Hello,
Mit schliessen von allen Ports meinte ich, dass ich mit NAT keine Weiterleitungen der Pakete an bestimmte Rechner mache. Meine Fragen bleiben aber offen...
Was passiert denn?
Ein Programm fordert über das Netz Informationen an.
Das Betriebssystem des Cleints belegt einen freien Port mit der Anfrage und entscheidet sich für TCP/IP-Transmission.
Die Anfrage wird über TCP/IP an das lokale Netz übermittelt. Der Router fühlt sich angesprochen, die Anfrage zu veröffentlichen. Dafür belegt er einen seiner freien Ports am Ausgang, merkt sich aber auch, von welchem internen Port/IP er die Anfrage erhalten hat.Die Anfrage verschwindet im Netz der Netze.
Die Antwort trudelt ein für die öffentliche IP des Routers. Der schaut nach, ob er auf dem in der Antwort angegebenen Port noch auf eine Antwort wartet. Wenn ja, dann leitet er die Antwort auf die IP und den internen Port, die zu dem offenen Port in seinem Ausgang gehört, weiter.
Wenn Du nun dem Router anweist, gar keine Ausgangs/Eingangs-Ports auf der Internetseite mehr zu verwenden, dann kan er Response-Datenpakete nicht mehr zuordnen.
Dann kannst du auch die Leitung durchschneiden.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
Moin!
Nun frage ich mich ob es auch möglich ist, diesen Netopia Router ebenfalls als Router und nicht im Bridgemodus zu verwenden? Ziel wäre es, dass ich beim ersten Router z.B. Port 80 öffnen kann, hingegen beim zweiten Router sämtliche Ports schliessen kann damit die Clients die am zweiten Router hängen vollständig geschützt sind:
Gegenfrage Nummer 1: Was hindert dich?
Gegenfrage Nummer 2: Was glaubst du, wie man die Clients erreichen soll, auch wenn Port 80 im NAT an den Webserver weitergereicht wird? Sobald du Datenverkehr mit irgendwo zuläßt, existieren Gefahren, egal wie viele Router und NAT-Hindernisse zu überwinden sind.Wenn ein Client mit einem Server des Internets Kontakt aufnehmen kann, dann ist er angreifbar. Zwar nicht durch bösartige Kontaktaufnahme zu irgendwelchen seiner eigenen Serverdienste, die er vielleicht im Intranet anbietet (Dateisharing etc.), aber bösartige Viren, Webseiten etc. kommen natürlich trotzdem durch.
Insofern ist eine einzige NAT-Wand vollkommen ausreichend für eine recht effektive Abschottung der offenen Ports der Clients - mehr hilft da nicht mehr.
- Sven Rautenberg
-
Hallo Sven
Wenn ein Client mit einem Server des Internets Kontakt aufnehmen kann, dann ist er angreifbar. Zwar nicht durch bösartige Kontaktaufnahme zu irgendwelchen seiner eigenen Serverdienste, die er vielleicht im Intranet anbietet (Dateisharing etc.), aber bösartige Viren, Webseiten etc. kommen natürlich trotzdem durch.
...aber wenn ich mir vorstelle, dass eine erste Wand ein Loch hat, hingegen die Wand hinter der ersten Wand dicht ist, dann sind doch die Clients besser geschützt wenn sie sich hinter der zweiten Wand befinden?
-
Moin!
...aber wenn ich mir vorstelle, dass eine erste Wand ein Loch hat, hingegen die Wand hinter der ersten Wand dicht ist, dann sind doch die Clients besser geschützt wenn sie sich hinter der zweiten Wand befinden?
Diese Vorstellung ist doch aber falsch, denn die zweite Wand wäre ja genauso wenig dicht, wie die erste. Eine Wand würde gar nichts durchlassen, ein NAT-Router ist aber doch genau dafür da, etwas durchzulassen.
Er generiert aufgrund der von den Clients aufgebauten Verbindungen auf TCP und UDP dynamisch Regeln, wie wieder hereinkommende Pakete nach innen weiterzuleiten sind. Im Falle von TCP kann der NAT-Router auch das Ende der Verbindung feststellen und die dynamisch erstellte Regel so wieder löschen - bei UDP hingegen bleibt die Regel nach der letzten Benutzung einfach noch eine Zeit lang aktiv. In dieser Zeit würden UDP-Datenpakete mit derselben Absender-IP also problemlos an den Client weitergeleitet werden, er ist also keinesfalls so abgeschottet, wie du glaubst.
Deine Weiterleitung von Port 80 an den Webserver ist nur eine einzige statische Regel zusätzlich. Also im Vergleich zur Tatsache, dass überhaupt Daten durchgeleitet werden, nur eine winzige Erweiterung.
Also entweder vertraust du dem Hersteller deines Routers so weit, dass er in der Lage ist, ein fehlerfreies NAT-Routing hinzukriegen. Dann ist das standardmäßige Durchleiten von Port 80 hin zum Webserver kein wirkliches Zusatzrisiko, denn an die Clients wird derartig weitergeleiteter Datenverkehr niemals gelangen (außer du stellst wirklich ganz seltsame Dinge zuhause an).
Wenn dein Sicherheitskonzept eine entmilitarisierte Zone zwingend erfordert, brauchst du natürlich noch eine zweite Stufe. Das sehe ich aber nicht, denn das Vorhandensein eines Sicherheitskonzeptes würde bedeuten, dass du hinsichtlich des Datenverkehrs eine pessimistische Grundhaltung hast und an deiner Firewall (die du dann sowohl außen, als auch innen brauchst) nur Verbindungen zu definierten Ports erlaubst, also z.B. nur die Ports 80, 443, 22, 25 und 110 (für HTTP, HTTPS, SSH, SMTP und POP3). Das wiederum bedeutet eine relativ hohe Einschränkung der Benutzer, denn eine Verbindung zu Webservern auf anderen Ports ist damit dann nicht mehr möglich. Der Einsatz eines Proxys wäre auch dringend anzuraten.
Mit anderen Worten: Du versuchst eigentlich, einen Sicherheitslevel zu erreichen bzw. dir vorzumachen, der aufgrund deiner unzureichenden Mittel und dem Fehlen eines Konzeptes gar nicht erreicht werden kann.
- Sven Rautenberg
-
Hallo
Vielen Dank für die ausführliche Erklärung. Hast du nicht noch einen guten Link zu diesem Thema auf Lager damit ich mich da vertiefen kann...?
Gruss
-
Hello,
Vielen Dank für die ausführliche Erklärung. Hast du nicht noch einen guten Link zu diesem Thema auf Lager damit ich mich da vertiefen kann...?
Schau dich mal bei http://netzmafia.de um oder sonst kauf Dir das Buch von Cisco zum Thema "TCP/IP-Routing" Das kann ich wirklich empfehlen.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
-