Hi Sven,

Das war und ist auch nicht meine Intention, da mir schon bewusst ist, dass Stationen, die sich krampfhaft zu verbergen suchen, bevorzugtes Angriffsziel von Hackern sind.

Da würde ich sogar abwiegelnd widersprechen wollen. Ich zielte eher auf den Irrglauben der normalen Anwender, mit einer nicht-antwortenden Firewall wäre man unsichtbar und unangreifbar fürs Netz.

*lol* Ja, der Unsinn wurde von demjenigen aufgebracht, der den Begriff "stealth" im Zusammenhang mit einer Firewall(ich glaub, damals wars ZoneAlarm oder so...) verwendete.

Wollte man wirklich unsichtbar sein, müßte man mit der IP seines zugeordneten Routers (also den ersten im Netz des Providers, an dem die eigenen Pakete vorbeikommen) an den Anfrager ICMP-Pakete "Destination not reachable" senden. Das würde der Router von sich aus tun, wenn die IP nicht vergeben und unerreichbar wäre.

Ja, so in etwa hab ich mir das vorgestellt.

Wichtig ist mir eigentlich nur eins: Dass meine Ports dicht sind, solange ich keine Anwendungen laufen habe, die sie benötigen. Dann kann ich aber sowieso die Ports auf den betroffenen Rechner routen, so dass das restliche Netzwerk davon unberührt ist. Da ich einen eigenen Rechner nur für Internetanwendungen nutze, sehe ich da nicht so sehr ein Problem.

Stimmt. Aber wenn man das macht, sollte man sich bei der eingesetzten Software relativ sicher sein, dass die keine Lücken hat. Microsoft würde ich ungern als Server ins Netz lassen, muß ich sagen. Andere Menschen tun es - aber dann werden eben die gehackt, nicht ich. :)

Nuja, ich betreibe keinen Server sondern ein P2P-Netzwerk. Eigentlich schützt micvh nur der Router und dessen Firewall, oder auch nicht, wenn man betrachtet, was der ELSA gemacht hat. :-)

Nuja, die Gedanken sind ja erst gekommen, als ich draufkam, daß mein altes Modem(ELSA-ISDN4you mit integriertem Router!) die Ports 137, 53 und 25 ins Internet offen gehalten hat.

Ein spannender Router. Der hat offenbar seinen Job ernst genommen. :)

Naja, Ansichtssache, ich denke eher, der wollte möglichst wenig tun und Urlaub machen. Den hat er ja nun, in der Elektronikschrottkiste... ;-)

Nachdem ich das weggeschmissen hab und nun den USR konfiguriere, möchte ich natürlich schon so ziemlich alles dicht kriegen, ohne mich aber auszusperren :o), bevor ich mich zurücklehne.

Router, welche auch Network Adress Translation (Masquerading) machen, bieten schon mal eine grundsätzliche Sicherheit, weil sie keinerlei unautorisierten Zugriff ins interne Netz zulassen. Intern werden in der Regel IPs aus den für private Zwecke reservierten Bereichen verwendet, d.h. die kann man über das Internet gar nicht ansprechen. Somit sind auch alle Ports erstmal "zu" - es sei denn, man definiert Port-Forwarding. Das sollte man allerdings aktiv und nur für die Ports tun, die man wirklich offen haben will.

NAT kann der USR, allerdings hat die Firewall Mängel, da kann ich die Ports nicht getrennt für TCP/UDP freigeben. Deshalb bin ich auch auf der Suche nach etwas neuerem, besserem, kenn mich da aber nicht wirklich aus.
Ich werde wohl auf einen reinen Router von Zyxel(202Hoder 202H+) oder Netgear umsteigen und dazu ein ISDN-Modem und einen Druckerserver mit 2 Ports umsteigen.
Der Zyxel hätte auch schon ein integriertes ISDN-Modem, wenn ich die Beschreibung richtig interpretiere.

Bleibt als letzte zu sichernde Bastion eigentlich nur der Router selbst. Es gab bei einigen Herstellern schon Sicherheitsprobleme, beispielsweise war die Konfigurationsseite aus dem Internet erreich- und angreifbar. Sowas sollte man natürlich nicht zulassen. :)

Netgear hatte da ja letztens einige Probleme, wenn ich mich recht erinnere...
Naja, die Routerkonfig ist sowieso passwortgeschützt, wobei sich das sicherlich auch herausfinden liesse.
Wie kann man feststellen, ob der Router via Internet erreichbar ist?

Gruß

Kurt