Hallo Leute,

Ich bin derzeit viel am Basteln und ein Konzept am aufbauen. Nun bin ich mir noch ziemlich unsicher was ich bezüglich der Firewall tun soll.

Ich habe ein QNAP Server der als Multimedia Station etc. für all meine Daten dient. Alle meine wichtigen Daten sind da drauf.
Nun wollte ich meine IPFire als VM durchgehend auf der QNAP laufen lassen über den LAN2 Anschluss. Somit würde es eine eigene Leitung zum Router kriegen nur für IPFire.
Auf LAN1 ist der normale Anschluss für meine Daten die auch über OpenVPN von ausserhalb erreichbar ist.

Ist es sinnvoll beides auf dem selben Server zu haben?
Werden im Falle einer Kompromitierung der Firewall auch die Daten über den LAN1 Anschluss in Gefahr sein?

Internet --> Router1 --> Router2 -->
QNAP-Server -->
-- QNAP Daten über LAN1
-- QNAP ipFire über LAN2

Hi,

eigentlich halte ich es nicht für sinnvoll, eine Firewall überhaupt auf der Maschine laufen zu lassen, die eigentlich geschützt werden soll - damit schafft man sich bloß weitere mögliche Einfallstore;

was die "Angreifbarkeit" angeht, sind andere Konzepte wesentlich wichtiger als so ein Paketfilter: Wenn beispielsweise ein "vergessenes" altes Programm über einen offenen Port eine Infektion erzeugt ist es auch egal, ob die Firewall virtuell und luxuriös war oder eben nicht;
die FW wird übrigens kaum selbst angegriffen - schuld sind fast immer Konfigurationsfehler und ähnliche Dinge.....

Liebe Grüße, Alois

Post © Alois 2015 – Alle Rechte vorbehalten – kein Teil darf in irgendeiner Form ohne schriftliche Genehmigung des Autors kritisiert werden!

V.a. finde ich die Idee unnötig kompliziert. Wozu muss hinter dem Router, der ja schon Paketfiltersoftware hat, noch eine Firewall stehen??!

Zwei Firewalls sind Bestandteil des klassischen zweistufigen Konzeptes mit DMZ, aber wenn sich einfach nur ein Bastion-Host hinter einem Router befindet ist das doch unnötig verkompliziert worden. Und je komplizierter desto fehleranfälliger und schwerer zu pflegen....

Warum nicht einfach so:

Code: Alles auswählenAufklappen

ATTFilter

Internes Netz an den LAN-Ports des Router   -------------  Router  ------------- Internet/WAN
               (QNAP, Desktop, Notebook, ...)        z.B. GW: 192.168.1.250 (eth0 router)      z.B. 217.8.9.10 (eth1 Router)      
              z.B. 192.168.1.0/24
         

Für was soll denn die zweite Firewall überhaupt gut sein? Traust du deinem Router nicht? Wenn dem so ist muss man die berechtigte Frage stellen, warum du den nicht rauschmeißt?! Wenn du von außen auf einen internen Dienst zB vom QNAP zugreifen willst, musst du dann ja zwei DNAT-Regeln pflegen, im Router und in der IPFire, ist das nicht etwas sinnfrei?

Ich danke wieder mal für Eure Antworten.

Nun ich habe ich letzter Zeit so viele verstörende Dinge über die NSA und was die alles abziehen und abgezogen haben gelesen, dass ich schon recht Angst bekommen habe was meine Privatsphäre angeht.
Windows ist sowieso nicht sicher, und doch brauche ich es weil es Dinge gibt, auf die ich nicht verzichten kann.
Zusätzlich weiss auch keiner wieviele grosse Anbieter eine Hintertür für die NSA und sonstige Leute hinterlassen haben wie bei den tollen BitLocker.
Bei TrueCrypt weiss man auch nicht ob der Entwickler nur keine Lust mehr hatte, oder er eine NSL von der NSA erhalten hat in der drin stand, dass er entweder eine Hintertür einbauen muss, oder sein Projekt aufgeben muss. Schliesslich weiss man es bei denen nie.

https://www.youtube.com/watch?v=TtMILYcwrCM <-- Gutes Video was auch dies angeht.
hxxp://www.welt.de/wirtschaft/webwelt/article137536688/NSA-nistet-sich-in-Millionen-Computern-ein.html

zurück zum Thema:
Ich verwende OpenVPN und dies wollte ich für das gesamte Verkehr verwenden. Die FritzBox kann man standardmässig nicht einfach so als VPN Client einrichten, weshalb ich überlegt hatte eine Linux Firewall zu verwenden. Meine Bedenken waren auch, dass FritzBox genauso unsicher sein könnte.
(Ja ich weiss... wenn ich schon so paranoid sein will, dann soll ich mich gleich im Keller verstecken und nichts elektronisches mehr anfassen.)

Nichtsdesto trotz würde ich mich mit einer Linux Firewall sicherer fühlen. Nach lange Bedenkphasen und einige Netzwerkdiagramme, habe ich mir gedacht es wie folgt zu machen:

Router(FritzBox)
- NAS Server für die Daten
- Mein PC (nur als normaler Benutzer ohne Admin Rechte zum Spielen verwenden)

-- IPFire / pfSense ?!? (VM und als VPN Client für den gesammten Verkehr)
--- Linux Mint (VM zum Surfen etc.)
--- Windows 7 (VM als Testzwecke von bestimmten Programme)

Was haltet Ihr davon?

Oh mein Gott

Wenn du Angst vor der NSA hast dann kannst du nur eins: Internet Anschluss kündigen. Deine IPFire hilft da nicht weiter. Geheimdienste zapfen direkt an den Internetbackbones und nicht deinen Anschluss an. Da kannst du noch zehn oder hundert Firewalls installieren, bringt alles nichts, weil Geheimdienste an ganz anderen Stellen die Daten anzapfen.

Zitat:

Was haltet Ihr davon?

Willst du eine ehrliche oder freundliche Antwort lesen?

war ja klar das nur dies gelesen wird... da bringt es auch nichts mehr

Sry, aber als Argument für die IPFire bringst du ja die NSA ins Spiel. Ich finde diesen ganzen Aufwand den du da betreibst steht in keinem Verhältnis zum (angeblichen) Plus an Sicherheit.

Wenn du deinem Router nicht traust, dann schmeiß ihn weg und ersetze ihn durch einen Rechner, auf dem du eine Firewall selbst installierst.

um es einfach zu erklären:

Szenario 1:
Du schickst deine Daten ungefiltert ins Netz

Szenario 2:
Deine Daten gehen über Router, extra Firewall, Linux Firewall, und noch ne Firewall, ins Netz.

Fazit:
Egal welches Szenario, deine Daten landen im Netz, also bei der NSA (wenn die denn wollen) .

Klar schützt die zusätzliche FW evtl was eingehendes. Aber wer will schon auf deinen Rechner, wenn er nen Knotenpunkt inne hat und dort alles abgreifen kann?

Naja im Netz kann man es wenigstens noch etwas verschleiern

Sorry,

wenn die NSA (oder der KGB oder der Mossad oder irgendein anderer größerer Geheimdienst) hinter dir her wäre würde dir alles das nichts nützen. Dann würde wie bei "Hack Team" entweder ein Zero Day Exploit verwendet oder in deiner Abwesenheit würde jemand ohne Spuren zu hinterlassen deine Wohnugnstüre knacken und gleich ne Hardware Wanze installieren.

Soweit _das_ Szenario. Geheimdiensten kannst du die Netzfischerei erschweren (GpG per Mail, verschlüsselte Textmessager wie Textsecure oder Threema statt Whatsapp etc.) aber wenn sie hinter dir her wären hätten sie deine Daten.

Gegen normale Internetkriminelle sind die Fritz-Boxen dagegen schon recht sicher. Die neueren bieten auch einen VPN Zugang. Da kommerzielle Datenserver oft Updates etwas verspätet erhalten wäre es denkbar dass du dir mit einem freien Linux auf einem stromsparenden Rechner "from scratch" deinen eigenen Medienserver aufbaust. Den könntest du selbst dann immer aktuell halten.

Ein Einsatz für IP Fire oder etwas Ähnliches wäre (wie bei Firmen) eine "Demilitarisierte Zone". D.h. hinter der Fritz Box steht ein Server mit nicht gar so kritischen Daten der aus dem Internet (z.B. auch über http oder https ) zugänglich ist und auf dem auch andere Daten ablegen können. Dein Heimnetz würde von der DMZ dann durch einen Firewallrechner mit IPfire oder etwas Ähnlichem abgesichert.

Das ist dann aber schon semi-professionell bis professionell, ich schätze die meisten Kleinunternehmen sind nicht so gut geschützt.

Danke der Antwort,

Ja, meine Fritzbox hat auch VPN aber nur als Server und nicht als Client. Ich wollte mal das der gesammte Verkehr über die FritzBox an den VPN Server geschickt wird. Dies dagegen erfordert wohl andere Massnahmen wie ich hiergelesen habe.

Damit ich es doch nicht so kompliziert mache... habe ich versucht den gesammten Verkehr nur über den VPN Server laufenzulassen jedoch habe ich es nicht geschaft..
(Ja ich weiss mir fehlt wohl etwas wissen was Netzwerke angeht, dennoch darf man ja wohl was dazu lernen )

Es soll der gesamte Trafic ausser der über den VPN Beispiel: "5.135.178.52" blockiert werden.
Mögt ihr mir da weiter helfen?

Zuerst sollten wir die Frage klären: Was genau versprichst du dir von VPN eigentlich genau? Und worüber läuft das über welchen Anbieter?

Wenigstens ein wenig anonymität. Es geht über VyprVPN. Ich mag nicht mehr das jedes Arsch anhand meiner IP Adresse gleich mit einer 95% Wahrscheinlichkeit weiss, wo ich wohne etc.
Dies sollte ja einem auch gestattet sein, oder?
Aber es geht auch um`s ausprobieren und zwar wie man eben alle Verbindungen die nicht durch den VPN gehen verbieten kann.

Zitat:

Ich mag nicht mehr das jedes Arsch anhand meiner IP Adresse gleich mit einer 95% Wahrscheinlichkeit weiss, wo ich wohne etc

??? what ????

Wo hast du denn das gelesen?!

Aus der IP-Adresse kann man doch nicht direkt eine postalische Adresse ableiten!

Kann es sein, dass deine Paranoidität aus sehr viel Halbwissen induziert wurde?

Wenn wenn es wirklich nur ums verschleierte Surfen geht dann reicht der Tor-Browser dicke aus. Dazu muss man ja nun nicht gleich irgendwelche VPN-Services mieten und ne "dicke" Firewall in einer eigenen VM am laufen haben....

Scheinbar werden Menschen wenn auch in einem anderen Sinn auch hier nach der Hautfarbe behandelt.
Im Grunde kann Dir doch egal sein was ich ausprobieren will und was meine Beweggründe dazu sind.
Anstatt immer unnötiges zu posten um mich schlecht zu machen, hättest Du dir auch die Müde einfach machen können mir zu erklären wie ich alles ausser eine IP blocken kann.
Da hat es nun mit einer fetten Firewall auch nichts zu tun da es um Windows Firewall ging.

Und doch, hab selber über mehreren Seiten nachgeschaut wo meine IP mich hinführt und die lagen fast alle gerademal max 5km daneben.

Wenn Du keine Lust hast einfach objektiv zu bleiben und normale Antworten zu geben, dann lasse es doch gut sein. Da frage ich lieber woanders nach als mir dauernd blöde sprüche anzuhören.
Hast doch ausserdem genügend Beiträge. Da musst Du nicht noch mit unnötigen Kommentaren es aufbessern.