Wieviele Firewalls braucht man eigentlich?

celeron74

Member
Hallo,

ich bin vielleicht nicht mehr der jüngste, aber mir ist nicht entgangen, dass es so ziemlich von jedem Antivirus-Hersteller (meist integriert in irgendwelche "Suiten") irgendwelche Firewall-Produkte für die Endgeräte gibt. Stellt sich mir jetzt die Frage: Braucht man sowas überhaupt? Der Router hat doch sowieso schon eine Firewall, das Betriebssystem (bei mir Windows) ebenfalls. Wozu jetzt noch eine 3. Firewall installieren? Macht das schlussendlich nicht alles wesentlich mehr Umstände, als es nützt?
 
Hier läuft noch eine pfSense, welche als "zentrale" Firewall (für mittlerweile mehr als 1 Netz) dient. Vorteil ist, dass ich hier zentral die Berechtigungen vergeben kann, wer/was wohin darf (und was nicht). Habe zwar ein paar Ports auf dem Router offen, damit ich von extern die pfSense zur OpenVPN-Einwahl erreiche, aber ansonsten kümmere ich mich da garnicht groß drum. Auch die Rechner und so fasse ich diesbezüglich garnicht an, ich regel das lieber ganz bequem direkt über die pfSense.
 
Bei mir übernimmt ebenfalls eine Hardware Firewall (Opnsense) alles was ins Internet geht oder von dort kommt.
Die Software-Firewall auf den Clients (sofern vorhanden) verwende ich nur um innerhalb des Netzwerks Zugriffe zu beschränken, was bei mir jedoch kaum vorkommt.
Mehrere Firewalls auf einem Gerät, zB Windows bedarf es meiner Meinung nach grundsätzlich nicht, einziger Aspekt der für mich für eine alternarive Firewall spricht als die in Windows integrierte, sind weitere Funktionen, sofern man diese benötigt.
 
Moinsen,
da schließe ich mich mal an. Hier werkelt ebenfalls eine pfsense Firewall im Netzwerk. Abgesehen von der reinen Firewall Idee (also Filtern bestimmter Pakete nach festgelegten Regeln) übernimmt diese noch die ein oder andere Aufgabe im Netzwerk (VLAN, VPN, DHDCP, DNS). Also eh ne andere Geschichte, als die diversen "Suiten".
IMHO braucht die auch niemand, werden gerne für etwas Aufpreis zu den Antivirenprogrammen als "Extra" angeboten, aber aus meiner Sicht eher überflüssig bis sogar kontraproduktiv. Und auch hier: viel hilft nicht immer viel. Besser für ein Konstrukt entscheiden und das dann richtig umsetzen.
Zusätzlich laufen auf den NAS die internen FWs, die hier wegfiltern, wer überhaupt auf Ports und Dienste zugreifen darf (abgesehen von der Berechtigung für die User). Damit sorge ich dann für etwas mehr Sicherheit INNERHALB eines Netzwerksegmentes (da hier ja nicht die eigentliche FW greift).
Wenn du also einen guten Router mit NAT hast, dann noch die FW von windows nutzt und die vom NAS sollte es für die meisten Szenarien ersteinmal reichen.
Wenn du dein Netz aber komplexer aufbauen willst, ggf. mit Segmentierung in VLANs und/oder regelmäßig von außerhalb in dein Netz willst/musst, dann würde ich zu einem gewissen "Mehr" raten...
:)
 
Ich würde mal behaupten: Kommt immer auf die Strecke und die beteiligten Abzweigungen an. In so einem klassischen Heimnetzwerk sind ja primär eigentlich erstmal nur 2 vorhanden: Die vom Router und die vom Client. Router lässt erstmal alles raus und nix rein, somit ist da schon mal rudimentär etwas Schutz vorhanden. Die Firewall vom Client schützt auch nur den Client vor eingehenden Verbindungen (je nach Konfiguration, halt eben wie der Router auch). Durch eine - weiss garnicht wie ich das jetzt nennen soll - "erweiterte" Firewall, wie z.B. eine zentrale pfSense (welche zwischen Router und Clients sitzt), lässt sich der Verkehr wesentlich granularer steuern (so, dass z.B. auch nicht jeder Client einfach ins Internet darf bzw. "zwingend" ein Proxy genutzt werden "muss" (da nur dieser ins Internet darf). Das ist mitunter auch ein Grund, warum immer mehr Leute zu einer Lösung wie pfSense o.ä. greifen: Zugriffe lassen sich einfach granularer steuern :)

Ich persönlich habe auch nur eine Firewall zwischen Clients und Router sitzen, was den Virenscanner angeht, so habe ich hier noch eine Version, welche keine "Suite" ist, sondern eben "nur" ein (kostenpflichtiger) Virenscanner ist, da ich persönlich nichts davon halte, dass AV-Hersteller jetzt auch noch Firewall-Anbieter spielen. "Zuviel" davon kann auch hinderlich sein und nicht nur förderlich ☺️
 
Vielen Dank für eure Meinungen/Infos! :)

"Zuviel" davon kann auch hinderlich sein und nicht nur förderlich ☺️

Ja, der Gedanke kam mir auch irgendwie, daher die Frage... Mir leuchtet es natürlich ein, dass es durchaus Sinn macht, wenn man die Netzteilnehmer irgendwo (zumindestens in/von Richtung Internet) zentral steuern kann (über so eine bereits erwähnte "zentrale" Firewall), was aber diese ganzen Zusatz-Firewalls von div. Herstellern zur Installation auf dem Client angeht... ich weiss ja nicht. Hat für mich irgendwas von Schutzwesten... nicht nur eine... nicht zwei, sondern direkt einen ganzen Packen (frei nach dem Motto: mehr ist immer gut)... Bewegen wird man sich dann vermutlich nur schwerlich können (bis garnicht). Wenn ich das jetzt mal auf meinen Rechner übersetze, heisst das für mich erstmal, dass mir da etliche Dinge in die Verbindung greifen können und es quasi "an jeder Stelle" theoretisch zu Problemen kommen kann.

Grundsätzlich bin ich aber erstmal beruhigt (dank euch), denn die Antwort lautet für mich jetzt erstmal: "Braucht man nicht!" (also zumindestens nicht mehrere auf einem Rechner 😃)
 
Wieviele Firewalls braucht man eigentlich?

Die Frage lässt sich nur ordentlich beantworten, wenn man sich seinen Schutzbedarf klargemacht hat.

Wenn ich beispielsweise meine Privatsphäre besser schützen will, ist ein etwas größerer Aufwand als die Standard-Firewall aus dem Router sinnvoll. Zum Beispiel mit einer Erweiterung um einem PiHole, der die DNS-Anfragen auflöst. Mit Sperrlisten (ausreichend im Netz verfügbar) kann ich so viele Werbeeinblendungen beim Internets-Surfen vermeiden und auch den äußerst gesprächigen Windows-Installationen, das Nachhausesenden von Telemetriedaten vermiesen, und/oder den Aufruf potentiell gefährlicher Webseiten sperren.

Wer mit IoT-Geräten liebäugelt, sollte darüber nachdenken diese in separaten Netzwerksegmenten zu betreiben. Dann ist man mit einer Hardware-Firewall ganz gut beraten.
 
Hmm, ich würde dringend raten, Abstand von diesen ganzen Firewalls von Antiviren-Herstellern im Zusammenhang mit Windows zu nehmen, genauso wie von den ganzen Antivirenprodukten dieser Hersteller.
Es gibt dazu Hinweise, dass diese Produkte genauso viele Sicherheitsprobleme verursachen, wie sie vorgaukeln Sicherheit herzustellen.
Wenn überhaupt, reicht die Firewall, die bei Windows mitgeliefert wird, vollkommen aus und da sie eben von Microsoft stammt ist die Wahrscheinlichkeit, dass damit Probleme verursacht werden, kleiner, da sie von einem Insider stammt. Antivir etc. haben im Zweifelfall keinen oder weniger Einblick in die Interna des BS und machen dadurch tendentiell Fehler. Gleiches gilt für Antiviren Software.
Eine Hardware-Firewall kann Sinn machen und ist wie erwähnt bereits bei den meisten Routern enthalten. Bei größerem Sicherheitsbedarf kann man natürlich, wie meine Vorredner anmerken, eine dedizierte Appliiance / Software dazu einsetzen.
Ich für mich fahre seit mittlerweile fast 10 Jahren mit der Firewall der Fritzbox ganz gut, hatte noch nie "Gäste" im System.
Genauso wichtig wie eine gute Firewall ist aber eine generelle Sicherheitstrategie und ein Verständnis der Bedrohungen und Gegenmassnahmen im Netz, soll heissen u.a Phishing Mails, Ransomware etc.
 
Verstehe ich euch richtig: Wenn ich also keine Portfreigaben nach außen hin mache und zusätzlich noch hinter einem DS-Lite-Schluss sitze kann ich mir eine HW-Firewall sparen?

Ich sitze natürlich hinter einer FritzBox
 
Nein, ein Heimnetzwerk sollte immer durch eine Hardware-Firewall zum Internet gesichert sein.

Edit: Denn wer sagt Dir, dass es nicht auch bei Deinem Provider neugierige Leute gibt, die sich gerne in Dein Netz hacken?
Da geht man besser auf Nummer sicher.
 
Zuletzt bearbeitet:
Moinsen,
naja, gerade mit IPv6 und den global erreichbaren Adressen ist ein Schutz wichtig. Das, was früher / bei IPv4 dein Router mit NAT abgefangen hat, würde ja heute "mit dem Poppes im Netz sitzen" und dann könnte da jede*r eben auch ran.
Die Fritzbox bringt da ja eben für IPv4 ihre NAT Funktion mit, für IPv6 hat sie ebenfalls eine (rudimentäre) FW Funktion, so dass eben nicht jedes Gerät mit GUA erreichbar ist von "außen".
Daher: ohne wenigstens rudimentäre HW-FW würde ich es sein lassen. Für den gehobeneren (feinjustieren) Bedarf natürlich auch gerne was "besseres", wenn mensch sich denn zuvor mit der Arbeitsweise und richtigen Konfiguration vertraut gemacht hat.
:)
 
Für meinen Anschluss musste ich feststellen, dass ich von außen gar nicht erreichbar bin. Auch die MyFritz-Funktion habe ich nicht zum Laufen bekommen. Meine Lösung ist jetzt ein VPN-Tunnel von einem normal Anschluss zu meinem, über welchen ich mich dann per VPN verbinden kann und von dort den Sprung in mein Netzwerkschaffe.

Wie ist das gemeint mit dem Rudimentären Schutz von IPv6 der Fritzbox?
 
Moinsen,
naja, rudimentär bezog sich auf die NAT Funktion bei IPv4. Dies wurde oft als "Firewall light" in diversen Foren bezeichnet, kommt einer "echten " Firewall aber nur ungefähr nahe...

Mit IPv6 besitzt die Fritzbox meines Wissens zumindest eine grundlegende Blockadefunktion, damit eben nix einfach von außen auf deine Clients mit globaler Adresse zugreifen kann. Du kannst es aber nicht wesentlich konfigurieren...
Was damit geht: exposed host oder nicht einrichten, unter "Heimnetz" > IPv6 können ein, zwei Haken gesetzt werden. Mehr meines Wissens nach nicht.

Was (gerade) bei IPv6 aber immens wichtig wäre: alles von außen verwerfen, dafür aber die ICMP Pakete durchlassen, damit ggf. Fehler beim Verbindungsversuch rückgemeldet werden können.
Solche Feineinstellungen sind dann aber auch meist den "professionelleren" Firewalls vorbehalten...

https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fritzbox/(hier dann weiter runter scrollen, Thema Security)...
 
Du kannst es aber nicht wesentlich konfigurieren...
Fritte ist schon etwas her, aber außer einer (Port-)Freigabe braucht es ja nicht viel was zu konfigurieren ist (klar, auf einer Fritte können keine grandiosen Regeln erstellt werden), aber wenn ich mich recht erinnere kann die Fritte bei den Freigaben sogar ein sich änderndes Präfix berücksichtigen, das finde ich ziemlich toll :)
 
Moinsen,
ja, das ist praktisch (denn sonst müsste ja bei dynamischen Präfixvergaben die Konfig jedesmal wieder neu angefasst werden).
Die Fritz speichert daher unter exposed host nur die 2. Hälfte ab als IPv6...der Präfix taucht dort gar nicht auf und wird mit "::" eingesetzt.

Ich schaue gerade mal über einen Zeitraum einiger Tage, wie oft sich das dynamische Präfix wirklich verändert. Aktuell seit 48 Stunden gleich...mal sehen, was meine Feldstudie ergibt :unsure:🤓🧐
 
Bei mir (DG) scheint das nur alle Jubelmonate mal der Fall zu sein, so richtig konnte ich das nicht ausmachen, da das Log meiner DDNS nur 3 Monate zurückreicht und (vermutlich) durch Umstellung des Logs an der OPNsense dies auch nicht mehr weit genug zurückreicht.
auf und wird mit "::" eingesetzt.
Das würde aber doch bedeuten, dass dieser Teil mit aufeinander folgenden Nullen aufgefüllt wird... und aufeinander folgende Nullen sind ja eigentlich keine Wildcards :unsure:
So ganz konform kann das doch dann nicht sein?!
 
Moinsen,
vermutlich wird das analog gehandhabt zu einer Adresse wie zB
FE80::/64
Die folgenden Nullen ("::") dienen nur als Platzhalter für wasauchimmer dann aus MAC oder sonstwie gebildet wird.
Da o.g. Adresse ja auch eher eine Variable ist, vermute (!) ich mal, dass AVM es hier genauso macht nur andersherum...
also das "::" als variablen Anteil der IP ansieht, nämlich das dynamische Präfix.

Habe aber im Netz immer nur die Variante mit den nachgestellten "::" gefunden (wie eben oben), aber nicht die "AVM"-Variante.
Du hast also imho absolut recht damit, wenn du sagst
So ganz konform kann das doch dann nicht sein?!
Aber vielleicht erhellt uns ja noch ein Profi...dieses ganze IPv6 macht mir nach kruzer Zeit Knoten in die Hirnwindungen...
🤪🥳😖🥺😵🤕
 
Denke Firewalls gibt es wie Sand am Meer, die meisten Hardwarehersteller sind aus meiner sicht sehr gut wenn man sie richtig einstellt und bei den Softwarefirewalls setzte ich immer auf die Herstellertools. Einen gesunden Mix aus Software und Hardwareffirewall ist sicher das beste um die Performance hochzuhalten.

Eine zentrale Frage die man sich stellen soll ist im Zusammenhang mit dem OSI Model. Firewalls greifen ab Schicht 3 ein und kann man bis Schicht 7 haben. Für die kontrolle der oberen Schichten 6-7 muss jeweills der gesammte Datenstrom analysiert werden und brauchen viel Leistung und müssen auch laufend updated werden. Ich verwende als erstes eine Hardwarefirewall für die Schichten 3-5 und anschliessend für das Server VLAN nochmalls eine Hardware für die Schicht 6-7. Ganz sensible Geräte wie Webservers werden dann nochmalls mit Softwarefirewalls belegt um den Schutz gegen innen zu bewerkstelligen falls mal einen Server eine Lücke hat.

Eine Firewall einzustellen ist aus meiner Sicht einnerseits einfach aber auch sehr schwer, da man Sicherheit und Risiko abwären muss. Ich denke das wichtigste ist für sich eine Strukturanalys und Datenstromanalyse durchzuführen und diese auch mit einem Netzplan zu vergleichen. Erst dann lassen sich Schutzmasnahmen effektiv festlegen und Planen. Die wichtigste Regel beim Firewall einstellen sollte aus meiner Sicht "Deny all from Any to Any" lauten, erst dann kommen die ganzen Freigaben.
Ein Feature aus der etwas neueren Zeit von Firewall das ich zwar spannend finde aber nicht immer von Nutzen sehe sind Geo IP listen, da Bootnetzte einfach überall liegen.
 
sollte aus meiner Sicht "Deny all from Any to Any" lauten, erst dann ...
und ZACK, ausgesperrt... 😜

Grundsätzlich kann man aber immer folgendem Schema folgen:

1) Anti-Lockout-Regel (sich selbst vor dem aussperren schützen 😋)
2) Regeln nach Wunsch (kann auch erst später gemacht werden)
3) Alles andere verbieten

Manche Anbieter (wie z.B. Synology) bieten da die Möglichkeit mit irgendwelchen Buttons (ausserhalb der Liste) eine globale Regel zu setzen (alles verbieten was nicht erlaubt, oder alles erlaubt was nicht verboten), ist zwar ganz nett, aber die globale Cleanup-Rule (alles verbieten) sollte in "jedem" Fall gesetzt werden. Dann macht man es auch direkt korrekt und das ganze ist auch übertragbar auf andere Systeme (und die Denkweise nicht so Hersteller-gebunden)... 🙃
 

Letzte Anleitungen

Statistik des Forums

Themen
5.588
Beiträge
55.007
Mitglieder
5.432
Neuestes Mitglied
soe84
Zurück
Oben