Derzeit sind alle Betriebssysteme vorinstalliert FirewallIn vielen Fällen ist es jedoch nicht aktiviert oder nicht richtig konfiguriert. Die Router, die das Gehirn des gesamten Netzwerks bilden, verfügen auch über eine vorinstallierte und aktivierte Firewall, die hauptsächlich auf iptables basiert, da die überwiegende Mehrheit der Firmwares auf basiert Linux. In diesem Artikel zeigen wir Ihnen heute, welche Konfigurationsoptionen in einer Firewall für Router verwendet werden können ASUS Router und auch AVM FRITZ! Box, zwei Hersteller, deren Firmware wirklich vollständig ist und die uns eine hervorragende Konfigurierbarkeit ermöglichen.
Ein sehr wichtiger Aspekt, den wir berücksichtigen müssen, ist, dass es bei aktivierter Firewall des Routers dringend empfohlen wird, eine Firewall auf den PCs zu haben, obwohl dies nicht unbedingt erforderlich ist, da wir uns in einer NAT-Umgebung befinden Internet Sie können auf unsere Geräte zugreifen, ohne zuvor einen Port für unseren PC geöffnet zu haben, oder die DMZ direkt für unseren PC öffnen. Im letzteren Fall wird dringend empfohlen, eine Firewall auf Ihrem PC zu installieren und zu konfigurieren, da diese vollständig über das Internet zugänglich ist.
Wofür ist eine Firewall auf einem Router?
Dank Firewalls können wir eingehenden und ausgehenden Datenverkehr über die verschiedenen Schnittstellen des Routers sowohl im WAN als auch im LAN zulassen oder blockieren. Die überwiegende Mehrheit der Benutzer wünscht sich jedoch eine Firewall im Internet-WAN, um den Datenverkehr von außen zum Router selbst zu steuern.
Eine Firewall in einem Router ermöglicht es uns, jeden Versuch zu blockieren, auf einen bestimmten Port des Routers zuzugreifen. Wenn wir also den TCP-Port 22 des SSH geöffnet haben, können wir die Anzahl der gleichzeitigen Verbindungen und die Anzahl der Verbindungen in begrenzen eine bestimmte Zeit, und wir können sogar nur einer bestimmten IP-Adresse erlauben, auf den SSH-Server unseres Routers zuzugreifen.
Ein sehr wichtiger Aspekt der Firewalls eines Routers ist, dass standardmäßig alle Kommunikationen, die im Ausland (im Internet) beginnen, abgelehnt werden (DROP), wenn sie zuvor nicht ausdrücklich zugelassen wurden. Daher ist die Richtlinie "Alles ablehnen" die höchste empfohlen.
Computer im LAN stehen immer hinter NAT
Derzeit verwenden wir in IPv4-Netzwerken NAT / PAT, sodass mit derselben öffentlichen IP-Adresse alle Computer im LAN ins Internet gehen können. Ein wichtiges Detail ist, dass alle Kommunikationen, die von den LAN-Geräten zum Internet erfolgen, zulässig sind, dh ein Socket wird auf dem PC geöffnet und fließt zum Ziel, und in der NAT-Tabelle haben wir die Übersetzung, die wir durchgeführt haben von privater IP zu öffentlicher IP, so dass das Paket bei seiner Rückkehr korrekt an sein Ziel umgeleitet werden kann.
Wenn wir über das Internet versuchen, die Kommunikation mit einem LAN-Computer zu initiieren, können wir dies nicht direkt tun, es sei denn:
- Wir haben eine Portweiterleitung (offene Ports) am Router an diesen PC konfiguriert.
- Wir haben die DMZ auf die private IP des betreffenden PCs konfiguriert.
Daher ist jede Kommunikation vom Internet zum LAN standardmäßig blockiert. Darüber hinaus wird dringend empfohlen, das UPnP-Protokoll immer zu deaktivieren, damit Geräte keinen Port auf dem NAT des Routers selbst öffnen und besser geschützt sind. Es gibt bestimmte Geräte, die einen Port am Router dauerhaft öffnen, z. B. einige IP-Kameras, und die über das Internet leicht zugänglich sind.
Firewall-Konfigurationsoptionen auf ASUS-Routern
ASUS-Router enthalten eine iptables-basierte Firewall, sodass wir die volle Leistung dieser Firewall über die Befehlszeile entweder über Telnet oder SSH nutzen können. Auf dem Router selbst stehen jedoch auch bestimmte Konfigurationsoptionen zur Verfügung, sodass ein Benutzer mit Grundkenntnissen die interne Firewall nicht „berühren“ muss.
Im Menü „Firewall“ können wir die Firewall basierend auf iptables für IPv4-Netzwerke und auch für IPv6-Netzwerke aktivieren oder deaktivieren. Die Standardkonfiguration ist, dass in beiden Protokollen die Firewall aktiviert ist, wie von der Sicherheit empfohlen. Mit ASUS können wir ein DoS-Anti-Angriffssystem in IPv4-Netzwerken konfigurieren und die Quell-IP-Adresse blockieren, wenn Sie mehrere Verbindungsversuche durchführen, um diese Art von Angriff abzuschwächen.
Ein weiteres interessantes Feature ist die Möglichkeit, Pings (ICMP Echo-Request) zu blockieren, die im WAN-Port des Internets erfolgen. Dadurch kann ein Ping automatisch blockiert werden, wenn jemand aus dem Internet einen Ping ausführt (DROP).
Die Firewall für IPv6 ist vollständig blockiert. In diesem Fall ist der Vorgang etwas anders, da dies auch die Computer im LAN betreffen würde. In IPv6-Netzwerken haben wir kein NAT, aber die PCs haben eine Global-Unicast-IPv6-Adresse, dh eine öffentliche IP für jeden Computer, aber logischerweise werden wir durch die Firewall des Routers geschützt, wo standardmäßig die gesamte eingehende Kommunikation (von der Das Internet zum PC mit öffentlicher IP-Adresse ist blockiert, ermöglicht jedoch eine ausgehende Kommunikation ohne Probleme.
Eine sehr interessante Option für ASUS-Router ist der „LAN to WAN Filter“. Wir haben bereits darauf hingewiesen, dass Sie mit Firewalls sowohl den Datenverkehr vom Internet zum Router als auch zum LAN und umgekehrt vom LAN zum Internet steuern können. In diesem Fall können wir die Firewall so konfigurieren, dass der Ausgang der Pakete aus dem LAN zum WAN blockiert wird. Wir müssen lediglich die IP-Adresse von Ursprung, Ziel und Ports eingeben, um diese Regel zur Firewall hinzuzufügen und blockieren Sie die ausgehenden Pakete.
Obwohl wir es nicht gesehen haben, nutzen die URL- und Schlüsselwortfilterung auch die Firewall, jedoch mit einer früheren Arbeit zur Namensauflösung und Verkehrsprüfung.
Firewall-Konfigurationsoptionen auf AVM FRITZ! Box Router
Bei AVM-Routern haben wir auch eine ziemlich konfigurierbare Firewall. Um auf die Firewall zuzugreifen, müssen wir zum Menü mit drei vertikalen Punkten gehen und "Erweiterte Ansicht" auswählen. Im Hauptmenü gehen wir zu « Internet / Filter «In diesem Abschnitt finden Sie alles, was mit der Firewall und der QoS zu tun hat.
Auf der Registerkarte "Listen" können wir die Firewall im Stealth-Modus aktivieren, um nicht mit der Echoantwort auf eine an den WAN-Port gesendete Echoanforderung zu antworten. Andere interessante Konfigurationsoptionen sind das Blockieren von Port 25, der normalerweise zum Versenden von E-Mails ohne Verschlüsselung verwendet wird. Mit AVM können wir ihn direkt blockieren, um uns selbst zu schützen. Wir können auch die NetBIOS-Filterung und sogar Teredo aktivieren. Wenn wir diese Dienste nicht verwenden, ist es am besten, sie aus Sicherheitsgründen zu blockieren.
Obwohl es sich nicht um die Firewall selbst handelt, kann es in einer NAT-Umgebung vorkommen, dass wir offene Ports haben, die wir nicht wirklich verwenden. Es wird immer dringend empfohlen, alle nicht verwendeten Ports zu schließen, da dies das Gateway für Cyberkriminelle sein kann.
Das gleiche passiert mit FRITZ! Box-Dienste: Wenn wir den Router nicht „lokalisieren“ und über seine öffentliche IP-Adresse remote darauf zugreifen möchten, können wir diesen Zugriff am besten deaktivieren. Denken Sie daran, dass wir auch über zugreifen können VPN und greifen Sie dann auf die private IP des Standard-Gateways zu.
Wie Sie sehen, können wir mit diesen AVM-Routern mehrere VPN-Verbindungen erstellen, sowohl RAS-VPN als auch Site-to-Site-VPN. Alle verwenden immer das IPSec-Protokoll. Derzeit werden weder OpenVPN noch Wireguard unterstützt.
Es wird daher dringend empfohlen, dass wir, wenn unser Router über Dienste verfügt, auf die über das Internet zugegriffen werden kann, nur diejenigen "offengelegt" haben, die wir verwenden werden, und nicht alle, da aus Sicherheitsgründen immer alle Ports geschlossen und blockiert sein müssen Außer denen, die keine andere Wahl haben, als zu öffnen.
Ist auf meinem PC eine Firewall erforderlich?
Auf allen PCs ist standardmäßig eine Firewall aktiviert, und es gibt verschiedene Profile, die wir sehr einfach konfigurieren können. Im Falle von Windows 10 haben wir insgesamt drei Profile mit unterschiedlichen Berechtigungen, um Datenverkehr zuzulassen / zu verweigern, insbesondere haben wir "Domain-Netzwerk", "Privates Netzwerk" und "Öffentliches Netzwerk". Wir werden im Allgemeinen immer die letzten beiden verwenden.
Die Konfiguration der Firewall in "Privates Netzwerk" besteht darin, eingehende Verbindungen zu akzeptieren. Da wir uns in einer zuverlässigen Umgebung befinden, besteht die Konfiguration der Firewall in "Öffentliches Netzwerk" darin, eingehende Verbindungen abzulehnen, wenn wir die Kommunikation zuvor nicht hergestellt haben.
Muss auf meinem Desktop-Computer eine Firewall aktiviert sein? Wir müssen bedenken, dass wir immer (oder fast immer) in einer NAT-Umgebung arbeiten, sodass standardmäßig kein offener Port am Router vorhanden ist. Im Falle des Öffnens der DMZ ist die Verwendung der Firewall und auch im Modus "Öffentliches Netzwerk" wichtig, um eingehende Verbindungen zu blockieren, die wir zuvor nicht hergestellt haben. In den Fällen, in denen wir keinen offenen Port haben, schützt uns die Windows-Firewall nur vor Verbindungen über das LAN, da sie uns einfach nicht über das Internet erreichen können, weil sie keinen Port geöffnet haben (obwohl Sie sicherstellen müssen, dass UPnP aktiviert ist den Router haben Sie deaktiviert).
Wenn wir in die erweiterte Windows-Firewall einsteigen möchten, müssen wir einfach im Hauptmenü der Firewall auf "Erweiterte Einstellungen" klicken. In diesem Menü können wir verschiedene Regeln hinzufügen:
Standardmäßig darf eine große Anzahl von Programmen, die wir täglich verwenden, Verbindungen akzeptieren. Wenn wir eine neue Regel hinzufügen möchten, klicken wir oben rechts auf "Neue Regel". Wir können dieselbe Konfiguration auch für die Exit-Regeln vornehmen.
Wie Sie gesehen haben, ist es sehr wichtig, dass die Router-Firewall aktiviert und gut konfiguriert ist. Ein weiterer wichtiger Aspekt in Bezug auf NAT / PAT ist, dass kein offener Port vorhanden ist, wenn wir ihn nicht verwenden, geschweige denn die DMZ für unseren PC aktivieren. Dies birgt ein hohes Risiko, da alle Ports außer denen, die speziell für andere Computer geöffnet sind, geöffnet sind.
