[erledigt] Alternative zu Windows Firewall Control

[Patchpanel]

Wie verhält es sich in öffentlichen Netzen? Wie sicher kann ich sein, dass der verwendete Router NAT unterstützt?

Ich weiß jetzt nicht, was Du unter öffentlichen Netzen verstehst....  im Regelfall ist es so, dass im Heimnetz nur ein einziges Gerät Teilnehmer des öffentlichen Netzes ist.... und das ist der DSL-Router. Gehst Du mit einem Laptop raus, an irgendeinen offenen WLAN-Accesspoint, ist der Laptop auch kein Teilnehmer im öffentlichen Raum, aber da würde ich empfehlen, den genau so als solchen (Border-Device) zu betrachten. Das heisst, immer  dann, wenn ein Gerät selber Teilnehmer im öffentlich Raum wird, ist eine wirksame Firewall (für "eingehend" analog der FW im DSL-Router) obligatorisch. Mobile Geräte draußen oder heimische Geräte ohne DSL-Router....das heißt, alles wird gesperrt, einzelne Aktionen werden explizit erlaubt.

NAT hat so gut wie keine Sicherheitsfunktion... das ist nur eine Krücke aufgrund des schmalen öffentlichen IPv4-Pools. Und wer keine Ahnung hat, wird gerne dem Aberglauben anhängen, mit NAT wäre seine Identität geschützt. Aber das ist natürlich totaler Bullshit. IPv6 hat gar kein NAT mehr. Und bezogen auf die Wiedererkennbarkeit hat das auch keinen Einfluss.... allenfalls dann, wenn die MAC Basis für SLAAC ist, wenn die lokale IPv6 generiert wird. Aber wie gesagt, wer sich mal mit dem Fingerprint des Browser und den Surface-Daten des Systems befasst hat, kommt von selber drauf, dass mit oder ohne NAT da wirklich kein Unterschied besteht.... zumal vermutlich die meisten aus Unkenntnis vermutlich noch nicht mal WebRTC deaktiviert haben  *lol*

[skoopy]

Ich weiß jetzt nicht, was Du unter öffentlichen Netzen verstehst.

Ich meinte Netze an öffentlichen Orten wie z.B. in Cafés, Bahnhöfen oder Flughäfen.

Wenn ich dich richtig verstanden habe, macht eine Firewall auf Softwareebene Sinn, wenn ich mein Gerät mit einem öffentlichen WLAN-Accesspoint verbinde. Dort würde ich nur ausgehende Verbindungen erlauben und jeden eingehenden Datenverkehr verweigern. So habe ich es bisher zumindest immer gehandhabt.

Wenn NAT so gut wie keine Sicherheitsfunktion bietet, wie schützt mich mein Router dann genau?

zumal vermutlich die meisten aus Unkenntnis vermutlich noch nicht mal WebRTC deaktiviert haben

Habe ich bei mir deaktiviert.

[night2day]

Noch mal falsch, Pihole hat überhaupt nichts mit der Applikationsebene

Ist das nicht das was ich in meinem Satz darüber geschrieben habe?

Nun gut, ich glaube das führt zu nichts, da meine Ausgansfrage ja nun schließlich beantwortet ist, das die Linux Firewall sowas nicht kann ist für mich das Thema durch. Du kannst Dir natürlich gerne weiter anmaßen zu wissen welche Sicherheitsvorlieben andere Leute haben und ob irgendwas Deiner Meinung nach Sinvoll ist oder nicht. Mir hat die WFC viele Jahre gute Dienste - auf Applikationsebene - geleistet und hier gibt es das nicht, und gut.

n2d

[Patchpanel]

Wenn ich dich richtig verstanden habe, macht eine Firewall auf Softwareebene Sinn, wenn ich mein Gerät mit einem öffentlichen WLAN-Accesspoint verbinde. Dort würde ich nur ausgehende Verbindungen erlauben und jeden eingehenden Datenverkehr verweigern. So habe ich es bisher zumindest immer gehandhabt.

Ja, ich denke, das passt.

Wenn NAT so gut wie keine Sicherheitsfunktion bietet, wie funktioniert die Router-Firewall dann genau?

Die primäre Aufgabe von NAT ist nicht Sicherheit, sondern die Anzahl von im öffentlichen Netz verwendbaren IPv4 zu reduzieren.  Wenn Du zuhause 20 IT-Systeme betreibst, PCs, Laptops, Smartphones, Smart-TV, etc., so ist dennoch nur der DSL-Router der einzige direkte Teilnehmer im öffentlichen Netz. Das heißt, statt eigentlich 20 öffentlichen IPv4 in dem kleinen verfügbaren Adressraum wird nur 1 einzige IPv4 verbraucht. Mit Sicherheit hat das überhaupt nichts zu tun.... es verbergen sich lediglich hinter einer öffentlichen IPv4 20 Geräte. Und früher glaubte man, das würde die Identität der einzelnen Geräte 'verbergen'.... das ist aber aus den o.g. Gründen heute völliger Blödsinn.

Die Router-FW macht genau das, was Du an Deinem Laptop draußen an fremden Accesspoints manuell tust: Eingehend alles sperren, ausgehend (alles) erlauben. Ohne dem könnte in dem Gastnetz jeder Client nach Schwachstellen in Deiner Rechner-Konfiguration suchen.

[Patchpanel]

Du kannst Dir natürlich gerne weiter anmaßen zu wissen welche Sicherheitsvorlieben andere Leute haben und ob irgendwas Deiner Meinung nach Sinvoll ist oder nicht.

Ich maße mir nicht an, Deine Sicherheitsvorlieben zu beurteilen, ich stelle nur fest, was technisch geht und was nicht. Und wenn jemand daran festhält zu glauben, dass Dinge trotzdem funktionieren, obwohl sie  technisch gar nicht vorgesehen sind, so interessiert mich das auch nicht.  Es gibt ja auch Leute, die glauben an Horoskopen oder sonstiger Wahrsagerei. Und wenn Dich sinnloses Glücklich macht und Du damit besser schlafen kannst, so ist das sinnlose eben nicht mehr sinnlos und erfüllt einen guten Zweck. Also nur zu.

[skoopy]

Die Router-FW macht genau das, was Du an Deinem Laptop draußen an fremden Accesspoints manuell tust: Eingehend alles sperren, ausgehend (alles) erlauben. Ohne dem könnte in dem Gastnetz jeder Client nach Schwachstellen in Deiner Rechner-Konfiguration suchen.

Also nutzt die Router-Firewall auch bloß einen Paketfilter? Oder wie funktioniert das technisch?

[Patchpanel]

[Also benutzt die Router-Firewall auch bloß einen Paketfilter? Oder wie funktioniert das technisch?

Das kann ich Dir noch nicht mal beantworten. Aber ich meine mal irgendwo gelesen zu haben, dass in den Fritzboxen auch nur ein angepasstes Linux läuft. In dem Fall wärs wirklich auch nur der Paketfilter. Aber die Möglichkeiten des Paketfilters reichen ja für diesen Zweck völlig aus. Ich vermute mal, OpenWRT oder OPNSense machen das auch nicht viel anders. 

Das, was die Windows-Desktop-FW tut, ist meiner Meinung nach deutlich mehr Schein als Sein. Es soll den Anwender glücklich machen, und er soll glauben, dass das funktioniert und er irgendeine Sicherheit hat.... mehr ist dabei nicht notwendig.... was wirklich an Sicherheit besteht, ist dabei irrelevant.  Linux-Mint ist hinter einem DSL-Router m.M.n. ohne Desktop-Firewall deutlich sicherer, als Windows mit FW.

[thebookkeeper]

... Linux-Mint ist hinter einem DSL-Router m.M.n. ohne Desktop-Firewall deutlich sicherer, als Windows mit FW.

Aber bei UMTS-Internet-Zugang sollte man die Linux-Desktop-Firewall aktivieren (Gufw).

[Patchpanel]

Aber bei UMTS-Internet-Zugang sollte man die Linux-Desktop-Firewall aktivieren (Gufw).

So als pauschale Aussage würde ich dem nicht zustimmen. Du müsstest besser erklären, vor wem die FW schützen soll.

Nehmen wir mal an, ich hätte zuhause als einziges einen UMTS-Zugang, den ich an verschiedene Clients verteilen wollte, also sowas wie einen UMTS-Router. In dem Fall würde ich keine Desktop-FW einrichten, sondern (trotz CGN) zwischen LAN und Router eine gescheite Firewall, die prinzipiell (plus weiteres) die FW-Aufgaben eines üblichen DSL-Routers wahrnimmt.

Und wenn ich unterwegs einen Laptop via UMTS verbinden würde, bin  ich vermutlich via CGN verbunden, womit ich als Empfänger von Attacken aus dem WWW ja eigentlich gar nicht sichtbar bin.

Ich wüsste deshalb jetzt im Moment nicht, wie oder wobei eine FW bei UMTS irgendwie die Sicherheit verbessern würde. Aber wie gesagt, es ist was völlig anderes, wenn ich einen offenen WLAN-AP nutze.... das betrachte ich generell als Hochrisiko-Gebiet... und da wäre eine sehr restriktive Desktop-FW obligatorisch.

Du müsste mir also vielleicht ein paar Hinweise geben, wogegen die FW bei UMTS schützen soll.... mir fällt da momentan nämlich nix ein, aber ich bin ja auch nur ahnungsloser Laie.

[toffifee]

ich bin ja auch nur ahnungsloser Laie.

Der war gut!