Hallo,
verendet Ihr eine Firewall? Und wenn, welche könnt Ihr bei Debian 12 Xfce empfehlen?
Firewall
-
Livingston
- Beiträge: 1454
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: Firewall
Für einen reinen Desktop, der keine Dienste anbietet? Meistens gar keine, es sei denn, man braucht eine Art Kindersicherung.
Für einen Server? Kommt drauf an.
Oder willst Dein lokales Netz schützen, weil da IoT-Sachen rumhängen?
Was willst Du denn abschirmen?
Für einen Server? Kommt drauf an.
Oder willst Dein lokales Netz schützen, weil da IoT-Sachen rumhängen?
Was willst Du denn abschirmen?
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
Re: Firewall
Ich verwende keine Firewall und kann auch bei den meisten Anwendungsszenarien keine Firewalls empfehlen.
Ein PC befindet sich meistens hinter einem DSL-Router. Aus dem Internet ist erst mal nur der DSL-Router erreichbar. Dieser bietet im Normalfall keine Dienste an. Es sei denn, man nutzt z. B. Port-Forwarding über z. B. DynDNS zu einer internen Nextcloud. Vom Internet initiierte Verbindungen finden nicht statt.
Befindet sich der PC nicht hinter einem DSL-Router, so ist er direkt erreichbar. Er ist aber nur auf den Ports erreichbar, die auch offen sind. Ein Desktop-Rechner hat sehr wenige offene Ports. Zudem sind diese oft nur "Localhost" und somit wiederum aus dem Internet nicht erreichbar.
Die meisten Risiken erstehen dann, wenn der PC selbst nach Hause telefoniert. Das größte Risiko liegt hierbei in der Auswahl des Betriebssystems: Windows.
Das berühmteste Beispiel ist wohl der Trojaner Emotet. Der beste Schutz davor ist die Nichtverwendung von Windows.
Eine Personal Firewall z. B. unter Xfce muss genau die Verbindungen erlauben, die man auch benötigt. Hierzu gehört das Internet-Surfen (Port 80, 443). Um dieses wiederum sinnvoll abzusichern, müsste man das Surfen über einen Web-Proxy umleiten. Das machen wiederum die wenigsten. In Zeiten von TLS/SSL ist das auch ziemlich sinnlos.
Firewalls lohnen sich eher im professionellen IT-Umfeld, um z. B. Netze gegeneinander zu schützen. Aber auch im professionellen IT-Umfeld ist das größte Sicherheitsrisiko der Desktop-Client. Personal Firewalls können helfen, dass Angriffe über einen Desktop-Client nicht die ganze Firma befallen. Zuhause würde ich darauf verzichten. Genauso wie ich unter Linux Virenscanner für nicht sinnvoll halte. Aber das ist ein anderes Thema.
Ein PC befindet sich meistens hinter einem DSL-Router. Aus dem Internet ist erst mal nur der DSL-Router erreichbar. Dieser bietet im Normalfall keine Dienste an. Es sei denn, man nutzt z. B. Port-Forwarding über z. B. DynDNS zu einer internen Nextcloud. Vom Internet initiierte Verbindungen finden nicht statt.
Befindet sich der PC nicht hinter einem DSL-Router, so ist er direkt erreichbar. Er ist aber nur auf den Ports erreichbar, die auch offen sind. Ein Desktop-Rechner hat sehr wenige offene Ports. Zudem sind diese oft nur "Localhost" und somit wiederum aus dem Internet nicht erreichbar.
Die meisten Risiken erstehen dann, wenn der PC selbst nach Hause telefoniert. Das größte Risiko liegt hierbei in der Auswahl des Betriebssystems: Windows.
Das berühmteste Beispiel ist wohl der Trojaner Emotet. Der beste Schutz davor ist die Nichtverwendung von Windows.
Eine Personal Firewall z. B. unter Xfce muss genau die Verbindungen erlauben, die man auch benötigt. Hierzu gehört das Internet-Surfen (Port 80, 443). Um dieses wiederum sinnvoll abzusichern, müsste man das Surfen über einen Web-Proxy umleiten. Das machen wiederum die wenigsten. In Zeiten von TLS/SSL ist das auch ziemlich sinnlos.
Firewalls lohnen sich eher im professionellen IT-Umfeld, um z. B. Netze gegeneinander zu schützen. Aber auch im professionellen IT-Umfeld ist das größte Sicherheitsrisiko der Desktop-Client. Personal Firewalls können helfen, dass Angriffe über einen Desktop-Client nicht die ganze Firma befallen. Zuhause würde ich darauf verzichten. Genauso wie ich unter Linux Virenscanner für nicht sinnvoll halte. Aber das ist ein anderes Thema.
-
dasebastian
- Beiträge: 1886
- Registriert: 12.07.2020 11:21:17
Re: Firewall
Noch eine Meinung: ich halte es mit uname. 
Re: Firewall
Danke für Eure Einschätzungen.
Muss wohl ergänzen, dass ich keinen Server betreibe sondern nur meinen Desktop-PC.
Muss wohl ergänzen, dass ich keinen Server betreibe sondern nur meinen Desktop-PC.
-
Livingston
- Beiträge: 1454
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: Firewall
Wie gesagt, wenn da keine Dienste drauf laufen, wie z.B. Dateien-Freigaben für andere Rechner oder sonst was, dann kann auch nix von außen angreifen.
Bei Windows ist das anders: Da sind von vornherein ein paar Löcher offen, durch die ein Angreifer einfallen könnte.
Wie uname schon schrieb: Wenn Du zuhause über einen üblichen Router hängst, hast Du sogar zusätzlich sowas wie eine einfache Hardware-Firewall, die ungefragten Zugriff von außen stoppt (sofern Du da dran nicht rumgeschraubt hast und sowas wie Portweiterleitung zugelassen hast).
Bei Windows ist das anders: Da sind von vornherein ein paar Löcher offen, durch die ein Angreifer einfallen könnte.
Wie uname schon schrieb: Wenn Du zuhause über einen üblichen Router hängst, hast Du sogar zusätzlich sowas wie eine einfache Hardware-Firewall, die ungefragten Zugriff von außen stoppt (sofern Du da dran nicht rumgeschraubt hast und sowas wie Portweiterleitung zugelassen hast).
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
-
dasebastian
- Beiträge: 1886
- Registriert: 12.07.2020 11:21:17
Re: Firewall
Livingston, schönes Zitat da in deiner Signatur! Ich muss auch mal wieder nicht paniken, ist schon wieder ein paar Jahre her, geht immer wieder... 
OT off.
OT off.
-
rockyracoon
- Beiträge: 1475
- Registriert: 13.05.2016 12:42:18
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: Firewall
@Mickae:
Bei mir ist der Router die "Firewall".
Ich - XFCE4 Debian-Stable Single Desktop ohne DualBoot ohne lokales Netz- nicht.verendet Ihr eine Firewall?
Bei mir ist der Router die "Firewall".
Re: Firewall
Meinem Laptop hab ich die 
ufw verpasst, da ich damit auch unterwegs in unbekannten Netzen wie Hotels, Cafes usw. ins Internet gehe.
Daheim tuts mein DSL-Router.
ufw verpasst, da ich damit auch unterwegs in unbekannten Netzen wie Hotels, Cafes usw. ins Internet gehe. Daheim tuts mein DSL-Router.
Re: Firewall
Seit Smart-Home immer populärer wird, empfehle ich auch für einen reinen Desktop-Rechner hinter dem Router eine Firewall. Im Netzwerk sind ja mittlerweile Fernseher, Netzwerkplayer, Glühbirne, Drucker und Kühlschrank. Und sofern ich mir wieder erwarten ein Loch in mein Debian gebohrt habe (Fehlkonfiguration von SSH, Cups, oder einem anderen Server), dann habe ich den Salat. Nftables ist schnell installiert. Und als Regelsatz habe ich mir eine Mischung gebaut aus hauptsächlich Kuketz-Blog mit ein bisschen nftables.org-Wiki bzw. Gentoo-wiki. Da gibt es Vorlagen für einfache Workstations. Ich kopiere mir meine nach diesen Vorgaben erstellte nftables.conf nach /etc, lade die Filter mit "nft -f /etc/nftables.conf" , starte den Dienst damit ich die Firewall bei jedem Start habe ("systemctl enable nftables.service") und schon läuft das Ding. Mir ist klar, dass der Sicherheitsgewinn sehr gering ist. Aber der Aufwand ist auch außerordentlich gering. Und sofern ich keine Serverdienste nach außen offen habe, gibts keine Nebenwirkungen.
-
dasebastian
- Beiträge: 1886
- Registriert: 12.07.2020 11:21:17
Re: Firewall
Dein Longplayer hat jetzt hundertpro richtig geholfen.