Hallo ihrs,

da ich in nächster Zeit wohl meinen Provider wechseln werde und das DSL-Modem nicht in dem Angebot meines zukünftigen Providers enthalten ist, kam mir folgender grundsätzlicher Gedanke ...

In den meisten DSL-Modems die man optional kauft, ist eine eingebaute Firewall und derartige Zusatzfuntkionen wie SPI usw enthalten. Nehmen wir mal an, ich kaufe mir genau so eines. Wie verhält sich jetzt das Modem mit einem Internetgateway inklusive Firewall vor dem privaten LAN Netzwerk, das auf das Internet zufreift? (dh. folgende Struktur: DSL-Modem(Firewall)->Gateway(Firewall)->Router/Switch->localhost)

Man hört von einigen Stimmen, dass sich zwei, oder gar mehrere hintereinander gesteckte Firewalls sich gegenseitig ausspielen und eventuell Sicherheitslücken aufkommen lassen. Inwieweit würde das in diesem jetzigen Fall zutreffen? Bzw. wäre es besser die Firewall-Funktion des Modems auszuschalten und lediglich das vorhandene Gateway die Arbeit tun zu lassen? Ich möchte hiermit ein paar Eindrücke sammeln und meinen Horizont erweitern lassen ... im Endeffekt habe ich nämlich nur mit Personalfirewalls via iptables selbst zutun gehabt.

Ich bedanke mich für eure Antworten,

Mfg

Man hört von einigen Stimmen, dass sich zwei, oder gar mehrere hintereinander gesteckte Firewalls sich gegenseitig ausspielen und eventuell Sicherheitslücken aufkommen lassen.
Damit sind in der Regel eher die Helden gemeint, die 2 Personal(!) FWs auf einem(!) Rechner laufen lassen. Also z.B. die Symantek-Firewall nochmal über Kerio nachsichern.

In deinem Szenario laufen die "Fw"s ja auf verschiedenen Rechnern, somit sehe ich da keine zu erwartenden Probleme (zumindest nicht Sicherheitstechnisch; routing/NAT-seitig kann das was ganz anderes sein.).

Im Zweifelsfall lässt sich jeder aktuelle DSL-Router auch als Modem betreiben - womit sich das Problem erledigt hätte :)

Man hört von einigen Stimmen, dass sich zwei, oder gar mehrere hintereinander gesteckte Firewalls sich gegenseitig ausspielen und eventuell Sicherheitslücken aufkommen lassen.

Quelle?

Abgesehen von den Personal Firewalls finde ich das Thema interessant . Solche Faelle duerften wohl im banalen Fall auftreten, wenn die Firewall
Policies nicht syncronisiert sind.

Oder von einer DMZ jemand ins LAN kommt (1). Ich bin der Meinung, dass haeufig die Mailheader zuviel erzaehlen. Und auch wenn man Personal
Firewalls nicht mag, kann es unter Linux/BSD nicht schaden ein lsof/sockstat mitlaufen zu lassen.

Eine Backdoor braucht allerdings nur einen Port, also sollte man bei der Security nicht nur auf die Firewalls sehen.

Gruss 403

1) krasse Fehlkonfiguration
2) kleine Lektuere vor dem Fruehstueck:
http://members.fortunecity.com/sektorsecurity/misc/taspapers/whyfirewallsaren'tenough_110301.html

@MiGo: Danke für deinen Post! Ich glaube ich hatte auch in Erinnerung, dass sich die Probleme mit 2 Firewalls auf diese beziehen, die gemeinsam und gleichzeitig auf einem Rechner laufen. Nur konnte ich mir nicht ganz vorstellen, wieso ausgerechnet hier Probleme auftreten könnten und aber nicht, wenn sie auf zwei verschiedenen Rechnern liegen. Sicherlich ist die letztere Variante wirklich harmlos, denn Sicherheitslücken der 1. FW können immernoch von der 2. Aufgehoben werden ... es sei denn sie sind beide unzureichend konfiguriert und gemanaged.


@403

Dont' be mislead into a false sense of security by having a Firewall. You have a firewall. That is good. But then, so what?

Ha! Ja, das ist wohl richtig ;) Die Aspekte mit der Firewallkonfiguration, den möglichen Bugs und natürlich den stetig verbesserten Vorgehensweisen mancher Hacker haben durchaus Berechtigung in Hinsicht der Klärung ob Firewalls für die Sicherheit ausreichend sind. Ich vermutete nur, dass überhaupt keine Sicherheit gegeben ist, wenn sich 2 Friewalls gegenseitig ausspielen während man vergebens denkt, dass man ansatzweise sicher sei.

PS: Quelle wegen der Gefahr zweier Firewalls? Hmm, in sämtlichen Büchern über Linux allgemein und Sicherheitsforen ... aber wie MiGo schon erwähnte, bezog sich das wohl auf die Annahme von zwei Firewalls auf dem selben Rechner, das leuchtet mir nun ein.

Mfg Skydan