Zwei Router auf dem Weg vom Intranet zum Internet?

Hi,

ich besitze bis jetzt eine AVM FritzBox (wen wunderts?). Außerdem betreibe ich für mich zwei-drei Services, die ein Portforwarding in der FritzBox notwendig machen. Je länger ich das System betreibe, desto mehr rückt der Sicherheitsgedanke in den Vordergrund, gerade wenn ich beim APACHE Access.log sehe, welche IPs ganz stumpf versuchen sich Zugriff zu verschaffen (und dabei dürfte ich nur die Versuche sehen, die über den Port 80 gehen).
Beim Apache kann man die zugriffsberechtigten IP Bereiche über die htaccess eingrenzen.
Welche sonstigen Attacken auf das System aber sonst noch über andere Ports gefahren werden, bleibt mir verborgen, da die FritzBox kein Logfile liefert (ich habe es zumindest noch nicht gefunden). Ich kann mir aber vorstellen, dass da noch andere Attacken außer die auf den 80er Port laufen.

Meine Idee, um direkt beim Eingang (Router) alle unerwünschten IPs zu bannen: Ich packe vor meine FritzBox einen weiteren Router der IP-Filtering besitzt (das kann die FritzBox nämlich leider auch nicht) und banne in diesem Router - ähnlich dem System bei der htaccess - alle IP Bereiche außer denjenigen, die ich mit meinem Laptop über WWAN vom ISP erhalten könnte (damit mein eigener Zugang zu meinen Services gesichert bleibt)
Damit wären die IP Bereiche von

• APNIC (Asia Pacific Network Information Centre),
• ARIN (American Registry for Internet Numbers),
• LACNIC (Regional Latin-American and Carribean Address Registry)
  aus dem Rennen und nur der Adressbereich RIPE (den es sicherlich in Teilen auch noch aufzunehmen gilt, weil ich mit meinem Laptop sicherlichen nie eine IP aus den osteuropäischen Ländern erhalten werde) hätte grundsätzlich Zugang.

1. Kann man zwei Router hintereinander schalten?
2. Gibt es eine einfacher Lösung (AW: die FritzBox ersetzen. ABER eigentlich finde ich die, was den Funktionsumfang und die Bendienbarkeit angeht ganz ordentlich und würde sie gerne behalten)
3. was muss beim Kauf und bei der Installation beachtet werden? (Stichwort: Uplink)

Haut in die Tasten, bin schon sehr gespannt auf die nützlichen Tips

Viele Grüße

Simon

Hallo Simon,
theoretisch kannst du, bei entsprechender Konfiguration, mehrere Router hintereinander schalten.
Ob du dafür aber mehr Sicherheit gewinnst ist fraglich. Die in den preiswerten Routern verbauten Firewall-Funktionen genügen deinen Ansprüchen vermutlich nicht. Eine Hardware-Firewall kann dir bessere Funktionen bieten.

Ich würde mir mal die Zyxel ZyWALL 2 Plus (oder ähnliche Geräte anderer Hersteller) anschauen.
http://www.zyxel.de/web/product_family_detail.php?PC…
Zwischen die Fritzbox (verrätst du auch mal das genaue Modell?) und deinem Intranet geschaltet, kannst du damit sehr umfangreiche Einstellungen vornehmen und alles auch loggen lassen. Weitere Vorteile wären z.B.: WAN-Port mit 100 Mbit/s, Subnetze für WLAN und DMZ einrichtbar.

Preislich wirst du darunter kaum etwas anständiges finden.

Grüsse max

PS: Ich habe zu Zyxel keinerlei Geschäftsbeziehungen, setze das oben erwähnte Gerät aber erfolgreich bei mehreren Kunden ein.

Hi Max,

danke für Deine Antwort.
Ich besitze eine FritBox 7270.
Was genau unterscheidet eine Hardware Firewall (HW-FW) von der Firewall, die in der FritzBox - anscheinend nur ansatzweise - integriert ist (außer den größeren Funktionsumfang).

Was hältst Du generell von meinem Ansatz pauschal die IP Bereiche zu sperren, die mein Laptop nie als IP zugewiesen bekommen wird?

Die Idee, die neue Firewall (bleiben wir ruhig bei Deinem Beispiel von Zyxel) zwischen LAN und FritzBox zu schalten ist wohl die, dass der Funktionsumfang der FritzBox, was Telefonie usw. angeht uneingeschränkt vorhanden bleibt; oder welche Vor- bzw. Nachteile gibt es die HW-FW hinter (vom Internet aus gesehen) die FritzBox zu schalten?
Pauschal hätte ich sie persönlich VOR die FritzBox geschaltet, sprich als erste zu nehmende Hürde seitens des Internet-Angreifers aus.

vG

Simon

P.S.: Dass man bei Zyxel die Benutzeroberfläche der HW-FW ausprobieren kann finde ich weltklasse!

1. Kann man zwei Router hintereinander schalten?

Ja. Aber.
Deine Router sind nicht wirklich „richtige“ Router, sondern machen NAT-Routing. Zwei NAT-Router hintereinander sind immer lustig, weil man nie sagen kann, welche Programme damit zu klar kommen, und welche nicht. Einfaches Surfen etc. - alles kein Problem, aber spätestens bei IRC-DCC, ftp, SIP und ähnlichem wird es sehr spannend.

2. Gibt es eine einfacher Lösung (AW: die FritzBox ersetzen.
   ABER eigentlich finde ich die, was den Funktionsumfang und die
   Bendienbarkeit angeht ganz ordentlich und würde sie gerne
   behalten)

Ich halte von AVM schon lange nur noch sehr wenig und würde einen Linux-Router wie IPCop auf einer Sparhardware wie einem alten Thinclient (z.B. Wyse) einsetzen. Hab ich privat und geschäftlich schon ewig laufen und mir fehlt nichts.

3. was muss beim Kauf und bei der Installation beachtet
   werden? (Stichwort: Uplink)

Glück haben, daß zwei NAT-Kisten hintereinander keinen großen Unsinn anstellen.

Hallo,
ich kann dir technisch nur zustimmen. Für (Halb-)Laien und (Quasi-)Fachleute ist der IP-Cop aber nicht einfach zu administrieren, besonders dann wenn man ihn ausreizen will.

Leider denken viele Anwender, dass mehrfache NAT-Filterung sicherer sei. Das Marketing der Hersteller unterstützt sie auch bei dieser Annahme.

Oft wird einer kleinen Box eines namhaften Herstellers mehr zugetraut als dem selbst zusammengestellten IP-Cop Gerät.

Grüsse max

Hallo Simon,

Was genau unterscheidet eine Hardware Firewall (HW-FW) von der
Firewall, die in der FritzBox - anscheinend nur ansatzweise -
integriert ist (außer den größeren Funktionsumfang).

Genau das ist der Unterschied, der Funktionsumfang und die Art der Filterung.
Der Unterschied zur Software-FW die auf vielen PC’s installiert ist, ist dass sie funktionieren.

Was hältst Du generell von meinem Ansatz pauschal die IP
Bereiche zu sperren, die mein Laptop nie als IP zugewiesen
bekommen wird?

Unnötig!
In deinem internen LAN bekommst du eh nur von deinem Router eine IP zugewiesen. Du kannst den Adressbereich, den der DHCP-Server im Router vergeben darf beliebig einschränken.
Die sicherste Methode, besonders in kleinen Netzen, ist aber den DHCP-Server zu deaktivieren und die IP-Adressen manuell an jedem Rechner einzutragen.

Die Idee, die neue Firewall (bleiben wir ruhig bei Deinem
Beispiel von Zyxel) zwischen LAN und FritzBox zu schalten ist
wohl die, dass der Funktionsumfang der FritzBox, was Telefonie
usw. angeht uneingeschränkt vorhanden bleibt; oder welche Vor-
bzw. Nachteile gibt es die HW-FW hinter (vom Internet aus
gesehen) die FritzBox zu schalten?
Pauschal hätte ich sie persönlich VOR die FritzBox geschaltet,
sprich als erste zu nehmende Hürde seitens des
Internet-Angreifers aus.

Von der Idee richtig, aber, um beim Beispiel zu bleiben, die Zywall 2+ hat kein eingebautes Modem und auch keine VoIP-Funktionen. Solche Geräte sind dann schon wieder ein gutes Stück teurer.
Der Draytek Vigor 2930VSn könnte die Fritzbox ersetzen. Den Preis kannst du selbst mal recherchieren.

Grüsse max

Moin auch!

Was genau unterscheidet eine Hardware Firewall (HW-FW) von der
Firewall, die in der FritzBox - anscheinend nur ansatzweise -
integriert ist (außer den größeren Funktionsumfang).

Genau das ist der Unterschied, der Funktionsumfang und die Art
der Filterung.
Der Unterschied zur Software-FW die auf vielen PC’s
installiert ist, ist dass sie funktionieren.

Die FritzBox hat demnach eine HW-FW?

Was hältst Du generell von meinem Ansatz pauschal die IP
Bereiche zu sperren, die mein Laptop nie als IP zugewiesen
bekommen wird?

Unnötig!
In deinem internen LAN bekommst du eh nur von deinem Router
eine IP zugewiesen. Du kannst den Adressbereich, den der
DHCP-Server im Router vergeben darf beliebig einschränken.
Die sicherste Methode, besonders in kleinen Netzen, ist aber
den DHCP-Server zu deaktivieren und die IP-Adressen manuell an
jedem Rechner einzutragen.

Da habe ich mich nicht verständlich genug ausgedrückt. Bei der IP Vergabe für meinen Laptop sprach ich nicht von der Vergabe per DHCP der FritzBox, wenn ich mich im WLAN befinde, sondern wenn ich über UMTS von T-Mobile per WWAN eine IP Adresse für den Laptop bekomme. Diese IP Adresse kann ja nur eine aus dem Pool von T-Mobile/deutschen Raum sein und niemals eine aus dem amerikanischen bzw. asiatischen. Daher wollte ich von vornherein allen IPs, die aus den gerade genannten fremden Regionen stammen den sofortigen Zugriff zu meinen Services durch einen IP-Block in der HW-FW verweigern. So dass eine IP aus diesem Bereich nicht mal zu einem Portscan kommt, sondern vorher schon den Zugriff durch die FW verweigert wird. Die Services brauchen nämlich nur mir (mit meiner temporären Laptop IP von T-Mobile) zugänglich zu sein und keinem Dritten.

Die Idee, die neue Firewall (bleiben wir ruhig bei Deinem
Beispiel von Zyxel) zwischen LAN und FritzBox zu schalten ist
wohl die, dass der Funktionsumfang der FritzBox, was Telefonie
usw. angeht uneingeschränkt vorhanden bleibt; oder welche Vor-
bzw. Nachteile gibt es die HW-FW hinter (vom Internet aus
gesehen) die FritzBox zu schalten?
Pauschal hätte ich sie persönlich VOR die FritzBox geschaltet,
sprich als erste zu nehmende Hürde seitens des
Internet-Angreifers aus.

Von der Idee richtig, aber, um beim Beispiel zu bleiben, die
Zywall 2+ hat kein eingebautes Modem und auch keine
VoIP-Funktionen. Solche Geräte sind dann schon wieder ein
gutes Stück teurer.
Der Draytek Vigor 2930VSn könnte die Fritzbox ersetzen. Den
Preis kannst du selbst mal recherchieren.

Also hinter die FritzBox, damit der Funktionsumfang wie DSL Modem und VoIP der FritzBox gewahrt bleibt?

vG

Simon

Hallo Simon,

Die FritzBox hat demnach eine HW-FW?

Soweit würde ich nicht gehen - eher eine Hardware mit Firewall-Funktionen.

Da habe ich mich nicht verständlich genug ausgedrückt. Bei der
IP Vergabe für meinen Laptop sprach ich nicht von der Vergabe
per DHCP der FritzBox, wenn ich mich im WLAN befinde, sondern
wenn ich über UMTS von T-Mobile per WWAN eine IP Adresse für
den Laptop bekomme. Diese IP Adresse kann ja nur eine aus dem
Pool von T-Mobile/deutschen Raum sein und niemals eine aus dem
amerikanischen bzw. asiatischen. Daher wollte ich von
vornherein allen IPs, die aus den gerade genannten fremden
Regionen stammen den sofortigen Zugriff zu meinen Services
durch einen IP-Block in der HW-FW verweigern. So dass eine IP
aus diesem Bereich nicht mal zu einem Portscan kommt, sondern
vorher schon den Zugriff durch die FW verweigert wird. Die
Services brauchen nämlich nur mir (mit meiner temporären
Laptop IP von T-Mobile) zugänglich zu sein und keinem Dritten.

Wie du eine HW-Firewall da anschließen willst ist mir ein Rätsel.
Wenn du per UMTS-Stick im Internet unterwegs bist, dann steckt der Stick direkt in einem USB-Port deines Laptops. Wo soll dann die HW-FW angeschlossen werden?

Also hinter die FritzBox, damit der Funktionsumfang wie DSL
Modem und VoIP der FritzBox gewahrt bleibt?

Richtig!
Aber die an der Fritzbox über WLAN angemeldeten Rechner kommen nicht in den Genuss des Schutzes der Zywall. Wenn einer dieser Rechner erlaubterweise auf dein LAN hinter der Zywall zugreifen will, wird er geblockt. Wenn du eine Ausnahmeregel definierst um das zu erlauben, hebelst du die Zywall ziemlich aus und du könntest auch auf sie verzichten. Eine Alternative wäre für jeden WLAN-Teilnehmer einen VPN-Tunnel einzurichten, was ein enormer Aufwand ist und ev. zusätzliche Hardware erfordert.

Grüsse max

Moin Max,

Da habe ich mich nicht verständlich genug ausgedrückt. Bei der
IP Vergabe für meinen Laptop sprach ich nicht von der Vergabe
per DHCP der FritzBox, wenn ich mich im WLAN befinde, sondern
wenn ich über UMTS von T-Mobile per WWAN eine IP Adresse für
den Laptop bekomme. Diese IP Adresse kann ja nur eine aus dem
Pool von T-Mobile/deutschen Raum sein und niemals eine aus dem
amerikanischen bzw. asiatischen. Daher wollte ich von
vornherein allen IPs, die aus den gerade genannten fremden
Regionen stammen den sofortigen Zugriff zu meinen Services
durch einen IP-Block in der HW-FW verweigern. So dass eine IP
aus diesem Bereich nicht mal zu einem Portscan kommt, sondern
vorher schon den Zugriff durch die FW verweigert wird. Die
Services brauchen nämlich nur mir (mit meiner temporären
Laptop IP von T-Mobile) zugänglich zu sein und keinem Dritten.

Wie du eine HW-Firewall da anschließen willst ist mir ein
Rätsel.
Wenn du per UMTS-Stick im Internet unterwegs bist, dann steckt
der Stick direkt in einem USB-Port deines Laptops. Wo soll
dann die HW-FW angeschlossen werden?

Ok, irgendwann schaffen wir das noch
In meinem hauseigenem LAN, das über die FritzBox mit dem Internet verbunden ist und über dyndns von „außen“ immer erreichbar ist, betreibe ich div. Services. Auf diese Services möchte ich gerne mit meinem Laptop, wenn ich mal nicht daheim, sondern (um es praktisch zu machen) z.B. am Flughafen bin, zugreifen. Den mobilen Zugang zum Internet stelle ich bei meinem Laptop über eine UMTS Karte von T-Mobile her, somit werde ich bei meinem Laptop nur deutsche IPs, nämlich aus dem IP-Bereich den sich T-Mobile gekauft hat, erhalten und niemals eine IP aus einer anderen Region:

• APNIC (Asia Pacific Network Information Centre),
• ARIN (American Registry for Internet Numbers),
• LACNIC (Regional Latin-American and Carribean Address Registry)

Dementsprechend wollte ich alle anderen IP-Regionen (siehe gerade eben) von vornherein die Zugangsmöglichkeit (und wenn es nur der pure Portscan ist) zu meinem LAN über die Firewall verweigern. „Hack“ versuche, die aus Deutschland kommen, werden natürlich NICHT geblockt, da dieser Bereich nicht in der Zywal eingetragen wird. Da würde ich ja Gefahr laufen, dass ich mich selbst „aussperre“.

Sprich der Hacker aus Asien gelangt aus dem Internet an meine Fritzbox mit Ihren Portfreigaben für meine Services. Kommt da meinetwegen irgendwie durch, wird dann aber an der Zywal wegen seiner asiatischen IP geblockt.

Also hinter die FritzBox, damit der Funktionsumfang wie DSL
Modem und VoIP der FritzBox gewahrt bleibt?

Richtig!
Aber die an der Fritzbox über WLAN angemeldeten Rechner kommen
nicht in den Genuss des Schutzes der Zywall. Wenn einer
dieser Rechner erlaubterweise auf dein LAN hinter der Zywall
zugreifen will, wird er geblockt. Wenn du eine Ausnahmeregel
definierst um das zu erlauben, hebelst du die Zywall ziemlich
aus und du könntest auch auf sie verzichten.

Mal abgesehen davon, dass wenn ich das System so aufbaue, wie es sich langsam herauskristalisiert, sprich:

1. Internet
2. FritzBox (wegen VoIP) und angeschlossenem Telefon/Fax
3. Zywal (mit entsprechenden IP-Bereichs Blockaden (IP-Bereiche s.o.) und angeschlossenen LAN-Rechnern
4. eigenes LAN

Also an die Fritzbox sollen dann gar keine Rechner, sondern nur das Telefon.
Wieso hebelt eine Freigabe in der Zywal für bestimmte IPs aus dem LAN die Zywal aus? Wenn ich jedem Rechner im LAN eine feste IP zuweise und der Zywal sage, dass nur diese bestimmten IPs Berechtigungen haben. Dafür ist doch eine FW gedacht, dass ich den kontrollierten Zugriff gestatte.

Bis demnächst

Simon

Hallo Simon,
ich fürchte ich kann deinen Überlegungen nicht ganz folgen.
Wie willst du die IP-Bereiche definieren?
Dein eigener DynDNS-Proxy steht vermutlich irgendwo in den USA.
Du handelst dir mit dem generellen IP-Blocking nur unnötig Administrationsaufwand ein.
Deine Dienste, laufen die auf einer Linux- oder Windows-Maschine?
Bei Linux solltest du mal überlegen, ob du die unterschiedlichen Dienste-Dämonen nicht in einer chrooted-jail-Umgebung laufen lassen kannst. Dann ist bei einem unbefugten Eindringen nur der betroffene Dienst gefährdet und nicht der gesamte Rechner.

Da bin ich aber, ehrlich gesagt nicht der Fachmann. Das geht jetzt mehr in Richtung „Sicherheit“.
Frag doch im Brett oben noch mal gezielt nach.

Zu der IP-Freigabe für dein LAN über WLAN von der Fritzbox:
Was geschieht wenn ein Eindringling eine zeitweise unbenutzte IP übernimmt und damit sich über die Fritzbox einloggt? Wenn du zusätzlich MAC-Filterung aktivierst (der Nutzen ist umstritten), hast du zusätzlichen administrativen Aufwand.
Welche Ports willst du den (genehmigten) WLAN-Teilnehmern freigeben, was dürfen die hinter der FW machen? Welchen Ziel-Rechner gibst du an? Wie kommen diese User dann auf einen anderen Rechner in deinem LAN?
Wenn du Netbios für Windows-SMB öffnest, kannst du die FW auch gleich vergessen. Das Einzige, aus meiner Sicht relativ sichere, wäre für die WLAN-User jeweils VPN einzurichten und dafür braucht es deutlich mehr an Hardware, wenn mehr als ein Tunnel eingerichtet wird.

Grüsse max