xDSL.at

Ich bin kurz davor mich bei Inode anzumelden und werde auch die multi user Optionen dazu wählen - denke das ist am einfachsten wenn man zu dritt ins Netz will. Wir wollen aber nicht nur ins Netz sondern zumindest 2 Computer auch Filesharing Programme, ICQ etc. nutzen - wenn ich richtig gelesen habe dann sollte man dazu die VPN/PPTP Variante wählen korrekt? Bloß was ist eigentlich der Nachteil dieser Variante gegenüber der DHCP Lösung, das hab ich noch nicht ganz verstanden. Danke für eure Hilfe...

der nachteil ist, dass deine pcs von aussen zugaenglich sind - dh du solltest unbedingt eine gute firewall installieren.

Uiii, das gefällt mir aber gar nicht - Danke für den Tip! Bietet denn der von Inode zur Verfügung gestellte Router keinen Schutz? Reicht eine Firewall a la Zon Alarm bzw die in Xp automtisch eingebaute? Ich meine jetzt für einen Durchschnittsuser wie mich der keine hohen Ansprüche hat und auch nicht paranoid ist

Wieder einmal das Thema PFW
Lies dir das da einmal dazu durch. Also eine Hardware-Firewall, bzw. Router mit integrierter Firewall wäre eindeutig schon besser.

bei der DHCP/NAT/PAT variante sind die PCs geschuetzt - aber da musst du einschraenkungen beim filesharing in kauf nehmen (du hast eine low id), ICQ funktioniert auch hinter NAT, nur der dateiversand per ICQ moeglicherweise nicht.

was du auswaehlst, haengt von deinen prioritaeten ab - die pcs koennen nicht gleichzeitig von aussen voll zugaenglich und gut geschuetzt sein.

\\edit: zu den personal firewalls: haengt auch davon ab, was du genau willst: die win xp firewall bietet ausreichenden schutz gegen angriffe von aussen (dh in der praxis vor allem blaster, sasser etc). wenn du auch ueberwachen willst, welche programme *raus*gehen (vor allem welche microsoft-programme!), solltest du eine andere waehlen.

zone alarm kenne ich nur vom hoerensagen, sie soll aber recht ordentlich sein - siehe zb www.grc.com

\\noch eine ergaenzung: bei der DHCP/NAT/PAT loesung gibt es die moeglichkeit, dass alle ports auf einen pc geforwardet werden - der muss dann die IP 10.xxx.0.16 haben. damit waere das sicherheitsrisiko auf einen pc reduziert und dieser eine koennte voll fuer filesharing eingesetzt werden.

Gorbag hat geschrieben:Wieder einmal das Thema PFW
Lies dir das da einmal dazu durch. Also eine Hardware-Firewall, bzw. Router mit integrierter Firewall wäre eindeutig schon besser.

und wie sperrst du mit der HW firewall den zugang nach außen per programm... ?

@erdie: manche koennen das zumindest teilweise: http://www.ovislink.com.tw/WMU9000UI/

erdie hat geschrieben:und wie sperrst du mit der HW firewall den zugang nach außen per programm... ?

anhand einer rule am lan interface, die traffic nach aussen mit der vom programm verwendeten portnummer verbietet.
dies funktioniert aber nur mit einer "echten" firewall, wohl kaum mit einem simplen nat-router.

martin hat geschrieben:

erdie hat geschrieben:und wie sperrst du mit der HW firewall den zugang nach außen per programm... ?

anhand einer rule am lan interface, die traffic nach aussen mit der vom programm verwendeten portnummer verbietet.
dies funktioniert aber nur mit einer "echten" firewall, wohl kaum mit einem simplen nat-router.

weil die source port nummern ja überhaupt nicht random sind...

jutta hat geschrieben:@erdie: manche koennen das zumindest teilweise: http://www.ovislink.com.tw/WMU9000UI/

wo kannst da das programm/bin angeben...?

erdie hat geschrieben:wo kannst da das programm/bin angeben...?

Advanced -> Firewall -> Add Rule -> entweder Service auswaehlen (etliche Standardanwendungen sind drinnen) oder add Service/edit Service

aber eine perfekte firewall ist ohnehin eine dauernde aufgabe ...

erdie hat geschrieben:weil die source port nummern ja überhaupt nicht random sind...

was hat das damit zu tun?

wenn ich dir z.b. destination port 20 und 21 verbiete, kannst du dich auf keine (standard) ftp server mehr verbinden, egal von welchem sourceport deine verbindung ausgeht.

Werde wohl trotz des Risikos die VPN Variante wählen und eine SW Firewall auf den PCs laufen lassen - ich hab keine Lust wieder Geld in einen Router mit integrierter Firewall zu investieren, bekomme von Inode ohnehin schon einen Router - das alles kostet so viel Geld dass ich nicht weiter investieren möchte und kann. Danke jedenfalls für die Hilfe!

@mitlesende inodemitarbeiter:

ich hab das schon einmal in einem privaten e-mail angeregt, aber moechte es nun auch hier deponieren:

es waere vielleicht eine kundenfreundliche und der sicherheit dienende loesung, beim mehrplatz mit dhcp/pat anzubieten, dass nach wahl des kunden nicht alle ports auf 10.xx.0.16 geforwardet werden, sondern nur bestimmte gruppen zb ein filesharing-paket (4662 ... 6889-6999 etc) oder bestimmte, besonders gefaehrdete, nicht geforwardet werden (135-139, 445)

aehnliches koennte man auch fuer die pptp/vpn-variante ueberlegen.

Am besten wäre ein idiØtensicheres[TM] Webpanel in dem der Kunde selbst herumbasteln kann.
Dann müssten auch die Möchtegern-Netzwerkadmins nicht mehr .