RT2600ac Firewall Konfiguration intern

[snoooze]

Guten Morgen,

ich beschäftige mich gerade mit den Firewall-Einstellungen des RT2600ac und werde nicht ganz schlau daraus. Möglicherweise liegt es aber auch am (fehlenden) Grundverständnis für Netzwerksicherheit .

Ich versuche die Firewall des Routers für ein kleines Firmennetz abzusichern. Die Vorgabe ist, auch von intern sollen nicht alle Ports und Services erreichbar sein.

Ich habe für die Firewall als letzte Regel erstellt:
Quell-IP Alle
Quell-Port Alle
Ziel-IP Alle
Port des Zielordners Alle
Verweigern

Durch diese Regel sind erstmals alle Verbindungen von intern nach außen gesperrt. Ich versuche jetzt langsam alle benötigten Services freizuschalten, angefangen bei HTTPS.
Quell-IP 192.168.1.0/24
Quell-Port 443
Ziel-IP Alle
Port des Zielordners 443
Zulassen.

Und dann steigt mein Verständnis aus, es funktioniert nicht! Wenn ich aber die Einstellung Quell-Port auf "Alle" stelle, funktioniert es. Was vergesse ich hier? Welche Ports müssen noch offen sein, damit ich mit dem Browser eine HTTPS Verbindung herstellen kann, außer 443? Das selbe Problem habe ich mit SSH?

Vielen Dank schonmal im Voraus

Beste Grüße,
Christoph

 

[Fusion]

443 ist nur der Zielport.
Von welchem Quell Port der anfragende Rechner die Anfrage rausschickt ist nicht festgelegt.
Eine solche Einschränkung kannst du also meistens nicht machen.

 

[snoooze]

Hallo Fusion,

vielen Dank für die schnelle Antwort. Das erklärt einiges und ich habe dazugelernt. Ich dachte, die Anfrage geht auch über den selben Port raus.

Danke!

 

[blurrrr]

"Denken" vs "Wissen" ist bei...

Firewall des Routers für ein kleines Firmennetz abzusichern

... schon so eine Sache... Denke, da stimmen wir alle überein...

Wenn Du nicht verstehst, was Du da treibst, wäre es empfehlenswert, ein paar Minuten seiner kostenbaren Zeit nicht für planloses rumklicken zu vergeuden, sondern ggf. mal in bereits geschriebene Wörter zu investieren, um den Horizont für das entsprechende Projekt zu erweitern (dann macht sowas nämlich auch bedeutend mehr Spass!). ??

Ich erspar Dir mal das Googletum und schmeiss mal einfach jenen welchen in die Runde: https://de.wikipedia.org/wiki/Port_(Protokoll). Dort sind direkt zu Anfang auch TCP und UDP erwähnt, darfste Dir auch gern anschauen. Unter "Funktionsweise" findest Du die Info, warum das bei Deinem Konstrukt so nicht funktioniert hat. Denke mit den Infos wirst Du dann schon um einiges weiter kommen - viel Erfolg!

 

[snoooze]

(Nach)Denken gepaart mit den richtigen Quellen kann gutes Wissen hervorbringen. Insofern habe ich Informationen bekommen, etwas dazugelernt und verstanden, warum mein Konstrukt so nicht funktionieren kann. Zum Glück bin ich noch am Anfang, da wird noch einiges an Wasser den Bach herunterlaufen

Vielen Dank für den Link!

 

[blurrrr]

da wird noch einiges an Wasser den Bach herunterlaufen

Das geht "allen" anfangs so (selbst mir (ganz früher), aber ich mache sowas auch beruflich). Wichtig ist halt nur, nicht aufzugeben und sich nicht unterkriegen zu lassen. Grade diese "rudimentären" Dinge sind wie Fahrrad fahren - haste das einmal drin, wirste da noch seeeehr lange von zehren können

Ich weiss natürlich, dass viele Dinge ziemlich vollstopft sind mit irgendwelchem Fachchinesisch... Ich persönlich denke, dass Du auch garnicht alles bis ins kleinste Detail wissen musst (gilt auch für den verlinkten Wikipedia-Artikel z.B.). Wichtig ist primär, dass Du im "groben" weisst, was wofür da ist und wie die Dinge im groben ablaufen, einfach nur, damit man der dahinterstehenden Logik halbwegs folgen kann. Wenn dazu noch Fragen auftauchen sollten (oder zu anderen Themen), nicht zögern, fragen kostet nix, meist scheitert es ja schon einfach daran, dass man garnicht weiss, "was" man jetzt eigentlich im besten Fall lesen sollte - da reicht ja oftmals schon ein kleiner Wink in die richtige Richtung (geht mir zumindestens öfters so)

 

[snoooze]

Guten Morgen,

das ist klar, Aufgeben ist kein Thema. IT - Security ist Neuland für mich und beruflich erst jetzt in meinem Fokus gerückt. Es ist, denke ich ein sehr umfangreiches aber spannendes Gebiet und man muss mit kleinen Schritten anfangen.

Zum Glück gibt es großartige Foren, sofern Fragen auftauchen!
Ich hab mich die letzten zwei Tage mal eingelesen und werde mir trotzdem noch passende Literatur suchen.

Vielen Dank nochmals!

 

[blurrrr]

IT - Security ist Neuland für mich und beruflich erst jetzt in meinem Fokus gerückt

Ähm.............. wie formulier ich das jetzt am besten.... hmmmmm...... Ich sag mal so: Wenn Du Maurer bist, hast Du erst gelernt Mauern zu bauen und baust dann Mauern für andere. Die Mauern zur Zeit der Lehre sind, sind mitunter öfters zusammengebrochen. Deswegen lernt man sowas vorher, bevor man es beim Kunden für den Garten, oder gar für den Hausbau einsetzt.

Ich frag mal ganz trocken heraus: Bist Du Angestellter einer Firma, oder bist Du Selbstständig/Solokünstler (oder in einer kleinen Gruppe)?

EDIT: Und was machst Du beruflich primär? (Wenn Dir die Infos zu sensibel für "öffentlich" sind, kannste mir auch einfach eine PN schreiben)

EDIT2: Lass mich das anders ausdrücken: Es bringt nichts, sich über IT-Security zu informieren (und das ist ein verdammt weeeeeeeeeeeeeites Feld....), wenn man die Grundlagen schon garnicht verstanden hat. Lern erstmal die Grundlagen, danach "generell"(!) Dinge über Sicherheit (da zählen sowieso einige Sparten zu) und ein "kleinerer" Teil davon ist dann die IT-Security (wobei auch da vieles nicht virtuell ist - man mag's kaum glauben...). Wenn Du Angesteller bist (und/oder Selbstständiger, wie auch immer), dann fällt jeder Bock den Du schiesst, direkt auf Dich zurück. Grade im Bereich der IT-Sicherheit kann sowas fatale Folgen haben... Bissken Geld und Firmenwagen geklaut... sch...egal, Kundendaten weg, Schaden muss gemeldet werden und die Kunden darfst Du dann auch direkt darüber informieren, dass Dir deren Daten abhanden gekommen sind. Hier ist also der Reputationsschaden i.d.R. das wesentliche Problem (nebst dem zusätzlich möglichen Datenverlust (Verschlüsselung, Löschung, usw.)).