Sicherheit von NAT ?
 

Hi,

ich hab' unlängst einen schnelleren Internetanschluss gekriegt, der Telekom-Techniker stellte mir das Telekom-Modem auf NAT - weil (angeblich) sicherer. Die Anfangsprobleme, den Linux-Server als Firewall zum Laufen zu kriegen, klärten wir >hier<. Bei der Diskussion fiel folgender Satz:

Ich möchte das hier jetzt OnTopic machen: wie sicher ist NAT (was ist das genau?) bzw. wäre es deutlich unsicherer, das Telekom-Modem direkt an einen internen Netzwerkknoten zu hängen und auf die Linux-Firewall zu pfeifen?

Thx

nat ist 100%ig sicher solange du keine ports weiterleitest. Auf die linux firewall kannst auf jeden fall verzichten.

Zu NAT
Network Address Translation
Aber wie häufig, ist die englische Version detaillierter
Network address translation
Im Grund egal, ob auf der Linux-FW realisiert oder am Router.
Allerdings kann die Firewall natürlich noch mehr Sicherheiten bieten, eben die detaillierte Konfiguration von Ports.

Ich hoffe, ich kann davon ausgehen, dass die Telekom - ohne Auftrag - da keine Ports weiter leitet.

Und wie funzt das mit dem neumodernen ICQ und ähnlichem (was meine Kids gerne hätten)? Braucht man da Ports, die von draußen rein dürfen/können?

ICQ Ports ? - Forum - CHIP Online
Open firewall ports for MSN Messenger and ICQ

> Ich hoffe, ich kann davon ausgehen, dass die Telekom - ohne Auftrag - da keine Ports weiter leitet.
wohin denn?
----
was erwartest du von "NAT" oder einer "firewall"?
ich fürchte, das, was du erwartest, gibts ned...

...gäb's schon - Rechner ausschalten, alles abstecken und irgendwo einsperren - damit hast aber dann wieder andere Probleme ;)

NAT -
Heißt in einfach ausgesagt, dass dein lokaler Rechner keine IP im Internet bekommt.
Hat den Effekt, dass dein Rechner nicht direkt vom Internet aus ansprechbar ist,
was gegen manche hintertürchen von Windows/Linux/3rd Party Hersteller hilft.

Weiterhin gilt, wenn das Gerät auf dem der NAT rennt allerdings von der anderen Seite (Internet) aus konfiguriert werden kann ... bringt er keine zusätzliche Sicherheit ...

Somit stellt sich nicht die Frage, wie sicher ist NAT, sondern wie sicher ist der installierte Router/Firewall.

Und wieviele Trojaner sind auf deinen Rechner (NAT hilft nur gegen Attacken bei denen die Verbindung von außen (Internet) aufgebaut wird, Verbindungen die aus dem privaten Netzwerk kommen werden nicht oder begrenzt konrolliert).

Bei ICQ, wird die Verbindung üblicherweiße von dir aus zu einen Server aufgebaut ... bei Daten, senden unter ICQ, war es früher so, dass man ein Port weiterleiten musste um welche empfangen zu können (das war vor langer langer Zeit, als ich es noch verwendete)
Viele Spiele verlangen außerdem noch eine Weiterleitung von bestimmten Ports.

Danke habs mir erspart -sonst Heists wieder -eh klor der Baron-provokant wie immer!:rolleyes:
Aber vielleicht gibts eine Versicherung -beim Britischen LLoyds?;)

Danke. Heißt für mich, dass die Linux-FW bleibt.

LG

die ist dann aber hoffentlich nicht auf nat konfiguriert weil dann hast nur probleme damit.

Nein, das passt schon so - die FW ist ja schon seit Jahren zur vollsten Zufriedenheit in Betrieb, es ist ja nur der ISDN-Router jetzt gegen einen schnelleren Router ausgetauscht worden (ansonsten blieb alles beim alten).

Alos jetzt mal ohne böse sein zu wollen:

ICQ, MSN usw brauchen keine Portweiterleitungen! Die funktionieren einfach über NAT drüber..

Das einzige wo man welche brauchen könnte ist Torrent, da muss man bei manchen clients ne weiterleitung einrichten...

Zur Linuxfirewall: Wenn du nicht mal weißt was nat ist bzw welche ports man wie weiter muss, was das bringt usw, dann bezweifle ich sehr sehr stark dass du im stande bist ne "Linux Firewall" zu konfigurieren...

Ne Firewall ist nur so gut wie der Admin der sie administriert...

Ich könnt mir folgende 2 Szenarien vorstellen:

alles abdrehen (na toll)
alles durchlassen (auch ned besser)

Ich kann dir aus erfahrung sagen, für den Homebereich genügt NAT und ein vernünftiger virenscanner leicht..

"die bösen hacker" kommen über das nat im regelfall eh ned auf einen rechner bei dir im netz --> sie sehn ihn ja nicht

und über die verbindungen die von innen auf gemacht werden, ja die kannst eben durch ne FW blocken bzw sie erst gar ned auf gehen lassen (virenkille oÄ)

Nur wie schon oben erwähnt durch diesen Beitrag ist mir irgendwie nicht das gefühl entstanden dass du genau weißt was du da vor hast desswegen wird auch der schutz dementsprechend sein....

bitte nicht böse nehmen meinen Beitrag, ich seh das nur ganz realisitsch...

Ich bin nicht bös, Dein Einwand geht OK. Dass ich von FW nicht viel Ahnung hab', da hast Recht - aber auf der Nudlsuppn bin ich deswegen auch nicht dahergschwommen: ich hab' mir seinerzeit beim Einrichten die Doku und die Samples zu meiner FW angeschaut und diverse Unklarheiten hier im Forum geklärt - und ich denke, dass ich mit meiner Config nicht so falsch lieg'.

LG

neugier
 

Ok, dann zwecks neugier, was macht deine FW und warum?

--> Sperrst du einzele IPs vom netz (eingehend oder ausgehend)
oder
--> hast du alle Ports bis auf 80, 25,110, 443 abgedreht oder was machst du mit dem ding??