Zum einen verlasse ich mich da ein wenig auf meine Fritz!Box und deren Sicherheitseinstellungen. Dann habe ich auf keinem meiner Clients unnötige Ports nach außen offen und keine sonstigen Freigaben. Freigaben habe ich nur auf meinem Homeserver und auf dem wurden die Standard-Ports geändert und die original Ports mit "Fallen" versehen.

Wenn ich also z.B. via SSH auf den Server will, muss ich einen speziellen Port verwenden. Versucht man (oder ein Bot) dies mit den Standard-Ports, werden endlos lange Header ausgeliefert und man dreht sich ewig lange im Kreis. Alle Apps auf dem Server laufen in Docker und sind relativ abgeschirmt voneinander. Ich verwende zudem verschiedene Accounts für verschiedene Funktionen. Also Root mit anderem Passwort, Admin Account für spezielle Dinge und einen weiteren Account für Dateifreigaben.

Zugriff von außerhalb ist ausschließlich via Wireguard möglich. Hier allerdings über die Fritte und nicht direkt auf den Server. Ob ich das mal ändern sollte, muss ich in einer ruhigen Minute mal überdenken. Auf meinem Rechner selbst nutze ich eine Firewall - ehrlich gesagt aber auch nur, weil die mitgeliefert und vorinstalliert wurde (EndeavourOS).

Wenn du was zentrales haben möchtest, und dem Vodafonerouter nicht traust (nachvollziehbar ) UND die Möglichkeit in Form von passender Hardware dazu hast, kannst du dir z.B. ne Sophos aufsetzen.

Cybersecurity Delivered - Sophos Security Solutions

Cybersecurity Delivered. Achieve superior outcomes through a fully-managed MDR service or self-managed security operations platform with Sophos.

www.sophos.com

Hab die zwar schon etliche Jahr nicht mehr gesehen, aber die Letzte mit der ich gearbeitet habe, war ziemlich einfach zu administrieren und hat gute Dienste geleistet.

In Sachen Linux bin jetzt auch noch recht unbewandert, gehe aber auch davon aus, dass das OotB schon recht sicher ist.

In meiner Fritte hab ich erst mal das Defaultprofil so umgebaut, dass neue Geräte keinen Zugriff aufs Internet haben, dafür hab ich ein eigenes Profil erstellt, welches noch eine Blacklist anhängen hat.
Meine Domaincontroller dürfen nur WSUS, wenn da auch für 2008er-Server außer Defender Definitionsdateien nix mehr kommt.
Ein PiHole ist in Planung, aber noch nicht umgesetzt.

Ich kann dem Post jetzt nicht wirklich entnehmen, ob Du Dein Heimnetzwerk oder ein dedieziertes Netzwerk mit Servern(n) meinst, deswegen beziehe ich mich hier auf mein Heimnetzwerk.

In meinem Heimnetzwerk funken 6 PCs/Notebooks, 2 iPhones, 2 iPads, ein Apple TV, 6 Raspberry Pis und ein Wohnzimmerradio von Grundig mit Webradio-Funktion. Verbunden sie die Komponenten mit einer Frizubox, an der auch 4 smarte Heizkörperregler und zwei Sensoren via DECT angeschlossen sind. Daneben steht ein Synology NAS als gemeinsamer Datenspeicher und ein Raspberry Pi als Pi-Hole (DNS Werbefilter). Mein Netz funkt nur nach außen, daher reicht mir die integrierte Firewall auf der Fritte aus. Wenn ich auf die Geräte von außerhalb zugreifen will, verbinde ich mit über ein VPN mit meinem Heimnetzwerk. Portfreigaben von Zugriff von außen auf meine Geräte sind daher in meinem Fall nicht nötig. Auf den Clients habe ich (sofern vorhanden), die Build in Firewall eingeschaltet - einfach nur, weil sie da ist. Sollte ich mir wirklich mal was eingefangen haben, was nach sich auf einen Command Control Server verbinden möchte und über einen exotischen Port kommunizieren will, blockt die Firewall dann (vielleicht) diesen Versuch.

Ich nutze und verlass mich auf das NAT, DHCP und Portforwarding der Fritzbox (7590), DNS macht ein piHole Server. Es sind keine unnötigen Ports geöffnet. Dienste sowie interne Webseiten haben alle Passwörter. Das Gästenetz der Fritzbox wird für HomeOffice genutzt.

Zitat von harihegen

Das Gästenetz der Fritzbox wird für HomeOffice genutzt.

Das mache ich auch so.

Zitat von Phantomias

Sophos

Dann würde ich lieber auf pf/Opensense setzen als auf die 😱

Zitat von Der Muede Joe

Und aktuell habe ich auf meinem Client keine Firewall laufen.

Sollte man diese einschaltet? Ports sind soweit ich weiss nicht geöffnet nach aussen, weil ich nutze den nur zum Surfen und fürs Office.

"Sollen" muss man nicht wirklich. Da Dein Netz ja von außen eh über den Router abgeschottet ist, ist eine Firewall in einem sauberen (= nicht durch Viren, Adware oder Malware infizierten) internen Heimnetz kein essentieller Sicherheitsgewinn.

Eine Clientfirewall kann eine weitere Linie in Deinem Schutzkonzept sein. Über eine Clientfirewall könntest Du z.B. einer Applikation, der "nach Hause" telefonieren will (Telemetrie und Co.) die Verbindung kappen und nur den Traffic erlauben, den sie machen soll. Oder aber, wenn Du Dir einen Trojaner oder andere Malware eingefangen hast (man merkt, ich komme ursprünglich aus der Windowswelt ), kann eine Clientfirewall eventuell verhindern, dass das Teil Verbindung zum Angreifer aufnimmt.

Zitat von Der Muede Joe

Hallo,

ich bin neu hier und noch nicht lange Linuxer.

Mir stellt sich jetzt die Frage wie man am besten sein Netzwerk vor Zugriffe von aussen hin schütz.

Klar, nur Ports am Client öffnen die man wirklich braucht.

Soweit ich mich informiert habe macht das eigentlich jede Linux-Distro von Hause aus, keine unnötigen Ports auf.

Aktuell habe ich eine Vodafone Station wo die Firewall eingeschaltet ist.

Aber da gibt es eigentlich nicht viel zu "konfigurieren", halt nur ein oder aus, mehr hat der Router nicht zu bieten.

Deshalb würde mich mal interessieren wie Ihr so Euer internes Netz gegen das Internet absichert.

Habe Ihr eine extra Firewall installiert, wenn ja welche und wie oder reicht Euch z.B. die Firewall vom Provider auf dem Mietrouter.

Und wie testet Ihr Eure Netzwerksicherheit?

Ich traue nun mal der Firewall der Vodafone Station nicht. Vodafone startet gerne den Router einfach mal neu wegen Firmewarupdates usw.

Da ist es auch schon mal vorgekomen das die Firewall ausgeschaltet war danach. Ist jetzt einmal vorgekommen.

Habe einen Kabelanschluss gezwungenermaßen bei denen.

Deshalb meine Frage wie Ihr so Euer Netz vor Zugriffe von aussen schützt.

Alles anzeigen

Du kannst dir eine FritzBox anschaffen, oder sicherst zusätzlich deine Endgeräte mit einer Firewall ab. Das ist unter Linux im Prinzip recht einfach. Am Besten alle Ports schließen und die freigeben die du benötigst.

Hast Du denn Dienste die du über das Internet bereitstellst, oder nur Endgeräte mit dem du nur das Internet für Mails, Web, Musik und Streaming nutzt?

Ich verlasse mich auf die Fritze mit ihren Einstellungen.

Zitat von Tealk

Dann würde ich lieber auf pf/Opensense setzen als auf die 😱

Och, ich fand die damals nicht schlecht. Allerdings war das nur noch kurz unter dem Namen. Im Kopf heißt das bei mir immer noch Astaro
Homeoffice im Gäste-WLAN; same here

Zitat von Der Muede Joe

Dann werde ich erst mal meinen Client absichern bevor ich mir ein neues Gerät kaufe.

Ist auch nicht so einfach, wil Mietgerät.

Was nehme ich denn da als Firewall am besten am Client, nftables oder iptables?

Gibt es dafür eine Grafische Möglichkeit oder alles auf Console?

Habe gelesen nftabls soll iptables ablösen.

Es gibt GUIs, jedoch ist das über die Konsole auch mit 4 Zeilen schnell gemacht.

Die einfachste Möglichkeit wird wohl ufw sein.

Zitat von Der Muede Joe

geht ufw auch bei nftables?

jap

GUI ist gufw

Ich habe zuhause als Router einen Netgear WNDR3800 mit LibreCMC und den Standard-Regeln für eine Firewall plus ein paar Zusätzen. Für Gäste gibt es ein eigenes VLAN.

Zitat von Der Muede Joe

Ich kannte bis jetzt nur openwrt

LibreCMC ist OpenWRT ohne nicht-freie Software.