Router Firewall konfigurieren - Beispiele mit Regelsätzen ?

[dannym5]

Ich muss mal wieder einen neuen Router konfigurieren und hätte zu dem Anlass auch gerne aktuelle Beispiel Anleitungen, wie man eine komplexere Hardware Firewall gut abriegelt?

Kennt ihr also bitte irgendwelche Anleitungen wo die ein- und ausgehende Pakete mit getrennten Regelsätzen abgearbeitet werden?
Es ist auch egal wenn sich die Anleitung auf ein bestimmtes Router Modell bezieht.

Mir geht es vorallem mal wieder mein Wissen aufzufrischen, welche Ports und Dienste mal unbedingt sperren sollte?
Eine alte Firewall Anleitung empfahl z.B. alle Windows NetBIOS und Dateifreigabe Ports (135,137,138,139,445) ausgehend zu blockieren.
Ein älterer Heise Artikel empfahl z.B. alle eingehenden Pakete an Ports unterhalb von 1024 zu verwerfen.
Und welche Einstellungen für Ping-Pakete (ICMP) und DoS-Abwehr werden aktuell empfohlen?

 

[Romek]

Eingehende Verbindungen solltest du alle blockieren.
Ausgehend braucht man fürs erste TCP 80 und 443, UDP 53. Damit läuft das Meiste.
Allerdings muss du für jedes Spiel die Ports checken und diese zusätzlich freigeben. Es sind immer ausgehende Verbindungen.
Ich habe es nach einer Weile aufgegeben, explizit ausgehende Ports freizugeben, weil es zu lästig ist.
So sieht es bei mir aus:

 

[UsAs]

Ein nicht allzu alter Ratgeber rund ums Thema. Lies dich mal ein.

Schutz vor Hackern: Router-Firewall richtig konfigurieren - PC Magazin

 

[dannym5]

Ja aber ich frage hier nicht nach ein paar allgemeinen Tipps zur Sicherheit einfacher Heimrouter, sondern nach konkreten Anleitungen und Beschreibungen zum Konfigurieren von komplexen Firewall Regelsätzen.
Zum Beispiel kenn ich da eine 10 Jahre alte PDF Beispiel Konfiguration für die Firewall von Draytek Vigor Routern, die inkl. Begriffserklärungen und Index über 80 Seiten hat.

 

[UsAs]

Habe ich nicht als Dokument vorliegen. Wird individuell mit dem Kunden erarbeitet.

Cisco Firewall Best Practices Guide - Cisco Systems

 

[dannym5]

Viel mit konkreten Beispielen, Firewall Regelsätzen, Port Angaben hat das aber wohl leider auch nicht zu tun, da scheint es eher um generelle Sicherheits Einstellungen für Cisco Router und um Schachstellen in ein paar Diensten zu gehen?

 

[UsAs]

Du musst es dir selbst erarbeiten. Erst einmal alles zu und dann aufmachen, was die Applikationen benötigen.

 

[AliManali]

Bei meiner Zywall musste ich erst HTTP und HTTPS deaktivieren, beim DNS eine Regel erstellen die WAN > Zywall DNS blockt. Dann in der Firewall WAN zu Zywall HTTP, HTTPS, DNS, SMTP, TELNET und was weiss ich noch explizit sperren.

Gerade hat einer meinen Zywall DNS für einen DNS resolver Angriff missbraucht, weil ich keine Regel drin hatte. Und im Auslieferungszustand ist bei der Zywall sogar das Admin Interface vom WAN auf :80 und :443 offen.

Ist also durchaus berechtigt, die Frage.

Um was für ein Gerät handelt es sich; oder ist es gar eine virtuelle Appliance?

Meiner Meinung nach müssten die genannten Dienste @ WAN zu FW standardmässig eh geblockt sein. Meine Zywall ist im Auslieferungszustand jedoch offen wie ein Scheunentor,... Im Zweifelsfall ist da ein Router also die bessere Alternative, musste ich feststellen.

Und das war nur, damit die FW selber nicht angegriffen werden kann. Von eingehendem bzw. gar ausgehendem Verkehr war noch nicht die Rede...