Kjøp av ekstern brannmur til hjemmebruk

[kenneho]

Hei.

 

 

På maskinen min hjemme kjører jeg en lokal brannmur på maskinen min, men ser fordeler ved å kjøpe en ekstern brannmur-"boks" som gjør jobben uavhengig av hvilke OS'er etc jeg fyrer opp hjemme. I utgangspunktet har jeg svært enkle krav til brannmuren, men hvis den er støysvak, liten og gjerne fungerer som trådløst aksesspunkt er dette sikker bra.

 

Er det noen som har tips til gode kjøp som kan passe mine behov? Jeg har aldri hatt ekstern brannmur-boks tidligere, så råd og vink mottas med takk.

 

 

Kenneth

[vidarkri]

Alle routere har en intern brannmur så jeg ser ikke helt poenget i å blåse x antall kr på en dedikert appliance.

[Stigma]

Alle routere har en intern brannmur så jeg ser ikke helt poenget i å blåse x antall kr på en dedikert appliance.

 

Ikke helt korrekt. Ikke alle rutere har brannmur.

Alle NAT rutere (og det er er alle forbrukerrutere) har derimot NAT. NAT vil fungere som en brannmur i praksis for INNKOMMENDE trafikk. Det beskytter dog ikke for UTGÅENDE trafikk. Det vil med andre ord ikke hjelpe deg å stoppe/oppdage evt. ondsinnede programmer som allerede har infisert maskinen og sender informasjon ut - men det vil jo stoppe maskinen fra å bli infisert av selv-spredende ormer og denslags fra nettet, så NAT i ruter ser jeg på som en god nok beskyttelse for alle som ikke har spesielle behov.

 

Til OP:

Jeg er enig med Vidarkri at dette sansynigvis ikke er særlig nødvendig så lenge du er bak en NAT ruter (noe de fleste er som en følge av internettlinjetypen de har mot nettet fra sin leverandør - men ikke absolutt alle). Hvis du derimot har bestemmt deg allerede så vil jeg si at den beste løsningen for deg sansynligvis er en billig ruter som du kan installere DD-WRT, tomato eller open-WRT firmware på. Alle disse har meget gode konfigurasjonsmuligheter for firewalling. En ting du må huske på dog er at for alle eksterne firwaller så må du selv ha bra kontroll på hva du har åpnet i firwallen og hva som er lukket. I motsetning til de fleste software firewaller så kan ikke boksen informere deg når ting blir blokkert og spørre om du vil tillate det (du kan dog logge inn og se på loggene i ruteren naturligvis). Om du ikke har stålkontroll på hvilke porter som brukes for alle applikasjonene dine så kan du da risikere at programmer (som bruker nettet) tilsynelatende ikke fungerer uten at du helt forstår hvorfor. Det kan være litt mye arbeid, selv for en som har mye erfaring med nettverksadministrasjon.

 

Et konkret forslag for "firewall on the cheap" er å kjøpe seg en Dlink DIR-615. Du kan få dem for så lite som 150kr inkl. frakt fra ebay og lignene. Denne bør være mer enn nok sterk til å ta unna firewalling for alle private linjer (firewalling tar ikke mye system ressurser). Pass på at modellen og hardware revisjonen du kjøper i så fall støttes av den åpne firmwaren du velger å bruke. DD-WRT støtter de fleste hardware revisjonene av DIR-615 og du kan lese mer om det i denne listen:

http://www.dd-wrt.com/wiki/index.php/Supported_Devices

 

Andre alternativer:

- Kjøpe seg en ferdig standalone firewall. Dette er som regel ganske dyrt da dette ikke typisk regnes som forbrukerutstyr, men utstyr til mindre bedrifter osv.

 

- Bruke pfsense installert som OSpakke til en gammel maskin. Evt. kan den kjøre på en ruterboks også, men det krever som regel en god del mer spesialisert og dyrere ruterhardware. Dette ville jeg dog regnet som en enda sterkere teknisk løsning enn DD-WRT og de andre - for de som har behov for profesjonell-nivå fleksibilitet i sin hardware-firewall løsning.

 

- Basere seg på software-firewall. Jeg vet at dette er nettop det du spør om å unngå, men det er nok ofte den beste løsningen for privatpersoner dersom du føler at du trenger noe mer beskyttelse enn det NAT i ruteren gir deg. En stor fordel er at det finnes god gratis software for slikt på alle OS (windows har jo en helt ok brannmur innebygget forøvrig).

 

-Stigma

Endret 10. juni 2011 av Stigma

[kenneho]

Alle routere har en intern brannmur så jeg ser ikke helt poenget i å blåse x antall kr på en dedikert appliance.

 

Ikke helt korrekt. Ikke alle rutere har brannmur.

Alle NAT rutere (og det er er alle forbrukerrutere) har derimot NAT. NAT vil fungere som en brannmur i praksis for INNKOMMENDE trafikk. Det beskytter dog ikke for UTGÅENDE trafikk. Det vil med andre ord ikke hjelpe deg å stoppe/oppdage evt. ondsinnede programmer som allerede har infisert maskinen og sender informasjon ut - men det vil jo stoppe maskinen fra å bli infisert av selv-spredende ormer og denslags fra nettet, så NAT i ruter ser jeg på som en god nok beskyttelse for alle som ikke har spesielle behov.

 

Til OP:

Jeg er enig med Vidarkri at dette sansynigvis ikke er særlig nødvendig så lenge du er bak en NAT ruter (noe de fleste er som en følge av internettlinjetypen de har mot nettet fra sin leverandør - men ikke absolutt alle). Hvis du derimot har bestemmt deg allerede så vil jeg si at den beste løsningen for deg sansynligvis er en billig ruter som du kan installere DD-WRT, tomato eller open-WRT firmware på. Alle disse har meget gode konfigurasjonsmuligheter for firewalling. En ting du må huske på dog er at for alle eksterne firwaller så må du selv ha bra kontroll på hva du har åpnet i firwallen og hva som er lukket. I motsetning til de fleste software firewaller så kan ikke boksen informere deg når ting blir blokkert og spørre om du vil tillate det (du kan dog logge inn og se på loggene i ruteren naturligvis). Om du ikke har stålkontroll på hvilke porter som brukes for alle applikasjonene dine så kan du da risikere at programmer (som bruker nettet) tilsynelatende ikke fungerer uten at du helt forstår hvorfor. Det kan være litt mye arbeid, selv for en som har mye erfaring med nettverksadministrasjon.

 

Et konkret forslag for "firewall on the cheap" er å kjøpe seg en Dlink DIR-615. Du kan få dem for så lite som 150kr inkl. frakt fra ebay og lignene. Denne bør være mer enn nok sterk til å ta unna firewalling for alle private linjer (firewalling tar ikke mye system ressurser). Pass på at modellen og hardware revisjonen du kjøper i så fall støttes av den åpne firmwaren du velger å bruke. DD-WRT støtter de fleste hardware revisjonene av DIR-615 og du kan lese mer om det i denne listen:

http://www.dd-wrt.com/wiki/index.php/Supported_Devices

 

Andre alternativer:

- Kjøpe seg en ferdig standalone firewall. Dette er som regel ganske dyrt da dette ikke typisk regnes som forbrukerutstyr, men utstyr til mindre bedrifter osv.

 

- Bruke pfsense installert som OSpakke til en gammel maskin. Evt. kan den kjøre på en ruterboks også, men det krever som regel en god del mer spesialisert og dyrere ruterhardware. Dette ville jeg dog regnet som en enda sterkere teknisk løsning enn DD-WRT og de andre - for de som har behov for profesjonell-nivå fleksibilitet i sin hardware-firewall løsning.

 

- Basere seg på software-firewall. Jeg vet at dette er nettop det du spør om å unngå, men det er nok ofte den beste løsningen for privatpersoner dersom du føler at du trenger noe mer beskyttelse enn det NAT i ruteren gir deg. En stor fordel er at det finnes god gratis software for slikt på alle OS (windows har jo en helt ok brannmur innebygget forøvrig).

 

-Stigma

 

Takk for veldig gode svar. Av alternativene over virker det meste interessant å gå for en D-Link DIR-615. Denne støtter både NAT'ing, og har brannmur (ønsker kontroll over trafikk både inn og ut)? ̈́

 

Prikken over i'en hadde vært hvis den var utstyr med en IDS eller lignende, men da må man vel opp i mer enterprise-klasse brannmurløsning.

 

Kenneth