Frage bezüglich meiner Heimnetzarchitektur

Hallo zusammen,

ich hätte mal eine rein technische Frage. Ich habe gestern (weil ich meinen DSL Provider gewechselt habe) von AVM die Fritz Box Fon bekommen (Router mit integriertem DSL Modem und Voice over IP Telefonanlage). Da ich bisher aber einen Netgear WLAN Router WGR614v1 verwendet habe (mit der Beta Firmware 1.40) und auf die WLAN Option (sowie diversen andere Interessante Features) nicht verzichten wollte die beiden Router kaskadisch hintereinander geschaltet. D.h. Erst kommt der Telefonanschluss, dann der Splitter, dann die Fritz Box Fon daran angeschlossen ist Telefon und der Netgear Router und an diesen sind dann insgesamt 3 Endgeräte (Xbox, Server und Workstation) angeschlossen. Die 3 Endgeräte haben jeweils eine statische IP Adresse im Adressraum 192.168.0.X sowie eine Subnetzmaske 255.255.255.0. Der Netgear Router hat auf LAN Seite (in Richtung der 3 Endverbraucher) die statische IP Adresse 192.168.0.1 auf WAN Seite (in Richtung der Fritz Box Fon) hat er allerdings die IP Adresse 192.168.178.2. Demnach hat die Fritz Box auf LAN Seite (in richtung des Netgear Routers) die IP 192.168.178.1 beide hängen im Subnetz 255.255.255.0. WAN technisch ist er logischerweise mit einer dynamischen IP ausgestattet. Beide sind mit einer Firewall ausgestattet und beherrschen NAT. Leider lässt sich auf beiden Routern nicht sonderlich viel an der Firewall schrauben (am Netgear zwar deutlich mehr als an der Fritz Box, aber das ist recht Wurst) Ich habe auf den beiden Routern ausschließlich die Ports für Skype und AIM freigegeben so das diese auf den entsprechenden Rechner durch geroutet werden. Ansonsten ist UPNP (Universal Plug an Play) deaktiviert und Respond on Ping via Internet ist auch abgeschaltet (ich weiß ich weiß Security by Obscurity : )

Nun meine eigentlich Frage, (bin da nicht ganz so firm drin, leider )

ein Freund und IT-Systemelektroniker (in Ausbildung) meinte mal (ich glaub in der CT stand mal was ähnliches) das ein solches Kaskadischen Schalten von 2 Routern nochmal eine deutlich erhöhte Sicherheit gegenüber Eindringlingen bietet, stimmt das? Ist es wirklich schwieriger in eine solche Konstellation einzubrechen oder ist das Humbug? Außerdem würde mich mal Interessieren in wie fern diese Hardware Firewalls auf den Routern etwas taugen. Reicht es wenn ich eine solche habe auf dem PC Softwareseitig nur einen Virenscanner laufen zu haben und ein wenig im INet aufzupassen? (also mal abgesehen davon das das System bei mir eh immer gepatched ist und ich meine Sicherheitseinstellungen entsprechen angepasst habe und auch alternative Browser verwende) oder sollte ich TROTZ all dieser Vorsichtsmaßnahmen eine Software Firewall installieren?

Deine Konstellation schütz dich vor Zugriffen von aussen sehr gut (hat dein Netgear nicht auch schon SPI wie mein 624?) sie blockt nur wenig von innen nach aussen.
Eine zusätzliche Aplikationsfirewall schütz dich zwar nicht besonders aber sie schafft dir einen gewissen Überblick was da so alles in Internet will.

Hi Al,

ja auch der WGR614 hat SPI. Gut zu wissen das ich wenigstens von außen recht gut geschützt bin. Das lässt mich doch etwas durchatmen und erklärt warum ich seit Jahren keinen Virus/Wurm oder ähnliches mehr hatte. Die Frage bezüglich der Firewallaplikation ist halt nun so eine Sache. Behindert sie mehr als sie mir bringt?! Da mich eher der Schutz von außen nach innen Interessiert. Ich versuche schließlich erstmal nichts rein kommen zu lassen, dann muss ich mir im Normalfall auch keine Sorgen darüber machen das was raus geht was böse ist. Denn die Sache ist doch die, eine Applikationsfirewall bremst das System und nervt (bis sie richtig angelernt ist TIERISCH). Die Frage ist einfach ob ich mir das ersparen kann oder ob das ein so großes Risiko aufwirft das alles andere nutzlos ist. Das ist der Springende Punkt. Kann mir noch jemand sagen was ich eventuell mit nicht all zu großem Geldbeutel (bis max. 100?) noch (am besten Hardwareseitig) verbessern kann? Einfach um das System noch dichter zu kriegen. Diese Möglichkeit sollte aber halt für das gesamte Netzwerk (also auch unterschiedliche OS Versionen) nutzbar sein.

P.S. Was ich vergass eventuell kommt irgendwann noch die WLAN Funktion des Netgear Routers aktiv hinzu. Aber zum Glück kann die neue Firmware ja schon WPA.

Du musst keine FW installieren wenn du nicht möchtest. Den einzigsten Vorteil hab ich dir ja dargelegt.
Wenn du dein system im Griff hast und im Internet mit dem Kopf schneller als mit der Maus bist dann wirst du auch weiterhin von den virtuellen Plagegeistern verschont bleiben wie du es ja laut deiner Aussagen schon gewohnt bist.

Eine bessere Hardwarefirewall in der Preisklasse wirst du nicht bekommen.
Sie würde dir ohnehin nur nutzen bringen wenn du damit zb. ein Firmennetzwerk absichern willst.
Im Heimbereich sollte man die Kirche im Dorf lassen.

P.S. Was ich vergass eventuell kommt irgendwann noch die WLAN Funktion des Netgear Routers aktiv hinzu. Aber zum Glück kann die neue Firmware ja schon WPA.

Zum Vergrößern anklicken....

WPA ist da schon ein großer vorteil. Wenn du jetzt noch die MAC Adressen der Karten fest einträgst und keine anderen zulässt und dann noch den Router sagt das er die SSID nicht in alle Welt senden (SSID Broadcast deaktivieren) soll ist dort auch alles bestens eingestellt.

Auch das Passwort aus dem der Schlüssel generiert wird sollte nicht zu primitiv ausfallen. Immerhin sind bei WPA ja bis zu 63 Zeichen möglich.

Was das WLAN angeht so hätte ich es genau so gemacht wie von dir beschrieben. Aber ich da ich ja auch noch einen Server für den Heimgebrauch mit Linux aufziehen will (der dann z.B. meine Testumgebung für Web Angelegenheiten Managet und auch als File Ablage dient) dachte ich vieleicht sogar daran ihn als Radius Server zu verwenden (wobei ich da erstmal schauen ist was man machen muss und ob sich das mit meiner Hardware überhaupt machen lässt. Ich danke dir für deine Tatkräftige und Fachliche Unterstützung!