Aber es gibt tatsächlich Netzwerke in denen mehr als ein Computer vorhanden ist. Ob dieser nun dort sein soll oder darf ist relativ unerheblich wenn er es ist.
Nochmals es ging um private Rechner oder Computer die nur von einer Person genutzt werden, wer mit Spielzeug Firewalls ala Littlesnitch seine Firmenrecher "absichern" will, dem ist nicht mehr zu helfen.
In einer Firma braucht es ein vernünftiges Konzept und vorallem ein entsprechendes Rechtemanagment. Und das geht über das von Dir Vorgeschlagene weit hinaus. Wenn ein Nutzer weitreichende Rechte in einem Netzwerk hat, dann hat er auch die Möglichkeit groben Unfug anzustellen. Man kann dies ausschließlich via Social Engineering verhindern. Personen, denen man mißtraut, darf man gar nicht diese Rechte einräumen.
Ob sich da jemand in poehser Absicht durch die Schutzmechanismen Deines WLANs hackt
Ich habe kein WLAN! Kabel tun es auch und man erspart sich unnötiges Konfigurieren, eine sehr gefährliche Fehlerquelle weniger. An einem VPN für den Mist habe ich keinerlei Interesse, das übersteigt den Nutzen dieser dümmlichen WLAN Geschichte bei weiten. Wie gesagt ist gibt die 100% sichere Alternative und die heißt Kabel. Garantiert einbruchssicher, da ich den physikalischen Zugriff darauf kontrolliere.
Für eine Firma gelten andere Regeln, aber das muß man sowieso mit einem richtigen Konzept ran.
oder ob einfach nur der verseuchte Laptop eines Freundes bei Dir mit einem Kabel am Switch hängt ist unerheblich.
man Social Engineering
Das geht schneller als man glaubt. Dann hast Du noch den Firewall Deines Rechners der Dich davor schützen kann.
Wenn keine Ports offen sind braucht man keine Firewall.
Ich weiß was auf meinen Computer für Dienste laufen. Das einzige was vom LAN aus erreichbar ist, ist mein PostgreSQL Server, und das nur von von einer bestimmten IP, die im Netz schon in Benutzung ist, und auf eine spezielle Datenbank, mit Passwort und Accountname abgesichert.
Ich lese die Sicherheitsnews meist täglich.
Auch eine Firewall kann Bugs enthalten, unter dieser Vorgabe ist es einfach Blödsinn eine Firewall zu aktivieren, wenn es nicht zu schützen gibt. Bei mir ist lediglich ein Port offen und sonst nichts. Bevor ich auf obskure Kernelmodule vertraue (LittleSnitch), lese ich lieber die Sicherheitshinweise zu PostgreSQL, das brauche ich eh. Der potentielle Schaden von Kernelmodulen ist sehr viel größer als der von normalen Programmen.
Aber egal wie man es argumentiert mußt Du in jedem Fall zugeben, daß es aufwändiger sein wird zwei oder mehrere Firewalls zu umgehen als nur einen oder garkeinen.
Nein, das ist nicht unbedingt der Fall. Ein Packetfilter ist relativ leicht zu umgehen, wenn man den Packetfilter des Routers umgeht, hat man meist gleichzeitig den Packetfilter eines Computer ausgehebelt. In der Regel wird erst gar nicht versucht einen Bug in der Firewall zu finden, sondern man hebelt die Firewall via Trojaner aus. Das geht sehr leicht, da es sich ja nicht um eine ALG handelt. Auch LittleSnitch hilft in so einem Fall nicht wirklich, man muß nur wissen, was man tun muß, um den "richtigen" Trojaner zu schreiben.
Der Trojaner dient dann als eine Art von Server mit dem man kommunizieren kann.
Außerdem bewahre, daß einer Deiner Mitarbeiter vorsätzlich etwas böses tun will, weil sein letzter Urlaubsantrag nicht gewährt wurde oder weil jemand ihm in der Kantine das letzte Tiramisu vor der Nase weggeschnappt hat.
Gruß Pepi
Wenn man den Mitarbeitern so stark mißtraut (und das "normale" Sicherheitskonzept nicht mehr ausreicht) sollte man sich mit dem Trusted Solaris, SE Linux u.ä. auseinandersetzen. Wenn man bei diesen OS das Auditing aktiviert, wird es extrem schwierig noch irgend einen Unfug anzustellen. Und das Mehraugenprinzip ist dann selbstverständlich. Die Logs werden dann riesig groß, aber damit muß man wohl leben.