Question 1

Was ist eine Firewall Deny-by-Default Baseline?

Accepted Answer

Deny-by-Default bedeutet: alle Verbindungen sind blockiert, außer explizit erlaubte. Grundregel: öffentlich nur HTTPS (Port 443, 80-Redirect). Admin-Ports (SSH 22, DB-Ports) nur über VPN oder Private Subnet. Keine 0.0.0.0/0 Regeln außer für HTTP/HTTPS. Fail2ban oder WAF gegen Brute-Force.

Question 2

Welche Ports sollten für Self-Hosted Services offen sein?

Accepted Answer

Öffentlich erlaubt: Port 80 (HTTP, Redirect auf 443), Port 443 (HTTPS). Alles andere über VPN: Port 22 (SSH), Port 5432 (PostgreSQL), Port 6379 (Redis), Port 9090 (Prometheus), Port 3000 (Grafana). Faustregel: Wenn ein Dienst kein öffentliches Interface braucht, soll er auch keins haben.

Question 3

Was ist Allowlisting und warum ist es besser als Blocklisting?

Accepted Answer

Allowlisting (Whitelist) erlaubt nur bekannte, explizit freigegebene IPs/Ranges. Blocklisting (Blacklist) blockiert bekannte schlechte Akteure — neue werden nicht blockiert. Allowlisting ist sicherer für Admin-Interfaces: nur deine Office-IPs und VPN-Endpoints dürfen SSH/Admin-Panels erreichen. Nachteil: höherer Verwaltungsaufwand.

Question 4

Wie teste ich meine Firewall-Konfiguration?

Accepted Answer

Firewall-Test: nmap -sV -p 1-65535 <deine-IP> zeigt alle offenen Ports. Shodan.io prüft was öffentlich sichtbar ist. ClawGuru Security Check analysiert HTTP-Security-Headers und Exposition. Regelmäßiger Test nach jedem Infrastruktur-Änderungen. Ziel: nur 80 und 443 sichtbar von extern.

Firewall Baseline (deny-by-default)

Baseline

Anti-Pattern