.titleBar { margin-bottom: 5px!important; }

Firewall funktion

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von int25, 8 Okt. 2006.

  1. int25

    int25 Neuer User

    Registriert seit:
    26 Apr. 2005
    Beiträge:
    36
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Moin, moin,

    was ist von der Firewall-Funktion der FBF zu halten (in meinem Fall FBF 7170) ?

    Welche Möglichkeit hat ein Hacker, Rechner, die dahinterliegen, zu erreichen?

    Gruss - int25
     
  2. herges

    herges Aktives Mitglied

    Registriert seit:
    16 Aug. 2005
    Beiträge:
    939
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Student
    Hauptpunkt der Firewall ist die Technik, die dafür sorgt das an einer Internetadresse mehrere Rechner ins Internet können.

    D.h. der Hacker müsste wissen wie dein Rechner dadurch zu erreichen ist.
    Wenn du aber Portfreigaben verwendest oder upnp aktiviert hast,
    dann hast du da schon eine Lücke drin.

    Gefährlich ist dann noch,
    das du bereits einen Trojaner auf dem Rechner haben könntest.
    Solche lassen sich aber mit kaum einer Firewall blocken.

    Mir z.B. ist diese Firewall sicher genug.
     
  3. caspritz78

    caspritz78 Mitglied

    Registriert seit:
    27 Mai 2006
    Beiträge:
    491
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Firewall der Fritzbox verhindert nur, dass unangemeldete eingehende Verbindungen durchgelassen werden. Sie kann aber keine ausgehenden Verbindungen blockieren. Also Trojaner, die es schon irgendwie auf deinen Rechner geschafft haben, können nach Hause telefonieren.

    Die Firewall der Fritzbox reicht für den Heimanwender vollkommen aus und bietet ausreichenden Schutz gegen Angriffe, die auf offene Ports angelegt sind, demn da sind alle bis auf manuell geöffnete per default dicht.

    Grüße
    Christoph
     
  4. jo2080

    jo2080 Mitglied

    Registriert seit:
    7 Jan. 2006
    Beiträge:
    321
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Wasserburg am Inn
    wenn du obiges gesagte berücksichtigst, kein upnp freigabe, sowie kein port geöffnet, und zudem noch das Fritz DSL Startcenter mit Fritz Protect aktivierst, müsste dein Rechner wasserdicht sein. Laut einem test in der Computerbild, war diese Kombination die einzige, die imTest 100% Schutz gab. Sowohl eingehend wie ausgehend, es sei denn, du gibst das falsche frei.

    Gruß Jo
     
  5. caspritz78

    caspritz78 Mitglied

    Registriert seit:
    27 Mai 2006
    Beiträge:
    491
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    100% Schutz gibt es nie :). Nur eine sehr sehr geringe Wahrscheinlichkeit, das etwas passiert.

    Grüße
    Christoph
     
  6. int25

    int25 Neuer User

    Registriert seit:
    26 Apr. 2005
    Beiträge:
    36
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also, wenn ich einen Standardfall nehme:
    ich rufe eine WebSite im Netz auf.
    Nun kennt dieser Server meine IP und kann zurück-connecten, oder auf seiner Page ein Javascript oder Java-Applet eingebaut haben.

    Bin ich dann immer noch auf der sicheren Seite?

    Mit welchem System arbeitet die Fritzbox eigentlich? mit iptables?
    komme ich ggf. irgendwo an die Regeln heran?

    Gruss - int25
     
  7. gandalf94305

    gandalf94305 Guest

    Suche hier im Forum nach Firewall... diese Frage ist schon mehrfach diskutiert worden.

    Es werden verschiedene Mechanismen eingesetzt:

    - NAT-Router: lokale Systeme werden hinter einer öffentlichen IP-Adresse versteckt und erhalten dynamisch Zugang über diese nach draußen

    - Inbound Portfilter: Verbindungen (TCP) vom LAN ins Internet sind möglich, jedoch in die andere Richtung nicht. Hat ein Website Deine IP-Adresse, so kann er nicht einfach eine Rückverbindung aufbauen. Die FBF läßt das nicht zu.

    - Für UDP-Datenverkehr weiß die FBF, welche Antwortpakete zu welchen Anfragepaketen gehören. Andere Pakete werden abgewiesen.

    Natürlich machst Du Löcher in das Sicherheitskonzept durch alle Portöffnungen.

    Weiterhin hat die FBF selbst nach draußen natürlich bestimmte Ports für VoIP offen (z.B. 5060) und wäre auf diesen für Denial-of-Service angreifbar.

    Für den Privatgebrauch reicht das jedoch völlig aus und schützt die internen Systeme ausreichend.

    Schau hier im Forum auch mal nach ds-mod. Dort gibt es dann über Modifikationen noch andere Möglichkeiten, Portfilter etc. zu definieren.

    --gandalf.
     
  8. jo2080

    jo2080 Mitglied

    Registriert seit:
    7 Jan. 2006
    Beiträge:
    321
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Wasserburg am Inn
    Ist schon klar. Ein Rechner der am Internet hängt ist immer irgendwie angreifbar.
    Darum haben einige Kunden die ich kenne die sehr wichtigen Rechner offline, oder in 1.Instantz mit VM Ware (virtueller rechner) gesichert.
     
  9. gandalf94305

    gandalf94305 Guest

    Offline ist ein guter Schutz... VMWare hilft auch nicht viel, außer daß man die Rekonstruktion der Softwareumgebung schneller wieder auf einen definierten Zustand hinbekommt ;-) Bezüglich Lücken und Angreifbarkeit ist eine VMWare Instanz eigentlich genauso problematisch wie eine native Installation.

    --gandalf.
     
  10. int25

    int25 Neuer User

    Registriert seit:
    26 Apr. 2005
    Beiträge:
    36
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wie sieht die Sicherung der Fritzbox gegen IP-Spoofing aus?
    Ich habe darüber in der Doku noch nichts gelesen.
    Falls man sich auf diese Sicherung verlassen kann, dann ist das Risiko ja schon deutlich eingegrenzt.

    Und: lassen sich die Firewall-Regeln der FB irgendwie ermitteln?

    Gruss - int25
     
  11. caspritz78

    caspritz78 Mitglied

    Registriert seit:
    27 Mai 2006
    Beiträge:
    491
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo IP-spoffing ist nicht die trivialste Sache. Um erfolgreich IP spoofing durchzuführen bedarf es einigen Aufwand.

    Ich weiß nicht genau wie es bei der Fritzbox aussieht, aber ich glaube mal, dass die Fritzbox merkt wenn z.b. IP-Packete mit einer interne IP-Adresse am WAN-Anschluß ankommen und diese dann verwirft.

    Die Regeln müßten doch in IP-Tables stehen. Ich glaube an die kommt man aber nur via Telnet. Wie das genau geht bin ich aber überfragt.