Fritz 7170: Interne Firewall sicher genug?

go4java

Mitglied
Mitglied seit
24 Jun 2005
Beiträge
257
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen,

um es vorweg zu nehmen, ich habe die Fritz-Boxen seit Jahren und immer gute Erfahrungen gemacht - auch mit der internen Firewall: http://www.avm.de/de/News/artikel/newsletter/fbox_firewall.html

Nun hatte ich heute eine Diskussion mit einem Nachbarn, der Netzwerk- und Win-Admin ist: Er meinte, die Fritz-FW reiche nicht aus, da alles, was nach draußen geht, ungefiltert wäre und eingehende "Requests" nicht gelogged würden etc.

Ich habe prinzipiell alle sonstigen Firewalls (auf den Clients) deaktiviert und fahre damit sorgenfrei (noch), schon viele Jahre.

Was spricht also nochmals für eine zusätzliche Mauer und welche wäre zu empfehlen (er sprach von einer mit dem Anfangsbuchstaben A..., Freeware f. Privatuser)???

Vielen Dank & Gruß
 
Moin,

ohne die Kenntnisse Deines Admin Nachbars in Frage stellen zu wollen, möchte ich mal behaupten er verwechselt da irgendwie ein ans Internet angebundenes Firmennetzwerk mit Deinem privaten.
Die Fritzbox lässt keinen Verbindungsaufbau von aussen zu, ausser über die Ports, die Du explizit freigibst bzw. ins LAN weiterleitest. Möchtest Du wirklich ein Log aller von irgendwelchen Skriptkiddies initiierten Portscans und kannst Du damit was anfangen? Kannst ja mal den Nachbarn fragen, ob er die logs für Dich auswerten möchte.

Bei Firmen ist es üblich auch abgehende Verbindungen zu filtern, um z.B. den Mitarbeitern nur Zugriffe auf bestimmte Webserver zu erlauben und alles Andere nicht durchzulassen. Möchtest Du darauf verzichten auf alle Dienste im Internet von Deinem privaten PC zugreifen zu können?
Die Fritzbox filtert von sich aus abgehend alle Windows Netzwerk Pakete,
mir persönlich reicht das.

Meistens kommt dann von den Experten das Totschlagargument mit den bösen Trojanern und Bots, die von sich aus nach Hause telefonieren wollen. Um das zu unterbinden, müsste man aber alle abgehenden Verbindungen sperren. Hier ist es wohl angeraten einen vernünftigen Virenscanner zu benutzen, das Betriebssystem schön aktuell zu halten, einen vernünftigen Browser zu benutzen und nicht auf alles zu klicken, was per mail eingeflogen kommt oder für umsonst kommt.

Zu Personal Firewalls gibt es mittlerweile eine einhellige Meinung. Ausreichend ist die in Windows integrierte, die ist zwar im eigenen Netzt nicht unbedingt notwendig, schadet aber auch nichts. Das Vorhaben mit irgendwelchen anderen Produkten aus gelben oder roten Schachteln den Internetverkehr auch abgehend kontrollieren zu wollen klappt nicht. Entweder klickt der Anwender nach jeder Frage nach "böses Programm möchte ins Internet" sowieso nur noch ja, weil sonst nichts mehr geht oder das böse Programm ist schlau genug das "Schutzprogramm" zu umgehen.

Gruss
GT40
 
Zuletzt bearbeitet:
Die Frage, ob etwas genug Sicherheit aufweist, erfordert zunächst mal eine Spezifikation des Zielzustandes an Sicherheit. Was also ist genau Deine persönliche Anforderung?

Man kann verschiedene Aspekte von Firewalls auf verschiedenen Ebenen betrachten:

- Port Filtering Firewall: eingehender Verkehr, der nicht zu erlaubten abgehenden Verbindungen gehört, wird blockiert. Durch explizite Portweiterleitungen kann dies gezielt für einzelne Ports/Dienste aufgehoben werden. Das macht Deine FBF.

- Protokollvalidierender Firewall: hier werden abgehende und eingehende Datenströme untersucht, ihre Protokolle festgestellt, und verifiziert, daß die Kommunikation auch wirklich das erwartete Protokoll beinhaltet. Es kann also beispielsweise auf einem Port 25 nicht HTTP betrieben werden, sondern nur SMTP. Dies macht eine FBF nicht, sondern nur recht teure, für den Privatgebrauch zu teure Firewalls/Gateways.

- Application-Level Firewall (Personal Firewall): das befindet sich auf Deinem Computer und erlaubt nur für bestimmte Applikationen bestimmte Kommunikation nach draußen. Während also ein Netzwerkfirewall (siehe vorige Kategorien) nur sagen kann, ob bestimmte Arten von Traffic durchzulassen sind, kann ein Personal Firewall dies auf Applikationen herunterbrechen. Ich erlaube beispielsweise Internet Explorer nichts und Firefox alles ;-) Personal Firewalls laufen auf den zu schützenden Systemen und können daher bei hinreichender Rafinesse auch umgangen werden. Das macht eine FBF nicht.

Als Personal Firewall ohne große Komplexität könnte ich http://www.comodogroup.com Comodo Internet Security empfehlen.

--gandalf.
 
Meistens kommt dann von den Experten das Totschlagargument mit den bösen Trojanern und Bots, die von sich aus nach Hause telefonieren wollen. Um das zu unterbinden, müsste man aber alle abgehenden Verbindungen sperren. Hier ist es wohl angeraten einen vernünftigen Virenscanner zu benutzen, das Betriebssystem schön aktuell zu halten, einen vernünftigen Browser zu benutzen und nicht auf alles zu klicken, was per mail eingeflogen kommt oder für umsonst kommt.

Vielen Dank GT40, so sehe ich das auch ;-)
Außer der Fritz-FW läuft bei mir nur noch avast! als Virenscanner und das war's. Dazu Win XP Prof SP3, bald Win7 und Firefox. Mehr ist meiner Meinung nach in einem privaten Netzwerk nicht nötig.
Gruß
 
Hallo,

Die Frage ist pauschal nicht zu beantworten. Man müsste erst mal wissen, wofür die Firewall sicher genug sein soll.

Die ungefilterten Zugriffe nach außen werden ja nur dann zum Problem, wenn ungewollte Zugriffe erfolgen. Also muss man definieren, was ungewollt ist. Sollen spezifische Dienste nicht möglich sein? Sollen spezifische Programme nichts ins Netz kommen? Wenn man all das analysiert hat, kann man entscheiden, ob die Firewall der Box reicht.

Für mich reicht sie. Von außen attackierende Trojaner blockt sie. Ich will keine Dienste blocken oder Programme a priori aussperren. Das erzeugt für mich persönlich nur Overhead. Ich habe einen Virenscanner, der mir (hoffentlich) per Mail oder Download eindringende Bots meldet (die eine zusätzliche Firewall mir aber auch erst meldet, wenn die Dinger aktiv werden). Ich habe permanent ein Widget laufen, dass mir ein- und ausgehenden Netzwerk-Traffic anzeigt, so dass ich sofort sehen kann, wenn unerwartet Daten übertragen werden. Dazu eine gesunde Zurückhaltung, wenn ich auf bunten, blinkenden, oder unbekannten Seiten herumklicke. Damit bin ich bislang immer am besten gefahren.
 
...vielen Dank zusammen, dann herrscht allg. Konsens darüber, dass zwischen PRIVAT und BUSINESS unterschieden werden sollte.
Ich hatte (natürlich) privat angefragt :)
Fritz Firewall und gutes AV-Programm und nicht auf alles draufklicken, was "Freunde" so senden... Das sollte es gewesen sein. Gruß
 
Nun hatte ich heute eine Diskussion mit einem Nachbarn, der Netzwerk- und Win-Admin ist: Er meinte, die Fritz-FW reiche nicht aus, da alles, was nach draußen geht,...

"alles was nach draußen geht"

Steck ihn in die Tonne oder schick ihn in die Schule wo er wirklich was lernt!

.,
 
Steck ihn in die Tonne...

Nützt nichts, gibt zu viele davon.

oder schick ihn in die Schule wo er wirklich was lernt!

Bringt auch nichts, dann kommen noch mehr verworrene Expertentipps.

Das ist bestimmt so Einer, der stundenlang Filterregeln für seine private Cisco Firewall backt und seine Freizeit mit log lesen verbringt. Ansonsten ist er noch dabei mit Wireless Sniffern Lücken in Nachbars WLAN aufzutun, um bei der nächsten Gartenparty einen Wichtigen zu machen.

SCNR
GT40
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.