Fritzbox 7390 wo ist da eine Firewall, Absicherung, Features ?

Tom01

Neuer User
Mitglied seit
19 Jul 2010
Beiträge
131
Punkte für Reaktionen
2
Punkte
18
Hallo Leute,

ersteinmal ein freundliches Hallo in die Runde. Ich bin noch neu hier und habe keine Erfahrungen mit einer Fritzbox. Daher bitte ich um Nachsehn für meine warscheinlich seltsamen Fragen.

Nachdem ich nicht heraus bekommen habe wie man eine W900V fritzt habe ich in den sauren Apfel gebissen und mir eine 9370 geholt.

Sie läuft und ich kann kit dieser über ADSL surfen.

Als erstes habe ich gleich das Kennwort der FB des Auslieferungszustandes geändert.

Irgendwie kann ich bei der 7390 kann ich jedoch bis auf die konfigurierbare Weiterleitung externer Ports auf interne Ports nichts finden was etwas mit einer FW Funktionalität zu tun zu haben scheint.

Auch wenn es dem einen oder anderen übertrieben zu sein scheint. Ich bin es gewohnt auch ausgangsseitig meinen Datenverkehr etwas zu filtern. Als ersten Schritt verbiete ich dort gewöhnlich alle Ports und lasse dort nur die 10 oder 15 Ports die mann so gewöhnlich benötigt. Die restlichen der 63000 oder 64000 Ports bleiben bei der HardwareFW (als die die FB laufen soll) zu.

Das die FB eine SPI enthalten soll ist mir bekannt. Das soetwas bei TCP im Normalfall gut funktioniert jedoch bei UDP eher nicht wirklich ist mir auch bekannt.

Ich kann mir nicht vorstellen das es da nichts geben sollte wo man einstellen kann welche Ports nach draußen durchgelassen werden. Ist zumindest dei den Hardware FW`s die ich bisher in der Hand hatt möglich gewesen.

Soweit ich das über die Forumssuche gesehen habe scheint das was ich für normal halte nicht in der FB vorgesehen zu sein.

Allerdings habe ich da auch was von SPI gelesen und von erweitereten Einstellunggen der FB. Doch wie kommt man an die erweiterten Einstellugen der FB ran ?

Warscheinlich stelle ich mich zu blöd an. Ich finde ja auch den LCR in der FB 9370 nicht... Auch habe ich keine Stelle gefunden an der man einen Benutzernamen für den Admin der Fritzbox ändern könnte...

Beste Grüße
Tom01
 
Zuletzt bearbeitet:
Du meinst vermutlich die AVM 7390, oder ? eine 9370 gibts nicht.
Die Firewall wurde bisher bei den Fritzboxen durch Freetz aktiviert. Freetz wird auch bereits für die 7390 portiert. Wie der aktuelle Stand ist, das erfährst du hier im Unterforum zu Freetz. http://www.ip-phone-forum.de/showthread.php?t=214388
 
Fritz!Box Firewall(s)

Hallo,

Also AVM wirbt mit sicheren Boxen und Firewall mit SPI, die ist aber eigentlich nur für AVM gedacht, und nicht wirklich vom Benutzer zu konfigurieren.

Ursprünglich konnten die Fritzboxen ja nur ipv4 und die Box hat per NAT alle ausgehenden Verbindungen erlaubt (bis auf NetBIOS über TCP), durch das NAT Protokoll wird so was wie Connetion Tracking realisiert und damit über die Mapping Tabelle die Rückantworten an die jeweiligen Rechner weitergeleitet. Die statischen Portweiterleitungen, die man einstellen kann, öfnen dauerhaft die Verbindungen von aussen für bestimmte ip Adressen

Nun ist aber ipv6 in Anmarsch, Tredo & Co tunneln das über ipv4 und die Firewall wird im Prinzip komplett ausgehebelt. Die neuere Firmware der Boxen unterstützt SIXXS als Tunnelprotokoll und auch natives ipv6, was die Sache noch verkompliziert.

Da nicht mehr genattet wird, bzw Tunnel durch die Firewall durch die Rechner im LAN gebohrt werden, ist die Firewall Funktion der Box eher als nicht vorhanden einzustufen, zumal es kein UI gibt, um sie nach Bedarf einzustellen oder gar den Verkehr zu monitoren.

Abhilfe schafft eine Firmwaremodifikation mit Freetz, mit der man sowohl das AVM Regelwerk ändern kann, als auch eine zusätzliche netfilter/iptables Firewall einbinden kann. mit der LÄSST SICH jedeR ip Verkehr (ipv4 / ipv6) gezielt auf OS Ebene filtern.

Die freetz firmware für die 7390 ist noch nicht ganz fertig, da wohl die Kernel Sourcen von AVM noch nicht ganz zur ausgelieferten Firmware passen, so dass man den Linux Kernel noch nicht ersetzen kann, was bei manchen Modulen / Erweiterungen noch Probleme machen kann. Aber es geht wohl voran. Details findest Du im freetz Forum.

Ach ja, und der Vollständigkeit halber: TR069 ist ja standardmäßig auch noch an, womit sich die Box von Außen "Fernwarten" lässt, einfach mal danach googeln....
 
Avm Fm 7390

Stimmt, ich habe natürlich eine FB 7390 und keine FB 9370.

Da ich nicht gerne mit mir unbekannter und noch unkonfigurierter Hardware ins Internet gehe habe ich bisher noch einen Netgear Router hinter der FB. In dem filtere ich eingangsseitig als auch ausgangsseitig die 10 bis 15 Ports dier ich so im Normalfall verwende.

Die Fernwartung der FB 7390 werde ich so schnell wie möglich abschalten.
Im Moment suche ich noch die Stelle wo man das macht. Die Stelle die ich ergoogelt habe schein sich bei mir anders zu nennen.

AVM schreibt:
"Fernwartung einrichten

1. Rufen Sie an einem Computer, der mit der FRITZ!Box verbunden ist, die Benutzeroberfläche der FRITZ!Box auf. Geben Sie dazu im Internetbrowser (z.B. Internet Explorer) die Adresse http://fritz.box ein.
2. Klicken Sie auf "Einstellungen" und "Erweiterte Einstellungen".
3. Wählen Sie im Menü "Internet" den Punkt "Freigaben" und wechseln Sie auf die Registerkarte "Fernwartung"."
...
...
...

Das mit der FB auf CD mitgelieferte Handbuch scheint keine Fernwartungsmöglichkeit der FB zu beschreiben. Muss ich also noch suchen. Die Alternative wäre, dass die 7390 dieses "Feature/Sicherheitsrisiko" nicht mehr anbietet.

Hmm, ich dachte immer in den FB`s ist standardmäßig eine gut konfigurierbare FW drin. Auch ein Monitoring wäre nicht schlecht...
Ich muss mir das mal genauer ansehen. Mal sehen was da mit freez möglich ist. Auf jeden Fall kann ich nicht so ganz nakt ins Internet rein gehen.

Wäre schon schön wenn man die FW der aufbohren/administrierbar machen könnte. Ich mein ja nur, wegen der Stromaufnahme.

Zwischen FB und Lan wollte ich ohnehin dauerhaft noch eine andere FW laufen lassen. Jedoch um den Bereich dazwischen als DMZ zu nutzen. Dazu müsste jedoch die FW der FB mich noch etwas überzeugen das ich mich traue hinter diese Server in die DMZ zu hängen.

Das die FB kein echtes DMZ anbietet ist mir bekannt. Daher ja der zweite Router/FW hinter der FB.

Gruß
Tom01
 
Zuletzt bearbeitet:
Titel soeben in 7390 geänderet.

THX

Beitrag 2:
Für den Fall, das man der 7390 keine richtige FW Funktionalität beibringen können sollte muss ich mal über die Struktur des angestrebten Netzes nachdenken.

von außen nach innen
Wolke
7390 Modem
7390 WLAN
Router mit FW (erste Hälfte eines Alixboards mit Monowall oder ähnlich)
DMZ mit irgendwelchen Servern und der 7390 Telefonanlage
Router mit WF (zweite Hälfte eines Alixboards mit Monowall oder ähnlich)
LAN

Wie es aussieht würde das bedeuten das man das einigermaßen sinnvoll absichewrn will doch mehrere Geräte und kein Multifunktionsgerät braucht.

Kennt jemand ein Schema aus dem hervorgeht wie die Funktionen die die 7390 anbietet logisch angeordnet sinnd ? Also soetwas wie: Befindet sich die Telefonanlage hinter der FB eigenen FW. Wo sitzt das WLAN in gder FB ? Vor oder hinter der rudimentären FW ? usw.


Gruß
Tom01
 
Zuletzt bearbeitet von einem Moderator:
7390 Modem
7390 WLAN
Router mit FW (erste Hälfte eines Alixboards mit Monowall oder ähnlich)
DMZ mit irgendwelchen Servern und der 7390 Telefonanlage
Das wird so nicht gehen, weil sich diese Teile der Fritzbox nicht auseinanderdividieren lassen.

Möglichweise ist iptables in Zusammenhang mit der Firmware-Mod freetz eine Möglichkeit?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.