Wie sicher ist die Fritzbox + andere Sicherheitsfragen

[carrera1988]

Hi,

mich würde mal interressiern wie sicher die FB algemein ist, taugt die Firewall, kann man sie leicht hacken. Postet einfach mal was ihr über die Sicherheit der FB denkt oder, noch besser, wisst.

Außerdem:
Ist es sicherer de Verbindung nach sagen wir mal 3 Minuten inaktivität trennen zu lassen als wenn man always online ist?
Reicht beim WLAN im Moment WPA (mit einem 63Zeichen langen Schlüssel der garantiert nicht im Wörterbch steht) + MAC-Filter?
Bringt es etwas (außer Probleme) die SSID zu verstecken?
Stellt VOIP ein Sicherheitsrisiko da?


PS: Hab die FB 7170, wäre schön, wenn sich die Statements und Antworten darauf beziehen könnten.

Danke, euer
Carrrera

 

[NetSupport]

Hi,

mich würde mal interressiern wie sicher die FB algemein ist, taugt die Firewall, kann man sie leicht hacken.

Die FW filtert eingehende Pakete und wirft diese in den virtuellen Mülleimer, sofern vorher von einem Rechner aus deinem Netzwerk keine Anforderung dahin ging. iptables ist die fw aus der Linux Welt und hat sich bewährt.

Ist es sicherer de Verbindung nach sagen wir mal 3 Minuten inaktivität trennen zu lassen als wenn man always online ist?

Noch sicherer ist es, die Verbindung erst gar nicht herzustellen
Wenn Du keine Funktionen zu laufen hast, die eine permanente Verbindung benötigen, würde ich einfach nach einem Timeout von 20 Min. auflegen lassen.
Das Problem an dieser Stelle dürfte aber nicht der Router an sich sein, sondern eher die Rechner dahinter. Wenn dort etwas vermurkst ist, spielt es keine Rolle, ob Du in der Zwischenzeit auflegst, weil das Kind kann eh schon in den Brunnen gefallen ist.

Reicht beim WLAN im Moment WPA (mit einem 63Zeichen langen Schlüssel der garantiert nicht im Wörterbch steht)

Ja

+ MAC-Filter?

sinnlos, sofern der Schlüssel tatsächlich bekannt geworden ist, hat man auch eine passende MAC gefunden, die im Router eingetragen ist.

Bringt es etwas (außer Probleme) die SSID zu verstecken?

Hast Du gerade selbst beantwortet.

Stellt VOIP ein Sicherheitsrisiko da?

VoIP ist an dieser Stelle zu allgemein. Wichtiger ist das Protokoll, das dafür verwendet wird.

PS: Hab die FB 7170, wäre schön, wenn sich die Statements und Antworten darauf beziehen könnten.

Läuft bei mir seit geraumer Zeit 24h am Tag ohne Probleme.

 

[carrera1988]

Vielen Dank für die Antworten, eins noch:

VoIP ist an dieser Stelle zu allgemein. Wichtiger ist das Protokoll, das dafür verwendet wird.

Kenn mich da leider nicht so ganz aus, ichnutzte Sipgate, hoffe das hilft bei der Beantwortung der Frage.

 

[radi7777]

Reicht beim WLAN im Moment WPA (mit einem 63Zeichen langen Schlüssel der garantiert nicht im Wörterbch steht) + MAC-Filter?

Ob es reicht, ist immer relativ, aber wenn Du schon die Möglichkeit hast, den maximal möglichen Schutz zu aktivieren, dann mach das doch.
Verschlechtern wirst Du die Sache mit Sicherheit nicht.

Ich habe zwar die 7050, aber sowohl WPA2, als auch den MAC-Filter aktiviert, weil die Box mir die Möglichkeit gibt.
Warum sollte ich denn nur WPA-Verschlüsselung wählen und den MAC-Filter ausschalten? Das wäre doch Schwachsinn.

Diese Variante kann man als Alternative wählen, wenn die Optimallösung nicht klappt. Dann könnte ich es verstehen.

Bringt es etwas (außer Probleme) die SSID zu verstecken?

Wieso Probleme?

Ich habe die SSID seit über 2 Jahren versteckt und noch nie Probleme gehabt.

Von daher stellt sich die Frage, woher Du Deine Erkenntnis hast, dass bei Dir Probleme auftauchen könnten.

Also:

wenn Du einen Tresor zu Hause hast, an dem mehrere Schlößer vorhanden sind, ist es doch am sichersten, alle Schlösser abzuschließen, oder?
Denn dann hat ein möglicher Dieb mehr Arbeit, den Tresor zu knacken.

Wenn natürlich ein Schloß defekt ist, ist es immer noch sicherer, den Rest zu verschließen, als die Tür des Tresors direkt aufstehen zu lassen.

Aber das ist :meinemei: .

Gruß radi

 

[wichard]

Ich habe die SSID seit über 2 Jahren versteckt

Hast Du an dem Tresor auch ein Schild hängen "Hier ist kein Tresor"?


Gruß,
Wichard

 

[radi7777]

Hast Du an dem Tresor auch ein Schild hängen "Hier ist kein Tresor"?

Baust Du aus Deinem Fahrzeug auch den Airbag aus, weil man sich im Unglücksfalle daran verletzen könnte?

Nimm's nicht persönlich, aber manchmal habe ich bei Deinem Argument so das Gefühl, dass dieses Argument in einer Vielzahl von denjenigen benutzt wird, bei denen irgendetwas nicht klappt.

Diejenigen beruhigen sich dann damit, dass WPA doch auch sicher ist, SSID-Verstecken eh nichts bringt und überhaupt sind alle doof, die einfach die ihnen angebotenen Möglichkeiten eines optimalen Schutzes in der Box anhaken.

Ich bleibe dabei: wenn ich die Möglichkeit habe, einen optimalen Schutz einzustellen, dann tue ich das.

Es geht ja auch um Selbstschutz/Haftbarkeit, wie das nachfolgende Beispiel stellvertretend zeigen soll:

http://www.heise.de/newsticker/meldung/77921

Gruß radi

 

[Outlaw]

Hast Du an dem Tresor auch ein Schild hängen "Hier ist kein Tresor"?


Gruß,
Wichard

Du hast also das Schild "Hier ist mein Tresor" hängen lassen ??

 

[astrolux]

@radi7777,
wenn Du mehrere Schlösser an Deinem Tresor hast, machst Du alle zu, klaro. Aber die SSID ist nun mal kein Schloß. Der Vergleich mit einem Airbag ist flüssiger als Wasser... und sowas

...dass dieses Argument in einer Vielzahl von denjenigen benutzt wird, bei denen irgendetwas nicht klappt.
Diejenigen beruhigen sich dann damit, dass WPA doch auch sicher ist, SSID-Verstecken eh nichts bringt und überhaupt sind alle doof, die einfach die ihnen angebotenen Möglichkeiten eines optimalen Schutzes in der Box anhaken.

ist in meinen Augen sogar gefährlich, wenn man es anderen als optimalen Schutz verkauft. Wenn Du noch nie Probleme mit versteckter SSID hattest, freu Dich. Dann wohnst Du in einer "WLan-beruhigten Gegend". "Stänkert" aber einer in der Nachbarschaft z.Bsp. mit Kismet rum und Deine SSID ist 'hidden', kannst Du Dich drauf verlassen, daß Dein(e) Client(s) regelmäßig (wenn auch nur kurz) die Verbindung verlieren. Provoziert durch Daten-Fakes von Kismet. Dieses Programm wartet dann auf die "Neuanmeldung" eines Clienten, um ganz bequem die SSID (muß ja bei Anmeldung übermittelt werden) mitlesen zu können. Dann schnell einen Thread: Hilfe (mit vielen "i" und "e") mein WLan spinnt. Soviel zu den (möglichen) Problemen und zum "optimalen Schutz" oder besser den Glaube daran.

 

[radi7777]

Ich schrieb im Beitrag #6:

Aber das ist :meinemei: .

Ich denke, damit ist doch alles gesagt!

Wer eher auf WEP-Verschlüsselung, ausgeschalteten MAC-Adress-Filter und sichtbare SSID steht und voller Überzeugung behauptet, er sei damit sicherer unterwegs, bitte schön!

Carrera1988 hat nach Meinungen gefragt und hat meine Meinung bekommen.

Nicht mehr und nicht weniger!

Es geht ja auch um Selbstschutz/Haftbarkeit, wie das nachfolgende Beispiel stellvertretend zeigen soll:

http://www.heise.de/newsticker/meldung/77921

 

[florianr]

Also ich habe hier mehrere WLAN eingerichtet, bei denen jeweils SSID versteckt ist und nie Probleme gehabt.

Wobei der Grund eher "Diskretion" ist als ein erwarteter Sicherheitszugewinn. Man muss den Nachbarn ja nicht unbedingt auf die Nase binden, dass man jetzt auch ein WLAN hat, das geht ja niemanden was an. (Das jeder etwas mehr Computer interessierte das WLAN trotzdem finden kann ist schon klar, aber um bei den unpassenden Vergleichen zu bleiben: Man häbgt doch auch kein Schild an die Haustür: "Ich habe jetzt auch einen Tresor". ..

Wem es Probleme bereitet, der soll es halt einschalten, ist doch jedem selbst überlassen.

 

[icle]

Wobei der Grund eher "Diskretion" ist als ein erwarteter Sicherheitszugewinn. Man muss den Nachbarn ja nicht unbedingt auf die Nase binden, dass man jetzt auch ein WLAN hat, das geht ja niemanden was an.

auf den punkt gebracht.

um eine ssid rauszubekommen braucht nix außer ein gängigen sniffer!

ist das gleiche, wenn jemand sein netbios name verstecken möchte, damit man ihn nicht mehr in der (window)netzwerkumgebung sieht.

ein broadcast ping raus und man hat ihn (icmp ist eh "nie" ausgeschaltet).

außerdem: wozu brauche ich den netznamen wenn ich die MACs sehe

mfg

 

[abraxas]

Daher bin ich schon lange dazu übergegangen den SSID-Namen anzeigen zu lassen und die Emailadresse rein zu packen, womit jeder der es empfängt und den es irgendwie stören könnte weiss, an wen er sich wenden muss und das halte ich auch für richtig. Wer nicht unbedingt seine "offizielle" GMX-Adresse mit Namen, oder so nutzen will, der legt halt eine neue "anonyme" Emailadresse an, Hauptsache gültig und erreichbar.

Genau so mach ichs auch. Ich halte nix von versteckten SSIDs. Probleme mit Nachbar WLANs lassen sich so eher mal abklären!

 

[carrera1988]

Danke für den vielen Input.

Habe meine SSID mal testweise versteckt, das WLAn wurde von meinem Treiber Utility trotzdem angezeigt und meine Wii kommt nichtmehr richtig ins I-Net. Also wieder eingeschaltet.

Eine Frage noch:
Ich hab einen USB Stick am USB-Port der Firtzbox.
Wie sicher ist dieser vor Zugriffen aus dem Netz?
(Einstellungen im Anhang, mir geht es nur um den Zugriff aus dem I-Net! Alle PCs im lokalen Netz dürfen ohne Einschränkung drauf zugreifen.)

 

[old_bill]

Stell bei deiner FB mal den WLAN Kanal auf Channel 1, das hat in zusammenhang mit der Wii schon wahre Wunder bewirkt.

Gruß,

 

[carrera1988]

[EDIT: Fullquote von old_bill gelöscht - steht doch direkt drüber... öh... --gandalf.]

Glaub ich kaum, mein WLAN rennt schon immer auf Kanal 1.