Re: Fritz!Box Firewall

---

• From: Mark Riemann <news.Riemann@xxxxxx>
• Date: Thu, 02 Mar 2006 10:18:02 +0100

---

Pit schrieb:

nein, Jürgen hat es schon richtig verstanden - alle Verbindungen vom
LAN ins "böse" Inet sollten erst einmal verboten werden. Ich möchte
eine Minimalkontrolle in der Form, als dass ich mir überlege, welche
Dienste ich von innen nach aussen anfordern darf und diese -
sozusagen in Form eines Minikommunikationsprofils - ganz bewusst frei
schalte.

Also ich habe ein Problem mit dem Wort Dienste in diesem Zusammenhang.
Wenn ich an einem Rechner sitze, der am LAN hängt und eine HTTP Anfrage
stelle (ich mache meinen FireFox auf und tippe die URI
http://www.heise.de/ ein), dann ist das für mich *kein Anbieten* eines
Dienstes. Ein Anbieten eines Dienstes ist für mich, wenn ich auf genau
diesem Rechner einen FTP-Deamon (Server) bspw. aufsetze, der von außen
erreichbar sein soll, um von außen Daten entweder herunterzuladen oder
hochzuladen.
Ersteres ist in jeder Fritz!Box gestattet, warum auch nicht? Wenn Du das
auch nicht haben willst, manipuliere entsprechend Deine HOST Datei. Hier
vertrete ich den gleichen Standpunkt, wie auch Juergen. Aber das ist für
mich eben kein Anbieten von Diensten.
Und Zweiteres kann der User zwar machen (also er kann einen solchen
Server aufsetzen). Dieser ist aber eben defaultmäßig *nicht* von außen
über die Fritz!Box erreichbar. Das muss der Admin des Users erst einstellen.

So habe ich später die Möglichkeit (falls es ein halbweg brauchbares
Logging auf der FW gibt) herauszufinden, ob ein "ungewolltes"
Programm versucht eine Verbindung von innen nach aussen aufzubauen.

Ach darauf willst Du hinaus. Jetzt verstehe ich. Du möchtest also
irgendwie eine Art PFW? Du willst nachHause-Telefonierer aufspüren? Dann
befasse Dich bitte mal hiermit [1]. Ich weiß aber nicht, ob das mit der SL Version geht.

Es gibt Router, wo man es einstellen kann, aber defaultmäßig ist das bei den deaktiviert, weil es i.A. keinen Sinn macht.

Du solltest dingens.org ausführen. Dann werden zumindest Betriebssystem
seitig keine unnötigen Dienste mehr angeboten.

Wenn dieses Programm dann Ports benutzt, die nicht explizit frei
geschaltet sind, würde diese Verbindung geblockt. Dieses Vorgehen
dürfte dann auch die Installation einer PF auf den Arbeitsplätzen
ersparen, weil die Box diese Arbeit erledigt.

ACKN, dass machen die Fritz!Boxen nicht. Aber man könnte sie bestimmt
entsprechend manipulieren. AFAIK läuft auf allen Fritz!Boxen Linux. Und
auf Linux kann man iptables oder ipchains aufsetzen. Vielleicht
realisiert AVM in ihren Boxen das sogar so. Aber das weiß ich nicht. Mit
entsprechenden Regeln kann man dann bspw. erreichen, dass auch alle
ausgehenden Verbindungen erts einmal verboten sind.

Das waere mit filtern von incoming Traffic zu erschlagen. Er
erwaehnte aber auch explizit das filtern von outgoing Traffic, und
das fuehrt dann dazu, dass man die regelsaetze immer wieder
aktualisieren muss und im Endeffekt doch viel mehr zulaesst als
urspruenglich geplant war ...

Richtig, weil man ja i.A. davon ausgeht (also ich tue das), dass man an
einem PC eben u.a. auch im WWW surfen will, was mit Deinen Vorschlägen
nicht zusammenpasst und quasi unmöglich wäre.

Sicherheit ist ein Prozess und keine einmalige Angelegenheit.
Natürlich "lebt" ein Kommunikationsprofil und muss entsprechend den
Anforderungen angepasst werden. Es ist meiner bescheidenen Meinung
nach aber besser, nur die Dinge frei zu schalten, die wirklich
gebraucht werden, als standardmässig alles zu erlauben.

ACKN, allerdings zu aufwändig in der Realisierung. Denn jede Webseite
in eine White-List einzutragen wird auf Dauer nervig.


MfG
Mark


[1]
http://www.wehavemorefun.de/fritzbox/Versteckte_Features#Mitschneiden_der_IP-Pakete


--
O.g. Mailadresse existiert zwar, wird aber nicht gelesen. Um mir eine
Mail zu schreiben, ersetze bitte das "news" durch "Mark". Vielen Dank.
.

---

• Follow-Ups:
  • Re: Fritz!Box Firewall
    • From: Pit

• References:
  • Fritz!Box Firewall
    • From: Pit
  • Re: Fritz!Box Firewall
    • From: Juergen Ilse
  • Re: Fritz!Box Firewall
    • From: Mark Riemann
  • Re: Fritz!Box Firewall
    • From: Juergen Ilse
  • Re: Fritz!Box Firewall
    • From: Pit

• Prev by Date: Re: Fritz!Box Firewall
• Next by Date: Re: Windows Domäne in zwei Segmente trennen
• Previous by thread: Re: Fritz!Box Firewall
• Next by thread: Re: Fritz!Box Firewall
• Index(es):
  • Date
  • Thread

---

Relevant Pages Re: [OT] VPN-Technologie ... das Hamachi und Tunngle auch mit SSH anstelle von VPN ... aber man greift auch *nur* auf den Rechner zu. ... Hamachi und Co. (und alle anderen VPN ... bekommt den Schlüssel mit und kann daher die gesamte Verbindung trivial ... (de.rec.spiele.computer.action) Re: [OT] VPN-Technologie ... das Hamachi und Tunngle auch mit SSH anstelle von VPN ... aber man greift auch *nur* auf den Rechner zu. ... bekommt den Schlüssel mit und kann daher die gesamte Verbindung trivial ... (de.rec.spiele.computer.action) [XP Home SP2] Gedenkpause kurz nach Einwahl ins Internet ... Es geht um den Rechner eines Freundes. ... und anschließend zum Einspielen aller Updates war der Rechner per LAN ... Verbindung mit dem Internet, per Einwahl-Verbindung. ... (microsoft.public.de.german.windowsxp.networking) Re: Rechner "schiesst" Router ab? ... Server, dann Windows Workstations, dann Windows 9X). ... die Verbindung zum Switch (der ja durchaus hinter dem WLAN-Accesspoint ... Masterbrowser plötzlich weg und es wird eine neue Auswahl erzwungen. ... > Rechner befinden sich in derselben Arbeitsgruppe. ... (microsoft.public.de.german.windowsxp.networking) DNS-Auflösung defekt ... seit einigen Tagen habe ich auf einem Rechner mit XP-pro SP2 folgendes ... Netzwerk über Netbios funktionieren einwandfrei. ... Die Verbindung konnte nicht repariert werden. ... DNS registriert werden" ... (microsoft.public.de.german.windowsxp.networking)

---

• Security
• UNIX
• Linux
• Coding
• Usenet

• Archive
• About
• Privacy
• Search
• Imprint

newsgroups.derkeiler.com  > Archive  > De  > de.comp.security.firewall  > 2006-03