# Router- Firewall?!



## LukeP (18. Juni 2005)

Salut!

Schon seit geraumer Zeit nutze ich mitlerweile 'FritzBox SL WLAN' (DSL-Router) & habe mich schon bei der Installation gefragt,
wie es sich mit einer Firewall im Gerät verhält. Da ich keine entdecken konnte, hatte ich erstmal auf jedem Client gesondert eine eingerichtet.
Per Firmware (v09.03.29) koennen zwar Ports freigeschalten werden, aber ein simples Beispiel dafuer, dass der DSL-Router die Ports scheinbar
nicht auf der Netzwerkschicht sperrt, ist schon die Tatsache, dass Port 80 & 21 nicht freigegeben sind, aber Browser bzw FTP-Proggi scheint das nicht weiter zu stoeren.
Zudem habe ich versuchsweise meine oeffentliche IP im Browser aufgerufen & erst die Firewall reagierte.
Fritz hat nur freundlich durchgewunken. Mir geht da kein Licht auf.
Updates oder Tools scheints nicht zu geben oder habe ich tatsaechlich eine Einstellung uebersehen? Irgendwie muss das doch funktionieren ..
viele Gruesse


----------



## Dr Dau (18. Juni 2005)

Hallo!



> Über die Schaltfläche „Portfreigabe" gelangen Sie auf die gleichnamige Seite, auf der Sie Ports für eingehende Verbindungen freigeben können.
> 
> Portfreigabe
> 
> ...


Verwechsel nicht Internet mit Intranet.
Die Firewall regelt nur was vom Internet ins Intranet darf/soll.
Alles was im Intranet geschieht, juckt die Firewall nicht.
Dass die Firewall durch dich gesendete Anfragen "anscheinend" durchlässt, könnte daran liegen dass der Router evtl NAT-Loopback unterstützt.
Dass bedeutet der Router merkt "Mensch, das ist ja meine IP" und sendet die Anfrage erst garnicht nach draussen, sondern an einen im Intranet stehenden Rechner.
Daher sieht es nur so aus als wenn Du den Rechner über deine öffentliche IP ansprechen würdest.
Um sicher zu gehen ob die Firewall von aussen gestellte Anfrage auch blockt, solltest Du auch von aussen testen (z.b. durch einen Kumpel testen lassen).
Ports die Du freigegeben hast, lassen die Anfragen natürlich durch.

Gruss Dr Dau


----------



## McVader83 (20. Juni 2005)

Der Router an sich ist schon von Natur aus eine Firewall. Der blockt nix, sondern der lässt einfach nichts durch, ausser das was du von innen anfragst. Also die Firewalls auf den anderen Rechnern sind sinnlos, ausser du vertraust den Rechnern im internen Netz nicht.


----------



## LukeP (1. Juli 2005)

Danke fuer eure Antworten, wobei mir der Unterschied zwischen 'Der blockt nix' & 'der lässt einfach nichts durch' nicht einleuchtet, aber das tut wahrscheinlich auch nicht viel zur Sache. Aber es ist schonmal gut zuwissen, dass doch eine Firewall integriert wurde.
Bzgl. des 'NAT-Loopback' konnte ich im Z'hang mit der FritzBox nichts finden, so dass ich von ausgeh, das esd iese Funktion nicht unterstuetzt.
Unlogisch dabei finde ich dann bloss noch, dass ZoneAlarm auf den Clients meist ueber 50.000 Eindringversuche verhindert hat & sogar um die 40 dabei sind, die 'Warnungen ersten Ranges' entsprechen. Aber gut moeglich, dass ich den ein oder anderen Port im Router fregegeben habe & dann die lokale Firewall angesprungen ist. Aber 50.000x?  :suspekt:


----------



## McVader83 (1. Juli 2005)

50000 Versuche in welcher Zeit?

Naja, ich bin mir auch nicht sicher, was Zonealarm genau alles blockt, aber ich kann mir auch gut vorstellen, das das nur Skripte sind. Dagegen gibt es ne einfache Lösung: Einfach nicht den IE benutzen.

Die andere Variante ist, das du schon einen Virus irgendwo im Netzwerk hast, der intern versucht sich zu verteilen.


----------



## Andreas Späth (1. Juli 2005)

McVader83 hat gesagt.:
			
		

> Naja, ich bin mir auch nicht sicher, was Zonealarm genau alles blockt, aber ich kann mir auch gut vorstellen, das das nur Skripte sind. Dagegen gibt es ne einfache Lösung: Einfach nicht den IE benutzen..



Und wenn ich nicht in ein Auto passe kauf ich mir ein neues anstatt den Sitz zu verstellen?
Schau mal in den Optionen von Zonealarm nach, dort sollten sich bestimmt ein oder zwei Einstellungsmöglichkeiten in richtung Scripte finden.

Dass die Firewall vermutlich tausende von Scripten block liegt nämlich bestimmt nicht am IE


----------



## MCIglo (1. Juli 2005)

LukeP hat gesagt.:
			
		

> Unlogisch dabei finde ich dann bloss noch, dass ZoneAlarm auf den Clients meist ueber 50.000 Eindringversuche verhindert hat & sogar um die 40 dabei sind, die 'Warnungen ersten Ranges' entsprechen.


Das sind die Meldungen, die eine DesktopFIrewall bringen muss, dass der Anwender denkt, er wäre ohne sie in Gefahr!
von den 50.000 sind 49.500 nur sinnloses Netzrauschen, was mehr als Harmlos ist. Die restlichen 500 sind kleine dumme Kinder, die irgendwelche Scripts laufen lassen. Ebenbfalls mehr als harmlos, sofern du die REgeln in meiner Signatur beachtet hast.
Wenn du wirklich ernsthaft angegriffen wirst, ist der Angreifer in deinem System und hat die DFW (und vor allem ZA und Norton IS) schneller ausgeschaltet, als die dich warnen kann!


----------



## LukeP (7. Juli 2005)

Die 50.000 Eindringversuche kamen ca. in 1/2 bis 3/4 jahr zusammen ..
Aber wenn ich mir vor allem den letzten link aus MCIglo's Signatur anschau, ueberleg ich mir, ob ich's nicht gleich am besten ganz lasse. Meine Guete! Es ist kaum zu glauebn, wobei ich mir nicht vorstellen will, dass desktop-firewalls tatsaechlich an sich mehr oder minder pseudo sind. Auch im Bezug auf die Ereignisse, die dann in der Rubrik 'Eindringversuch' registiert werden.
Erst recht nicht vorstellen will ich mir, dass im schlimmsten Falle die dfw schneller deaktiviert werden kann als sie reagiert. Dass es nix 100%iges gibt, stand wohl schon vorher fest, aber die Spielverderberfunktion fuer Angreifer kann sie hoffentlich im Notfall trotzdem uebernehmen ..


----------



## McVader83 (7. Juli 2005)

LukeP hat gesagt.:
			
		

> Dass es nix 100%iges gibt, stand wohl schon vorher fest, aber die Spielverderberfunktion fuer Angreifer kann sie hoffentlich im Notfall trotzdem uebernehmen ..



Selbst dazu ist eine Personal Firewall nicht in der Lage. Du solltest die Links nochmal etwas tiefer lesen... Am besten fand ich:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html


----------



## LukeP (26. Juli 2005)

Traurig aber wahr ..
Trotz alle dem kann man einer DFW immernoch positiv abgewinnen, dass sie den ausgehenden Verkehr ueberwacht. Wieviele Applikationen es doch gibt, die als erstes versuchen aufs Netz zuzugreifen, obwohl bei weitem keine Notwendikgeit besteht, ist schon erstaunlich. Das ist mitlerweile nun schon Standard, dass permanent auf Updates & Co kontrolliert wird. Egal ob es ein RegCleaner oder weiss der Fuchs was ist. Auch wenn es praktisch erscheint, find ich das meistens eher nervig & wer weiss, was noch so alles an Infos mitgesendet wird ..


----------



## McVader83 (27. Juli 2005)

Und schon wieder scheinst du nicht wirklich gelesen zu haben...
Wie kannst du annehmen das ein nicht von dir Programmiertes Programm dir wirklich von JEDEM Programm erzählt was da nach Hause telefonieren will? Und wer gibt dir die Garantie das es nicht evtl. sogar selber nach Hause telefoniert?


----------



## LukeP (27. Juli 2005)

Sicher dann faengt sie eben NICHT alles ab, aber eben nicht alles


----------



## McVader83 (27. Juli 2005)

Zu welchem Zweck installierst du denn eine Firewall?
Meine Motivation wäre, z.b. Sicherheit. Aber Sicherheit bedeutet doch, das sie dir Sicherheit gibt. Genau das tut sie doch aber nicht, oder wie seh ich das? Oder kann sie dir mit Sicherheit sagen das sie 70% von allem Abfängt? Nichtmal dazu ist eine Firewall in der Lage.
Also erfüllt sie doch nur noch einen Zweck: Ab und zu mal bescheid sagen, wenn was passiert was du nicht willst. Wiegt diese "Pseudo-Sicherheit" den Schaden den die Firewall deinem Geldbeutel (gut es gibt auch kostenlose) ,deinen Systemressourcen und deiner Systemsicherheit antut wieder auf? Alleine der Schaden den Du auf anderem Weg schon deiner Sicherheit antut wiegt den Nutzen nicht auf. Was bleibt sind ein Loch im Geldbeutel und ein langsamerer Rechner... Slowdown ist Freeware und tut das selbe...

Oder bestehst du einfach auf den Psychischen Effekt? Dagegen habe ich wirklich keine Argumente...


----------



## LukeP (8. November 2005)

Soviel dazu & nochmal zur Bestaetigung 

http://www.heise.de/newsticker/meldung/65866 



> Debasis Mohanty hat einen weiteren Weg gefunden, wie böswillige Programme schützenswerte Daten unbemerkt an ZoneAlarm-Firewalls vorbeischmuggeln können – selbst wenn die Firewall Anwendungs- und Prozesskommunikation durch die aktivierte Option Advanced Program Control überwacht. Dazu hat Mohanty ein kleines Beispielprogramm entwickelt, das über eine Standard-API eine HTML-Dialogbox öffnet, die eine HTML-Datei aufruft, welche dann durch ein Javascript die Daten an den Server überträgt.
> 
> Dass Mohanty einen Weg gefunden hat, Daten an einer Personal Firewall vorbei nach draußen zu schmuggeln, ist wenig überraschend. Existiert eine Netzwerkverbindung, findet sich im Zweifelsfall immer einen Weg von drinnen nach draußen. Beispielsweise DNS-Tunnel sind für Firewalls sehr schwer zu blocken. Personal Firewalls liefern daher nur eingeschränkten Schutz, wenn sich jemand die Mühe macht, sie aktiv auszutricksen.


----------



## Dr Dau (8. November 2005)

Eine Firewall (welcher Art auch immer) alleine schützt natürlich nur bedingt.
Es kommt mehr auf das Zusammenspiel verschiedener Komponenten/Einstellungen an.
Und selbst dann ist man bei aller Sorgfalt nicht zu 100% geschützt.
Selbst wenn man den Stecker rauszieht ist man nicht zu 100% geschützt.
Schliesslich gibt es ja noch die Möglichkeit, dass man von einem Freund ein ach so tolles Programm auf z.b. CD bekommt. 

Trotz allem schützt selbst eine schlecht konfigurierte Firewall u.U. mehr, als gar keine.
Auch ein Virenscanner wo das letzte Update schon 1 Jahr her ist, schützt mehr als keiner.
usw. usw. usw.


----------



## McVader83 (9. November 2005)

Dr Dau hat gesagt.:
			
		

> Trotz allem schützt selbst eine schlecht konfigurierte Firewall u.U. mehr, als gar keine.Auch ein Virenscanner wo das letzte Update schon 1 Jahr her ist, schützt mehr als keiner.usw. usw. usw.



Genau in dieser Einstellung sehe ich das Problem... "Ich hatte doch einen Virenscanner installiert!" habe ich schon soooooo oft gehört... Sorry, aber zeig mir mal ein Beispiel wo ein Virus der über ein Jahr alt ist, versucht hat dein System zu infizieren... Und grade eine schlecht konfigurierte Firewall schützt eher weniger, denn der psychologische Aspekt des "Ich hab ja eine Firewall!" führt viele Leute dazu unvorsichtig zu werden...

Aber zum Glück stirbt die Dummheit nicht aus, denn sonst wäre ich arbeitslos


----------



## Dr Dau (9. November 2005)

Es sind auch alte Viren/Trojaner unterwegs..... z.b. Code Red.
Ein veralteter Virenscanner kann also durchaus mehr schützen als gar keiner.
Und zur Firewall, ich habe gesagt u.U. (unter Umständen).
Ausserdem habe ich gesagt:


			
				Dr Dau hat gesagt.:
			
		

> Selbst wenn man den Stecker rauszieht ist man nicht zu 100% geschützt.
> Schliesslich gibt es ja noch die Möglichkeit, dass man von einem Freund ein ach so tolles Programm auf z.b. CD bekommt.


Der beste Schutz schützt also nicht vor Dummheit. 



			
				McVader83 hat gesagt.:
			
		

> .....denn der psychologische Aspekt des "Ich hab ja eine Firewall!" führt viele Leute dazu unvorsichtig zu werden.....


Genauso wie der Irrglaube, man sei im Internet ja anonym.


----------



## McVader83 (11. November 2005)

Ich hab nen Kunden, der geht immer nur Nachts auf die "schmutzigen" Seiten, weil da ja die Polizei nicht arbeitet... *totlach*


----------



## Dr Dau (11. November 2005)

McVader83 hat gesagt.:
			
		

> Ich hab nen Kunden, der geht immer nur Nachts auf die "schmutzigen" Seiten, weil da ja die Polizei nicht arbeitet... *totlach*


ROFL
Dann ist er sicherlich auch noch nie nachts in eine Verkehrskontrolle gekommen. 
Er kann ja mal testhalber seine Boxen auf die Terasse stellen und die Musik aufdrehen..... mal sehen ob die Polizei nachts wirklich nicht arbeitet. 
Sie dürfen lediglich die Wohnung zwischen (ich glaube) 22 Uhr und 6 Uhr nicht betreten..... es sei denn es besteht Gefahr im Verzug.
Dann dürfen sie sogar nachts um 3 Uhr die Tür mit dem Rambock knacken und die Bude auf den Kopf stellen.


----------

