Router- Firewall?!

[LukeP]

Salut!

Schon seit geraumer Zeit nutze ich mitlerweile 'FritzBox SL WLAN' (DSL-Router) & habe mich schon bei der Installation gefragt,
wie es sich mit einer Firewall im Gerät verhält. Da ich keine entdecken konnte, hatte ich erstmal auf jedem Client gesondert eine eingerichtet.
Per Firmware (v09.03.29) koennen zwar Ports freigeschalten werden, aber ein simples Beispiel dafuer, dass der DSL-Router die Ports scheinbar
nicht auf der Netzwerkschicht sperrt, ist schon die Tatsache, dass Port 80 & 21 nicht freigegeben sind, aber Browser bzw FTP-Proggi scheint das nicht weiter zu stoeren.
Zudem habe ich versuchsweise meine oeffentliche IP im Browser aufgerufen & erst die Firewall reagierte.
Fritz hat nur freundlich durchgewunken. Mir geht da kein Licht auf.
Updates oder Tools scheints nicht zu geben oder habe ich tatsaechlich eine Einstellung uebersehen? Irgendwie muss das doch funktionieren ..
viele Gruesse

 

[Dr Dau]

Hallo!

Über die Schaltfläche „Portfreigabe" gelangen Sie auf die gleichnamige Seite, auf der Sie Ports für eingehende Verbindungen freigeben können.

Portfreigabe

Mit der FRITZ!Box SL WLAN sind Anwendungen auf Ihrem Computer oder in Ihrem lokalen Netzwerk standardmäßig nicht aus dem Internet erreichbar. Auf dieser Seite haben Sie die Möglichkeit, Anwendungen auf Ihrem Computer oder in Ihrem lokalen Netzwerk für eingehende Verbindungen aus dem Internet freizugeben. Typische Anwendungen, die aus dem Internet erreichbar sein sollen, sind zum Beispiel Serverdienste, File-sharing-Anwendungen und Spiele.

Im Bereich „Liste der Portfreigaben" ist standardmäßig eine Reihe von Anwendungen eingetragen, die typischerweise aus dem Internet erreichbar sein sollen. Die Anwendungen sind mit ihrer Bezeichnung, dem zugehörigen Protokoll und ihrer Portnummer eingetragen. Standardmäßig sind diese Anwendungen nicht für den Zugriff aus dem Internet freigegeben. Wenn Sie eine Anwendung freigeben wollen, dann setzen Sie in der Spalte „Aktiv" den Haken vor die entsprechende Anwendung.

Über die Schaltfläche „Neue Portfreigabe" können Sie in die „Liste der Portfreigaben" weitere Anwendungen einfügen. Die Portnummer für eine Anwendung ermitteln Sie anhand der zugehörigen Dokumentation.
In der FRITZ!Box SL WLAN freigegebene Anwendungen sind aus dem Internet unter der IP-Adresse erreichbar, die die FRITZ!Box SL WLAN vom Internetanbieter bezogen hat. Bei einer bestehenden Internetverbindung wird die IP-Adresse auf der Seite „Übersicht" im Bereich „Verbindungsstatus" angezeigt.

Verwechsel nicht Internet mit Intranet.
Die Firewall regelt nur was vom Internet ins Intranet darf/soll.
Alles was im Intranet geschieht, juckt die Firewall nicht.
Dass die Firewall durch dich gesendete Anfragen "anscheinend" durchlässt, könnte daran liegen dass der Router evtl NAT-Loopback unterstützt.
Dass bedeutet der Router merkt "Mensch, das ist ja meine IP" und sendet die Anfrage erst garnicht nach draussen, sondern an einen im Intranet stehenden Rechner.
Daher sieht es nur so aus als wenn Du den Rechner über deine öffentliche IP ansprechen würdest.
Um sicher zu gehen ob die Firewall von aussen gestellte Anfrage auch blockt, solltest Du auch von aussen testen (z.b. durch einen Kumpel testen lassen).
Ports die Du freigegeben hast, lassen die Anfragen natürlich durch.

Gruss Dr Dau

 

[McVader83]

Der Router an sich ist schon von Natur aus eine Firewall. Der blockt nix, sondern der lässt einfach nichts durch, ausser das was du von innen anfragst. Also die Firewalls auf den anderen Rechnern sind sinnlos, ausser du vertraust den Rechnern im internen Netz nicht.

 

[LukeP]

Danke fuer eure Antworten, wobei mir der Unterschied zwischen 'Der blockt nix' & 'der lässt einfach nichts durch' nicht einleuchtet, aber das tut wahrscheinlich auch nicht viel zur Sache. Aber es ist schonmal gut zuwissen, dass doch eine Firewall integriert wurde.
Bzgl. des 'NAT-Loopback' konnte ich im Z'hang mit der FritzBox nichts finden, so dass ich von ausgeh, das esd iese Funktion nicht unterstuetzt.
Unlogisch dabei finde ich dann bloss noch, dass ZoneAlarm auf den Clients meist ueber 50.000 Eindringversuche verhindert hat & sogar um die 40 dabei sind, die 'Warnungen ersten Ranges' entsprechen. Aber gut moeglich, dass ich den ein oder anderen Port im Router fregegeben habe & dann die lokale Firewall angesprungen ist. Aber 50.000x? :suspekt:

 

[McVader83]

50000 Versuche in welcher Zeit?

Naja, ich bin mir auch nicht sicher, was Zonealarm genau alles blockt, aber ich kann mir auch gut vorstellen, das das nur Skripte sind. Dagegen gibt es ne einfache Lösung: Einfach nicht den IE benutzen.

Die andere Variante ist, das du schon einen Virus irgendwo im Netzwerk hast, der intern versucht sich zu verteilen.

 

[Andreas Späth]

Naja, ich bin mir auch nicht sicher, was Zonealarm genau alles blockt, aber ich kann mir auch gut vorstellen, das das nur Skripte sind. Dagegen gibt es ne einfache Lösung: Einfach nicht den IE benutzen..

Und wenn ich nicht in ein Auto passe kauf ich mir ein neues anstatt den Sitz zu verstellen?
Schau mal in den Optionen von Zonealarm nach, dort sollten sich bestimmt ein oder zwei Einstellungsmöglichkeiten in richtung Scripte finden.

Dass die Firewall vermutlich tausende von Scripten block liegt nämlich bestimmt nicht am IE

 

[MCIglo]

Unlogisch dabei finde ich dann bloss noch, dass ZoneAlarm auf den Clients meist ueber 50.000 Eindringversuche verhindert hat & sogar um die 40 dabei sind, die 'Warnungen ersten Ranges' entsprechen.

Das sind die Meldungen, die eine DesktopFIrewall bringen muss, dass der Anwender denkt, er wäre ohne sie in Gefahr!
von den 50.000 sind 49.500 nur sinnloses Netzrauschen, was mehr als Harmlos ist. Die restlichen 500 sind kleine dumme Kinder, die irgendwelche Scripts laufen lassen. Ebenbfalls mehr als harmlos, sofern du die REgeln in meiner Signatur beachtet hast.
Wenn du wirklich ernsthaft angegriffen wirst, ist der Angreifer in deinem System und hat die DFW (und vor allem ZA und Norton IS) schneller ausgeschaltet, als die dich warnen kann!

 

[LukeP]

Die 50.000 Eindringversuche kamen ca. in 1/2 bis 3/4 jahr zusammen ..
Aber wenn ich mir vor allem den letzten link aus MCIglo's Signatur anschau, ueberleg ich mir, ob ich's nicht gleich am besten ganz lasse. Meine Guete! Es ist kaum zu glauebn, wobei ich mir nicht vorstellen will, dass desktop-firewalls tatsaechlich an sich mehr oder minder pseudo sind. Auch im Bezug auf die Ereignisse, die dann in der Rubrik 'Eindringversuch' registiert werden.
Erst recht nicht vorstellen will ich mir, dass im schlimmsten Falle die dfw schneller deaktiviert werden kann als sie reagiert. Dass es nix 100%iges gibt, stand wohl schon vorher fest, aber die Spielverderberfunktion fuer Angreifer kann sie hoffentlich im Notfall trotzdem uebernehmen ..

 

[McVader83]

Dass es nix 100%iges gibt, stand wohl schon vorher fest, aber die Spielverderberfunktion fuer Angreifer kann sie hoffentlich im Notfall trotzdem uebernehmen ..

Selbst dazu ist eine Personal Firewall nicht in der Lage. Du solltest die Links nochmal etwas tiefer lesen... Am besten fand ich:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

 

[LukeP]

Traurig aber wahr ..
Trotz alle dem kann man einer DFW immernoch positiv abgewinnen, dass sie den ausgehenden Verkehr ueberwacht. Wieviele Applikationen es doch gibt, die als erstes versuchen aufs Netz zuzugreifen, obwohl bei weitem keine Notwendikgeit besteht, ist schon erstaunlich. Das ist mitlerweile nun schon Standard, dass permanent auf Updates & Co kontrolliert wird. Egal ob es ein RegCleaner oder weiss der Fuchs was ist. Auch wenn es praktisch erscheint, find ich das meistens eher nervig & wer weiss, was noch so alles an Infos mitgesendet wird ..