FBF FritzDSL Webprotect!

[mackegt]

Was haltet ihr von der mitgelieferten Software.
Vor allen Dingen würde mich interressieren ob es gut ist die mitgelieferte
Desktopfirewall zu nehmen oder ob es besser ist eine andere Firewall zu
installieren? :wink:

 

[DPR]

Als Firewall ist Fritz!DSL Protect ziemlich unbrauchbar, es fehlen fast alle Features die momentan Standard sind. Allerdings kann sie direkt Ports per UPnP öffnen, weswegen sie man als Ergänzung zu einer vorhandenen Personal Firewall einsetzen kann.

Ich rate aber davon ab, die Fritz Software zu installieren, da durch den "AVM IGD Ctrl Service" der Windows eigene UPnP Dienst deaktiviert wird und damit auch alle Programme, die darüber ihre UPnP Funktionalität implementiert haben, nicht mehr funktionieren. Zudem stürzt bei mir der Dienst auch ab, wenn bspw. Azureus versucht UPnP Befehle direkt an die Box abzusetzen ...

 

[vigo]

Kann ich bestätigen. Bei mir hat die Soft den Start stark verlangsamt und zusätzlich mein Virenprogramm (Kaspersky) blockiert.
Hab Fritz!DSL jetzt wieder runtergeschmissen, seitdem ist alles o.K.

 

[semilla]

kann ich nicht bestätigen! als ergänzung zu den firewallfkt., die die box eh mitbringt, find ich das ideal.

Bei mir hat die Soft den Start stark verlangsamt und zusätzlich mein Virenprogramm (Kaspersky) blockiert.

einen verzögerten start kann ich nicht beobachten. und wenn "das virenprogramm blockiert wird" (du meinst sicher die updatefkt.), dann muss man diesem in fritzweb protect halt den internetzugriff erlauben - dafür ist die software ja da.

Als Firewall ist Fritz!DSL Protect ziemlich unbrauchbar, es fehlen fast alle Features die momentan Standard sind.

welche denn?
fritzweb protect ist keine personal firewall wie zonealarm und co. es ergänzt die firewallfkt. der box so, dass ein umfassender schutz besteht: ungewollte eingehende verbindungen werden durch die box verhindert. ungewollte ausgehende verbindungen (z.B. durch trojaner oder spyware) werden durch fritzweb protect verhindert. man kann sogar für jede anwendung einzeln bestimmen, welche ports von dieser ausgehend verwendet werden dürfen.
die automatische portfreigabe per UPnP ist zusätzlich komfortabel und "sicherer" als die statische im web-gui.

Ich rate aber davon ab, die Fritz Software zu installieren, da durch den "AVM IGD Ctrl Service" der Windows eigene UPnP Dienst deaktiviert wird und damit auch alle Programme, die darüber ihre UPnP Funktionalität implementiert haben, nicht mehr funktionieren.

und wozu brauchst du den UPnP-dienst von windows, wenn der von fritzweb protect läuft?

Zudem stürzt bei mir der Dienst auch ab, wenn bspw. Azureus versucht UPnP Befehle direkt an die Box abzusetzen ...

bei mir nicht. außerdem stellt sich die frage, ob es sinnvoll ist, bei aktivem fritzweb protect die UPnP-funktionen von azeurus überhaupt zu nutzen. wenn du die deaktivierst, dann schaltet fritzweb protect dir die azeurus-ports ebenfalls frei...

 

[DPR]

[...]
welche denn?
fritzweb protect ist keine personal firewall wie zonealarm und co. es ergänzt die firewallfkt. der box so, dass ein umfassender schutz besteht:

Das kritischste ist das Fehlen von IP-basierten Regeln. Einige Programme öffnen bestimme Ports lediglich auf localhost - und das aus gutem Grund. Fritz!DSL Protect bohrt dir da aber dann gleich ein Loch in der Firewall, was potentiell ein kritisches Sicherheitsloch ist !

IP-Bindungen von Servern werden damit überhaupt nicht beachtet. Bspw. möchte man vielleicht auch nur die Kommunikation im lokalen Netz erlauben, ohne einen Port gleich nach Außen freigeben zu wollen. Das ist mit Fritz!DSL Protect nicht möglich.

Ausserdem fehlt beispielsweise die Überwachung von Prozessen auf Veränderung - sei es, ob sie durch Schadprogramme verändert wurden, nur upgedatet wurden oder ob sie andere Komponenten geladen haben.

Nervig ist auch, dass Programme die vor dem Start von Fritz!DSL Protect gestartet wurden gar nicht erkannt werden. Das sind bspw. alle Windows-Dienste und auch alle Autostart-Programme die vorher starten.

Die Liste fehlender Features liesse sich so noch um einiges ergänzen ...

die automatische portfreigabe per UPnP ist zusätzlich komfortabel und "sicherer" als die statische im web-gui.

Dem stimme ich insoweit zu, dass die Ports tatsächlich nur geöffnet werden, wenn sie gebraucht werden und anschließend auch wieder automatisch geschlossen werden. Grundsätzlich gilt aber, dass UPnP ein Sicherheitsrisiko ist, wenn man nicht richtig kontrollieren kann, welches Programm per UPnP Ports öffnet.

und wozu brauchst du den UPnP-dienst von windows, wenn der von fritzweb protect läuft?

Aus oben genannten Gründen ... Fritz!DSL Protect erkennt einfach nicht zuverlässig genug, welche Ports geöffnet werden sollten und welche nicht. Die Programme wissen dagegen genau, welche Ports sie wirklich brauchen.

bei mir nicht. außerdem stellt sich die frage, ob es sinnvoll ist, bei aktivem fritzweb protect die UPnP-funktionen von azeurus überhaupt zu nutzen. wenn du die deaktivierst, dann schaltet fritzweb protect dir die azeurus-ports ebenfalls frei...

Sorry, aber den Fehler konnte ich auf mehreren unterschiedlichen Systemen mit mehreren Programmen reproduzieren. Kommuniziert ein Programm direkt per UPnP mit der Fritz!Box kommt es immer wieder zu Abstürzen des AVM IGD Ctrl Dienstes !

 

[hagalabimbo]

Ich habe zwischendurch eine ganz dumme Frage: Was habt ihr für Fritz!Boxen? Meine hat nämlich keine Firewall...

 

[vicfontaine]

Ich find die Firewall auch gut, suche schon seit Ewigkeiten eine Firewall die für den Betrieb hinter nem Router ausgelegt ist. ALSO eine einseitige! Ich klaue meinem System mit ZoneAlarm und Co doch nur unnötig Ressourcen, da die Hälfte der Arbeit doch mein Router hardwaremäßig macht!

Ich finde nur, dass AVM das ein bißchen mehr pflegen könnte, es sind einige Dinge, die da fehlen, andere die stören, usw....

 

[smileyman]

Ich habe zwischendurch eine ganz dumme Frage: Was habt ihr für Fritz!Boxen? Meine hat nämlich keine Firewall...

Du hast die selbe wie wir. - Oder andersrum betrachtet: Wir haben die selbe wie du. (Natürlich abgesehen von den verschiedenen Versionen) :wink:

Mit Firewall bezeichnen wir hier die NAT-Technologie. - Die Box muss ja schließlich die eingehenden Daten an die verschiedenen IP-Adressen und somit auf die verschiedenen Rechner im LAN verteilen. - Wenn die Daten allerdings nicht von einem Rechner angefordert wurden, weiß die Box nicht, wohin sie sie verteilen soll und verwirft sie einfach. Somit können schonmal viele Angriff von außen abgewehrt werden.

Um Zugriffe von Außen zu erlauben muss erstmal dazu der betroffene Port an eine IP-Adresse geroutet werden. - Dies muss aber speziell eingestellt werden und wird meist nur für P2P-Programme oder ICQ, usw. benötigt. - Viele Programme machen das auch schon per UPnP.

Fritz!Protect ist eine Software, die auf der CD, die er FB beiliegt, mitgeliefert wird. - Diese Software soll unerwünschte Zugriffe die vom Rechner ausgehen verhindern. - Sie ist also nur für ausgehende Verbindungen zuständig. Zusäztlich regelt sie noch die UPnP-Freigaben.

 

[hagalabimbo]

@smileyman:
Danke, aber ich weiß was NAT ist.
Was mich zu meinem obigen Post veranlaßt hat war, dass ich den Eindruck bekommen habe meine Vorposter hätten nicht die geringste Ahnung was eine Firewall eigentlich ist (und ich wollte nicht so direkt nachfragen...). (Kann man auf einer modifizierten Fritz!Box eigentlich iptables aufsetzen?)

 

[smileyman]

@smileyman:
Danke, aber ich weiß was NAT ist.
Was mich zu meinem obigen Post veranlaßt hat war, dass ich den Eindruck bekommen habe meine Vorposter hätten nicht die geringste Ahnung was eine Firewall eigentlich ist (und ich wollte nicht so direkt nachfragen...). (Kann man auf einer modifizierten Fritz!Box eigentlich iptables aufsetzen?)

@hagalabimbo
Sorry, wollte dich nicht als dumm hinstellen. - Ich konnte nur deiner Frage nicht das vorhandene Vorwissen entnehmen.
(Eigentlich wollte ich nur das Stichwort "NAT" nennen, da aber das Forum gerade so langsam ist, dass bei mir ein Seitenaufbau bis zu 5 Minuten dauern kann, wollte ich dir das eventuell nötige weitere Suchen nicht zumuten)

Iptables sollte, soweit ich das im Kopf habe, gehen. - Da kann ich dir aber die SuFu nicht ersparen; habe da leider nicht den entsprechenden Thread im Kopf. - Aber ich bin mir fast sicher, dass es den gibt. :wink:

 

[DPR]

Also ich kann irgends sehen, dass einer von uns gesagt hätte, dass die Fritz!Box eine Firewall hat - was mich zu der Aussage veranlässt, dass du wohl keine Ahnung hast wie man liest.

Das gleiche gilt für iptables ... stell dir vor: das Board hat so was wie eine Suchfunktion.

 

[MaZderMind]

Och mann Jungs.. Personal Firewalls, also Firewalls die auf dem PC selbst laufen SIND Schrott. IPFilter können u.U. Sinnvoll sein, aber wer einen NAT-Router braucht auch diese nichtmehr. Wers mir net glaubt soll sich dies Aufzeichnungen angucken:
http://ulm.ccc.de/chaos-seminar/personal-firewalls/index.html

Gruß, Peter

 

[smileyman]

Also ich kann irgends sehen, dass einer von uns gesagt hätte, dass die Fritz!Box eine Firewall hat - was mich zu der Aussage veranlässt, dass du wohl keine Ahnung hast wie man liest.

kann ich nicht bestätigen! als ergänzung zu den firewallfkt., die die box eh mitbringt, find ich das ideal.

Aus diesem Satz kann man das aber problemlos herauslesen. ;-)

Das gleiche gilt für iptables ... stell dir vor: das Board hat so was wie eine Suchfunktion.

Warum denn so unfreundlich? :roll:

 

[DPR]

Aus diesem Satz kann man das aber problemlos herauslesen. ;-)

Jetzt haste aber tieeef gegraben :wink: ... ohne semilla verteidigen zu wollen: was er gemeint hat ist klar. Er hat ja auch "firewallfkt" geschrieben, nicht "Firewall" - ob das nu so korrekt ausgedrückt ist, darüber lässt sich streiten.

Und wenn man sich die "ar7.cfg" mal ansieht, dann hat die Fritz!Box tatsächlich sehr viele Firewall-Funktionalitäten drin. Klar ist das kein "iptables" ... aber man kann Pakete nach Typ, Richtung, IP/Netzmaske und Port zulassen, abweisen oder blocken. Ein klassischer Paketfilter also !

Warum denn so unfreundlich? :roll:

Genau das habe ich mir bei deinem Posting auch gedacht - deswegen die etwas harsche Antwort :wink:
Zur Versöhnung gibt's ein :bier:

Noch kurz zu dem was MaZderMind geschrieben hat: eine so radikale Meinung teile ich nicht. Als Ergänzung um den ausgehenden Traffic für einzelne Applikationen zu regulieren machen Personal Firewalls durchaus Sinn. Mir ist zumindest für Windows sonst keine einfache Möglichkeit bekannt, wie man bspw. den einen Browser davon abhalten kann HTTP Verbindungen aufzubauen ohne damit gleich allen Applikationen HTTP zu verbieten. Der Router weiß nu mal nicht von welcher Applikation die Pakete kommen ...

Und was die Demo des CCC angeht mit der Steuerung der PF über Windows-Nachrichten: wenn es schon mal so weit kommt, dass man ein infiziertes System hat auf dem ein solches Programm läuft, dann ist das Kind eh schon in den Brunnen gefallen. Abgesehen davon, dass die Sache mit den Hooks falsch erklärt wurde - um systemweite Hooks zu setzen braucht man Admin-Rechte.
Aber ansonsten natürlich wie immer ein netter Beitrag des CCC !!!!

 

[semilla]

Was mich zu meinem obigen Post veranlaßt hat war, dass ich den Eindruck bekommen habe meine Vorposter hätten nicht die geringste Ahnung was eine Firewall eigentlich ist

ach gottchen :?
der begiff "firewall" ist nicht definiert und lässt keine rückschlüsse auf konkrete funktionen zu. bei einer "firewall" handelt es sich lediglich um ein sicherheitskonzept für IP-verbindungen, wie auch immer dieses konkret umgesetzt wird...

die (firewall)funktionen der box
- NAT mit statefull packet inspection
- dynamischer ICMP-filter
- statische paketfilter (z.B. für NetBIOS)

werden imo durch die firewallfunktionen von fritzweb protect
- kontrolle ausgehender verbindungen auf applikationsebene
- dezidierte portfreigabe (aus wie eingehend) per applikation

für den home-/SoHo-bereich ausreichend ergänzt.
sicherlich hat fritzweb protect einige schwächen, von denen die gravierensten hoffentlich bald mal mit einem update behoben werden, aber im großen und ganzen ist das für 99% der fritz-box user (in verbindung mit einem virenscanner) mehr als ausreichend. ich werde mir zuhause jedenfalls keine fli4l-büchse hinstellen, stundenlang iptables editieren und dann noch den gesamten datenverkehr mit dem wan über proxys laufen lassen. so paranoid bin ich nicht... :wink:

 

[MaZderMind]

@DMR Über Tunneling, z.B. durch den IE ist es ohne weiteres jeder Anwendung möglich verbindungen in beide Richtungen aufzubauen, ohne vom WebProtect oder irgendeiner Software-Firewall daran gehindert zu werden - siehe wwwsh. Was das aussperren bestimmter "lieber" Anwendungen (Browser) angeht, kann ich nur das wiederholen was z.B. im WinProtext-Seminar gesagt wird - warum zum Teufel installierst du einen Browser um ihm dann nicht ins Netz zu lassen?
Wenn also keine Software da ist, die ich bewust aussperren will (Browser), und sich andere "böse" Software sowieso nicht von einer Firewall behindern lässt (wwwshell), warum dann noch eine Firewall? Diese bietet nur weitere mögliche Angriffspunkte für Hacker und anderes Getier, macht den Rechner langsam und belegt zusätzlichen Speicherplatz.

Aber najut - wers braucht...
Gruß, Peter

 

[DPR]

Warum ich einen Browser installiere und ihn nicht aus dem lokalen Netz lassen will ? Ganz einfach: wenn ich bspw. nur zur Entwicklung von HTML-Seiten + Testen einen Browser draufmache.
Anderes Beispiel: der MediaPlayer in Windows soll sich nicht über HTTP verbinden können, andere Applikationen aber schon.

Zu dem Beispiel mit wwwsh hab ich mich ja schon geäußert: wenn's schon so weit ist, dass du Schadprogramme auf deinem System laufen hast, ist's so oder so essig ... so trivial ein Schadprogramm einzuschleusen wie der CCC das dargestellt hat ist das bei einigermassen vernünftigen Usern/konfigurierten Systemen aber nicht.

Aber so langsam hat die Diskussion nicht mehr viel mit dem Topic zu tun

 

[Tazman]

Ich versuche es an dieser Stelle mal mit meinen ersten post.

Mich macht folgender Umstand über FRITZ!DSL Protect stutzig.
Die Funktion "Standardverwalten bei unbekanntem Internetzugriff"
hatte ich immer auf "Benutzerabfrage (empfohlen)" eingestellt.
Bei allen Programmen hatte ich einmalig die Anfrage auf Internetverbindung beantwortet.

Der Punkt „Portfreigaben verwenden“ war immer deaktiviert um maximalen Schutz zu genießen. Nachdem ich utorrent installiert hatte um die Knoppix 402de zu laden hatte vermutet, dass ich den Port 32459 freischalten muß. Ich war schockiert das ich ohne den Port in der FBF 7050 freizuschalten eine Verbindung zustande bekommen hatte. Der up- und download funktionierte.

FBF7050 hat die Firmware 14.03.86 nur „Statusinformationen über UPNP übertragen (empfohlen) ist aktiv. Änderungen der Sicherheitsinformationen bei UPNP ist deaktiviert.

Erst wenn ich bei FRITZ!Protect „Portfreigaben verwenden“ aktiviere und auf Benutzerabfrage stelle, werde ich gefragt ob ich eine Verbindung über Port 32459 zulasse.
Selbst wenn ich eine Verbindung bei FRITZ!Protect zulasse ist sie doch über die FBF7050 gesperrt, oder? Utorrent läuft dann wieder ohne Probleme. Das lässt mich an der Sicherheit von FRITZ!Protect zweifeln. Ein Sicherheitsscan von außen zeigt aber diesen Port als geschlossen, dass liegt dann wohl an NAT wie ich im Forum gelesen habe. Früher hatte ich Outpost und war sehr zufrieden damit.

Warum kann trotz der oben beschriebenen Einstellung ein lokales Programm eine Verbindung über z.B. Port 32459 eine Verbindung aufbauen? Firefox fragt z.B. nach zwei Ports bei 3xxx, wie soll ich das denn beantworten. Wie soll dann eine Wurm oder so blockiert werden können?

Vielleicht könnt Ihr mir weiterhelfen und Licht in den Tunnel bringen.

Gruß

tazman

 

[Killer-King]

wahnsinn was hier für VOLLPFOSTEN in Sachen Sicherheit rummlaufen.

Als Fachinformatiker für Systemintegration kann Ich nur jedem Leser empfehlen, diesen ganzen Mist hier NICHT für wahr zu nehmen. Informiert euch erstmal über das Thema Firewall in einem Fachbuch oder z.B. bei http://de.wikipedia.org/wiki/Firewall (wobei dies auch nur eine kleine Beschreibung zu den einzelnen Bereichen ist)

Zum Thema :

Eure Fritzbox verhindert ungewollte Verbindungen aus dem Internet in euer LAN.
Die Software verhindert ungewollte Verbindungen von Programmen aus dem LAN ins Internet ( natürlich nur auf dem installierten Host).

Was soll der "Heimanwender" mehr wollen? Den ganzen scheiß Schnick Schnack von Programmen wie ZoneAlarm, Norton Internet Security? Nein!

Installiert euch noch einen zuverlässigen Virenscanner und schaltet die UPnP-Funktion auf der FritzBox ab. So können nicht versehentlich oder böswillig Türen für Angreifer aus dem Internet geöffnet werden. Der Virenscanner schützt euch vor sonstigem Mist, der aus dem Internet kommt.