derneueFritz
Neuer User
- Mitglied seit
- 10 Nov 2008
- Beiträge
- 24
- Punkte für Reaktionen
- 4
- Punkte
- 3
Ich weiß, daß das ein wenig viel hätte, wäre, und könnte ist. Wenn allerdings die oben beschrieben Technik (Stichwort: Packet accelerator) nicht existieren würde bzw. durch AVM korrekte Kernel-Konfigurationen veröffentlicht würden, gäbe es wieder mehr Möglichkeiten zum Schutz der Boxen. Und zwar aller Boxen.Ungebetener ankommender Verkehr ins LAN scheitert nur am NAT, die Box selbst ist weitestgehend ungeschützt (dsld als einzige Hürde). Mit geeigneten Regeln und dem AVM Firewall Paket in Freetz kann diese Firewall für den Internet Verkehr weiter eingeschränkt werden. Das Modul ist closed source, was es genau macht, weiss nur AVM, es gibt keine LOG Möglichkeit. Die Box ist offen für diverse Multimedia Ports, sowie Fernwartung über TR069.
Es wird im allgemeinen vor veralteter Software gewarnt die nicht aktualisiert wurde, wenn sie aber aktualisiert wird bzw. aktuell ist ist es egal ob sich die Versionsnummer vor dem 1. Punkt oder hinter dem 2. verändert.Auf einen Versionsstand von alle 2 Jahren können sich Hacker gut einschießen, umsonst wird ja nicht vor veralteter Software gewarnt.
Nichts für ungut, aber das wirst du nie zu 100% bei irgendeinem Router tun können (und hast du hoffentlich auch nie getan), egal wie sich die Firmwareversionen verändern.Nichts für ungut hier, ich möchte nur wieder eine FB haben, der man wieder vertrauen kann.
Es war ein Anfängerfehler, der so nie hätte passieren dürfen. Und wenn laut AVM vier verschiedene externe Firmen das tatsächlich sich angeschaut haben und es nicht entdeckt haben, dann waren die wohl auch nicht sorgfältig genug.Allerdings sehe ich in diesem konkreten Fall auch eine fahrlässige kleine Mitverantwortung bei AVM
Ich fände es zwar auch gut, wenn die volle Netfilter-Funktionalität nutzbar wäre, aber es hätte überhaupt keinen Unterschied gemacht.Hätte man die Netfilter-Funktionalität zu Gunsten von Netzfeatures, die durch schnellere Anbindung erst ermöglicht werden (IP-TV etc.), nicht soweit "kastriert" bzw. es anderen Entwicklern fast unmöglich gemacht, einen funktionierenden Schutz vor unerlaubtem Zugriff auf die Box aufzubauen, wäre das bekannte Ausmaß möglicherweise kleiner ausgefallen.
Ich weiß nicht, wer das da rein geschrieben hat, aber die Formulierung ist zumindest irreführend, um nicht zu sagen falsch. Zugriff auf Geräte im LAN ist nur möglich, wenn man eine Port Weiterleitung in der Box konfiguriert hat, und die Box selbst reagiert auch nur auf den Ports, die freigegeben sind. Man kann der Meinung sein, dass die Box zu viele Dienste anbietet, die man selbst nicht braucht, aber dann liegt das Problem bei diesen Diensten und nicht bei der AVM Firewall als solcher.ich möchte kurz aus einem Wiki zitieren:
Was denn?Wenn allerdings die oben beschrieben Technik (Stichwort: Packet accelerator) nicht existieren würde bzw. durch AVM korrekte Kernel-Konfigurationen veröffentlicht würden, gäbe es wieder mehr Möglichkeiten zum Schutz der Boxen.
Was denn?
Nochmal aus dem Wiki:... und die Box selbst reagiert auch nur auf den Ports, die freigegeben sind.
Was stimmt denn nun ?Nach dem Firewall-Modul landen die Pakete auf die FritzBox und gehen ohne weitere Kontrolle an alle internen Interfaces, sowie Dienste der Box. Die Default- IN/OUT Regeln der AVM Firewall sind "PERMIT": also alles, was nicht verboten wird, wird durchgelassen.
Das kann man jetzt schon mit der AVM Firewall. Schon jetzt reagiert sie nicht, wenn man Port 80, 443, 21 aus dem WAN anspricht und sie nicht dafür konfiguriert ist.Z.B. per default nur einige unbedingt nötige Ports (80,443, ggfs.21) für den Zugriff auf die Box selbst freigeben und den Rest von der Erlaubnis des Users abhängig machen ?
Aus dem internen Netz ist die Box erreichbar. Wenn man einen Dienst aktiviert hat, will man das vermutlich aus.Dieses unterschieden nach Zugriff aus dem (lokalen) Netz der Box und/oder für Zugriff aus dem Internet, konkret aus bestimmten Bereichen und/oder IPs ? Stichwort: Funktionierendes VPN z.B. zu einem Mobiltelefon ?
Wenn Du eine original Box hast, wendest Du Dich an den Hersteller. Wenn Du selbst etwas daran geändert hast, wendest Du Dich an Dich selbst.Wenn die Box zu viele Dienste anbietet, die man selbst nicht braucht, und einer oder mehrere dieser Dienste (oder der verwendeten Ports) eine Sicherheitslücke aufweist: An wen anders könnte ich mich mit Kritik wenden als an den Hersteller ?
Ich habe schon geschrieben, dass ich die Formulierung im Wiki nicht gut finde.Nochmal aus dem Wiki:
Was stimmt denn nun ?
Das keine Reaktion darauf kam, bedeutete möglicherweise bei älteren FWs nicht, das sie nicht über Port 443 kompromittiert werden konnten (siehe Bezug zum Thread-Titel).Ich habe Port ...443 ... per WAN auf einer Fritz Box ausprobiert, es kam keine Reaktion darauf.
scheitert nur am NAT, die Box selbst ist weitestgehend ungeschützt (dsld als einzige Hürde).
Dass keine Reaktion kam, bedeutete gar sicher, das sie nicht über Port 443 von außen kompromittiert werden konnten. Wohl aber über Port 80 von Innen.Das keine Reaktion darauf kam, bedeutete möglicherweise bei älteren FWs nicht, das sie nicht über Port 443 kompromittiert werden konnten
Ich habe schon mehrfach geschrieben, was ich von den Aussagen in dem Wiki Artikel halte. Ich habe es heute selbst überprüft, wenn Du also nicht eine konkrete Firmware hast, wo Du zu anderen Ergebnissen kommst, brauchst Du mir nicht mit irgend einem Wiki Artikel zu kommen, selbst wenn er auf der Freetz Seite steht. Übrigens implementiert dsld die AVM Firewall, von daher kann man die Aussage umformulieren als "AVM Firewall als einzige Hürde".Und der für mich interessante Teil des Wiki-Zitates ist