AVM-Firewall package für Freetz

Moin,

solange du keine weiteren "Spezialitäten" eingebaut hast, ist auch der Standard der Firewalleinstellungen m. M. nach recht gut (auch wenn man sich dabei auf die nicht offenen Sourcen von AVM verlassen muss). Hintergrund ist, dass die FW (aus der Richtung vom Internet kommend) genau genommen eine "Zusatzfirewall" ist, wenn man so will. Die "eigentliche" Firewall dahinter entsteht im Zusammenspiel mit der NAT der Box. Nur wenn eine solche NAT besteht (entweder dynamisch, durch ein rausgehendes Paket oder statisch durh eine Portweiterleitung nach innen), werden Pakete weitergeleitet.
Das sieht man z.B. dan daran, dass neben einigen speziellen Dingen "alles erlaubt" ist, die Box aber einige Klimmzüge benötigt, um sie von außen erreichbar zu machen. Alles, was in der Firewall rein- oder rausgehend gesperrt wird, kommt erst garnicht an diese "innere Schicht".

Jörg
 
Danke für die Antwort!

solange du keine weiteren "Spezialitäten" eingebaut hast, ist auch der Standard der Firewalleinstellungen m. M. nach recht gut (auch wenn man sich dabei auf die nicht offenen Sourcen von AVM verlassen muss).

Meines Wissens sind keine Spezialitäten drauf und momentan auch nicht nötig. Es soll lediglich eine "perfekte" Absicherung nach und von Außen erfolgen.
Da ich mich in die tiefere Linux Firewallmaterie erst einarbeite wollte ich hier nach Tipps fragen, damit die Sache nicht plötzlich nach Hinten losgeht und ich aus Versehen ein Scheunentor aufmache.

Gruß Jens
 
Hallo,

Das ist sehr löblich, was Du vorhast. Hier ein paar Tipps, bevor Du anfängst.

Eine gute und sichere Firewall zeichnet sich dadurch aus, dass sie nur das unbedingt benötigte durchlässt und alles andere grundsätzlich sperrt.

Zunächst mal würde ich Dir also empfehlen, Deinen generellen Kommunikationsbedarf zu ermitteln und dazu die verwendeten Protokolle & Ports aufzuschreiben.

z.B.:

Internet Surfen: HTTP, HTTPS (z.B. TCP Ziel Ports 80, 443)
DNS Namensauflösung ...
NTP Zeitdienst ...
FTP ?
Andere Dienste, wie VOIP, BitTorent, ICQ... ?

Für diese kansst du Regeln erstellen, die für alle Zielrechner gelten mit Einschränkung auf Protokoll & Port.

Als nächstes würde ich mir überlegen, ob Du Besonderheiten hast, wie z.B ein Server beim Hosting Provider, VPN zur Arbeitsstelle etc und mir für diese die IP-Adressen, Protokolle und Ports aufschreiben. Hierzu zählen auch e-Mail (SMTP / POP3 / IMAP) Dienste... Die Regeln hierfür: Ziel-IP, Protokoll, Port.

Als Drittes wäre da noch die Frage, ob andere aus dem Internet Deine Box oder Dein Netz erreichen können sollen. Das macht man mit Inbound Regeln / Portforwarding auf die Zieladresse im Lan oder auf die 0.0.0.0 (Box).

Was noch fehlt, sind die Rückwege für die Daten (conntrack / stateful). Das heist für herausgehende Verbindungen muss man eingehend eine Regel connection related erstellen, für eingehenden Verkehr eine ausgehende connection related Regel.

Alles andere sollte man grundsätzlich verbieten (default policy deny oder letzte Regel in der Kette any, any, deny)

Noch granularer geht das z.B. mit iptables, hier kannst du genauer zwischen INPUT (zur Box), OUTPUT (von der Box weg) und FORWARD (Verkehr durch die Box) uterscheiden und filtern.

Fehlende Regeln kannst Du ja immer ergänzen, bis alles so läuft, wie Du willst. Das Regelwerk solltest Du dann auch von Zeit zu Zeit überprüfen, ob es noch aktuell ist und überflüssige Freigaben wieder sperren.

Viele Grüße

cando
 
Eine gute und sichere Firewall zeichnet sich dadurch aus, dass sie nur das unbedingt benötigte durchlässt und alles andere grundsätzlich sperrt.

Ja - so habe ich mir das vorgestellt :p

Zunächst mal würde ich Dir also empfehlen, Deinen generellen Kommunikationsbedarf zu ermitteln und dazu die verwendeten Protokolle & Ports aufzuschreiben.

Internet Surfen: HTTP, HTTPS (z.B. TCP Ziel Ports 80, 443)
DNS Namensauflösung: Hatte ich vor 1/2 Jahr mal angetestet, benötige ich momentan aber nicht.
NTP: UDP 123 (wobei ich nicht weiß, ob und wie häufig ich die Zeit syncronisiere)
FTP: TCP 23
Dienste, wie VOIP, BitTorent, ICQ, Skype

Als nächstes würde ich mir überlegen, ob Du Besonderheiten hast, wie z.B ein Server beim Hosting Provider, VPN zur Arbeitsstelle etc und mir für diese die IP-Adressen, Protokolle und Ports aufschreiben. Hierzu zählen auch e-Mail (SMTP / POP3 / IMAP) Dienste... Die Regeln hierfür: Ziel-IP, Protokoll, Port.

Ich habe bei 3 verschiedenen Hosting Providern Serverplatz gemietet. Ansonsten brauche ich momentan weder für Mail, noch für ein VPN Ausnahmen.

Als Drittes wäre da noch die Frage, ob andere aus dem Internet Deine Box oder Dein Netz erreichen können sollen. Das macht man mit Inbound Regeln / Portforwarding auf die Zieladresse im Lan oder auf die 0.0.0.0 (Box).

Nein, es soll niemand die Box aus dem Netz erreichen dürfen.

Was noch fehlt, sind die Rückwege für die Daten (conntrack / stateful). Das heist für herausgehende Verbindungen muss man eingehend eine Regel connection related erstellen, für eingehenden Verkehr eine ausgehende connection related Regel.

Werden diese Regeln nicht automatisch erstellt, wenn man per GUI konfiguriert?

Noch granularer geht das z.B. mit iptables, hier kannst du genauer zwischen INPUT (zur Box), OUTPUT (von der Box weg) und FORWARD (Verkehr durch die Box) uterscheiden und filtern.

Ich habe auch das Iptables Paket mit in die Firmware gepackt. Dort verstehe ich aber leider noch weniger als bei der AVM Firewall GUI.

Fehlende Regeln kannst Du ja immer ergänzen, bis alles so läuft, wie Du willst.

Ja - zum Glück habe ich eine zweite Fritz Box, falls etwas schiefgeht. Welche Ports darf ich auf keinen Fall schließen, um mich nicht von der Box selbst auszuschliessen?

Vielen Dank für die Hilfe!

Grüße

Jens
 
Du musst die Ports 80 und 81 auf der Box freilassen, um die beiden WebGUIs zu erreichen. Allerdings reicht eigentlich auch Port 22, wenn du ssh mit auf der Kiste hast und die Console nutzt.

Generell möchte ich dir vorschlagen, wohl noch ein wenig zu lesen, denn "einfach mal machen" und "das übernimmt die GUI" bringt dir da nicht viel und kann eher schaden als denn helfen.

Vielleicht reicht es doch für deine Belange, die Standard-Sachen von AVM zu nutzen?

IPTables macht auf manchen Boxen übrigens Probleme....
 
Generell möchte ich dir vorschlagen, wohl noch ein wenig zu lesen, denn "einfach mal machen" und "das übernimmt die GUI" bringt dir da nicht viel und kann eher schaden als denn helfen.

Ja - ich werde sicherlich noch recherchieren und lesen! Wie gesagt - ich habe eine 2. Box und einen Testrechner. Fragt sich wieviel Schaden ich im worst case damit anrichten könnte. Weder Rechner, noch Fritz!Box werden ans Internet gelassen, bevor die Konfiguration nicht steht.

Vielleicht reicht es doch für deine Belange, die Standard-Sachen von AVM zu nutzen?

Ja - das ist die Große Frage! Meinst Du die AVM Firewall in freetz oder die Haus-Firewall der Standardfirmware? Wenn ich wüßte, dass mein System damit bestmöglich geschützt ist, dann würde ich Sie verwenden.
 
...
Ja - das ist die Große Frage! Meinst Du die AVM Firewall in freetz oder die Haus-Firewall der Standardfirmware?...

Das ist die Gleiche Firewall, diese ist im dsld eingebaut. Bei dem Freetz-Paket AVM-Firewall-GUI handelt es sich, wie der Name schon sagt, um eine GUI für eben diese Firewall, damit man die Regel nicht per Hand in die ar7.cfg eintragen muss.

Meiner Meinung nach reicht diese Firewall, wenn du ganz sicher gehen willst, kannst du auch dort, die Default-Regeln auf deny setzten und nur sepielle Dienste erlauben.
 
@snej21:

Code:
DNS Namensauflösung: Hatte ich vor 1/2 Jahr mal angetestet, benötige ich momentan aber nicht.

DNS Benötigst Du, weisst es nur noch nicht. Ohne DNS kannst du kaum im Internet surfen. Du müsstest Dir alle IP Adressen merken, denn www.google.de würdest Du nicht mehr finden...

Zunächst mal sind hier 3 Parteien beteiligt:

Internet <---> Fritz Box
LAN <---> Fritz Box
Internet <----> LAN

Die Box braucht mindestens DNS ins Internet und ins LAN (als DNS Proxy für die clients)

Die Rückwege werden nicht automatisch eingestellt. Die sind aber per default freigeschaltet, da die Box die Default Regeln Ausgehend und Ankommend auf PERMIT hat, also sperrt sie erst mal gar nichts ausser die explizit mit Block Regeln behandelten Broadcast & Windows SMB Ports. Alles Andere ist offen.

Warum man trotzdem von aussen nicht an das LAN kommt liegt nur an den fehlenden Port Forwarding Rules und dem NAT.

Das ist aber nicht wirklich eine sichere Konfig, da jedes Programm am PC / auf der Box unkontrolliert eine beliebige Verbindung nach aussen aufbauen kann (Viren, Trojaner etc. können, wenn sie auf einer Rechner gelangen so das LAN für einen Angreifer öffnen).

Eine 100% Sicherheit gibt es nicht, auch wenn man alle Ports bis auf 1 einziges schliesst, kann man immer noch genau dieses eine zum Aufbau eines Tunnels nutzen. Man sollte es aber Angreifern so schwer wie möglich machen...

Also was ist wie zu schützen, wo sind die Schwachpunkte:

zunächst mal die Lücken der Box: (nachladen von Plugins, tr069 Fernkonfigurationsfunktionen durch Provider, automatische Firmwareupdates, offene UDP Portranges für alle möglichen IM / VoIP, WebTV, UpnP Auto-Konfig der Firewall, Zulassen jedweden ausgehenden Verkehrs per Default...)

Dann das LAN: Fehlende / falsch konfigurierte Application Level Firewalls auf den PC's, Bedrohungen durch automatische Updates bei OS, SW-Paketen, Plug-ins, Virenscanner & Co. Man weiss nie, was einem da untergeschoben wird. Meistens sind es wichtige Lückenschliesser. Man kann aber auch Trojaner damit nachladen. Hinzu kommt noch das zurecht kritisierte ständige Nach-Hause-Telefonieren der installierten Software - und da ist nicht nur MS ein böser Bube, das gibt es auch bei Linux & Co.

Eine gute / gut konfigurierte Firewall kann zumindest die versteckte Kommunikation sichtbar machen und auch gezielt verhindern.

Man muss sich aber schon die Mühe machen und die Logs auswerten und entsprechend handeln.

Mit Default Einstellungen ist das nicht machbar. Die AVM Firewall ist stumm wie ein Fisch, mit der ist eine qualiifizierte Auswertung des Verkehrs nicht möglich. Wenn man also ernsthaft einen Schutz einrichten will, kommt man nicht um iptables oder einer HW-Lösung herum.
 
Ich sehe eigentlich nur zwei Möglichkeiten für dich:

1. Du nutzt die "einfachen Möglichkeiten", um "relative" Sicherheit zu schaffen, wie auch im Beitrag von cando beschrieben, also:
UNPN darf keine Änderungen vornehmen, TR069 usw rausnehmen, wenn möglich auch VoIP-Ports nicht weiterleiten (sofern du kein VoIP nutzt).
Wenn du dann noch eingehendes ICMP sperrst, ist deine Box vom Internet per Ping nicht erreichbar, und das ist bei fast allen "Angriffen" der erste Versuch. Damit hast du nach meiner Meinung für den "Hausgebrauch" eine recht gute Sicherheit "von außen". Wenn du das noch mit "innerer Sicherheit" (z.B. einer Personal Firewall, die von deinem PC ausgehende Verbindungen meldet) koppelst bist du m.E. schon "ziemlich gut" geschützt. (Klar, das ist immer relativ ;-))

2. Du arbeitest dich intensiver in die Materie ein, dann kannst versuchen eine genau für deine Anforderungen "möglichst sichere" Konfig zu bauen. Wie die Vorredner schon beschrieben haben, ist das nicht so einfach, denn du müsstest dafür hauptsächlich noch den ausgehenden Verkehr beschränken, der die "Löcher" in deine Firewall macht. Bedenke: Auch Logfiles von "verworfenen" oder "verdächtigen" Verbindungen machen nur dann wirklich Sinn, wenn man sie "lesen" kann. Das ist nicht ganz so einfach, aber wenn es dir liegt und Spaß macht, kann das natürlich dein Weg sein und die zu erreichende Sicherheit ist damit natürlich noch viel höher...

Jörg
 
Hi, da VirtualIP zusammen mit dnsmasq bei mir nicht richtig funktioniert, werde ich nun zu AVM-Firewall wechseln. Anscheinend gibt es im GUI aber noch einen komischen Bug. In der Spalte "Bearbeiten" ist ein Mülleimer-Sysmbol, welches die Regeln nicht bearbeiten lässt, sondern sie (sogar ohne Nachfrage) löscht. Es wird auch "delete rule" als Tooltip angezeigt.
Muss ich um eine Regel zu ändern diese immer löschen und neu anlegen? Ich hab dazu noch einen Screenshot angehängt:
 
Zuletzt bearbeitet:
O.k, ungünstig gewählte Spaltenüberschrift, das gebe ich zu. Allerdings war für mich die Funktion eines Mülleimers trotzdem klar ;-)
Letzlich "teilen" sich die FW-Gui und das Portforwarding ja die GUI, aber ich meine, die Tabelle würde komplett neu aufgebaut, das könnte also geändert werden.

"Normal Bearbeiten" lassen sich die Regeln direkt in den Feldern davor...

Jörg

EDIT: Gerade nachgeschaut, fürs Forwarding gbt es eine eigene Tabelle, du könntest also in Zeile 193 der Datei make/avm-firewall/files/root/usr/lib/cgi-bin/avm-firewall.cgi das so ändern, dass da statt
Code:
$(lang en:"Configure" de:"Bearbeiten")
steht
Code:
$(lang en:"Delete" de:"L&ouml;schen")

Übrigens: Wenn du da drauf klickst, wird (wie ich das von Freetz gewohnt bin) die Zeile nur aus der Anzeige gelöscht. Erst ein "Übernehmen" löscht wirklich, einfach neu auf die FW-GUI und alles ist wieder wie vorher!
 
Zuletzt bearbeitet:
Ist schon okay, jetzt habs ich's kapiert! Zuerst hatte ich nicht bemerkt, dass man die Regeln editiert, indem man da einfach in die Textboxen hineinschreibt.
Und die gelöschen Regeln kommen erst wieder, wenn man rechts im Menü auf "AVM-Firewall" klickt, und nicht wenn man zwischen Firewall und Forwarding wechselt. Muss mich zuerst noch daran gewöhnen
 
Zuletzt bearbeitet:
hab da auch mal eine Frage zu iptables..
Ich habe meine 7170 mit Freetz und einigen Package unter anderem eben die AVM Firewall auf die Box gebracht.
Beim erstellen des Image habe ich aber kein Paket iptables gefunden..!
Kann ich das nachrüsten oder wie geht das?
 
Da mußt du im Hauptmenu von menuconfig noch die erweitere Konfiguration aktivieren. Dann findest du es unter pakete/unstable.
 
OK Danke also nochmal von vorn das Image....:(
 
OK Danke also nochmal von vorn das Image....:(

Von vorn nur, wenn du alles wieder gelöscht hast. Sonst geht eine neuerstellung ziemlich fix, wenn du keine wirklich grundlegenden Sachen geändert hast wie die toolchain oder die Box selber.
 
Nö noch nichts gelöscht... also werde ich nach iptables suchen wie hier geschrieben...

Ob ichs brauche weiß ich noch nicht - evtl. tut es die interne Firewall von AVM ja schon..

Bisher habe ich IPCop als extrene FW genutzt und das wollte ich ändern also ohne IPCop so habe ich nicht noch ein zusätzliches Gerät.
 
habe es nun implementiert aber nun kommt immer der Fehler 1 und er baut das Image nicht.
Sieht so aus als wenn das Image zu groß geworden ist, habe nun aber schon einige Packages wieder raus genommen aber der Fehler kommt immer noch..!

Was sollte ich noch tun, stehe etwas im Wald
 
hast du in der 8 oder 16 mb flash??
wundere mich das dein platz volläuft...
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.