Habt ihr eure FRITZ!Box Firewall im Stealth Modus

[IlluminatusUnus]

Hallo liebes Forum,

ich musste meine FRITZ!Box zurücksetzen, und habe dabei alle Einstellungen überprüft.

Es gibt bei den Firewall Filtern die Option, die Firewall in den Stealth-Modus zu schalten. Benutzt ihr diese Möglichkeit?


Ich habe im Forum nichts dazu gefunden. Ich möchte auch vorweg nehmen, dass diese Option die Sicherheit grundsätzlich weder gefährdet noch verbessert.

Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich. Wie seht ihr das?

 

[madmax2010]

Ich denke, du solltest deine Firewall so einstellen wie sie deinen ANforderungen entspricht. Technische Entscheidungen sind nicht demokratisch sondern von reellen Anforderungen getrieben.

 

[Korben2206]

Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich. Wie seht ihr das?

Wieso?
Je unsichtbarer du nach draußen bist, desto besser (und meiner Meinung nach auch sicherer). Man sollte nur das nach außen preisgeben was unbedingt sein muss.

 

[Engaged]

Ist das dieses ICMP Pakete verwerfen?
Braucht man das für irgendwas als normaler User? 🤔

 

[redjack1000]

Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich. Wie seht ihr das?

Sehe ich nicht so.

Cu
redjack

 

[dahkenny]

Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich.

Selten so gelacht Ein Hacker bzw. jemand mit bösen Absichten bedankt sich über jede Antwort, die er via ICMP erhält. Würde ich, sofern nicht anders benötigt, immer verwerfen. Wie oben schon genannt, je weniger Daten, desto besser.

 

[Lumiel]

Ich habe es aktiviert. Eine technische Notwendigkeit habe ich dafür nicht gesehen, irgendwelche Nachteile hat es mir seit her auch nicht gebracht.

VG

 

[CoMo]

Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich. Wie seht ihr das?

Das mag lustig klingen, sehe ich aber genau so. Wir sind Teilnehmer in einem großen Netzwerk, warum sollten wir da Pings verwerfen? Wir benutzen doch auch ständig ICMP, um andere HOSTS zu pingen. Wenn alle ICMP verwerfen würden, würde das Internet wesentlich schlechter funktionieren.

 

[Tom_123]

Hi,

warum sollten Fremde meinen Internetanschluss diagnostizieren? Von daher auf ICMP Anfragen gibt es bei mir keine Antwort, weil es Andere nicht zu interessieren hat, ob dieser gerade in Betrieb ist oder nicht. Mein Provider sieht dies auch ohne ICMP Response

 

[CoMo]

ICMP ist aber eben nicht nur Ping. ICMP erfüllt auch weitere Funktionen im Netzwerkverkehr, z.B.

4 = fragmentation needed and DF set;

http://users.cis.fiu.edu/~vince/cgs4285/class13.html

Die dafür existierenden Workarounds und zusätzlichen RFC's existieren nur, weil es eben immer noch Admins gibt, die es für ne gute Idee halten, ICMP zu verwerfen.

warum sollten Fremde meinen Internetanschluss diagnostizieren?

Wie willst du mit ICMP irgendwas diagnostizieren? Ich brauche ich nur auf einem beliebigen Port einen TCP-Handshake starten. Da dein Router die rejected und nicht verwirft, sehe ich so sowieso, ob du online bist oder nicht.

 

[xexex]

Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich. Wie seht ihr das?

Es bringt schlichtweg nichts, außer mögliche Probleme bei der Diagnose für sich selbst. Wenn du die Anfrage nicht beatwortest, ist es halt eine ausgebliebene Antwort, trotzdem ist dann klar, dass an der Adresse ein Gerät hängt.

Dem Hacker kann es nur egal sein, die Funktion bietet null Sicherheit, aber mögliche Probleme.

 

[chr1zZo]

Die Baby Firewall der Fritte ist mir zu LOW. Deswegen steht hinter der Fritte ne Hardware Firewall, und von dort aus gehts weiter mit LAN/WLAN.

 

[CoMo]

Was kann die denn mehr, was du benötigst?

 

[xexex]

Da dein Router die rejected und nicht verwirft, sehe ich so sowieso, ob du online bist oder nicht.

Der springende Punkt an dieser Stelle ist, selbst wenn der Router selbst diese verwerfen würde, verwirft der Router davor diese Pakete nicht. Somit ist der "Stealth" Modus nutzlos, der Router davor gibt mir bereits die gewünschte Antwort.

 

[chr1zZo]

Was kann die denn mehr, was du benötigst?

Ordentlicher GEO Block meiner Wahl, IPS, VLAN, DPI, tieferes Logging sowie Protokollierung, TLS Inspection uvm.

 

[CoMo]

TLS Inspection

DPI

Was setzt du da genau ein?

 

[chr1zZo]

SOPHOS Desktop Edition. Das teuerste ist die Lizenz. Ich bekomm es halt aus der Firma günstiger, aber wenn man weis was ne 1U/2U Firewall leistet und was so abgeht, und im Unternehmen die Regeln ja wesentlich strenger sind, sehe ich es aus meiner Sicht auch gut für Privat. Habe bei bekannten aber auch ne günstigere Alternative von pfsense/netgate verbaut, die habe viele Zusatz Module.

 

[freshprince2002]

ICMP ist aber eben nicht nur Ping. ICMP erfüllt auch weitere Funktionen im Netzwerkverkehr, z.B.

4 = fragmentation needed and DF set;

blabla...

Wenn du so ein ICMP Paket erhälst (bzw. erhalten sollst), dann hast du ja bereits vorher ein anderes Paket raus geschickt.
Damit bekommst du dieses ICMP Paket auch, wenn nötig, zugestellt, da die NAT den Port in dem Moment offen hält.

So ein Stealth Mode ist dafür da, unangefragte eingehende Pakete zu Ports, die nicht durch eine vorhergehende abgehende Verbindung absichtlich geöffnet wurden, zu verwerfen.
Und solchen Müll bekommt jeder Access eine große Menge über den Tag verteilt.

Natürlich ist diese Funktion damit sinnvoll.

 

[CoMo]

Damit bekommst du dieses ICMP Paket auch, wenn nötig, zugestellt, da die NAT den Port in dem Moment offen hält.

So ein Stealth Mode ist dafür da, unangefragte eingehende Pakete zu Ports, die nicht durch eine vorhergehende abgehende Verbindung absichtlich geöffnet wurden, zu verwerfen.

Thema verfehlt. Ports gibt es bei TCP und UDP. ICMP kennt keine Ports. Und ICMP kennt auch keine Verbindungen, denn es ist ein verbindungsloses Protokoll. Was du da schreibst, ist also völliger Unsinn.

 

[emulbetsup]

Es bringt schlichtweg nichts, außer mögliche Probleme bei der Diagnose für sich selbst. Wenn du die Anfrage nicht beatwortest, ist es halt eine ausgebliebene Antwort, trotzdem ist dann klar, dass an der Adresse ein Gerät hängt.

Dem Hacker kann es nur egal sein, die Funktion bietet null Sicherheit, aber mögliche Probleme.

Eben!
ICMP (das Hackerprotokoll narf) wird auch für die MTU-Discovery verwendet, wovon gerade DSL-Nutzer profitieren könnten. DSL hat lediglich eine MTU von 1.492 Byte - Gigabit-Ethernet bekanntermaßen per Default 1.500 Byte.

Hier ab etwa 01:24:00

Mit IPv6 hat der Spuck hier übrigens ein Ende, weil es keine Fragmentierung mehr geht. Klar kann man dann ICMPv6 immer noch deaktivieren, aber dann geht das Internet halt gar nicht mehr, statt einfach nur schlecht.