ComputerBase Menü
Aktuelles

Reicht die FritzBox Firewall aus oder nicht

D

Daniel Albert

Lt. Commander
Registriert
Okt. 2007
Beiträge
1.188
Hallo, ich stelle mir gerade die Frage ob die Firewall einer Fritzbox 7490 ausreicht um genügend Schutz zu bieten wenn mal jemand im Netzwerk eine email mit einem Trojaner öffnet und den Link anklickt.

Ich hatte heute jemanden am Telefon der Hardware Firewalls genau dafür vertreibt die hinter einer Fritzbox platziert werden und gegen solche Probleme schützt. Da ja die Fritzbox immer weiter entwickelt wird ist meine Frage ob ich mit geänderten Einstellungen genau das auch absichern kann.

Wer kann mir dabei bitte helfen ?
 
Nein, aber auch eine Hardware-Firewall würde ich mich in dem Fall auch nicht verlassen... Wenn der Schädling mal im System ist, kann er eh viel anstellen. Und eine Hardware-Firewall, die das unterbindet, wird mir vermutlich sowieso viel zu restriktiv eingestellt sein.

Der größte Schutz, den die Fritz!Box, so wie jeder andere Router bietet, ist eh NAT. Aber das schützt halt nur von Außen. Und irgendwelche Firewall-mäßigen Regeln im Router zu konfigurieren, das würde ich kaum jemandem empfehlen.
 
Kommt auch auf den Kontext drauf an, wenn Leute irgendwas anklicken würde ich mich aber nicht auf irgendwelche Firewalls verlassen, das ergibt dann ganz andere Probleme.
 
  • Gefällt mir
Reaktionen: Daniel Albert und der Unzensierte
Klingt nach voodoo. Vor so websites kann dich, egal welche firewall, nur bedingt schuetzen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: AndyMutz, Engaged, King_Rollo und 2 andere
Brain.exe + Windows Defender - eventuell noch Pi-hole - der Rest ist Schlangenöl.
 
Daniel Albert schrieb:
wenn mal jemand im Netzwerk eine email mit einem Trojaner öffnet und den Link anklickt.
Zum Vergrößern anklicken....
Gegen dumme Menschen hilft auch eine Firewall nicht. Die Firewall ist erstmal nur dafür da, Verbindungen von außen zu blockieren. Wenn von innen jemand fragwürdige Links anklickt und/oder Dateien runterlädt, kann auch die beste Firewall nicht viel mehr machen als die Virenschutz-Software auf dem PC. In vielen Fällen heißt das: gar nichts.

Daniel Albert schrieb:
Ich hatte heute jemanden am Telefon der Hardware Firewalls genau dafür vertreibt die hinter einer Fritzbox platziert werden und gegen solche Probleme schützt.
Zum Vergrößern anklicken....
Klar behauptet der dann, du bräuchtest eine bessere Firewall. Bei einer Fritzbox nehme ich mal an, es geht hier um den privaten Einsatz? Dann ist eine Hardware-Firewall absolut unnötig. Um wirklich nützlich zu sein, braucht eine Firewall nämlich sowieso immer jemanden, der sich damit auskennt und sie verwaltet. Sonst holst du dir nur mehr Probleme als es hilft.
 
Kommt drauf an: Enterprise Firewalls bieten schon einiges mehr als nur Portregeln für ein- und ausgehenden Verkehr. Über Web Content Filtering, Mail Proxy / Transfer Agent, Fileblocking, Applicationfiltering etc. gibt es mehr als nur ausreichend Wege, ein Netzwerk auch vor den eigenen Anwendern zu schützen.

Eine solche Mail wie im Startbeitrag würde in unserem Intranet den Adressaten gar nicht erst erreichen. Geht schon! Aber für den Heimgebrauch ist das Overkill und weder die Hardware noch die extrem teuren Lizenzen will irgendein Privatuser zahlen - von der sehr aufwendigen Konfiguration und Wartung mal abgesehen. Und natürlich kann man bei mangelhafter Kompetenz mit einer solchen Lösung auch mehr Schaden anrichten als verhindern. Und eine Fritzbox oder irgendein anderer gängiger Consumer WLAN-Router ist dagegen vielleicht narrensicher, kann aber auch fast nichts.
 
  • Gefällt mir
Reaktionen: snaxilian, Mhalekith, chrigu und 3 andere
Adblocker + Pihole wären schonmal ein guter Anfang.. Und die User zu sensibilisieren, nicht auf sowas zu klicken.
 
  • Gefällt mir
Reaktionen: Engaged
Fliz schrieb:
Und die User zu sensibilisieren, nicht auf sowas zu klicken.
Zum Vergrößern anklicken....
Leichter gesagt, als getan. Bei uns in der Firma hat mal jemand versucht auf den Link zu klicken, der in der Beispiel-Mail war, die als Anschauung an den Warnhinweis angehangen war, auf welche Art von Mails man achten solle und welche Links man keinesfalls anklicken darf ;).
 
  • Gefällt mir
Reaktionen: AndyMutz
TheManneken schrieb:
Über Web Content Filtering, Mail Proxy / Transfer Agent, Fileblocking, Applicationfiltering etc. gibt es mehr als nur ausreichend Wege, ein Netzwerk auch vor den eigenen Anwendern zu schützen.
Zum Vergrößern anklicken....
Eh da ein normaler Anwender richtig und brauchbar mit arbeiten kann dauert es vermutlich mehrere Jahre.
 
  • Gefällt mir
Reaktionen: Daniel Albert
Möglich ist so ein Schutz mit einer professionellen Firewall durchaus. Die Sache hat aber einen Haken: Sicherheit kommt nicht durch die bloße Existenz einer entsprechenden Firewall, sondern durch die fachgerechte Konfiguration. Wenn du dich mit solchen Systemen nicht auskennst, wirst du niemals die Sicherheit erreichen, die eine professionelle Hardware-Firewall bieten könnte, im Zweifelsfalle baust du sogar noch mehr Löcher ein, weil du mit der deutlich umfangreicheren Konfigurationsoberfläche überhaupt nicht klarkommst. Deswegen sitzen in Firmen, die solche Firewalls einsetzen, ausgebildete oder studierte IT-ler, die genau dafür verantwortlich sind - ggfs auch über IT-Dienstleister gebucht.

Otto Normal hat keine Ahnung was zB bei einer Fritzbox im Hintergrund passiert, weil die WebGUI lediglich Wizards mit Eingabemasken bietet, die alles andere mit Skripten automatisch ohne Zutun und Wissen des Anwenders einrichten. Die eigentliche "Firewall" kann man bei Fritzbox und Co beispielsweise gar nicht sehen, geschweige denn ändern, sondern nur eine für Laien lesbare Übersicht mit vordefinierten Eingabemöglichkeiten, bei denen Fehlkonfigurationen durch die Wizards verhindert werden.

Gegenbeispiel: Bei einer professionellen Hardware-Firewall kann man sich mit einer einzigen falschen Einstellung vollständig aus dem System aussperren und erhält in der Regel keinerlei Warnhinweis dazu. Da hilft dann nur noch ein Reset auf den Auslieferungszustand...


Die größte Schwachstelle in einem Netzwerk ist und bleibt der Mensch. Man kann nicht alle blauäugigen Fehlbedienungen eines Anwenders, der blind auf irgendwelche Links klickt oder sich auf dubiosen Seiten tummelt, verhindern. Da hilft nur Aufklärung, Bewusstsein und Disziplin.
 
  • Gefällt mir
Reaktionen: 0-8-15 User, AndyMutz, Der Lord und 4 andere
Daniel Albert schrieb:
Ich hatte heute jemanden am Telefon der Hardware Firewalls genau dafür vertreibt die hinter einer Fritzbox platziert werden und gegen solche Probleme schützt.
Zum Vergrößern anklicken....

Ich glaube der will nur sein Zeug verkaufen und denkt sich solche Geschichten aus.
Die meisten haben halt von Technik keine Ahnung und lassen sich gern so was aufschwatzen. :lol:
 
  • Gefällt mir
Reaktionen: Engaged
Fliz schrieb:
Adblocker + Pihole wären schonmal ein guter Anfang.. Und die User zu sensibilisieren, nicht auf sowas zu klicken.
Zum Vergrößern anklicken....
Was ist denn Pihole ?
Ergänzung ()

OK Danke für eure schnellen Antworten
 
Daniel Albert schrieb:
was ist Brain.exe (Gehirn gemeint)
Zum Vergrößern anklicken....
Ja, damit ist das Gehirn gemeint. Also "nachdenken bevor man irgendwas anklickt" = brain.exe

Daniel Albert schrieb:
Was ist denn Pihole ?
Zum Vergrößern anklicken....
Pihole ist ein Filter-DNS. DNS ist das System zur Namensauflösung im Internet. Wenn du im Browser "computerbase.de" eingibst, fragt der Browser bzw. das Betriebssystem bei einem DNS-Server nach welche IP-Adresse zu "computerbase.de" gehört und damit wird dann eine Verbindung aufgebaut. Das gilt für "computerbase.de", aber eben auch für "werbung.bla", "tracker.blubb" und "virenverseucht.pech".

Pihole ist eine Software, die man zB auf einem Raspberry PI (Kleinst-PC, namensgeber für "pi"-hole) installiert und dann als DNS nutzt anstelle zB den DNS beim Provider oder google. Über Filterlisten kann pihole dann entscheiden ob er zu "computerbase.de" tatsächlich die korrekte IP-Adresse zurückliefert und man somit auf computerbase surfen/posten kann oder ob eine Anfrage zu "virenversucht.pech" geblockt und mit einer falschen IP-Adresse beantwortet wird. So wird ein Verbindungsaufbau zu dieser gefilterten Webseite effektiv blockiert.


Stell dir pihole wie ein gefiltertes Telefonbuch vor. Du willst nicht, dass deine Lebensgefährtin bei ihrem Ex-Freund anruft und überschreibst die Telefonnummer neben seinem Namen im Telefonbuch mit "000-00000000". Nu sucht deine Partnerin nach seiner Telefonnummer, schlägt das Telefonbuch auf und ruft bei "000-00000000" an => Kein Anschluss unter dieser Nummer.
Der Vergleich hinkt natürlich etwas, aber ich denke es ist klar wie pihole funktioniert.
 
  • Gefällt mir
Reaktionen: AndyMutz, end0fseven, tollertyp und 4 andere
Raijin schrieb:
Stell dir pihole wie ein gefiltertes Telefonbuch vor. Du willst nicht, dass deine Lebensgefährtin bei ihrem Ex-Freund anruft und überschreibst die Telefonnummer neben seinem Namen im Telefonbuch mit "000-00000000". Nu sucht deine Partnerin nach seiner Telefonnummer, schlägt das Telefonbuch auf und ruft bei "000-00000000" an => Kein Anschluss unter dieser Nummer.
Der Vergleich hinkt natürlich etwas, aber ich denke es ist klar wie pihole funktioniert.
Zum Vergrößern anklicken....
Das klingt eher nach dem Bearbeiten der hosts-Datei.
Ich finde ein "Du entfernst die unerwünschten Teilnehmer einfach aus dem Telefonbuch, also kannst du sie nicht mehr anrufen, weil du ihre Nummer nicht kennst." passt da eher. ;-)
(Auch wenn ein PiHole technisch ja wohl eher eine Blacklist ist und ein Telefonbuch in dem Kontext als Whitelist zu sehen ist)
 
  • Gefällt mir
Reaktionen: Raijin und madmax2010
tollertyp schrieb:
Das klingt eher nach dem Bearbeiten der hosts-Datei.
Zum Vergrößern anklicken....
Und die hosts-Datei der Lebensgefährtin liegt wo? Ich wollte jetzt keine Lobotomie als Analogie heranziehen :lol:
 
  • Gefällt mir
Reaktionen: TheManneken und madmax2010
schau: eine firewall hat einen port enteder offen, oder eben ned.
aber die firewall (router bzw hardware) weiss ned, wer den port benutzt.
das weiss die software firewall am client.
ein router, selbst die billigsten, wird standardmäßig alles blocken, was von außen kommt, ohne von innen eine anforderung zu haben.
aber der router weiss ned, ob "useragent.exe" oder "malware.exe" den port benutzt.

die software firewall am client hingegen weiss das, aber kann durch exploits ausgehebelt werden.
und standardmäßig läßt die windows firewallk alles "von innen nach außen" durch, schließlich will ms ja "nach hause telephonieren" keineswesgs abdrehen, aber das ist änderbar.

aber jede windows firewall wird zuuverlässig alles von außen, ohne anforderung von innen, blocken.

beispiel für anforderung von innen: surfen, schlielich willst eine reaktion, wennst wo draufklickst.
beispiel von verkehr "von außen, ohne anforderung von innen: wurm(irgendwas).exe, der klopft an, ohne eingeladen worden zu sein.

conclusio: als user bist du hinter der windowa firewall plus dem router hinter zwei instanzen ganz gut beschützt.
etwas, was von außen durch will, müßte a: den router exploiten, und b: windows detto.
wennst etwasa mehr kontrolle haben willkst, was von innen nach außen geht: binisoft (jetzt malwarebytes) windows firewall control. ist freeware
das ist keine firewall, es benutzt die recht gute windows firewall, aber du hast mehr kontrolle, was raus geht (wenn eingeschalten!) klar, geht so auch, aber um welten mühsamer.
vier modis
high filtering: netzwerk tot, nix geht rein und raus, entspricht: netzwerkkarte deaktiviert
medium filtering: ALLES, was keine "erlaubt" regel hat, wird GEBLOCKT
low filtering: ALLES, was keine "verboten" regel hat, wird ERLAUBT
no filtering: entspricht firewall deaktiviert

klar brauchts nachdenken, was man erlaubt oder verbietet, aber so ist das, wenn man manull eingreifen will.
aber die "standardregeln" lassen sich mit einbem klick wiederherstellen.
und der regelsatz läßt sich backuppen und somit exportieren.

und die regeln sind sinknormale windows firewall regeln, d.h, funktionieren prinzipiell auch ohne die firewall control software.
so man es deinstalliert, ksann man sich aussuuchen, ob regeln bvestehen bleiben oder auf standard gesetzt werden
merde, schonwieder das vielfache von dem getippt, was ich vorhatte. passiert mir allerdings öfter.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F!r3f0x
FritzBox 7490 als IP-Client hinter VodafoneBox nicht möglich
Antworten
9
Aufrufe
3.230
F!r3f0x
F!r3f0x
L
Telefonbuchsen oder andere Lösung?
Antworten
15
Aufrufe
1.564
thom53281
thom53281
A
Fritzbox plus Personal Firewall
Antworten
12
Aufrufe
3.108
Lextor
Lextor
ThomasK_7
Fritzrepeater 100 oder weitere FritzBox 7490 fürs Telefon?
Antworten
9
Aufrufe
1.500
ThomasK_7
ThomasK_7
E
Mobilfunknummern: Kosten verhindern / Fritzbox
Antworten
13
Aufrufe
4.330
ClubMenthol
ClubMenthol
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz