FritzBox-Firewall konfigurieren
 

Hallo,
ich benutze einen FritzBoxFon WLan-Router. Angeblich hat der auch eine Firewall.
Ich sehe jedoch lediglich eine Portfreigabe bei der ich keinen einzigen Port freigegeben habe. Trotzdem funktioniert mein Internetverkehr einwandfrei. Das dürfte doch eigentlich gar nicht sein, oder? Muss ich vielleicht noch irgendwo ein Häkchen setzen, damit die Portfreigaben wirksam werden?

Oder verstehe ich den Sinn einer Hardwarefirewall falsch?

Ich muss doch dem Router mitteilen auf welchen Ports ich etwas senden und empfangen will.

Wie funktioniert das hier?

Gruß, Uli

schon mal hier nachgeschaut oder nachgefragt ?

AVM - Service-Portale

AVM Service-Portal FRITZ!Box Fon WLAN

GUA

Danke GUA,
da hätte ich auch selber mal drauf kommen können :balla:

Jedenfalls steht dort ein sehr brauchbarer Hinweis: http://www.avm.de/de/Service/Service-Portale/Service-Portal/Fragen_an_die_Hotline/firewall.php?portal=FRITZ!Box_Fon_WLAN

Das heißt also, dass ich tatsächlich die Funktion einer Hardwarefirewall falsch verstanden habe. Sie schützt mich "lediglich" vor Angriffen AUS dem Internet...?

Wenn ich mir einen Trojaner gefangen habe, benötige ich zum Schutz also immer noch eine Software-Firewall. Verstehe ich das richtig?

Hallo,
ja genau, aber die Fritzbox hat auch selber eine Software-Firewalllösung für den ausgehenden Verkehr (fritz!protect), die eigentlich ganz gut ist. Die kann man über die Installations-CD aufspielen. Ich benutze aber KIS 6.0, da ich von dem Programm noch andere Features nutze (Antispam,Antispy)

Mit freundlichen Grüßen

franktd

Danke Franktd,
dann verstehe ich diejenigen nicht, die behaupten man bräuche keine Softwarefirewall. Ich möchte denjenigen kennenlernen, der von sich mit Sicherheit behaupten kann, dass er keinen Trojaner an Bord hat...

Oder hebeln gute Trojaner ZoneAlarm und dergleichen aus?

Und wenn schon, dann ist man wenigstens vor dem Rest der Trojaner geschützt (sofern man seine Firewall gewissenhaft pflegt ;-) )

Oder verstehe ich wieder etwas falsch???

Sorry, wenn ich so blöde Fragen stelle, aber ich will mir sicher sein bei dem, was ich tue...

Eine Personal Firewall nützt dir bei einem einmalig kompromitierten Systen nichts mehr, auch wenn du sie noch so gewissenhaft pflegst. Der Trick ist, es nicht zu einer Infektion kommen zu lassen.

Als Lektüre sei dir z.B. das hier ans Herz gelegt:

ZIV der WWU Münster - Sinn und Unsinn von Desktop Firewalls

Lutz Donnerhacke: de.comp.security.firewall FAQ


Alternative wäre z.B. folgendes:

Windows-Dienste abschalten

Hallo Freddy,
es gibt keine blöde Fragen, nur blöde Antworten.;)
Zum Thema:
Ich kann mit Sicherheit behaupten, keinen Trojaner zu haben. Das verrät mir mein Virenscanner nach einem Komplettscan, den ich wöchentlich machen lasse, natürlich mit den aktuellsten Signaturen.
Es könnte sein, dass billige Firewalls und Virenscanner sich von guten Trojanern überlisten lassen. Man sollte zudem auch einen gesunden Menschenverstand haben und im Internet nicht alles Mögliche Downloaden und E-Mails von unbekannten Absendern gar nicht, auch nicht aus Neugier, öffnen. Über E-Mails werden bekanntlich die meisten Schädlinge eingeschleust.
Ich empfehle einen guten Virenscanner in Kombination mit einer guten Firewall, ich benutze KIS 6.0. Bin damit vollauf zufrieden, obwohl er etwas kostet.

Mit freundlichen Grüßen

franktd

Anhang: Die Ausführungen und aufgeführten Links von Glamatus sind meiner Meinung nach vollkommen richtig, aber nicht jeder Laie versteht das.

Unfug (sorry)
Du kannst nur mit Sicherheit behaupten, dass dein AV-Programm nichts gefunden hat, wenn's nichts findet.
Nicht mehr und nicht weniger!

liegt wohl daran, dass du dich mit dem Thema quasi noch sehr wenig beschäftig hast (was deine Eingangsfrage durchaus zeigt).
Ein prinzipielles Problem jeder "Personal"-Softwarelösung ist eben, dass hier einer Software geglaubt werden muss/soll, die auf dem möglicherweise veränderten System läuft.
Auch wenn ich auf meinen (Windows-)PCs unterschiedliche AV-Programm laufen habe, glaube ich, dass ich tatsächlich gänzlich ohne auskäme, denn ich nutze "brain.exe" und in ca. 15 Jahren Online-Zeit, hat dieses Tool bisher verhindert, dass irgendwas (anscheinend!) auf meine PCs gekommen wäre. Trotzdem trage ich gerne den Sicherheitsgurt AV-Programm. Aber im Auto auch noch eine rostige, sperrige Rüstung zu tragen, fällt mir wirklich nicht ein. Da halte ich lieber die Augen offen, als das mir ein undurchsichtiges Visier auf die Nase fällt.

Ich gebe aber zu, bei Kunden entweder aus Placebo-Gründen oder tatsächlicher Vermutung AV-Programme "ernsthaft" einzusetzen. Da "brain.exe" auch mal versagen könnte, nutze ich es eben auch.


Abgesehen davon: "Trojaner" != Backdoor

Hallo Moderator,
mir genügt diese Sicherheit.

Gruß frank

OK, danke für die interessanten Kommentare und die guten Links!
Das hilft mir alles schon sehr gut weiter :-)

An Shadow: Hast Du vielleicht ein paar DLLs zu Deiner Brain.exe, die Du mir zukommen lassen kannst ;-)?

Darf ich nochmal für mich zusammenfassen, ob ich alles richtig verstanden habe:
1. Eine Hardwarefirewall schützt mich vor Angriffen aus dem Netz.
2. Eine Softwarefirewall hat in dem Moment verloren in dem es ein Programm geschafft hat, dass ich es aus irgendeinem unerklärlichen Grund auf meinem Rechner starte. Somit ist eine Softwarefirewall tatsächlich Blödsinn.
3. Ein guter Virenscanner ist die einzige sinnvolle programmtechnische Unterstützung.
4. Ein Abschalten aller unnützen Dienste ist dringenst zu empfehlen.
5. Ein Trojaner ist kein Backdoor-Programm ;-) Trojanisches Pferd (Computerprogramm) - Wikipedia

Weitere Fragen dazu:
1. Es müsste doch theoretisch möglich sein, ein Auge darauf zu haben, was gerade versucht, Daten nach außen zu senden. Ist das auch praktisch möglich? Wenn ja, wie bzw. womit?
2. Gibt es andere Methoden zumindest festzustellen, ob etwas nicht stimmt?
3. Meine Frau benutzt den PC mit mir zusammen. Sie besitzt zwar auch eine Brain.exe, aber die ist in Sachen Sicherheitsbewusstsein in einem noch früheren Entwicklungsstadium, als meine. Bringt es sicherheitstechnisch etwas, ein eingeschränktes Benutzerkonto unter XP zu verwenden? Irgendetwas in mir sträubt sich dagegen, dies bei Microsoft zu erwarten ;-)

Gruß, Uli

Du darfst mich mit Nicknamen anreden, denn diese Meinung war nicht moderativ.
Auch ich gehe davon aus, dass momentan meine Computer virenfrei sind, weil nichts muckt, weder AV-Programm noch sonstwas zwackt.

Ach, an deiner Stelle würde ich da nach DLLs mit noch längerer Haltbarkeit Ausschau halten. Statistisch sind meine schon deutlich über der Hälfte :o
(und die statistische Schlußdekade ist meiner Erfahrung nach nur noch sehr bedingt brauchbar)
sollte, ja
Nein, nicht zwangsläufig.
Aber es gibt Malware, die eine PF umgehen oder aushebeln kann (kann und macht nicht jede Malware und auch nicht mit jedem PF-Programm).
Das primäre Problem ist meiner Ansicht nach einerseits ein blindes Vertrauen in eine PF und andererseits die Systembelastung und eventuell Instabilität durch eine PF.
Und natürlich bitte jedes Mehr an Programm, jedes Mehr an Systembelastung, jedes Mehr an Instabilität für sich schon wieder einmal einen eventuelle Angriffmöglichkeit mehr.
Sprich: Es wäre denkbar, das erst ein Fehler in einer PF einen Angrifff sogar ermöglicht, der sonst nicht möglich gewesen wäre.

nach meiner Meinung ist mehr nicht nötig. Wenn keine (wenn auch primitive) Firewall durch einen Internetrouter vorliegt, ist eine PF die über die Windowsfirewall hinausgeht m.E. auch unnötig, da erfahrungsgemäß meist auch der technische Sachverstand für eine "gute" Firewalleinstellung fehlt.
ich halte es für sinnvoller (entlastet auch das System)eine PF wäre dazu tatsächlich eine (recht einfache) Möglichkeit (wenn man weiß, wie sie zu bedienen ist).
Dito für die Tools von z.B. Sysinternals, die jetzt - Achtung - von MS aufgekauft sind.
Man arbeite immer NUR mit einem eingeschränkten Konto. IMMER und JEDER.
NUR administrative Tätigkeiten werden mit einem Administrator-Konto durchgeführt.
Schützt natürlich nicht vor allem, schützt aber auch vor versehentlichem Unfug, vor dem kein tolles Programm schützen kann.

Hallo,
zu deinen Fragen:
1. Das erledigt eine Softwarefirewall (auch Fritz! protect)
2. Eine sogenannte Internet Security
3. ja, aber da kann es auch Probleme geben

Global würde ich sagen: Vorsicht ist die Mutter der Porzellankiste!!!
Meine Frau ist vom gleichen Kaliber, aber einen 100% Schutz gibt es sowieso nicht.

Mit freundlichen Grüßen

franktd

Hallo,
was für ein Wort moderativ.

Gruß frank

Genau deshalb meine Frage: Wovor schützt mich das?
In Linux bin ich mir eigentlich ziemlich sicher, dass wirklich nichts passieren kann.

Und in Windows? Ich muss wirklich zugeben, dass ich mir noch nie ein eigenes Benutzerkonto eingerichtet habe :pfui:
(Zu meiner Entschuldigung: Ich habe niemals an "Windows-Sicherheit" geglaubt ;-) )

Kann man - wie bei Linux - das Installieren von Software gänzlich unterbinden? Wahrscheinlich wohl nicht. Wo liegen dann die Grenzen?


Bitte nicht streiten ;-)!

Google kennt's auch 1990 mal. :party:


Eigentlich sollten Programme tatsächlich nur von Administratoren installiert werden können, aber es gibt eben Programme die nicht installiert werden müssen, sondern nur "irgendwohin" kopiert werden müssen und andere, die Lücken ausnutzen.

Und es gibt leider Programme, da sind die Programmier seit über 10 Jahren zu **** sich an die Programmierrichtlinien zu halten, so dass die Software nicht (oder zumindest nicht einfach so) unter einem normalen Benutzerkonto läuft.

Sorry Uli,
es ist dein Topic, aber nur noch ganz kurz:

Das Wort gibt es nicht im Duden, bitte erstelle einen Beitrag bei Wikipedia!!!


@uli
Ich denke, das ansonsten doch alles auf der Hand liegt.

Gruß Frank

Sehr Offtopic
 

Na und? Sehr viele Wörter stehen nicht im Duden und es gibt sie trotzdem, der Duden ist weder vollkommen noch eine gesetzliche Grundlage unserer Wortwahl (dafür gibt abgesehen davon gar keine gesetzliche Grundlage)
Du verkennst ganz deutlich die Bedeutung dieses Büchleins.
wozu? Wikipedia ist kein Wörterbuch
<= Der Duden kennt keine Anhäufung von Ausrufezeichen, bitte erstelle einen Beitrag in Wikipedia, oh :eek: gibt es schon =>

Ausrufezeichen - Wikipedia
Terry Pratchett - Wikipedia

nimm's nicht persönlich :party:

Weiter bitte - wenn du dich auf den Schlips oder woanders hin getreten fühlst - per PN, ansonsten dieses Sache (moderativ/Duden/Wikipedia/!!!) in der Taverne bei einem virtuellen Getränk.

So, mal wieder was zum Thema. Nur zur Info und für mich zur Bestätigung, dass Benutzerkonten in Windows (aus Sicherheitsaspekten) Blödsinn sind.

Zitat Microsoft während der Einrichtung eines eingeschränkten Benutzerkontos:
Eventuell??? :headbang:

Das ist ja noch unsinniger, als eine Personal Firewall ;-)

Also: Ich werde weiter als Admin arbeiten. Dann brauche ich mich nicht jedes Mal nervig anmelden...

Schönen Abend noch!
Uli

PS. Habt ihr euch mitlerweile geeinigt ;-)?

Was soll daran denn unsinnig sein?
Ich glaube du hast das Thema Sicherheit von keiner Seite auch nur annähernd ausgeleuchtet.

Ein Nutzer kann kein Programm installieren
=> ein Nutzer kann kein Programm vorsätzlich installieren um den Betrieb zu stören
=> ein Nutzer kann kein Programm aus versehen installieren welches den Betrieb stören könnte.

Ist bei jedem OS so, welches ein Mindestmaß an Sicherheit mit sich bringt, egal ob NT-basierendes Windows, Linux, Mac-OSX, ...

Willst du als normaler (Hobby-)Nutzer - aber im Besitz des/eines Administratoren-Nutzernamens mit Passwort - ein Programm installieren, dann kannst du dies meistens mit "Ausführen als" trotzdem durchführen.

Nein, du bekommst von mir keine Bestätigung. Ganz sicherlich nicht.
*kopfschüttel*

Das kann man so nicht sagen. Rumgeleuchtet habe ich schon eine Menge. Aber offensichtlich habe ich das Puzzle falsch zusammengesetzt... ;-)

Ich gehe davon aus, dass ein Backdoor oder ein sonstiges Schadprogramm nur dann eine Chance hat, wenn das OS es zulässt, dass es sich irgendwie installieren kann. Ist das korrekt?

Dann denkst Du Dir wahrscheinlich: "Wieso surft er dann als Admin?"
Und da liegt dann wohl meine Fehleinschätzung zu dem folgenden Microsoft-Kommentar:
Ich dachte ein "eventuell" ist in etwa so wie "etwas kompromittiert"...
Scheinbar habe ich diese Aussage falsch interpretiert. Dann sorry für meine dummen Aussagen!
Aber was heißt das? Kann ich mich darauf verlassen, oder nicht?

Wenn ja und wenn meine obige Annahme zutrifft, dann müsste doch das System "theoretisch" schon durch ein eingeschränktes Benutzerkonto sicher sein...?

Das ist auch gut so. Ich wende mich ja an dieses Farum, damit mir jemand sagt, was richtig und was falsch ist :)

Bitte gib meinem kleinen Hirn noch eine Chance ;-)
Ich bin einfach nur bemüht zu verstehen und sinnvoll (auch im Sinne von nicht übertrieben) zu handeln...

ad 1) Wozu? Was bringt es dir das zu wissen? Und wenn du es weißt, kannst du die Informationen interpretieren? Und wenn du sie interpretieren kannst, kannst du die Menge an Informationen auch verarbeiten? Das ist letztendlich der Grund, warum ich gegen PFWs bin. Irgendwann kapituliert der Anwender und klickt auf OK ohne die abgefragte Information zu überprüfen. Wer hier das Gegenteil behauptet, den möchte ich gerne mal persönlich kennen lernen und mir seine Vollkommenheit demonstrieren lassen.

ad 2) Du kannst deinen Windows-PC sinnvollerweise von einem anderen Betriebssystem aus scannen. Hier bieten sich von CD bootende LINUX-Lösungen (Knoppix -> Knoppicillin, Ubuntu mit Antivir etc.) oder Windows PE an. Sicheres Neuaufsetzen wäre auch eine Möglichkeit. Letztendlich musst du aber immer (auch bei Linux) mit Sicherheitslücken rechnen.

ad 3) Sehr nützlich. Viele Schädlinge können sich dann nicht auf das gesamte System ausbreiten. Aber eingeschränkte Rechte sind nur eine Möglichkeit der Schadensbegrenzung. Ich verweise hier gerne auf die zehn goldenen Regeln zur Computersicherheit.

Eine 100-prozentige Sicherheit kann es jedoch systembedingt für kein Computersystem (auch nicht unter Linux) geben, das am (Inter)net mit anderen Systemen kommuniziert.

war nicht dumm, nur (so wie ich deine Aussage verstanden habe) falsch.

"eventuell" bedeutet hier "es kommt darauf an"
Ein Programm läßt sich installieren wenn es nichts macht, was einem normalen Benutzer verboten ist.
Wenn ein Programm sich nur in den Anwenderordner (oder in anderen Verzeichnissen auf die der Anwender Schreibrechte hat) kopiert, sich einen Link in den Anwenderdesktop, dem Anwender-Programmmenü, der Anwender-Schnellstartleiste setzt, dann kann auch ein normaler Benutzer ein Programm installieren (im professionellen Umfeld wird mitunter auch deshalb noch stärker eingeschränkt).

Nein, du kannst dich auf nichts verlassen, wenn man es genau nimmt.
Du darfst dich darauf verlassen wenn der PC immer aktuell ist, der "normale" Benutzer nicht gegen den Administrator arbeitet, wenn der normale Nutzer nicht auf bösen Seiten surft, nicht alle E-Mails aufmacht etc. Denn Lücken gibt es immer bzw. du kannst bei einem "bösen" Anwender und den sicherlich immer vorhanden Lücken nicht von einem wirklich geschützten System ausgehen.
Ist der Anwender "gut", dann darf man so tun als wäre das System sicher mit der Erkenntnis im Hinterkopf, dass diese Sicherheit nicht absolut ist.

//Hatte mal den Fall im einen Netzwerk, da war ein firmen-hierachisch hoch stehender ex-Win9x-Nutzer (die Windows-Kisten liefen aus zugesicherter Kompatibilität unter DOS/9x) und damals auch noch Mac OS-8/9-Nutzer damit nicht "zufrieden" keine Adminrechte auf dem Windows-Server und auf den W2k-Arbeitsstationen zu haben - die Rechte hatte ich ihm primär genommen, weil er immer versehentlich(!) Unfug getrieben hat (Firmen-Backup unterbrochen und ähnliches).
Dann musste ich mich wundern, warum seine, immer nur seine Kiste so "schräg" lief. Neu aufgesetzt, alles war in Ordnung, kurze Zeit später wieder unerklärliches Verhalten des PCs.
Bis ich durch Zufall an diesem Arbeitsplatz ein Computer-Heftchen fand, aufgeschlagen auf der Seite "wie werde ich zum Administrator, ohne Admin zu sein". (hat er nie geschafft, aber deutlich gestört)
Heft entfernt, PC neu aufgesetzt und seit dem läuft der PC :aplaus:

Sicherheit ist - siehe Beispiel - immer relativ.
Ein PC der "gestört" läuft ist auch immer (noch) anfälliger gegen Malware
Aber sicher doch. :daumenhoc

OK, jetzt habe ich's - denke ich - begriffen.
Wenn meine Zusammenfassung jetzt stimmt, kann der Thread von mir aus geschlossen werden...

Also:
1. Eingeschränktes Benutzerkonto erstellen
2. Aktuellen Virenscanner nutzen
3. Hochgepatchte ;-) brain.exe ständig im Hintergrund laufen lassen!
4. PF kann ausgeschaltet werden

Die 10 goldenen Regeln muss ich mir noch in Ruhe ansehen. Da scheinen ja auch noch ein paar sehr gute Tipps zu stehen...

Vielen Dank an alle.
Ist ein sehr gutes und angenehmes Forum :-)
Uli

Nein ;):
Die Windows-Firewall bleibt an, weil sie sowieso da ist.
Eine andere PF wird nicht ausgeschaltet, sondern gar nicht erst installiert.

Und nicht nur brain.exe wird gepatched, sondern auch das OS
Dies muss nicht automatisch gehen, man kann auch kurz warten ob es irgendwo Ärger gibt und eben erst nach 3-4 Tagen patchen, je nachdem wie gefährlich die Lücke ist. Aber eine veröffentlichte Lücke wird bekanntermaßen schnell noch versucht auszunutzen =>
Lücke groß/gefährlich => möglichst unverzüglich ("sehr zeitnah") patchen
Lücke minderwichtig => Patch kann auch ein paar Tage warten

Vielen Dank und einen schönen Sonntag noch!