ComputerBase Menü
Aktuelles

Habt ihr eure FRITZ!Box Firewall im Stealth Modus

Habt ihr eure FRITZ!Box Firewall im Stealth Mode?

  • Umfrageteilnehmer
    53
I

IlluminatusUnus

Gast
Hallo liebes Forum,

ich musste meine FRITZ!Box zurücksetzen, und habe dabei alle Einstellungen überprüft.

Es gibt bei den Firewall Filtern die Option, die Firewall in den Stealth-Modus zu schalten. Benutzt ihr diese Möglichkeit?


Ich habe im Forum nichts dazu gefunden. Ich möchte auch vorweg nehmen, dass diese Option die Sicherheit grundsätzlich weder gefährdet noch verbessert.

Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich. Wie seht ihr das?
 
Ich denke, du solltest deine Firewall so einstellen wie sie deinen ANforderungen entspricht. Technische Entscheidungen sind nicht demokratisch sondern von reellen Anforderungen getrieben.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: dasTTS, NJay, bendonsky und 6 andere
IlluminatusUnus schrieb:
Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich. Wie seht ihr das?
Zum Vergrößern anklicken....
Wieso?
Je unsichtbarer du nach draußen bist, desto besser (und meiner Meinung nach auch sicherer). Man sollte nur das nach außen preisgeben was unbedingt sein muss.
 
  • Gefällt mir
Reaktionen: hiccups, aragorn92, dahkenny und eine weitere Person
IlluminatusUnus schrieb:
Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich.
Zum Vergrößern anklicken....
Selten so gelacht :D Ein Hacker bzw. jemand mit bösen Absichten bedankt sich über jede Antwort, die er via ICMP erhält. Würde ich, sofern nicht anders benötigt, immer verwerfen. Wie oben schon genannt, je weniger Daten, desto besser.
 
  • Gefällt mir
Reaktionen: hiccups und aragorn92
Ich habe es aktiviert. Eine technische Notwendigkeit habe ich dafür nicht gesehen, irgendwelche Nachteile hat es mir seit her auch nicht gebracht.

VG
 
IlluminatusUnus schrieb:
Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich. Wie seht ihr das?
Zum Vergrößern anklicken....

Das mag lustig klingen, sehe ich aber genau so. Wir sind Teilnehmer in einem großen Netzwerk, warum sollten wir da Pings verwerfen? Wir benutzen doch auch ständig ICMP, um andere HOSTS zu pingen. Wenn alle ICMP verwerfen würden, würde das Internet wesentlich schlechter funktionieren.
 
Hi,

warum sollten Fremde meinen Internetanschluss diagnostizieren? Von daher auf ICMP Anfragen gibt es bei mir keine Antwort, weil es Andere nicht zu interessieren hat, ob dieser gerade in Betrieb ist oder nicht. Mein Provider sieht dies auch ohne ICMP Response ;)
 
  • Gefällt mir
Reaktionen: freshprince2002, Engaged und aragorn92
ICMP ist aber eben nicht nur Ping. ICMP erfüllt auch weitere Funktionen im Netzwerkverkehr, z.B.

Code: 
4 = fragmentation needed and DF set;

http://users.cis.fiu.edu/~vince/cgs4285/class13.html

Die dafür existierenden Workarounds und zusätzlichen RFC's existieren nur, weil es eben immer noch Admins gibt, die es für ne gute Idee halten, ICMP zu verwerfen.

Tom_123 schrieb:
warum sollten Fremde meinen Internetanschluss diagnostizieren?
Zum Vergrößern anklicken....

Wie willst du mit ICMP irgendwas diagnostizieren? Ich brauche ich nur auf einem beliebigen Port einen TCP-Handshake starten. Da dein Router die rejected und nicht verwirft, sehe ich so sowieso, ob du online bist oder nicht.
 
  • Gefällt mir
Reaktionen: emulbetsup, Purche und xexex
IlluminatusUnus schrieb:
Ich denke ICMP-Kontrollfragen zu verwerfen statt zu beantworten ist sehr unhöflich. Wie seht ihr das?
Zum Vergrößern anklicken....
Es bringt schlichtweg nichts, außer mögliche Probleme bei der Diagnose für sich selbst. Wenn du die Anfrage nicht beatwortest, ist es halt eine ausgebliebene Antwort, trotzdem ist dann klar, dass an der Adresse ein Gerät hängt.

Dem Hacker kann es nur egal sein, die Funktion bietet null Sicherheit, aber mögliche Probleme.
 
  • Gefällt mir
Reaktionen: emulbetsup
Die Baby Firewall der Fritte ist mir zu LOW. Deswegen steht hinter der Fritte ne Hardware Firewall, und von dort aus gehts weiter mit LAN/WLAN.
 
CoMo schrieb:
Da dein Router die rejected und nicht verwirft, sehe ich so sowieso, ob du online bist oder nicht.
Zum Vergrößern anklicken....
Der springende Punkt an dieser Stelle ist, selbst wenn der Router selbst diese verwerfen würde, verwirft der Router davor diese Pakete nicht. Somit ist der "Stealth" Modus nutzlos, der Router davor gibt mir bereits die gewünschte Antwort.
 
  • Gefällt mir
Reaktionen: emulbetsup und CoMo
CoMo schrieb:
Was kann die denn mehr, was du benötigst?
Zum Vergrößern anklicken....
Ordentlicher GEO Block meiner Wahl, IPS, VLAN, DPI, tieferes Logging sowie Protokollierung, TLS Inspection uvm. :)
 
SOPHOS Desktop Edition. Das teuerste ist die Lizenz. Ich bekomm es halt aus der Firma günstiger, aber wenn man weis was ne 1U/2U Firewall leistet und was so abgeht, und im Unternehmen die Regeln ja wesentlich strenger sind, sehe ich es aus meiner Sicht auch gut für Privat. Habe bei bekannten aber auch ne günstigere Alternative von pfsense/netgate verbaut, die habe viele Zusatz Module.
 
CoMo schrieb:
ICMP ist aber eben nicht nur Ping. ICMP erfüllt auch weitere Funktionen im Netzwerkverkehr, z.B.

Code: 
4 = fragmentation needed and DF set;
blabla...
Zum Vergrößern anklicken....

Wenn du so ein ICMP Paket erhälst (bzw. erhalten sollst), dann hast du ja bereits vorher ein anderes Paket raus geschickt.
Damit bekommst du dieses ICMP Paket auch, wenn nötig, zugestellt, da die NAT den Port in dem Moment offen hält.

So ein Stealth Mode ist dafür da, unangefragte eingehende Pakete zu Ports, die nicht durch eine vorhergehende abgehende Verbindung absichtlich geöffnet wurden, zu verwerfen.
Und solchen Müll bekommt jeder Access eine große Menge über den Tag verteilt.

Natürlich ist diese Funktion damit sinnvoll.
 
freshprince2002 schrieb:
Damit bekommst du dieses ICMP Paket auch, wenn nötig, zugestellt, da die NAT den Port in dem Moment offen hält.

So ein Stealth Mode ist dafür da, unangefragte eingehende Pakete zu Ports, die nicht durch eine vorhergehende abgehende Verbindung absichtlich geöffnet wurden, zu verwerfen.
Zum Vergrößern anklicken....

Thema verfehlt. Ports gibt es bei TCP und UDP. ICMP kennt keine Ports. Und ICMP kennt auch keine Verbindungen, denn es ist ein verbindungsloses Protokoll. Was du da schreibst, ist also völliger Unsinn.
 
  • Gefällt mir
Reaktionen: emulbetsup
xexex schrieb:
Es bringt schlichtweg nichts, außer mögliche Probleme bei der Diagnose für sich selbst. Wenn du die Anfrage nicht beatwortest, ist es halt eine ausgebliebene Antwort, trotzdem ist dann klar, dass an der Adresse ein Gerät hängt.

Dem Hacker kann es nur egal sein, die Funktion bietet null Sicherheit, aber mögliche Probleme.
Zum Vergrößern anklicken....

Eben!
ICMP (das Hackerprotokoll narf) wird auch für die MTU-Discovery verwendet, wovon gerade DSL-Nutzer profitieren könnten. DSL hat lediglich eine MTU von 1.492 Byte - Gigabit-Ethernet bekanntermaßen per Default 1.500 Byte.

Hier ab etwa 01:24:00

Mit IPv6 hat der Spuck hier übrigens ein Ende, weil es keine Fragmentierung mehr geht. Klar kann man dann ICMPv6 immer noch deaktivieren, aber dann geht das Internet halt gar nicht mehr, statt einfach nur schlecht.
 
  • Gefällt mir
Reaktionen: CoMo
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Fritz!Box Firewall Blockiert trotz Portforwarding
Antworten
14
Aufrufe
3.692
Raijin
Raijin
bitfunker
Fritz!Box: Firewall nötig?
Antworten
17
Aufrufe
2.154
sunzi
S
echtmolli
Fritz!BOX Firewall?
Antworten
3
Aufrufe
900
phil.
phil.
Zantwischor
Zone Alarm oder Fritz Box Firewall?
Antworten
7
Aufrufe
9.031
FlorianB
FlorianB
Wischbob
FRITZ Box;Firewall nur bei Routerbertrieb?
Antworten
4
Aufrufe
918
Wischbob
Wischbob
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz