Reicht die FritzBox Firewall aus oder nicht

[Daniel Albert]

Hallo, ich stelle mir gerade die Frage ob die Firewall einer Fritzbox 7490 ausreicht um genügend Schutz zu bieten wenn mal jemand im Netzwerk eine email mit einem Trojaner öffnet und den Link anklickt.

Ich hatte heute jemanden am Telefon der Hardware Firewalls genau dafür vertreibt die hinter einer Fritzbox platziert werden und gegen solche Probleme schützt. Da ja die Fritzbox immer weiter entwickelt wird ist meine Frage ob ich mit geänderten Einstellungen genau das auch absichern kann.

Wer kann mir dabei bitte helfen ?

 

[tollertyp]

Nein, aber auch eine Hardware-Firewall würde ich mich in dem Fall auch nicht verlassen... Wenn der Schädling mal im System ist, kann er eh viel anstellen. Und eine Hardware-Firewall, die das unterbindet, wird mir vermutlich sowieso viel zu restriktiv eingestellt sein.

Der größte Schutz, den die Fritz!Box, so wie jeder andere Router bietet, ist eh NAT. Aber das schützt halt nur von Außen. Und irgendwelche Firewall-mäßigen Regeln im Router zu konfigurieren, das würde ich kaum jemandem empfehlen.

 

[H3llF15H]

Wenn die Mail samt Trojaner am Client angekommen ist, ist es eh zu spät. Am besten hilft da immer noch das Gehirn zu verwenden.

 

[Fujiyama]

Kommt auch auf den Kontext drauf an, wenn Leute irgendwas anklicken würde ich mich aber nicht auf irgendwelche Firewalls verlassen, das ergibt dann ganz andere Probleme.

 

[madmax2010]

Klingt nach voodoo. Vor so websites kann dich, egal welche firewall, nur bedingt schuetzen.

 

[der Unzensierte]

Brain.exe + Windows Defender - eventuell noch Pi-hole - der Rest ist Schlangenöl.

 

[H3llF15H]

Vor so websitez kann dich, egal welche firewall, nur bedingt schuetzen.

An der Stelle würde ich noch drauf hoffen, dass Pi-Hole oder AdGuard Home mit enstprechenden Listen etwas schützen.

 

[Conqi]

wenn mal jemand im Netzwerk eine email mit einem Trojaner öffnet und den Link anklickt.

Gegen dumme Menschen hilft auch eine Firewall nicht. Die Firewall ist erstmal nur dafür da, Verbindungen von außen zu blockieren. Wenn von innen jemand fragwürdige Links anklickt und/oder Dateien runterlädt, kann auch die beste Firewall nicht viel mehr machen als die Virenschutz-Software auf dem PC. In vielen Fällen heißt das: gar nichts.

Ich hatte heute jemanden am Telefon der Hardware Firewalls genau dafür vertreibt die hinter einer Fritzbox platziert werden und gegen solche Probleme schützt.

Klar behauptet der dann, du bräuchtest eine bessere Firewall. Bei einer Fritzbox nehme ich mal an, es geht hier um den privaten Einsatz? Dann ist eine Hardware-Firewall absolut unnötig. Um wirklich nützlich zu sein, braucht eine Firewall nämlich sowieso immer jemanden, der sich damit auskennt und sie verwaltet. Sonst holst du dir nur mehr Probleme als es hilft.

 

[TheManneken]

Kommt drauf an: Enterprise Firewalls bieten schon einiges mehr als nur Portregeln für ein- und ausgehenden Verkehr. Über Web Content Filtering, Mail Proxy / Transfer Agent, Fileblocking, Applicationfiltering etc. gibt es mehr als nur ausreichend Wege, ein Netzwerk auch vor den eigenen Anwendern zu schützen.

Eine solche Mail wie im Startbeitrag würde in unserem Intranet den Adressaten gar nicht erst erreichen. Geht schon! Aber für den Heimgebrauch ist das Overkill und weder die Hardware noch die extrem teuren Lizenzen will irgendein Privatuser zahlen - von der sehr aufwendigen Konfiguration und Wartung mal abgesehen. Und natürlich kann man bei mangelhafter Kompetenz mit einer solchen Lösung auch mehr Schaden anrichten als verhindern. Und eine Fritzbox oder irgendein anderer gängiger Consumer WLAN-Router ist dagegen vielleicht narrensicher, kann aber auch fast nichts.

 

[Fliz]

Adblocker + Pihole wären schonmal ein guter Anfang.. Und die User zu sensibilisieren, nicht auf sowas zu klicken.

 

[Incanus]

Und die User zu sensibilisieren, nicht auf sowas zu klicken.

Leichter gesagt, als getan. Bei uns in der Firma hat mal jemand versucht auf den Link zu klicken, der in der Beispiel-Mail war, die als Anschauung an den Warnhinweis angehangen war, auf welche Art von Mails man achten solle und welche Links man keinesfalls anklicken darf .

 

[ModellbahnerTT]

Über Web Content Filtering, Mail Proxy / Transfer Agent, Fileblocking, Applicationfiltering etc. gibt es mehr als nur ausreichend Wege, ein Netzwerk auch vor den eigenen Anwendern zu schützen.

Eh da ein normaler Anwender richtig und brauchbar mit arbeiten kann dauert es vermutlich mehrere Jahre.

 

[Raijin]

Möglich ist so ein Schutz mit einer professionellen Firewall durchaus. Die Sache hat aber einen Haken: Sicherheit kommt nicht durch die bloße Existenz einer entsprechenden Firewall, sondern durch die fachgerechte Konfiguration. Wenn du dich mit solchen Systemen nicht auskennst, wirst du niemals die Sicherheit erreichen, die eine professionelle Hardware-Firewall bieten könnte, im Zweifelsfalle baust du sogar noch mehr Löcher ein, weil du mit der deutlich umfangreicheren Konfigurationsoberfläche überhaupt nicht klarkommst. Deswegen sitzen in Firmen, die solche Firewalls einsetzen, ausgebildete oder studierte IT-ler, die genau dafür verantwortlich sind - ggfs auch über IT-Dienstleister gebucht.

Otto Normal hat keine Ahnung was zB bei einer Fritzbox im Hintergrund passiert, weil die WebGUI lediglich Wizards mit Eingabemasken bietet, die alles andere mit Skripten automatisch ohne Zutun und Wissen des Anwenders einrichten. Die eigentliche "Firewall" kann man bei Fritzbox und Co beispielsweise gar nicht sehen, geschweige denn ändern, sondern nur eine für Laien lesbare Übersicht mit vordefinierten Eingabemöglichkeiten, bei denen Fehlkonfigurationen durch die Wizards verhindert werden.

Gegenbeispiel: Bei einer professionellen Hardware-Firewall kann man sich mit einer einzigen falschen Einstellung vollständig aus dem System aussperren und erhält in der Regel keinerlei Warnhinweis dazu. Da hilft dann nur noch ein Reset auf den Auslieferungszustand...


Die größte Schwachstelle in einem Netzwerk ist und bleibt der Mensch. Man kann nicht alle blauäugigen Fehlbedienungen eines Anwenders, der blind auf irgendwelche Links klickt oder sich auf dubiosen Seiten tummelt, verhindern. Da hilft nur Aufklärung, Bewusstsein und Disziplin.

 

[Daniel Albert]

Brain.exe + Windows Defender - eventuell noch Pi-hole - der Rest ist Schlangenöl.

was ist Brain.exe (Gehirn gemeint)

 

[leipziger1979]

Ich hatte heute jemanden am Telefon der Hardware Firewalls genau dafür vertreibt die hinter einer Fritzbox platziert werden und gegen solche Probleme schützt.

Ich glaube der will nur sein Zeug verkaufen und denkt sich solche Geschichten aus.
Die meisten haben halt von Technik keine Ahnung und lassen sich gern so was aufschwatzen.

 

[Daniel Albert]

Adblocker + Pihole wären schonmal ein guter Anfang.. Und die User zu sensibilisieren, nicht auf sowas zu klicken.

Was ist denn Pihole ?

Ergänzung (30. Mai 2022)

OK Danke für eure schnellen Antworten

 

[Raijin]

was ist Brain.exe (Gehirn gemeint)

Ja, damit ist das Gehirn gemeint. Also "nachdenken bevor man irgendwas anklickt" = brain.exe

Was ist denn Pihole ?

Pihole ist ein Filter-DNS. DNS ist das System zur Namensauflösung im Internet. Wenn du im Browser "computerbase.de" eingibst, fragt der Browser bzw. das Betriebssystem bei einem DNS-Server nach welche IP-Adresse zu "computerbase.de" gehört und damit wird dann eine Verbindung aufgebaut. Das gilt für "computerbase.de", aber eben auch für "werbung.bla", "tracker.blubb" und "virenverseucht.pech".

Pihole ist eine Software, die man zB auf einem Raspberry PI (Kleinst-PC, namensgeber für "pi"-hole) installiert und dann als DNS nutzt anstelle zB den DNS beim Provider oder google. Über Filterlisten kann pihole dann entscheiden ob er zu "computerbase.de" tatsächlich die korrekte IP-Adresse zurückliefert und man somit auf computerbase surfen/posten kann oder ob eine Anfrage zu "virenversucht.pech" geblockt und mit einer falschen IP-Adresse beantwortet wird. So wird ein Verbindungsaufbau zu dieser gefilterten Webseite effektiv blockiert.


Stell dir pihole wie ein gefiltertes Telefonbuch vor. Du willst nicht, dass deine Lebensgefährtin bei ihrem Ex-Freund anruft und überschreibst die Telefonnummer neben seinem Namen im Telefonbuch mit "000-00000000". Nu sucht deine Partnerin nach seiner Telefonnummer, schlägt das Telefonbuch auf und ruft bei "000-00000000" an => Kein Anschluss unter dieser Nummer.
Der Vergleich hinkt natürlich etwas, aber ich denke es ist klar wie pihole funktioniert.

 

[tollertyp]

Stell dir pihole wie ein gefiltertes Telefonbuch vor. Du willst nicht, dass deine Lebensgefährtin bei ihrem Ex-Freund anruft und überschreibst die Telefonnummer neben seinem Namen im Telefonbuch mit "000-00000000". Nu sucht deine Partnerin nach seiner Telefonnummer, schlägt das Telefonbuch auf und ruft bei "000-00000000" an => Kein Anschluss unter dieser Nummer.
Der Vergleich hinkt natürlich etwas, aber ich denke es ist klar wie pihole funktioniert.

Das klingt eher nach dem Bearbeiten der hosts-Datei.
Ich finde ein "Du entfernst die unerwünschten Teilnehmer einfach aus dem Telefonbuch, also kannst du sie nicht mehr anrufen, weil du ihre Nummer nicht kennst." passt da eher. ;-)
(Auch wenn ein PiHole technisch ja wohl eher eine Blacklist ist und ein Telefonbuch in dem Kontext als Whitelist zu sehen ist)

 

[Raijin]

Das klingt eher nach dem Bearbeiten der hosts-Datei.

Und die hosts-Datei der Lebensgefährtin liegt wo? Ich wollte jetzt keine Lobotomie als Analogie heranziehen

 

[whats4]

schau: eine firewall hat einen port enteder offen, oder eben ned.
aber die firewall (router bzw hardware) weiss ned, wer den port benutzt.
das weiss die software firewall am client.
ein router, selbst die billigsten, wird standardmäßig alles blocken, was von außen kommt, ohne von innen eine anforderung zu haben.
aber der router weiss ned, ob "useragent.exe" oder "malware.exe" den port benutzt.

die software firewall am client hingegen weiss das, aber kann durch exploits ausgehebelt werden.
und standardmäßig läßt die windows firewallk alles "von innen nach außen" durch, schließlich will ms ja "nach hause telephonieren" keineswesgs abdrehen, aber das ist änderbar.

aber jede windows firewall wird zuuverlässig alles von außen, ohne anforderung von innen, blocken.

beispiel für anforderung von innen: surfen, schlielich willst eine reaktion, wennst wo draufklickst.
beispiel von verkehr "von außen, ohne anforderung von innen: wurm(irgendwas).exe, der klopft an, ohne eingeladen worden zu sein.

conclusio: als user bist du hinter der windowa firewall plus dem router hinter zwei instanzen ganz gut beschützt.
etwas, was von außen durch will, müßte a: den router exploiten, und b: windows detto.
wennst etwasa mehr kontrolle haben willkst, was von innen nach außen geht: binisoft (jetzt malwarebytes) windows firewall control. ist freeware
das ist keine firewall, es benutzt die recht gute windows firewall, aber du hast mehr kontrolle, was raus geht (wenn eingeschalten!) klar, geht so auch, aber um welten mühsamer.
vier modis
high filtering: netzwerk tot, nix geht rein und raus, entspricht: netzwerkkarte deaktiviert
medium filtering: ALLES, was keine "erlaubt" regel hat, wird GEBLOCKT
low filtering: ALLES, was keine "verboten" regel hat, wird ERLAUBT
no filtering: entspricht firewall deaktiviert

klar brauchts nachdenken, was man erlaubt oder verbietet, aber so ist das, wenn man manull eingreifen will.
aber die "standardregeln" lassen sich mit einbem klick wiederherstellen.
und der regelsatz läßt sich backuppen und somit exportieren.

und die regeln sind sinknormale windows firewall regeln, d.h, funktionieren prinzipiell auch ohne die firewall control software.
so man es deinstalliert, ksann man sich aussuuchen, ob regeln bvestehen bleiben oder auf standard gesetzt werden
merde, schonwieder das vielfache von dem getippt, was ich vorhatte. passiert mir allerdings öfter.