Was spricht gegen VPN-Nutzung der Fritzbox?
- Ersteller isd
- Erstellt am
Madman1209
Fleet Admiral
- Registriert
- Nov. 2010
- Beiträge
- 28.100
Hi,
keine Ahnung wo ich geschrieben habe "eine FritzBox ist unsicherer als ein produkt von Cisco oder Lancom". Was ich gesagt hatte war, dass eine FritzBox in Sachen Sicherheits-Features nicht mit Profi-Produkten mithalten kann.
Ich bleibe schlicht und ergreifend dabei, dass ich eine FritzBox nicht im Profiumfeld einsetzen würde, wenn ich auch nur die kleinste Alternative sehe! Das ist schlicht meine Erfahrung, und so wie ich den TE verstanden habe ist das auch die eigentliche Frage: Was spricht gegen VPN-Nutzung der Fritzbox?
Meine Antwort: siehe meine Beiträge.
wenn das Protokoll oder die Technologie identisch implementiert ist ist es exakt so sicher oder unsicher wie bei anderen Herstellern. Nichts anderes habe ich bisher behauptet! Siehe oben!
VG,
Mad
keine Ahnung wo ich geschrieben habe "eine FritzBox ist unsicherer als ein produkt von Cisco oder Lancom". Was ich gesagt hatte war, dass eine FritzBox in Sachen Sicherheits-Features nicht mit Profi-Produkten mithalten kann.
Ich bleibe schlicht und ergreifend dabei, dass ich eine FritzBox nicht im Profiumfeld einsetzen würde, wenn ich auch nur die kleinste Alternative sehe! Das ist schlicht meine Erfahrung, und so wie ich den TE verstanden habe ist das auch die eigentliche Frage: Was spricht gegen VPN-Nutzung der Fritzbox?
Meine Antwort: siehe meine Beiträge.
wenn das Protokoll oder die Technologie identisch implementiert ist ist es exakt so sicher oder unsicher wie bei anderen Herstellern. Nichts anderes habe ich bisher behauptet! Siehe oben!
VG,
Mad
Wilhelm14
Fleet Admiral
- Registriert
- Juli 2008
- Beiträge
- 23.694
Spricht also nichts gegen eine Fritzbox. 
Als vor Jahren News auftauchten, WPS sei unsicher (Fritzbox/Speedports), habe ich ab da WPS immer deaktiviert. Genau wie bei WLAN WEP aus und WPA2 only. Oder den https-Fernzugang, weil dort teure Rufumleitungen eingerichtet werden konnten, usw. Wenn jetzt zum VPN der Fritzbox auch irgendeine News auftauchen würde, würde ich den auch nicht mehr nutzen wollen. Stand jetzt ist aber nichts bekannt.
Als vor Jahren News auftauchten, WPS sei unsicher (Fritzbox/Speedports), habe ich ab da WPS immer deaktiviert. Genau wie bei WLAN WEP aus und WPA2 only. Oder den https-Fernzugang, weil dort teure Rufumleitungen eingerichtet werden konnten, usw. Wenn jetzt zum VPN der Fritzbox auch irgendeine News auftauchen würde, würde ich den auch nicht mehr nutzen wollen. Stand jetzt ist aber nichts bekannt.
Madman1209
Fleet Admiral
- Registriert
- Nov. 2010
- Beiträge
- 28.100
Hi,
doch, es spricht genug dagegen, im professionellen Umfeld! Siehe meine Posts.
VG,
Mad
doch, es spricht genug dagegen, im professionellen Umfeld! Siehe meine Posts.
VG,
Mad
Ich denke mal, der TE hat schon diverse Ansätze und Informationen hier erhalten. Der Punkt ist ja auch, jeder von uns kennt anders große Infrastrukturen... Madman1209 wird auch andere IT Systeme kennen / betreuen als der nächste unter uns und schon seine Gründe haben wieso die Aussagen so ausfallen.
Bezüglich VPN würde ich auch niemals die AVM Lösung wählen... sie gefällt mir von der Konfiguration nicht. Eine Firma die ich betreue, hat auch eine 7490 stehen. Diese stellt aber nur Internet zur Verfügung (Gateway und Sekundär-DNS), VPN läuft über ein OpenVPN (Linux) System welches sich im netz befindet. Dafür wird genau eine Portfreigabe verwendet, fertig ist. Das wäre dann das kleine Basic-Beispiel, dass kann man dann wieder individuell weiter visionieren und verändern, denn bekanntlich führen ja viele Wege nach Rom
Bezüglich VPN würde ich auch niemals die AVM Lösung wählen... sie gefällt mir von der Konfiguration nicht. Eine Firma die ich betreue, hat auch eine 7490 stehen. Diese stellt aber nur Internet zur Verfügung (Gateway und Sekundär-DNS), VPN läuft über ein OpenVPN (Linux) System welches sich im netz befindet. Dafür wird genau eine Portfreigabe verwendet, fertig ist. Das wäre dann das kleine Basic-Beispiel, dass kann man dann wieder individuell weiter visionieren und verändern, denn bekanntlich führen ja viele Wege nach Rom
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Das was für mich Fritzboxxen im Firmenumfeld ausschließt, ist u.a. die fehlende VLAN-Unterstützung. Am Ende kann so ein Router im professionellen Einsatz weitestgehend nur noch als reines Modem bzw. als Internet-Zugangspunkt genutzt werden. Alles andere wird man früher oder später auslagern, weil die Funktionen der Fritzbox nicht auf professionelle Anforderungen ausgelegt sind oder sie eben gar nicht erst vorhanden sind.
Consumer-Router sind nun mal ab Werk zum Großteil fest vorkonfiguriert und lassen sich nur in engen Grenzen beeinflussen. Daher kann die Fritzbox durchaus VLANs, aber diese Funktion wird ausschließlich intern genutzt, um das Gast- vom Hauptnetzwerk zu trennen und ggfs LAN4 zu isolieren, ist aber nicht zur freien Benutzung nach außen geführt und somit für erweiterte Netzwerke bestenfalls als reines Internet-Gateway nutzbar.
Ein weiterer Aspekt ist die Firewall. Das was man in Consumer-Routern Firewall nennt, ist nix anderes als ein Wizard für Portweiterleitungen, etc. Es sind aber nicht die Firewall-Regeln selbst, da diese vom Wizard im Hintergrund automatisch generiert werden - wie auch immer sie dann am Ende tatsächlich aussehen. Ein Admin muss sich also mehr oder weniger darauf verlassen, dass diese Regeln auch den eigenen Ansprüchen genügen.
Aber: Wirklich zum Tragen kommt das eigentlich erst ab einer gewissen Unternehmensgröße bzw. Anforderungsniveau und vor allem einen adäquaten IT-Administrator, sei es auch nur ein Freelancer, der 1x pro Woche vorbeischaut, o.ä.. In kleineren Unternehmen mit <10 Mitarbeitern wird in der Regel der "Computerfreak" oder der Mitarbeiter, der dem am nächsten kommt, als Admin auserkoren. Das geht dann soweit, dass dieser im ganzen Firmengebäude, inkl. Werkstatt, Lager, etc. Fritzboxxen bzw. FritzRepeater einsetzt - er kennt ja nix anderes und zu Hause läuft's ja auch gut mit dem Equipment. In den meisten Fällen wird das kleine Unternehmen damit auch einigermaßen klarkommen, weil zB VLANs in der Regel sowieso kein Thema sind. Wenn aber doch, dann geht's in die Hose, weil Heim-Equipment eben nicht für erweiterte Firmenumgebungen geeignet ist. Allerdings wird besagter Pseudo-Admin andererseits an der Konfiguration eines professionellen Routers scheitern, weil er sich dann im worst case die Firewall von Hand aufbauen muss - entsprechendes KnowHow vorausgesetzt.
Consumer-Router sind nun mal ab Werk zum Großteil fest vorkonfiguriert und lassen sich nur in engen Grenzen beeinflussen. Daher kann die Fritzbox durchaus VLANs, aber diese Funktion wird ausschließlich intern genutzt, um das Gast- vom Hauptnetzwerk zu trennen und ggfs LAN4 zu isolieren, ist aber nicht zur freien Benutzung nach außen geführt und somit für erweiterte Netzwerke bestenfalls als reines Internet-Gateway nutzbar.
Ein weiterer Aspekt ist die Firewall. Das was man in Consumer-Routern Firewall nennt, ist nix anderes als ein Wizard für Portweiterleitungen, etc. Es sind aber nicht die Firewall-Regeln selbst, da diese vom Wizard im Hintergrund automatisch generiert werden - wie auch immer sie dann am Ende tatsächlich aussehen. Ein Admin muss sich also mehr oder weniger darauf verlassen, dass diese Regeln auch den eigenen Ansprüchen genügen.
Aber: Wirklich zum Tragen kommt das eigentlich erst ab einer gewissen Unternehmensgröße bzw. Anforderungsniveau und vor allem einen adäquaten IT-Administrator, sei es auch nur ein Freelancer, der 1x pro Woche vorbeischaut, o.ä.. In kleineren Unternehmen mit <10 Mitarbeitern wird in der Regel der "Computerfreak" oder der Mitarbeiter, der dem am nächsten kommt, als Admin auserkoren. Das geht dann soweit, dass dieser im ganzen Firmengebäude, inkl. Werkstatt, Lager, etc. Fritzboxxen bzw. FritzRepeater einsetzt - er kennt ja nix anderes und zu Hause läuft's ja auch gut mit dem Equipment. In den meisten Fällen wird das kleine Unternehmen damit auch einigermaßen klarkommen, weil zB VLANs in der Regel sowieso kein Thema sind. Wenn aber doch, dann geht's in die Hose, weil Heim-Equipment eben nicht für erweiterte Firmenumgebungen geeignet ist. Allerdings wird besagter Pseudo-Admin andererseits an der Konfiguration eines professionellen Routers scheitern, weil er sich dann im worst case die Firewall von Hand aufbauen muss - entsprechendes KnowHow vorausgesetzt.
hildefeuer
Vice Admiral
- Registriert
- Okt. 2009
- Beiträge
- 6.740
Nein es spricht nix gegen eine VPN Verbindung via Fritzbox. Einen Aspekt haben alle die hier zum Thema gepostet haben völlig vergessen. Mit Fritz VPN bleibt alles unter europäischem Recht. Nimmt man z. B. einen Cisco Router, bei dehnen auch Wartungsports offen waren teilweise und sonstige Hintertüren von Heise ct gefunden wurden, landet man automatisch im us amerikanischen Rechtssystem. Auch wenn man Dyndns verwendet. Schließlich weis man nicht so genau, was US Unternehmen alles so einbauen müssen lt. Vorgaben ihrer Geheimdienste und geheimen Gerichte. Da geht es vielfach nur um einfache Industriespionage.
Ich habe in der Vergangenheit mit Dyndns schlechte Erfahrungen gemacht. Bei einem Netgar Router hatte ich dann laufend ddos Atacken. Dyndns raus, ddos Atacken hörten auf. Alle kamen aus USA und Schweden.
Ich mache das auch im Urlaub um deutsches TV zu gucken. Sogar streams von meine alten dbox2 mit Linux drauf zuhause funzen in SD.
IPsec sicherlich ist veraltert, aber es sind keine Sicherheitslücken bekannt. Bei der Sicherheit wurde ja im laufe der letzten Jahre erheblich aufgerüstet.
Ich habe in der Vergangenheit mit Dyndns schlechte Erfahrungen gemacht. Bei einem Netgar Router hatte ich dann laufend ddos Atacken. Dyndns raus, ddos Atacken hörten auf. Alle kamen aus USA und Schweden.
Ich mache das auch im Urlaub um deutsches TV zu gucken. Sogar streams von meine alten dbox2 mit Linux drauf zuhause funzen in SD.
IPsec sicherlich ist veraltert, aber es sind keine Sicherheitslücken bekannt. Bei der Sicherheit wurde ja im laufe der letzten Jahre erheblich aufgerüstet.
Hayda Ministral
Banned
- Registriert
- Nov. 2017
- Beiträge
- 7.835
isd schrieb:
Von wem hörst Du das? Bitte mal Quelle nennen.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
DDNS ist nichts weiter als ein DNS, der dynamische Änderungen für dessen Subdomains zulässt. Es erfolgt keinerlei Kommunikation über den DDNS-Anbieter und auch rechtlich kann ich keinen Zusammenhang sehen.hildefeuer schrieb:
Ein erhöhtes Aufkommen an potentiellen Angriffen von außen kann wiederum viele Gründe haben. Ob man dafür DDNS verantwortlich machen kann, sei mal dahingestellt. Ich hab zZt aus Gründen der Ausfallsicherheit (gebranntes Kind) 4 DDNS-Accounts gleichzeitig und kann dergleichen nicht bestätigen.
Wie dem auch sei, mit potentiellen Hintertüren in ausländischer Hardware hast du natürlich prinzipiell Recht; auch ist selbst Cisco nicht gefeit vor Bugs oder Sicherheitslücken - AVM aber auch nicht. Und "made in germany" genießt schon seit vielen Jahren nicht mehr den einstigen Ruf.
Ob man AVM nun im professionellen Umfeld einsetzt oder nicht, hängt am Ende von der individuellen Situation ab. Je größer und komplexer das Firmennetzwerk ist, umso weniger kann eine Fritzbox den Ansprüchen gerecht werden - zumindest wenn man der Fritzbox keine zusätzlichen Komponenten zur Seite stellt.
Für eine 5-Mann Klitsche kann eine Fritzbox aber trotz allem gute Dienste leisten, auch was das VPN angeht. Schließlich müsste sich sonst ja auch jemand finden, der zB eine/einen Sophos, pf/OPNsense, MikroTik, EdgeRouter, o.ä. überhaupt einrichten kann. Eine 08/15 Fritzbox ist in jedem Fall besser als ein von Laien unsachgemäß eingerichtetes Profigerät......
Wilhelm14
Fleet Admiral
- Registriert
- Juli 2008
- Beiträge
- 23.694
Wie immer, sehr schön geschrieben. 
Wenn schon eine Fritzbox den Internetzugang bereitstellt und man im Grunde nur eine handvoll Clients von außen per VPN anbinden möchte, ist das schnell und übersichtlich gemacht. Die Profisachen verwirren mehr, als das sie helfen.
Wenn schon eine Fritzbox den Internetzugang bereitstellt und man im Grunde nur eine handvoll Clients von außen per VPN anbinden möchte, ist das schnell und übersichtlich gemacht. Die Profisachen verwirren mehr, als das sie helfen.
Hayda Ministral
Banned
- Registriert
- Nov. 2017
- Beiträge
- 7.835
Und, slightly off topic, hier muss man AVM wirklich anerkennung zollen. Die Fritzbox hat einige Sachen die über den Mainstream hinaus gehen und AVM schafft es (meines Erachtens), die so zu gruppieren dass der Unbedarfte nicht zu sehr verwirrt wird und der etwas mehr Engagierte trotzdem Zugriff nehmen kann. Ich mag Fritzboxen aus dem Grund, selbst wenn ich bestenfalls an der Grenze oberhalb des Mainstream kratze.
Ähnliche Themen
- Gesperrt
- Frage
