Fonira Super aber kein ausgehendes VPN mehr möglich?!

fonira

Mobilfunk Teilnehmer
8 Feb 2019
360
504
Wie bereits mehrfach (in anderen Threads) angeführt werden diese Einstellungen künftig nicht mehr gesetzt werden. Wir arbeiten an Alternativen, dauert aber noch ein paar Monate, bis wir das getestet und implementiert haben.

Bei den Fritzboxen ist zum Glück alles transparent, es ist alles nachvollziehbar und das ist auch gut so. Es stört aber nur die Experten - und die haben eine alternative Lösung parat ;-)

Bzgl „Werbetext“: Hier geht es um die CGN-IP-Adresse und um sonst gar nichts.
 

Jonas12

Mobilfunk Teilnehmer
7 Jun 2015
594
98
Werbung für NAT als Firewall???
NAT ist nie eine Firewall gewesen und wird auch nie eine sein.
P.S.: Ihr schaltet IPv6 und ein Hacker kommt problemlos an IPv6. (Vor allem wenn der sich einen VPN Zugang organisiert. )
 

derberg

Mobilfunk Teilnehmer
9 Mai 2014
26
11
Liebes Fonira,
So begeistert ich auch von euch bin.
So entgeistert bin ich was eure Einstellungen zu diesem Thema angeht!

Klar stört es nur die Experten, weil ein ahnungsloser davon gar nichts mitbekommt, wie soll jemanden etwas stören das er gar nicht kennt?
Ihr solltet zu der Fritzbox ein Begleitschreiben hinzufügen, wo erklärt wird was gemacht wird und welche Auswirkungen und mögliche Risiken dieses mit sich bringen kann.
Wenn man auf Transparenz und Kundenzufrieden aufbaut, wäre das die Beste Lösung oder nicht?
 
  • Gefällt mir
Reaktionen: Jonas12

neptunus

Mobilfunk Teilnehmer
25 Mrz 2014
1.346
500
Vor mittlerweile vielen Jahren gab es Würmer wie beispielsweise den Blaster für Windows XP.

Damals hatte man noch keine Router mit NAT, sondern die Rechner hingen direkt, zB via Speedtouch ADSL USB Modem, direkt im Internet.

Auf den XP Rechner liefen so einige Netzwerkdienste, verfügbar waren sie bei jedem Netzwerkinterface des Rechners.

Da bei Internetnutzung via Modem der Rechner selbst die öffentliche IP erhielt, wurden die diversen Netzwerkdienste des Rechners öffentlich und weltweit im Internet angeboten.

Dazu kam, dass es damals Patches und Updates zwar gegeben hätte, eingespielt wurden sie aber so gut wie gar nicht. Es fehlte schlicht das Bewusstsein bei den Anwendern und auch Microsoft hat die Update-Funktion nicht zwingend vorgegeben, es war mehr eine Option die man nutzen konnte. Auch mussten Updates immer erst bestätigt werden ehe sie installiert wurden. Das führte dazu, dass auf vielen Rechnern mit Windows XP überhaupt keine Updates eingespielt waren.

Soweit die Lage damals.

Und dann, im Sommer 2003, kam der Wurm MSBlast ins Spiel:

Wahllos wurden an zufällige IP Adressen Pakete den RDP Port gesendet. Durch einen Bug und eine Sicherheitslücke im RDP Dienst von Windows XP war ein Rechner beim Eintreffen solcher Pakete an seiner IP:

1. sofort selbst infiziert und hat den Wurm weiter verbreitet
2. durch einen Fehler in der Implementierung ist der Dienst ein paar Minuten später abgestürzt und Windows XP führte einen Zwangs-Reboot durch

Wenn ein ungebrauchter Rechner via Modem online ging (damals üblich - Beides!) dauerte es nur wenige Minuten bis der Rechner eine neue MSBlast Infektion abbekommen hatte und zwangsweise rebootete.

Das waren noch Zeiten

Das Aufkommen von NAT die Jahre darauf war ein Segen. Es war die Firewall schlechthin für speziell solche Angriffe: Plötzlich waren die Rechner im LAN nicht mehr direkt via Internet erreichbar, sie hatten keine öffentliche IP mehr und es bedurfte Portweiterleitungen einzelner Ports um überhaupt von außen zu einem Dienst eines Rechners zu kommen.

NAT ist keine Firewall, das ist mir bewusst. Überhaupt ist eine Firewall kein einzelnes Ding sondern viel mehr ein Konzept.

Nicht sämtliche Ports eines Geräts öffentlich erreichbar ins Internet zu stellen halte ich für sehr sinnvoll. Auch ist diese Maßnahme deshalb ein Baustein bei einer Vielzahl von Firewalls.

Und verwendet man NAT, so ist diese Maßnahme, nämlich die grundsätzliche Sperre der Ports von außen, ein systembedingter Nebeneffekt

Ich würde fast sagen, mit NAT hat man diesbezüglich schon ein Stück Firewall für zuhause
 

neptunus

Mobilfunk Teilnehmer
25 Mrz 2014
1.346
500
Liebes Fonira,
So begeistert ich auch von euch bin.
So entgeistert bin ich was eure Einstellungen zu diesem Thema angeht!

Klar stört es nur die Experten, weil ein ahnungsloser davon gar nichts mitbekommt, wie soll jemanden etwas stören das er gar nicht kennt?
Ihr solltet zu der Fritzbox ein Begleitschreiben hinzufügen, wo erklärt wird was gemacht wird und welche Auswirkungen und mögliche Risiken dieses mit sich bringen kann.
Wenn man auf Transparenz und Kundenzufrieden aufbaut, wäre das die Beste Lösung oder nicht?
Ich bin nicht von Fonira und habe auch mit keinem andern Anbieter etwas zu tun.

Ich glaube allerdings, dass eine solche Info den meisten Leuten völlig egal ist. Im Zweifelsfall würde sie nur verwirren und mehr Unsicherheiten und Fragen aufwerfen als ohne sie.

90% der Leute (wahrscheinlich noch mehr) wollen das Gerät nach der Zusendung einfach anstecken, hoffentlich finden sie den richtigen Stecker ohne lang zu suchen an der Wand, und das wars.

Wenn du im Forum hier selbst Beiträge schreibst - auch wenn sagst dich nicht auszukennen - dann gehörst du nicht zu den 99%, sondern bist schon ein Teil der Wissenden.

Und ob es für einen Anbieter sinnvoll ist für dieses 1% die Produkte zu gestalten und an den restlichen 99% vorbei, das weiß ich nicht.
 

fonira

Mobilfunk Teilnehmer
8 Feb 2019
360
504
So, wir haben jetzt einen Plan bzgl Fritzbox-Management.

Künftig werden wir:
- den Wartungsuser zwar anlegen aber deaktivieren
- das Webinterface nicht aktivieren bzw wenn es aktiv ist es einfach so lassen wie es der Nutzer einstellt.

Bei Assistenz durch fonira Mitarbeiter:
- reaktivieren wir den Wartungsuser und
- aktivieren das Webinterface, falls es noch nicht aktiv ist
und deaktivieren Web (sofern es nicht schon aktiv war) und User nach 30 min automatisch.

Wir denken das ist ein guter Kompromiss.

Und ja: jede Box bekommt einen anderen Usernamen und ein eigenes Kennwort. :)

Es wird aber noch ein paar Wochen dauern, bis wir das getestet und implementiert haben.
 

VdslXdslHyperDsl

Mobilfunk Teilnehmer
6 Mrz 2019
252
82
So, wir haben jetzt einen Plan bzgl Fritzbox-Management.

Künftig werden wir:
- den Wartungsuser zwar anlegen aber deaktivieren
- das Webinterface nicht aktivieren bzw wenn es aktiv ist es einfach so lassen wie es der Nutzer einstellt.

Bei Assistenz durch fonira Mitarbeiter:
- reaktivieren wir den Wartungsuser und
- aktivieren das Webinterface, falls es noch nicht aktiv ist
und deaktivieren Web (sofern es nicht schon aktiv war) und User nach 30 min automatisch.

Wir denken das ist ein guter Kompromiss.

Und ja: jede Box bekommt einen anderen Usernamen und ein eigenes Kennwort. :)

Es wird aber noch ein paar Wochen dauern, bis wir das getestet und implementiert haben.
Coole und schnelle Lösung! @other ISP's, schneidet euch mal eine Scheibe ab!
 
  • Gefällt mir
Reaktionen: Gringo und zapata

Aktuelle Themen