Hallo zusammen
Wenn ich bei der Internetbox 3 die Firewall von [Strikt] auf [Benutzerdefiniert, IPv4 = Ausgehenden IPv4 Datenverkehr erlauben, IPv6 = Eingehend blockieren / Ausgehend erlauben] umstellen würde, ist dies dann ohne weitere Anpassungen dasselbe?
Es geht also um den Vergleich zwischen [Strikt]:
Strikt: Falls die Firewall-Stufe "Strikt" aktiviert ist, wird der ausgehende IPv6-Datenverkehr zugelassen und der eingehende IPv6-Datenverkehr blockiert. Davon ausgenommen sind eine Gruppe von Standardprotokollen. IPv4 Datenverkehr darf nur vom Heimnetz in Richtung Internet initiiert werden. Andere grundlegende Datenverkehrskontrollen sind aktiviert, um vor ungültigem und schädlichem Datenverkehr zu schützen.
... und [Benutzerdefiniert] ...
Benutzerdefiniert (Advanced): Du kannst die Firewall-Einstellungen eigenständig konfigurieren.
... mit oben erwähntem Setting.
Gilt also "Davon ausgenommen sind eine Gruppe von Standardprotokollen" (s. o.) auch bei [Benutzerdefiniert]?
Hintergrund meiner Frage ist, dass ich mit "Benutzerdefiniert" erst mal das gleiche Setting hätte und dort dann bei Bedarf weitere Regeln definieren könnte (z.B. bei einem Gerät im LAN den ausgehenden Traffic blockiereren oder ähnliches).
Mit einem freundlichen Gruss
Alpengreis
Logisch gesehen ist benutzerdefiniert und strikt ohne Anpassung nicht das gleiche.
Ausgenommen du würdest nach der Umstellung auf benutzerdefiniert alle diese Regeln für „Standardprotokolle“ sehen und diese anpassen können. Wären diese noch versteckt aktiv, wäre es ja ein Bug. So viel kann ich selbst als Nichtentwickler behaupten 😅
Davon abgesehen lieber Alpengreis.
Wenn du wirklich mit einer Firewall arbeiten willst, musst du zuerst mal alles blockieren, eingehend wie ausgehend. Und danach die gewünschten Protokolle erlauben. Alles andere ist nicht wirklich fruchtbar.
Eventuell gibt es da bei der Internet Box aber Probleme, weil man das nicht so fein einstellen kann. Dann lieber wieder das Lieblings-Prinzip der Community, „Microsoft“ anwenden. Es ist alles so gut wie es ist 😂
Die Frage mit 100% Sicherheit beantworten können nur die Entwickler. Rein von der Beschreibung gehe ich davon aus, dass "Benutzerdefiniert" ohne zusätzliche Anpassungen mindestens so streng wie "Strikt" ist. Wie du auch vermutest, ist der springende Punkt folgender:
"Davon ausgenommen sind eine Gruppe von Standardprotokollen", denn gemäss Beschreibung unter "i" gilt dies bei "Benutzerdefiniert" nicht. Welche Ausnahmen hier gemeint sind müssten die Entwickler der FW beantworten.
@hed schrieb:
[...]
"Davon ausgenommen sind eine Gruppe von Standardprotokollen", denn gemäss Beschreibung unter "i" gilt dies bei "Benutzerdefiniert" nicht. Welche Ausnahmen hier gemeint sind müssten die Entwickler der FW beantworten.
Da gabs mal diesen Thread/Artikel, in dem die "Standardprotokolle" im Detail aufgezählt wurden. Ist leider nirgends in den Hilfeseiten oder sonstiger Doku erwähnt, aber man kann davon ausgehen dass diese Aufzählung nach wie vor zutrifft.
Danke, hoffe, dass hier ein Entwickler mitliest ...
Danke auch Dir, den Artikel hatte ich bereits gelesen. Leider sind das eben die Standard-Protokolle die blockiert werden, ich müsste ja grad umgekehrt die erlaubten wissen. Zudem ist dort IMHO nicht ersichtlich für welche Stufen diese Protokolle zutreffen (für alle?) ...
Es lesen hier auch Swisscom-Mitarbeiter mit aber beim Thema Firewall ist die Chance gering, dass du detaillierte Auskunft bekommst.
@ Swisscom-Entwickler/Mitarbeiter
Das wäre doch schon eine Frage, die auch andere User interessieren könnte ...
Es ist nicht nötig (für mich), detailliert mit Angabe von Protokollen oder so zu antworten, sondern nur, ob die Einstellungen (siehe Eingangs-Posting) identisch sind.
Einer der wenigen, die die Frage beantworten kann, wäre wohl @MichelB Aber da das Team derzeit nicht voll besetzt ist und Ferienzeit ist, kann ich nicht sagen, ob Michel dazu Zeit hätte. Es ist sicherlich nicht bösartig gemein, wenn Du @Alpengreis keine Antwort bekommst. Das Routerteam sind wirklich freundliche Leute, die möglich machen, was eben möglich ist.
Vielen Dank für Deine Antwort! Und keine Sorge, werde ich sicher nicht als bösartig auffassen, sondern bin einfach mal gespannt, ob noch eine Antwort kommen wird. Auch ist ja wirklich Ferienzeit ...
Sorry, wenn ich irgendwie zuviel Stress gemacht habe, so war's dann wirklich nicht gemeint.
Kein Stress 😉
Logisch gesehen ist benutzerdefiniert und strikt ohne Anpassung nicht das gleiche.
Ausgenommen du würdest nach der Umstellung auf benutzerdefiniert alle diese Regeln für „Standardprotokolle“ sehen und diese anpassen können. Wären diese noch versteckt aktiv, wäre es ja ein Bug. So viel kann ich selbst als Nichtentwickler behaupten 😅
Davon abgesehen lieber Alpengreis.
Wenn du wirklich mit einer Firewall arbeiten willst, musst du zuerst mal alles blockieren, eingehend wie ausgehend. Und danach die gewünschten Protokolle erlauben. Alles andere ist nicht wirklich fruchtbar.
Eventuell gibt es da bei der Internet Box aber Probleme, weil man das nicht so fein einstellen kann. Dann lieber wieder das Lieblings-Prinzip der Community, „Microsoft“ anwenden. Es ist alles so gut wie es ist 😂
Danke auch Dir für Deinen Beitrag.
Da ich mich nicht getraue, "einfach mal so" auf "Benutzerdefiniert" umzustellen, um zu sehen, ob da diese "Standardprotokolle" dann auftauchen - und auch sonst, werde ich sicherlich mal alles eben so sein lassen, wie es ist 😀
Das Umstellen selbst ist kein Problem, Du kannst da beliebig hin und her.
Und vor ca. einem Jahr sind also die „Standard-Protokolle“ noch nicht aufgetaucht.
Da mir das ganze doch zu intransparent war, habe ich dann die Übung einfach wieder abgebrochen.
Danke Dir, Werner. Ich hätte nur Bedenken, dass dann was bereits durchgelassen würde, was ich nicht möchte.
Aha, zumindest damals also noch keine "Standard-Protokolle" aufgetaucht - das ist natürlich schon mal gut zu wissen.
Ja, auch mir ist das - zum jetzigen Zeitpunkt jedenfalls - zu intransparent alles. Trotzdem hat mir diese Diskussion hier einiges gebracht bislang.
Wenn du die vollständige Kontrolle und Transparenz willst, dann musst du eine eigene Firewall einsetzen, alles in beide Richtungen sperren und selektiv genau das zulassen, was du benötigst.
Zur Vollständigkeit möchte ich noch erwähnen, dass ich der Firewall der IB3 vertraue. Jedes zusätzliche Gerät erhöht die Fehleranfälligkeit des Gesamtsystems, kostet Geld, verbraucht unnötig Energie und verursacht letztendlich unnötigen Elektroschrott.
Ok, ich werde - für die nächste Zeit jedenfalls - nichts verändern. Eine dezidierte (Hardware-)Firewall wäre mir dann doch zu aufwändig für meine Zwecke.
Man setzt nicht einfach mal so schnell eine Firewall auf und gut ist. Das ist ein ständiger Prozess und braucht eine Einarbeitung. Die aktuelle Konfiguration bei der Internet Box ist insofern gut, dass man für IPv6 eingehend mal sperrt. Das könnte ansonsten Probleme geben. Mehr ist da aber auch nicht wirklich vorhanden. Wenn du nach Empfehlungen von MELANI arbeiten möchtest, musst du selber was aufsetzen und dich einarbeiten.
Ja, ich hatte schon verschiedene Firewalls im Einsatz, die ich mal mehr mal weniger gemanaged hatte (In- u./od. Outbound) - das wurde mir auf Dauer dann zu aufwändig (für meine Zwecke). Mit Ausnahme EINER Hardware Firewall (ZyWALL) allerdings nur sogenannte Desktop-Firewalls. Trotzdem kenne ich die Thematik also ein wenig.
Wenn man beim Thema Firewall nicht zu 100% sattelfest ist oder nicht den notwendigen Aufwand ivestieren will oder kann, so ist das Ergebnis wesentlich unsicherer, als wenn man sich auf die integrierte FW des Providers mit den Default-Einstellungen verlässt.