Brauch ich eine Firewall?

[retsam]

Hallo Forum,
ich habe Zuhause ein Netzwerk mit ca. 20-30 Geräte. Als Router läuft eine Fritzbox mit deren eigenen Firewall. Diese sollte nur Pakete rein lassen wenn auch eine Anfrage nach draussen war. Hinter dem Router ist ein Managed Switch, jedoch ohne von mir getroffene Einstellungen. Ich beziehe das Internet übers Mobilfunknetz und habe keine feste öffentliche IP nach draussen das vl. auch einen gewissen Schutz bietet. Innerhalb vom Provider Netz natürlich nicht. Ich habe Smartphones, Tablets, TVs, Alexa Geräte einen Netzwerkdrucker und einen NAS Server am läufen. Das NAS ist auch übers Internet erreichbar. Hier als Speicher, Audio streaming Server und PhotoCloud. Die Frage wäre jetzt ob eine richtige Firewall zum Schutz Sinn mächen würde. Ich dachte hier an eine Hardware Firewall die zwischen Fritzbox und Switch kommt. Ich wollte nicht noch einen Mini PC als Server mit OpenSense oder derartiges zusätzlich 24/7 zum NAS laufen lassen. Mein NAS ist etwas älter und hat keinen Docker etc. um hier etwas zu machen. In erster Linie geht darum das die NAS mit vielen persönlichen Daten geschützt ist. Ob Anwendung im Netzwerk mal nach Hause telefonieren um Statistiken zu senden sind mir mal nicht ganz so wichtig. Würde hier eine zusätzliche oder richtige Firewall überhaupt Sinn machen in Form von Zyxel, Fortinet, WatchGuard oder Netgear ProSafe Firewall usw...


Schon mal danke fürs lesen, Tips und Anregungen...

[Draal]

Offen gestanden und aus meiner Sicht macht es keinen Sinn. Mein Netzwerk läuft auch hinter einer FritzBox. Portweiterleitungen gibt es nur auf mein NAS (80 und 443). Wenn ich es mal brauche, mach ich auch den 22 auf, um per Dateimanager auf Dokumente zuzugreifen. Wichtige Contents werden jeden Tag per ftp auf ein Laufwerk gebackupt.

Was mir die letzten Monate jedoch aufgefallen ist, dass wenn das Web Interface der FritzBox vom Internet erreichbar ist, relativ dilettantische Einbruchsversuche auf sie gefahren wurden. Also hab ich es ausgeschaltet. Bestandszeit über 10 Jahre.

[cosinus]

Würde hier eine zusätzliche oder richtige Firewall überhaupt Sinn machen in Form von Zyxel, Fortinet, WatchGuard oder Netgear ProSafe Firewall usw...

Nicht wirklich. Jeder DSL-Router ist schon eine Firewall die dafür sorgt, dass man nicht direkt aus dem Internet auf deine (internen) Geräte zugreifen kann. Aber das solltest du auch mal prüfen, ob der Router wirklich so eingestellt ist, also Firewallregeln bzw. Portweiterleitungen prüfen und evtl. auch mal nen Portscan von außen machen (zB da -> http://www.dnstools.ch/port-scanner.html oder per nmap von einem Rechner mit anderem Internetanschluss)

[Draal]

und evtl. auch mal nen Portscan von außen machen (zB da -> http://www.dnstools.ch/port-scanner.html oder per nmap von einem Rechner mit anderem Internetanschluss)

Interessant! Mein Netzwerk wird immer an einem DynDNS Dienst angemeldet. Bis dato war ich der Meinung, wenn ich eine nmap Anfrage über die dort registrierte Domain laufen lasse, dass dies dann eben auch von außerhalb geschieht.

Code: Alles auswählen

~$ nmap xxxxxxxxxx.xxx
Starting Nmap 7.93 ( https://nmap.org ) at 2024-08-25 20:52 CEST
Nmap scan report for xxxxxxxxxx.xxx (95.116.xxx.xxx)
Host is up (0.53s latency).
rDNS record for 95.116.xxx.xxx: dynamic-095-116-114-xxx.xx.xxx.pool.telefonica.de
Not shown: 919 filtered tcp ports (no-response), 73 filtered tcp ports (host-unreach)
PORT     STATE  SERVICE
80/tcp   open   http
443/tcp  open   https
587/tcp  closed submission
1080/tcp closed socks
5060/tcp open   sip
8089/tcp open   unknown
9001/tcp open   tor-orport
9050/tcp closed tor-socks

Nmap done: 1 IP address (1 host up) scanned in 69.85 seconds

5060 ist klar, VOIP
8089 dürfte was für die FritzBox sein, die sich am Fritz Netzwerk anmeldet.

Im Übrigen hat die verlinkte Webseite, viele dank dafür, bei mir nur die Ports 80 und 443 als offen gemeldet.

[mat6937]

8089 dürfte was für die FritzBox sein, die sich am Fritz Netzwerk anmeldet.

Ist das deine eigene (private) FritzBox oder gehört sie deinem Internetprovider? Denn:

Falls der Internetanbieter möchte, dass die FRITZ!Box eine Verbindung zu seinem ACS herstellt, kontaktiert er die FRITZ!Box in der Regel über TCP-Port 8089 unter einer zuvor ausgehandelten URI (Uniform Resource Identifier).

Quelle u. a.: https://avm.de/service/wissensdatenbank ... ox-TR-069/

BTW: Eine Firewall ist auch gut/nützlich um den Router vor Angriffen aus dem Internet via W/LAN, zu schützen (... gerade wenn es um eine FB geht ).

[bluestar]

...
Das NAS ist auch übers Internet erreichbar.
...

Wenn dein NAS schon älter ist, dann solltest du dir statt einer Firewall lieber überlegen ob du die öffentliche Erreichbarkeit deines NAS wirklich brauchst oder ob du nicht besser dein NAS nur via VPN von außen zugreifbar machst, gerade wenn da viele schützenswerte Daten drauf sind.

[retsam]

Danke für eure Antworten...
Ich habe nmap ein paar mal durchlaufen lassen. Bei der FritzBox

Code: Alles auswählen

Nmap scan report for fritz.box (192.168.178.1)
Host is up (0.0080s latency).
Not shown: 994 closed tcp ports (conn-refused)
PORT     STATE SERVICE
53/tcp   open  domain
80/tcp   open  http
443/tcp  open  https
5060/tcp open  sip
8089/tcp open  unknown
8181/tcp open  intermapper

Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds

Was eigentlich soweit normal ist und beim NAS

Code: Alles auswählen

Starting Nmap 7.93 ( https://nmap.org ) at 2024-08-25 22:57 CEST
Nmap scan report for NAS-Server.fritz.box (192.168.178.10)
Host is up (0.0067s latency).
Not shown: 992 closed tcp ports (conn-refused)
PORT     STATE SERVICE
53/tcp   open  domain
80/tcp   open  http
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
5000/tcp open  upnp
5001/tcp open  commplex-link
5357/tcp open  wsdapi

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds

Ist eigentlich auch nur das offen was ich verwende. Eventuell kann ich die Ports für SMB in der Fritzbox zumachen da ich dies nur
zuhause Local verwende. Von unterwegs nutze ich nur die von Synology eigene App. welche auf was für eine Art auch immer die Verbindung aufbaut.
Ich komme von draussen erst gar nicht in mein Netzwerk da ich keine öffentliche IP von meinem ISP beziehe. Ich kann von draussen nicht mal
auf meine FritzBox zugreifen. Die Zugriffen gehen nur mit dem Synology eigenem "QuickConnect"

Auch hat das NAS noch vollen Support wenn auch schon etwas älter....

Wenn ich den Scan http://www.dnstools.ch/port-scanner.html nutze ist alles gut und geschlossen. Ich denke aber dies liegt an der nicht öffentlichen IPv4 und dem DS-Lite vom ISP

[Draal]

Ist das deine eigene (private) FritzBox oder gehört sie deinem Internetprovider?.

Es ist meine eigene.
Danke für die Klarstellung.

[mat6937]

... da ich keine öffentliche IP von meinem ISP beziehe. Ich kann von draussen nicht mal
auf meine FritzBox zugreifen.

Hast Du einen DS-lite- oder einen CGN-Internetanschluss? Versuch mal aus deinem Netzwerk (... d. h. vom Internetanschluss deiner FritzBox) mit https://canyouseeme.org/

[mat6937]

Es ist meine eigene.

Dann könntest Du (wenn Du willst) den Zugriff mit TR-069 auf deine FritzBox, im Web-IF der FritzBox deaktivieren bzw. nicht erlauben.

[retsam]

Ich habe einen DS-Lite Anschluss. Ich hab's auch mit openDNS und IPv6 versucht doch alles vergebens. Das https://canyouseeme.org/ muss ich mir heute Abend daheim genauer ansehen. Ich greife aktuell von unterwegs mit der von Synology eigener Files App auf den NAS zu. Das geht über Synology eigenes QuickConnect. Hier wird bei SSL ein eigener Netzwerktunnel mit end zu Ende Verschlüsselung aufgebaut. Gleiches bei der Photo und der Audi App. ansonsten hab ich es aber noch nicht ins eigene Netzwerk geschafft. Ich könnte soweit ich das mal gelesen hatte für einen entsprechenden Betrag eine öffentliche IPv4 beim ISP buchen.

[mat6937]

Ich habe einen DS-Lite Anschluss.

Dann hast Du natives IPv6 und könntest damit aus dem Internet (mit den externen IPv6-Adressen) auf deine FritzBox und direkt auf die Geräte im W/LAN der FritzBox zugreifen (... wenn in der v6-Firewall der FritzBox, die Portfreigabe konfiguriert ist).
Siehe auf deinem Debian-System, auch die Ausgaben von:

Code: Alles auswählen

dig -6 aaaa myip.opendns.com +short @2620:0:ccc::2
ip -6 a

[retsam]

Ah okay da muss ich dann erst heute Abend nachsehen wie die Konfiguration der IPv6 ist. Hatte das zwar vor längerem mal mit der IPv6 versucht aber nicht geschaut ob die Firewall der FB selbst etwas blockt. Hatte nur immer in dem MyFritz Service mit dem die FB verbunden ist die Meldung das meine FB nicht erreichbar ist, auch über IPv6 nicht. Ich kontrolliere das heute Abend mal. Wobei das jetzt keinen ein Einfluss darauf hätte bezüglich der Sicherheit und meiner Frage nach einer Firewall. Im Gegenteil... würde jetzt sogar sagen so sicherer unterwegs zu sein. Oder sehe ich das falsch? Der Vorteil mit einer direkten Verbindung zu meiner Fritzbox wäre natürlich, dass ich hier mein eigenes VPN zur Fritz!Box aufbauen könnte um Zugriff auf das Netzwerk zu bekommen. Würde ich aber eigentlich nicht benötigen, habe ich ja auch so über den Netzwerktunnel und die eigene Applikation von Synology.

[mat6937]

Oder sehe ich das falsch?

Nein.