Ausgehend von der Beschreibung für welche Dienste
die einzelnen Ports benötig werden
und ein paar Beispielen welche Scripte auf z.B.
Bank-Seiten aufgerufen werden,
folgt hier nun eine mögliche Konfiguration der FritzBox - FB.
Siehe: System > Update > Auto-Update
Sicherheits-Updates sollten stehts so früh wie möglich, also automatisch, installiert werden.
Entsprechend stelle ich Stufe 2 oder Stufe 3 ein.
Zum Anfang
Grob kann man sagen alle externen Anfragen an die Fritzbox - FB
nicht an die angeschlossenen Geräte weiter gereicht werden.
Sollte jedoch ein Gerät von innen heraus eine Anfrage ins Internet stellen,
wird dafür der entsprechende Port in beide Richtungen geöffnet.
In der Standard Einstellung der FB kann man alle Ports von innen öffnen.
Um zu vermeiden, dass vielleicht der Drucker, DVD-Player, TV, Receiver, etc. zum "(ro-)bot" wird,
kann man z.B. das nach Hause telefonieren unterbinden oder auf gewisse Ports einschränken.
Um alle Einstellungen vornehmen zu können, ist die erweiterte Ansicht nötig.
Zunächst die Übersicht Menü: Internet > Filter > Blatt Kindersicherung
Der Drucker HL-3040CN darf nicht ins Internet... (hat das Zugangsprofil Gesperrt)
Grundsätzlich sollten alle Geräte, welche nicht unbedingt ins Internet müssen gesperrt werden.
z.B. TV, DVD-Player, Verstärker, etc.
Der Rechner gj2 hat unbeschränkten Zugriff ins Internet (Zugangsprofil Unbeschränkt)
Alles was neu aufgenommen wird, wird, wird dem Profil 'Standard' zugeordnet.
Es sei denn, dass wird händisch geändert.
Die Zugangsprofile lassen sich editieren. Siehe unter Internet > Filter > Zugangsprofile
Hier sind noch die Standard-Einstellungen zu sehen mit den 4 Profilen:
Gast, Gesperrt, Standard und Unbeschränkt.
Klickt man beim Profil 'Standard' rechts den Edit-Profil Knopf an, bekommt man folgendes Menü.
Hier habe ich mich entschieden Seiten via Blacklist zu filtern und
habe die Anwendung 'Sufen und Mailen' ausgewählt.
Die Blacklist selber möglichst später an anderer Stelle editieren.
So sieht es aus wenn das Profil Standard bereits verändert ist, sodass nur noch die Anwendungen
Surfen & Mailen möglich sind.
Menü Internet > Filter Blatt Listen
Hier kann man die jeweilige Anwendung anpassen oder ergänzen.
Und hier kann man auch eine Blacklist eintragen.
Beispiel einer möglichen Blacklist
google-analytics.com
google.com
google.de
googleadservices.com
googlecommerce.com
googleoptimize.com
googlesyndication.com
googletagmanager.com
googletagservices.com
googleusercontent.com
googlevideo.com
gstatic.com
googleapis.com
hcaptcha.com
youtube-nocookie.com
optimizely.com
facebook.net
adobedtm.com
msecnd.net
etracker.com
addsearch.com
twitter.com
smartredirect.de
ip4.io
Cdntrf.de
ru
maximal 500 Einträge...
Siehe auch: shizoworld.de
Blockierliste der Fritzbox nutzen.
Bzw. so sieht das Blacklist Beispiel nach Eingabe aus:
Und so sieht dann eine Fehlermeldung aus,
wenn man eine Seite aufruft, welche sich in der Blacklist befindet.
Nun gucken wir welche Netzanwendungen es gibt.
Wenn man auf die jeweiligen Stiftsymbole klickt bekommt man die Details,
welche unten in der Tabelle abgebildet sind.
Zum Anfang
Anwendung | Protokoll | Quellport | Zielport | was noch erlaubt ist |
---|---|---|---|---|
HTTP-Server | TCP | 80 | beliebig | |
FTP-Server | TCP | 20-21 | beliebig | |
eMule | TCP | beliebig | 4662 | |
eMule | UDP | beliebig | 4672 | |
BitTorrent | TCP | beliebig | 6881-6999 | |
MS Remote Desktop | TCP | 3389 | beliebig | |
SSH | TCP | beliebig | 22 | |
Telnet | TCP | beliebig | 23 | |
nicht (Surfen und Mailen) | TCP | beliebig | 1-24 26-79 81-109 111-142 144-442 444-464 466-586 588-992 994-994 996-8079 8081-65535 |
25 SMTP 80 HTTP 110 POP3 143 IMAP 443 HTTPs 465 SMTPS 587 SMTP 993 IMAPs 995 POP3s 8080 HTTP |
nicht (Surfen und Mailen) | UDP | beliebig | beliebig | alles offen |
Zum Anfang
Beispielsweise möchte ich einen Filter bauen, welcher nur die tatsächlich in Thunderbird (für e-mail) verwendeten Port öffnet,
Surfen ermöglicht (http & https) und verschlüsselten FTP-Zugriff auf einen Web-Server erlaubt.
Anwendung | Protokoll | Quellport | Zielport | was noch erlaubt ist |
---|---|---|---|---|
Mail, Web, FTP, Rest blockiert | TCP | beliebig | 1 - 79 81 - 442 444 - 464 466 - 988 991 - 992 994 - 65535 |
80 HTTP 443 HTTPS 465 SMTPs 989, 990 FTP over TLS 993 IMAPs |
UDP | beliebig | beliebig | alles offen |
Gemäß obiger Tabelle habe ich eine neue Netzanwendung Mail_Web_FTP kreiert.
Internet > Filter > Zugangsprofil
Habe das Ergebnis nach Einstellung der Anwendung Mail_Web_FTP als Standard Profil eingetragen.
Zum Anfang
Siehe im Menü: WLAN > Funknetz
Der Name des Funknetzes (SSID) sollte nicht auf den Benutzer oder
das Gerät (mit spezifischen Schwächen) rückschließen lassen.
Evtl. wenn alle Geräte sich angemeldet haben, kann man die Sichtbarkeit ausschalten.
Alle Passworte (Router-Passwort, WLAN-Passwort, ftp-Passwort, etc.)
sollten neu vergeben werden und nicht den berechenbaren
z.B. auf der Rückseite abgedruckten entsprechen.
Einstellung: WLAN > Sicherheit > Verschlüsselung
WPA2 sollte nur zugelassen sein. WPA ist rel. schnell knackbar und sollte de-aktiviert bleiben.
Der WLAN-Schlüssel sollte keinen aussprechbaren Namen enthalten und möglichst exotische Zeichen enthalten.
Wenn WLAN-Geräte ausschließlich ins Internet und keine Intranet-Geräte, wie z.B. Drucker nutzen,
kann das untereinander kommunizieren der WLAN-Geräte unterbunden werden.
Einstellung: WLAN > Sicherheit > Verschlüsselung
Die Option nur bekannte WLAN-Geräte zuzulassen ist nur bedingt hilfreich,
da prinzipiell jede MAC-Adresse einstellbar ist.
Siehe: WLAN > Sicherheit > WPS-Schnellverbindung
Auf WPS sollte man auf jeden Fall verzichten!
Es ist zwar bequem und in fast jeden Router pre Default aktiv,
aber dann ist auch kein WPA mehr nötig...
Siehe z.B. grundlagen-computer.de WPS-Lücke
Siehe: WLAN > Gastzugang
Ist sinnvoll, wenn ein Zugriff aufs Intranet (Drucker, NAS, etc.) unterbunden werden soll.
Siehe: WLAN > Funknetz > Edit Button
Und: Heimnetz > Netzwerk > Netzerkverbindungen > Edit Button
Alle Geräte im LAN oder WLAN sollten eine feste IP-Adresse bekommen.
Ist sinnvoll wenn man am Debugging ist oder den jetzigen Stand mit einen alten vergleicht.
Details des WLAN-Gerätes:
Die per DHCP von der FB festgelegten Adresse für alle Zukunft festlegen.
Zum Anfang
Siehe: Heimnetz > Netzwerk > Netzwerkeinstellungen
Ob die FB der Router wird, welcher z.B. über DSL mit den Internet verbunden ist,
per DHCP IP-Adressen vergibt, DNS-Dienste zur Verfügung stellt, etc. (Router)
oder eher ein interner Switch oder Accesspoint ohne Firewall darstellt, entscheidet sich hier (Client).
Siehe: Heimnetz > Netzwerk > Netzwerkeinstellungen > weiter runter gescrollt
Umkonfiguration der FB sollte tunlichst nicht über externe Anwendungen passieren.
Oder zumindest nur kurz für die Einrichtung um es dann danach wieder dauerhaft zu de-aktivieren.
siehe z.B. pc-magazin.de Fernwartungs-Leck
Die IP-Adresse wo sich die FB im lokalen Netz finden lässt, wird hier eingestellt.
Standard für die FB ist
Die FB sollte sich die Zeit von einen sog. ntp-Server
z.B. 0.pool.ntp.org holen,
sodaß alle and die FB angeschlossenen Geräte sich die Uhrzeit von der FB holen können
(und nicht nach draußen Telefonieren müssen).
Also aus Zeile entfernen z.B. ntp0.voip.telefonica.de; ntp1.voip.telefonica.de
Setzten zu z.B.: ptbtime1.ptb.de; 0.pool.ntp.org
Da es leider gängige Praxis der ISP - Internet Service Provider ist, via DNS mit zu schneiden,
was die Kunden interessiert, bzw. es kommt dann ab und zu unfreiwillig die Telekom-Seite zum Vorschein,
obwohl man sie gar nicht eingegeben hat,
macht es Sinn die vorgegebenen Standard DNS-Server aus zu tauschen, gegen freie DNS-Server.
Siehe: Internet > Zugangsdaten > DNS-Server
Also statt z.B. 217.237.150.205 & 217.237.149.142
Bzw.
Interessante Artikel zu diesem Thema sind beispielsweise folgende:
ungefiltert-surfen.de Liste an freien DNS
privacy-handbuch.de div. Tips rund um Sicherheit
Zum Anfang
Manchmal ist es nötig einen Paketmitschnitt zu machen,
um zu wissen was genau für Ports erforderlich sind
oder noch geschlossen werden müssen. Dies geschieht über folgende URL...
Unter Internet > Routing-Schnittstelle kann man den Mitschnitt starten.
Erst wenn die ersten Bytes angetroffen sind, wird man im Browser gebeten eine Datei zu sichern.
Wichtig ist zum Ende des Mitschnittes auf Stop zu drücken und zu warten bis der Mitschnitt abgeschlossen ist.
Andernfalls verliert man unter Umständen den ganzen Mitschnitt.
Das Ergenis kann man sich dann mit den Netzwerk-Analyse-Tool
Wireshark angucken.
Weitere Diagnose-Möglichkeiten der Fritzbox findet man unter folgender URL: https://fritz.box/support.lua
Die Seite ist noch länger ...
Sollte es nötig sein die FB neu zu initialisieren,
kann man das im Falle das es eine Box mit Telefonanschluss ist,
über das Telefon machen
FB-Reset #991*15901590*
Wenn man mehrere FB im gleichen Netz hat,
so macht es Sinn vor der Slave-Einstellung (als IP-Client) jeder Box eine andere Adresse zu geben.
Siehe Heimnetz > Netzwerk > Netzwerkeinstellungen > IP-Adressen
Die Standard Einstellung ist 192.168.178.1
Hier könnte man beispielsweise
Spätestens wenn man diese 2. FB auf IP-Client stellt,
wird von der 1. FB, via DHCP, eine andere Adresse, als 192.168.178.2 zugewiesen.
Sollte nun die 1. FB nicht mehr erreichbar sein,
wird man auch nicht mehr die 2. FB erreichen können,
da der DHCP Dienst der 1. FB fehlt.
Hier hilft dann nur noch im PC eine statische Adresse (ohne DHCP)
einzutragen welche im Adress-Raum der Notfall IP ist.
z.B. 169.254.1.x für x<>1
Den Browser bereitet man vor indem man die FB Notfall-IP Adresse
Nun bootet man die 2. FB neu und bestätigt im Browser die zuvor eingegebene Adresse.
Falls man wissen möchte ob der eigene Router alternative IP Adressen anbietet,
kann man folgendes eingeben - hier, mit der Antwort der Fritz.box...:
ip route show default via 192.168.178.1 dev enp37s0 default via 192.168.178.1 dev enp37s0 proto dhcp metric 100 169.254.0.0/16 dev enp37s0 scope link metric 1000 192.168.178.0/24 dev enp37s0 proto kernel scope link src 192.168.178.35 metric 100
Zum Anfang
Möchte man im Haus mehrer DECT-Telefone benutzen,
so sind leicht Reichweiten-Probleme festzustellen.
Für den ursprünglichen Telekom-Router Speedport Smart
habe ich keinen passenden DECT-Repeater gefunden,
wo ich sicher sein konnte dass er auch funktioniert.
Ein Lösungsansatz wäre ein DECT-Repeater z.B. AVM FRITZDECT 100 für ca. 80,-
und ein WLAN-Repeater z.B. FRITZ WLAN 1750E für 75,- zu kaufen.
Viel einfacher ist es sich zwei identische FB's zu kaufen
z.B. 2x 7530 je 109,-
Die 1. FB kann man dann mit der Erdgeschoss-Telefonnummer belegen
und die 2. FB z.B. mit den Telefonnummern für die Kinder.
Optimal verbindet man noch die beiden FB's per LAN.
Es geht aber auch mit einer WLAN-Verbindung...
P.S. ich arbeite nicht bei AVM und beziehe kein Geld von denen und
die wissen noch nicht einmal von Ihren Glück, daß ich sie bewerbe ;-)
Zum Anfang
Der Telnet Dämon der fritz.box 7360 wird beispielsweise über #96*7*
aktiviert
und bleibt bis zum nächsten re-boot aktiv. Telnet fritz.box ist unverschlüsselt und benutzt Port 23!.
Zum Anfang
Einen Telefon-Mitschnitt erzeugen, kann man auf verschiedene Arten realisieren.
Das wichtigste dabei ist es, gemäß DSGVO Art. 4 Nr. 1 um Einverständnis zu bitten.
Das Einfachste Weg ist wahrscheinlich über eine Konferenzschaltung.
Hier verbindet man sich dann mit einer Telefonnummer,
hinter der sofort ein Anrufbeantworter abnimmt und mitschneidet.
Dafür habe ich erst einmal eine zweite Nummer angelegt,
von den Dreien, welch mir ein Provider normalerweise zur Verfügung stellt.
Siehe Telefonie > Eigene Rufnummern > Neue Rufnummer
Zunächst ist der Anbieter zu wählen.
Je nach Anbieter sind verschiedene Parameter nötig.
Beispiel Telekom.
Beispiel Sipgate.
Die Einstellung wird dann noch einmal überprüft.
Beispiel Telekom
Als Ergebnis sind nun 2 Nummern eingerichtet.
Mit 7 beginnt die ursprüngliche Telefonnummer, angezeigt unter *121#
.
mit 6 beginnt die Nummer wo direkt der AB sofort anspringt *122#
.
Über das Menü Telefonie > Anrufbeantworter
richte ich mir einen 2. Anrufbeantworter AB00
ein mit folgenden Eigenschaften.
Dann wird der Anrufbeantworter noch einer Nummer zugeordnet.
Man kann nun die vorgenommenen Einstellungen für den
Anrufbeantworter AB00
nochmals überprüfen.
Wie man sieht, sind nun 2 Anrufbeantworter konfiguriert.
AB60
ist der übliche Anrufbeantworter (bei mir mit 60 sec. Verzögerung) und
AB00
ist der, welcher sofort ran geht und zum Mitschnitt genutzt werden soll.
Die Konferenzschaltung kann man wärend des Telefonates aktivieren,
indem man wärend des Telefonates die R
-Taste drückt.
Danach wird entweder eine externe Nummer gewählt oder
**
gefolgt von einer internen Nummer.
**122 um den internen AB zu erreichen klappt bei mir nicht.
Nach Annahme des zweiten Teilnehmers wird die Dreierkonferenz mit R 3
hergestellt.
Der Haken
Es werden maximal 10 min aufgezeichnet, was meiner Meinung die Sache wertlos macht.
Den Datenverkehr kann man mitschneiden via
https://fritz.box/html/capture.html
oder http://192.168.178.1/html/capture.html
Hier wählt man 1. Internetverbindung
Den Begriff „Schnittstelle 1 (‚voip‘)“ gibt es nicht mehr.
Nach dem Stoppen und Sichern der Datei, öffnet man Wireshark.
Hier ruft man "Telephony/VoIP Calls" auf.
Zum Anfang
Zum Anfang
bitblokes.de
FRITZ!Box VPN (Router) installieren, einrichten, nutzen – so funktioniert es
pcwelt.de
Fritzbox-Hacks: Versteckte Funktionen freischalten
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1205_FRITZ-Box-fur-Internetzugang-uber-Android-Smartphone-einrichten-USB-Tethering/
Zum Anfang