Fritz Box Stealth Mode sinnvoll?
Moin,
Weiß jemand ob es sinnvoll ist bei einer Fritz Box den Firewall Stealth Modus zu aktivieren? Wenn ja in wie weit ist dieser Modus sicherer?
3 Antworten
Anderer Name für die Diskussion: Iptables Reject oder Drop
Normalerweise antwortet ein System, wenn ein nicht-offener Port angefragt wird mit einem Fehler. Im Stealth-Mode wird einfach nicht geantwortet und die Verbindung wird dann wegen Timeout geschlossen.
Der Punkt ist aber, dass offene Ports sowieso als offen erkannt werden. Sprich eventuelle Portscans von "Angreifern" dauern einfach ein wenig länger, liefern aber genau das Gleiche.
Ich persönlich setze sowas nicht ein, damit man mit der Fehlermeldung was anfangen kann. Ein "Verbindung abgelehnt" sagt mir mehr als ein rätselhaftes Herstellen, welches dann irgendwann fehlschlägt.
Sofern du Portfreigaben hast ist es sowieso hilfreich diese auf Ports oberhalb von 1000 zu legen, damit verhinderst du schon mal die "billigen" Angriffe von einigen Systemen. Gerade wenn ich schaue was bei mir auf dem Telnet- oder SSH-Port so alles anklopft...
Sofern's sich vermeiden lässt lieber ein VPN ins Heimnetz anstatt einer Portfreigabe.
Die Hammer-Methode wäre dann ein IDS, welches sogar aktiv reargiert. Auf Portscans kann das System dann einfach so tun als ob jeder angefragte Port offen ist. Das macht es dann dem Angreifer schwer. Bzw. ein Trigger-Port, welcher sämtliche andere Kommunikation sperrt. Wenn du weißt, dass du auf Port 22 kein SSH hast und jemand klappert den ab kannst du davon ausgehen, dass dies ein Portscan ist.
Ansonsten kommen wie funcky49 schon erwähnt hat auch keine Ping-Antworten vom Router. Das würde ich aus dem Internet jetzt nicht so als kritisch empfinden, da ich meine eigenen Systeme meist nie Pinge, sondern schaue ob ich den entsprechenden Dienst direkt erreiche. Wenn der Router da ist wird das VPN in der Regel auch da sein bzw. die Konfigurationsoberfläche...
Windows ist natürlich bei allem eigen und blockiert auch standardmäßig den Ping im Heimnetz...
Stealth Modus bedeutet, daß die FB nicht mehr auf Ping-Anfragen von außen antwortet. Insoweit ist das durchaus sinnvoll, die ganzen automatisierten Port-Anfragen laufen dann ins Leere.
Probiere es einfach aus, unsicherer wird es damit nicht.
Der "Stealth-Mode" demonstriert nur fundamentales Unwissen um das IP-Protokoll. Der vorgelagerte Router wird immer mit einem "ICMP host not reachable" antworten wenn der Heimrouter offline ist. Und das Ausbleiben dieser Antwort ist ein sicheres Zeichen dafür, daß hinter dieser IP jemand ist. ICMP gibt es nicht aus Langeweile und das Deaktivieren macht das Internet ein Stück weit kaputter. Baldrian-Wurzel kauen bringt mehr.