Re: [A-DX] Frage zum multiplen Port Forwarding

[Christof Proft <christof.proft@xxxxxxxxx>]

Hallo,

[UPNP an einer FritzBox]
> das ist sicherlich grundsätzlich richtig.
[Fritz!DSL-Software]

> Im angeführten Programm hat der User die Möglichkeit einzustellen,
> dass die Portfreigabe erst nach einer zusätzlichen Sicherheitsabfrage
> erfolgt.
Um die Funktionalität der Fritz!DSL-Software sicherzustellen, wird UPNP
in der Fritzbox aktiviert. Die vorgenannte Sicherheitsabfrage wird dann
von dem lokalen Programm Fritz!DSL durchgeführt, nicht von der FritzBox
selbst, diese kann gar keine automatischen Sicherheitsabfragen generieren.
Damit ergibt sich ein Schutz vor Schadprogrammen auf dem lokalen
Rechner, aber KEIN Schutz der FritzBox allgemein, jedes Programm auf
einem Rechner, der OHNE FritzDSL im LAN hängt, kann per UPNP die
Einstellungen der Box ändern.
AVM geht offensichtlich davon aus, daß der DAU Fritz!DSL auf jedem
Rechner im LAN installiert, damit ergäbe sich immerhin eine geringe
Sicherheit der Gesamtkonfiguration.

> Ob man die Möglichkeit nutzt, muss jeder Anwender selber
> entscheiden.
Ich rate von UPNP in sicherheitskritischen Bereichen (dazu gehört die
Verbindungshardware ins Internet gewiß) grundsätzlich ab.
Auch Treiber- oder Zugangssoftware, wie die Fritz!DSL-Software, ist bei
vernünftig eingerichtetem NAT-Router unnötig. Ich bin bis heute immer
ohne diesen Kram ausgekommen.


Vorschlag zu Willis Problem:

Man verwende auf dem lokalen Rechner eine Software, mit der man
verschiedene Netzwerkkonfigurationen abspeichern und bei Bedarf per
Mausklicken anwählen kann. Die Software übernimmt dabei nur die
Parametrierung der Hardware, greift aber in die Netzwerkkommunikation
als solche nicht ein.
Möglicherweise diese, Eignung nicht getestet:

http://www.netsetman.com/index.php?s=nsm

Damit definiert man sich nun drei Konfigurationen:

1. Rechner im LAN, eigenes Netzwerk:
- LAN-Schnittstelle auf die IP-Adresse, die in der FritzBox als Ziel der
Portfreigaben angegeben ist
- WLAN-Schnittstelle deaktiviert

2. Rechner im WLAN, eigenes Netzwerk:
- WLAN-Schnittstelle auf die IP-Adresse, die in der FritzBox als Ziel
der Portfreigaben angegeben ist
- LAN-Schnittstelle deaktiviert

Die Vorgabe, eine IP-Adresse nur einmal zu vergeben und keine
Doppelverbindungen bei nicht routingfähiger Hardware (Switch in der
FritzBox) zu generieren, wird durch Deaktivieren der jeweils anderen
Schnittstelle erreicht.
Durch Aktivierung der jeweiligen Konfiguration erhält dann die jeweils
korrekte Schnittstelle die IP-Adresse, die in der FritzBox hinterlegt
ist, Konfigurationsänderungen oder UPNP an der FritzBox sind nicht
erforderlich.

3. Rechner in fremden Netzen
- LAN-Schnittstelle auf DHCP
- WLAN-Schnittstelle auf DHCP

Diese Konfiguration dient der automatischen Konfiguration für den
Anschluß an fremde Netze, wenn man unterwegs ist.

HTH

vy73

Christof

--
-----------------------------------------------------------------------
Diese Mail wurde ueber die A-DX Mailing-Liste gesendet.
Admin: Christoph Ratzer, OE2CRM  http://www.ratzer.at
-----------------------------------------------------------------------
Private Verwendung der A-DX Meldungen fuer Hobbyzwecke ist gestattet, jede
kommerzielle Verwendung bedarf der Zustimmung des A-DX Listenbetreibers.