Support-Forum

Internetzugang für TV, NAS etc

Fragen zum anonymen und spurlosen Surfen im Internet. Fragen zur Konfiguration, zum Security Slider und das Tor-Netzwerk.
Hallo Comidio-Team,

ich habe die Trutzbox installiert und versuche nun, alle Geräte im Transparent-Modus über die TrutzBox laufen zu lassen.
Dabei sind einige Unklarheiten aufgetreten:
1) Die Synology-NAS benötigt Zugriff auf einige Seiten mit synology.com am Ende. Ich habe versucht, dafür eine Whitelist anzulegen (Filterlisten\Neue Filterliste). Diese Filterliste kann ich nun unter Filter-Konfiguration als Ausnahmeliste zulassen.
Ziehen die Ausnahmen höher als die Rechte aus den Benutzergruppen?
2) Meine eigene Filterliste kann Filterliste kann ich nicht unter TrutzBrowse und auch nicht unter Benutzergruppen Konfiguration finden. Wieso nicht?

Vielen Dank

Stefan.
zu 1: Warum möchten Sie synology.com durch eine Whitelist frei schalten? Die Domain ist eigentlich in keiner Blacklist.
Ich bin nicht ganz sicher, was Sie mit "höher als die Rechte aus den Benutzergruppen" meinen. Wenn eine Domain in der Whitelist steht, dann wird der gleiche Eintrag in einer Blacklist ignoriert.

zu 2: die Listen sollten Ihnen da allerdings angeboten werden. Evtl. löschen Sie die Liste und legen Sie diese noch einmal an.

Aber eigentlich macht es wenig Sinn, auf Dauer eine NAS an die TrutzBox anzuschliessen. Testweise ist das OK um zu sehen, auf was die NAS so alles zugreift. Aber normalerweise sollte eine NAS keine ungewollten Zugriffe auf das Internet durchführen. Bitte bedenken Sie auch, dass die TrutzBox wie eine Firewall keine Zugriffe von aussen (Ext-Netzwerk) auf Geräte, die an das interne Netzwerk der TrutzBox angeschlossen sind, zulässt. Somit könnten Sie nicht mehr vom Internet aus auf Ihre NAS zugreifen.

Ihr Comidio Support
Hallo Comidio-Team,

wenn ich es richtig verstehe, dürfen alle Geräte hinter der Trutzbox grundsätzlich auf das Internet zugreifen.
Das ist ungünstig. Sollte sich z.B. eine Schadsoftware auf meiner NAS befinden, kann diese ungehindert Verbindungen aufbauen.
Deshalb möchte ich, das die NAS nur auf explizit von mir erlaubte Seiten zugreifen kann. Das hatte ich bisher mit Sophos XG gelöst. Die Einarbeitung dort erfordert aber etwas mehr Zeit, weshalb ich die Trutzbox als leichter zu konfigurierende Alternative sehe.
Die Argumente für die NAS sehe ich übrigens genauso für die anderen Geräte: BluRay Player, TV,...
Ich hatte nicht aufgepasst und schon hatte sich der BluRay Player eine freie IP geschnappt und ist über die Trutzbox auf irgendwelche Seiten gegangen. Das möchte ich vermeiden.
Ja, Geräte hinter der Trutzbox (am internen TrutzBox-Anschluss) können grundsätzlich (also auf Netzwerk-Ebene) auf das Internet zugreifen. Aber auf Protokoll-Ebene (http) nur dann, solange die Proxy-Regeln dies zulassen. Falls der Zugriff aufgrund der Black-/Whitelisten erlaubt ist, dann wird die Kommunikation (je nach SecSlider-Position für angesteuerten Server) durch die http-Tag-Regeln so "neutralisiert", dass meist trotzdem keine Tracker-Profile erstellt werden können.

OK, Sie haben mich überzeugt, in diesem Fall macht es sogar Sinn eine NAS an die TrutzBox zu hängen.

Aber es gibt doch noch einen kleinen Unterschied zwischen den Geräten: auf Bluray-Player, Fernseher... usw. möchte man von extern eigentlich nicht zugreifen. Deswegen gibt es bei diesen Geräten kein Problem, sie an das interne Netzwerk der TrutzBox zu hängen, um sie zu kontrollieren und ggf. in ihre Schranken zu verweisen.
Auf eine NAS möchte man evtl. von aussen zugreifen. Dies geht dann bei der TrutzBox nur über einige Umwege. Vielleicht sollten wir doch noch einmal darüber nachdenken, wie man einfacher Ausnahmen von Zugriffen von aussen auf Geräte am internen Netzwerk erlauben könnte.

Ihr Comidio Support
Hallo Comidio-Team,

ich bin immer noch auf der anderen Spur. Wie kann ich es meinen Geräten grundsätzlich verbieten auf das Internet zuzugreifen und dann je nach unterbundener Abfrage den Zugriff doch erlauben?

Meine Idee ist jetzt folgende:
Ich lege eine Blacklist mit einem Eintrag * an. Dann sollten doch alle Internetseiten davon erfasst sein, oder ?
Dann lege ich eine Whitelist mit den Seiten für Updates an.

Kann das funktionieren? Oder wie muss eine Blacklist aussehen, die alle Internetseiten per WildCard erfasst?

Schönen Abend noch

Stefan.
Das wird leider nicht funktionieren. Die einzige Stelle, an denen man zur Zeit unqualifizierte Domains eingeben kann (also mit einem * links), ist bei den Default-Slidereinstellungen. Nicht jedoch bei den White-/Blacklists.

Es gibt derzeit keine Möglichkeit über das TrutzBox-Menü ein Gerät vom Internet zu trennen.

Am einfachsten und am sichersten ist es natürlich immer, das Gerät per LAN-Stecker vom Internet zu trennen oder im WLAN-Menü des Geräts.

Ihr Comidio Support
Hallo Comidio-Team,

ich bin immer noch nicht mit den Steuerungsmöglichkeiten der Trutz-Box zufrieden.
Ihr habt grundsätzlich ein gutes Produkt. Eine derart inhaltlich tiefe Paketanalyse habe ich mir immer gewünscht.

Aber: Stellenweise ist selbst eine Steuerung über Fritz-Box genauer möglich:
1) IoT-Geräte sollen normalerweise nicht mit dem Internet reden. Was soll meine Steckdose im Internet? Deshalb wäre es sinnvoll einzelnen IP-Adressen komplett für das Internet zu sperren oder - noch besser - nur für die Update-Seite zuzulassen.
2) Einzelne IoT-Geräte sollen mit dem Internet reden (Thermomix), aber nicht mit meinen sonstigen Geräten (VLAN geht mit der Fritz-Box leider auch nicht).
3) Datenströme außerhalb http sollten ebenfalls steuerbar sein.

Leider habe ich jetzt ein Problem. Da die IP-Adresse von der TrutzBox umgewandelt wird, kommt sie bei der Fritz-Box nicht mehr an. Folglich kann ich vorgenannte Steuerungen nicht mehr vornehmen. Ich habe schon überlegt zusätzlich eine Sophos Firewall dazuzuschalten. Aber irgendwann wird die Antwortzeit PC-Sophos-TrutzBox-FritzBox-Internet sehr lang.

Stehen die vorgenannten Themen bei Euch auf der Agenda? Oder sollte ich die Sophos dazunehmen?

Freundliche Grüße

Stefan.
Zu 1. die Philosophy, um IoT-Geräte mit der TrutzBox unter Kontrolle zu bekommen, unterscheidet sich von der eines Routers. Bei einem Router würden Sie alles ausser wenigen Servern sperren (whitelist). Das könnten Sie auch jetzt über die Firewall-Einstellungen auf der TrutzBox machen. Aber das Problem ist, diese wichtigen Server, die das IoT-Gerät benötigt um fehlerfrei arbeiten zu können, heraus zu finden. Und dann macht es Sinn, dass auf solche Server zwar zugegriffen werden können soll, dieser aber nicht alle Daten bekommt. Das geht nur mit der TrutzBox.

Deswegen empfehlen wir folgende Vorgehensweise: zunächst in Status schauen, auf welche Server das IoT-Gerät zugreifen möchte. Diese dann ggf. durch eine eigene Blacklist sperren. Falls das es dann durch diese Sperrung zu Fehlfunktionen kommt, dann sollte dieser Server aus der eigenen Blacklist raus genommen werden (um den Zugriff zu erlauben), aber durch Optimierung des SecSliders diesem Server nur minimale Daten liefern.

Zu 2. dass ein IoT-Gerät mit einem anderem Gerät im lokalen Netz sprechen möchte, konnten wir noch nie beobachten. Haben Sie solch ein Gerät? Ansonsten könnte man das zwar auch über die Firewall-Einstellungen auf der TrutzBox verhindern, aber das ist recht kompliziert.

Zu 3. Auch das könnte man das zwar über die Firewall-Einstellungen auf der TrutzBox steuern, aber auch das ist recht kompliziert.

Was meinen Sie mit "...IP-Adresse von der TrutzBox umgewandelt wird"?
Wenn Sie sich wirklich an die Standard-Netzwerk- und Firewall-Einstellungen der TrutzBox wagen möchten, nehmen Sie bitte über support@comidio.de noch mal Kontakt per E-Mail mit uns auf.

Ihr Trutzbox Support
Hallo Comidio-Team,

"Zu 1. die Philosophy, um IoT-Geräte mit der TrutzBox unter Kontrolle zu bekommen, unterscheidet sich von der eines Routers. Bei einem Router würden Sie alles ausser wenigen Servern sperren (whitelist). Das könnten Sie auch jetzt über die Firewall-Einstellungen auf der TrutzBox machen."
Wie kann ich mit Whitelists arbeiten? Wie kann ich meinem IoT-Gerät nur ein oder zwei Websites erlauben?
Ich gehe davon aus, dass meine IoT-Geräte irgendwann gehackt werden. Für diesen Fall möchte ich den Datenverkehr bereits jetzt begrenzen (Rechtevergabe nach dem Need-To-Know-Prinzip).

"Zu 2.... aber das ist recht kompliziert." und "Zu 3.... auch das ist recht kompliziert."
Kompliziert habe ich schon (Sophos...). Meine Frage ging explizit in die Richtung, ob Ihr das irgendwann mal auf die Oberfläche der Trutzbox holt.

Danke!

Stefan.
Hallo Comidio-Team,

ich habe es jetzt getan. Meine ganze Technik ist hinter der Sophos XG Firewall. In der Sophos, die als Bridge fungiert, kann ich jetzt beispielsweise folgendes tun: Freischaltung der Adressen *.synology.com für meine NAS. In der Trutzbox kann ich dann das Untersuchen von https für die IP-Adresse der NAS ausschalten (wurde sowieso nicht von der NAS akzeptiert).

Weiterhin kann ich auch Geräte ganz vom Internet trennen. über http, TCP, UDP, FTP,...

Wäre schön, wenn ihr irgendwann das mit der Whitelist lösen könntet.

Freundliche Grüße

Stefan.