Überlegungen zur Sicherheit des MyFRITZ!-Service im Internet

Die MyFritz Webseite braucht man nicht, wenn man sich Hostnamen halt als Lesezeichen speichert oder mit ner eigenen Domain und CNAME arbeitet.

FB Benutzer sind garnicht notwendig, nur wenn man über Fernwartung drauf will, ich bevorzuge immer noch reinen Zugriff von intern (ggf. über VPN) ganz ohne Benutzer.
 
Wirklich?
Ohne: Anmeldung im Heimnetz --> (o) Anmeldung mit FRITZ!Box-Benutzernamen und Kennwort
...funktioniert doch kein Login über die Fernwartung, oder lieg ich da falsch?

Achso, kapiert, über VPN reicht natürlich nur das Fritz!Box Passwort, ohne Benutzervewaltung.
 
Zuletzt bearbeitet:
Ich verwende klassisches PW ohne Benutzer. Und da mit VPN intern, brauch ich keine Fernwartung der von außen angreifbar ist, und mich mit Benutzernamen rum ärgern.
 
Und damit wäre www.myfritz.net für dich eh "yet another DynDNS" Server.
 
Wird verwendet nur als DDNS da auch IPv4+6 läuft und auch andere Geräte eigenen Hostnamen bekommen und ebenfalls 4+6 gepflegt wird. Sonst müsste auf jedem Gerät eigener DDNS laufen der dann entsprechende IPv6 IPs übermittelt.
 
Sorry, aber ich kann solche Feststellungen (ich brauche intern keine Benutzer) eigentlich nicht mehr lesen. Das mag tatsächlich zutreffen, wenn man selbst ganz genau weiß, wo die Grenzen der FRITZ!Box liegen und sich auch ansonsten vorsichtig verhält.

Aber als generelle Empfehlung für "weniger technikaffine Nutzer" (ich liebe diese AVM-Formulierung für DAU) ist das eben nicht vertretbar und auch die lesen hier nun einmal und machen sich nach meiner Erfahrung solche Feststellungen dann zu eigen, wenn auch Leute, die es eigentlich besser wissen müßten (und hoffentlich solche Meinungen auch immer nur unter genau definierten Randbedingungen aufrecht erhalten), so etwas schreiben. Diese Differenzierung ("das gilt aber nur dann, wenn ...") ignorieren die meisten dann einfach und lesen nur noch das, was sie lesen wollen ... in diesem Fall dann eben "Es reicht auch, für die Anmeldung an der FRITZ!Box nur ein gemeinsames Konto/Kennwort für alle zu verwenden." - was passenderweise auch noch die AVM-Standardeinstellung ist.

Oder seid Ihr tatsächlich der Meinung, daß jedem Besitzer einer FRITZ!Box klar ist, daß man solche Einstellungen in der Benutzerverwaltung wie "Zugriff auch aus dem Internet erlaubt" (bzw. das Auslassen der Checkmark dort) ganz schnell austricksen kann, wenn man die Box nur hinreichend verwirrt?

Auch bei einer Einrichtung mit irgendwelchen Einschränkungen (von KiSi bis Gastnetz) kann die klare Empfehlung eigentlich nur lauten, unbedingt die Benutzerverwaltung der FRITZ!Box, inkl. klarer Verteilung nur der tatsächlich notwendigen Rechte, auch zu nutzen. Das kann zwar jeder "Profi" halten wie er will (wobei ich bei einem Profi den Leichtsinn dann wieder nicht verstehe), aber man sollte davon jedem normalen Benutzer ganz dringend abraten. Wenn es schon zuviel verlangt ist, den Router ordentlich zu schützen, was passiert denn dann bei weniger wichtigen Geräten oder Accounts?

Dann steht am Ende z.B. wieder ein FTP-Server, der nur mit einem einzigen Kennwort (das meist auch noch ein schlechtes ist) abgesichert ist oder im Extremfall (bei der noch unsichereren Verwendung der FRITZ!Box ohne Anmeldung aus dem Heimnetz) sogar komplett ungesichert zu erreichen ist.

Es gibt auch für den ctlmgr (mithin für den Webserver des FRITZ!OS) eine Möglichkeit, ihn entsprechend zu verwirren.

Ich wage zu bezweifeln, daß tatsächlich jedem Anwender der FRITZ!Box diese Zusammenhänge deutlich sind und sich jeder auch noch daran erinnert, wenn er aus irgendeinen Grund in einem halben Jahr für irgendeine FRITZ!App den Remote-Zugang einschaltet. Ob das nicht am Ende auch durch irgendwelche Apps als "Komfortmerkmal" automatisch erfolgt, würde ich auch immer noch nicht komplett ausschließen wollen - aber das ist reine Spekulation meinerseits, das habe ich noch nie wirklich beobachtet.

Obwohl es über TR-064 für mich tatsächlich möglich wäre, notfalls eben über X_AVM-DE_GetConfigFile und X_AVM-DE_SetConfigFile (siehe hier, eine explizite TR-064-Einstellung für das Freischalten von "remote access" gibt es aber wohl nicht) ... da ist - nach meinem Verständnis der Dokumentation - mit passenden Credentials wieder alles möglich, was auch per GUI geht und die hat so eine App in der Regel ja, wenn sie sich anmeldet mit einem Admin-Konto.

Wenn es dann am Ende gar keine anderen Konten gibt, dann ist das - immer wieder mit Bezug auf "normale Benutzer", das meint niemanden, der wirklich weiß, was er da macht - auch eher nicht so optimal. Der Benutzer in den unsicheren Modi (@CompatMode bei "keine Anmeldung" oder auch "@SkipAuthFromHomenetwork" bei "nur mit Kennwort" ) hat m.W. immer Admin-Rechte.

Ich würde jedenfalls einer App, die nur auf mein NAS zugreifen soll (das kann auch ein PC im LAN sein, da muß ja keine App verwendet werden), nicht automatisch auch Admin-Rechte einräumen wollen, nur weil das Konto "ftpuser" dasselbe Kennwort hat (solange man es nicht ändert), was auch zum Login in die Box benutzt werden kann. Fehlt am Ende eigentlich nur noch der unverschlüsselte FTP-Zugriff auf das NAS im LAN (denn es ist ja alles nur "im LAN") und ein Angreifer als Lauscher freut sich über das Kennwort für die komplette FRITZ!Box im Klartext (und nicht nur über eine SID einer Sitzung, wie es beim GUI der Fall wäre). Das gilt zwar beim FTP-Kennwort auch dann, wenn es mehrere Konten gibt ... aber wenn das Konto, das für FTP verwendet wird, dann wenigstens keine Admin-Rechte hat, ist die mögliche Angriffsfläche schon mal geringer. Und ein "Lauscher" im eigenen Netz kann auch Profis passieren ... das startet bei einer Flash-Lücke mit bösartiger Werbung und geht bis zur Rechteausweitung über bekannte Windows-Lücken. Kein ernsthafter Mensch wird so eine Gefahr im eigenen LAN mit absoluter Sicherheit ausschließen können und dann macht es sich bezahlt, wenn man den möglichen Schaden durch weitere Sicherungen begrenzt.

Sorry, wenn das wieder wie eine Belehrung rüber kommen sollte ... es ist ein heißes Eisen und man sollte solche Meinungen nur dann "leichtfertig" äußern, wenn man sich wirklich sicher ist, daß niemand sie mißverstehen könnte.

EDIT: Wenn es jemand bemerkt haben sollte ... die Benutzernamen für die verschiedenen Anmeldemodi sind natürlich fälschlicherweise von mir vertauscht worden. Ich lasse das aber - mit dieser Berichtigung - so stehen.
 
Zuletzt bearbeitet:
Wenn man dann auch tatsächlich mehrere Dienste nutzt und auch aus dem Internet verwenden will, ist klar mit mehreren Benutzer oder Einschränkungen besser.

Wenn man aber weder Fernwartung, noch FTP oder NAS verwendet langt doch ein einheitliches Passwort. Dieses sollte aber nur dem Verwalter bekannt sein, wenn mehrere Leute im Haushalt sind, und nicht jedem.

Von daher hast schon recht, es kommt wie immer auf die Rahmenbedingen an.

Dem DAU wird dieses Thema hier wohl auch eher egal sein, da ja für alles ein Passwort einfach ist und funktioniert, da interessieren doch technische Verfahren oder Umsetzungen nicht. Leider müssen manche auch wirklich erst einen Schaden erleiden, damit die über sowas nachdenken oder sich sensibilisieren für gewisse Sachen. Egal ob es Haus ist zwecks Einbruchsschutz (passiert ja schon nix in der Gegend) oder in sozialen Medien (ist mir egal, ist ja alles nicht so geheim was ich schreibe und mache) ... kann man mit diversem fortsetzen.

Ist halt immer eine Balance zwischen Sicherheit und Komfort, wobei eine oder andere auf Strecke bleiben kann teils.
 
Zuletzt bearbeitet von einem Moderator:
Hallo,

es klappt nun. Ich melde mich über Myfritz.net an, gebe meine Mail Adresse und das dazu passende Kennwort ein.
Dann werde ich auf MyFritz.net geleitet, die Seit startet.

Dort sehe ich dann unter MyFritz Geräte meine FB 7390 zwei mal aufgelistet.
Beim Klick auf die obere erhalte ich eine neue Seite mit dem Hinweis: Die Seite kann nicht angezeigt werden.

Beim Klick auf die untere geht es dann weiter und auf der folgenden Seite klicke ich ganz unten *Zu meiner Fritzbox*

Die dann erscheinende Seite erklärt mir, dass es ein Sicherheitszertifikat-Problem gebe. Ich kann dann auf dieser Seite entscheiden, dass sie trotzdem geladen wird.

Dann muss ich mich erneut mit einem Kennwort verifizieren, diesmal ein anderes - mit dem ich mich auch unter Fritz.box am PC anmelden würde.

So weit so gut.

Frage ist nur: Warum werden in der Übersicht 2 Fritz Boxen aufgelistet?
 
Weil da offenbar noch die alte eingetragen ist ... das MyFRITZ!-Konto merkt sich solche Boxen, die werden nicht nur bei einer DynDNS-Aktualisierung dort eingetragen. Selbst wenn eine Box schon nicht mehr existiert oder 4 Wochen ihre Adresse nicht aktualisiert hat, steht die immer noch mit der letzten gemeldeten Adresse in der MyFRITZ!-Seite. War da hinter dem Button zum Umbenennen nicht auch noch einer zum Löschen?
 
Evt. hast du eine andere FB oder könnte durchs neu einrichten kommen.

Kannst in der MyFritz Geräteübersicht sonst andere FB löschen.

Zertifikat Problem ist normal und korrekt so.
 
Ok, wieder ein begrüßenswerter Schritt von AVM ... der ist neu für mich, keine Ahnung seit wann das so aussieht.

In der Übersicht der FRITZ!Boxen werden jetzt die letzten drei Logins für dieses MyFRITZ!-Konto aufgeführt, das ist natürlich durch einen Angreifer auch nicht mehr zu verschleiern.
 
War da hinter dem Button zum Umbenennen nicht auch noch einer zum Löschen?

Ja genau. Ich kann also diese obere Box, bei der ich erhalte * Seite kann nicht angezeigt werden* wenn ich sie anklicke und im weiteren Fenster auf *Zu meiner FritzBox* klicke, entfernen?
 
@Canon:
Deine aktuelle FRITZ!Box hat einen MyFRITZ!-DynDNS-Namen. Der steht ja in dem Link in der MyFRITZ!-Geräteübersicht. Wenn Du nur eine einzelne Box hast (gibt es so etwas?), dann kannst Du die Box löschen, deren Adresse nicht mit der Deiner Box übereinstimmt. Das ist dann eine Karteileiche.
 
Alles klar, habe nun die obere Box gelöscht, die ins leere lief.
Und alles ist gut.

Natürlich habe ich nur eine einzige Box? Was ist daran ungewöhnlich.
 
Natürlich habe ich nur eine einzige Box? Was ist daran ungewöhnlich.
Nichts, war nur eine dumme Bemerkung meinerseits ...

Und ich weill auch nicht versäumen, mich für die Demonstration der von mir in #1 ja nur behaupteten Verwirrung zu bedanken. Ich habe Dich zwar von Deinem ursprünglichen Thread hierher verwiesen ... aber ansonsten lege ich schon Wert auf die Feststellung, daß ich Dich nicht kenne und vorher (meines Wissens) mit Dir noch nie Kontakt hatte, jedenfalls nicht zu diesem Thema.
 
Ich habe zu danken, denn nun verstehe ich es besser.

Meine Verwirrung war gestern schon recht groß, da ich mir nicht im klaren war, warum mein Kennwort auf Myfritz.net nicht angenommen wird, wenn es doch über Smartphone und Tablet etc. einwandfrei funktioniert.
Nun verstehe ich die Zusammenhänge deutlich besser, muss das alles aber nochmals in Ruhe alles durchlesen, um das zu verinnerlichen.

Man lernt immer wieder dazu - zum Glück.

Ich habe Dich zwar von Deinem ursprünglichen Thread hierher verwiesen ... aber ansonsten lege ich schon Wert auf die Feststellung, daß ich Dich nicht kenne und vorher (meines Wissens) mit Dir noch nie Kontakt hatte, jedenfalls nicht zu diesem Thema.

Das liest sich seltsam.
 
Zuletzt bearbeitet:
Auch ich habe @PeterPawn zu danken, denn obwohl ich ein Sicherheitsfanatiker bin hatte ich noch nicht daran gedacht für jeden Dienst in der Fritzbox ein eigenen Benutzer einzurichten.

Jetzt habe ich für jeden Dienst ein eigenen Benutzer eingerichtet, der nichts anderes darf.
Natürlich habe die alle verschiedene Passwörter.
Und aus der Ferne wird nur per VPN auf die Boxen zugegriffen.
 
Finde AVM sollte dem Nutzer freie Wahl lassen, bei den Hostnamen zum MyFritz Dienst.

Ist zwar schön, wenn man vertrauenswürdige Zertifikat automatisch einbinden kann, jedoch macht es den kryptischen Hostnamen obsolet.

Wieso? Lets Encrypt ist transparent, klingt gut? Irgendwie schon, jedoch ist die andere Seite der Medaille, dass alle ausgestellten Zertifikate für jeden frei sichtbar gelistet werden.

Ein Portscan ist dann auch schnell erledigt, da bedarf es dann nicht mal solche etwas anderen Suchmaschinen wie Shodan wo man alles mögliche findet.

Wenn man bei den Shodan Ergebnissen einfach mal paar Links anklickt, findet man diverse FB und Repeater wo nur ein Passwort notwendig ist, nicht mal ein Benutzer... Und wenn man dann so leicht zu finden ist im Netz, braucht man sich auch nicht wundern über entsprechende Scripte/Bots die ihr unwesen treiben, oder Leute die Versuchen Sicherheitslücken auszunutzen, da manche ja etwas Update scheu sind.
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: antonvm und fraenkDUS
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.