Spaßig klingt diese Formulierung bei VF:
https://forum.vodafone.de/t5/Internet-Ger%C3%A4te/Firmware-Update-6-50-f%C3%BCr-die-Fritzbox-6360-steht-an/td-p/1278760 schrieb:
Trotz des Updates empfiehlt der Hersteller AVM folgende Sicherheitseinstellungen vorzunehmen:
[...]
Deaktivieren sie Die Registrierbarkeit von IP Telefonen in den Einstellungen der Homebox. (WLAN > Sicherheit > WLAN Zugang auf die bekannten Geräte beschränken)
Kennt jemand tatsächlich die Stelle bei AVM, wo so eine "Empfehlung" gegeben wird? Der Text hinter dem bei VF publiziertem Link enthält jedenfalls keinen solchen Hinweis und irgendwie macht er (wenn man das weiter denkt) in meinen Augen auch wenig Sinn.
Es kann ja eigentlich nur um Softphones gehen, die sich auf irgendeinem Gerät im LAN/WLAN befinden (wenn wir mal die von Beginn an mögliche Einrichtung zusätzlicher IP-Telefone
aus der Ferne in der Box nicht als These annehmen, dann wären alle empfohlenen Gegenmaßnahmen ohne Firmware-Update ja auch nur von kurzer Wirksamkeit) oder ein solches als Relay benutzen.
Es gibt eine Schnittstelle zur Einrichtung solcher Telefone über TR-064 (diese wird von den FRITZ!Apps ja auch genutzt) und (das ist wieder meinerseits spekulativ) vielleicht ist dort ein Umgehen der Prüfung von Berechtigungen zum Einrichten von SIP-Clients möglich - gerade auch die verschiedenen Einstellmöglichkeiten (Anmeldung ohne Kennwort aus dem LAN, Anmeldung nur mit einem einzelnen Kennwort für alle Funktionen und die einzig zeitgemäße Variante mit Benutzernamen und Kennwörtern, weil nur diese eine abgestufte Vergabe von Berechtigungen ermöglicht) machen das sicherlich auch bei der Programmierung nicht gerade leichter, den Überblick zu behalten und für jede denkbare Konstellation immer die richtige Wahl zu treffen.
Da reicht es dann schon aus, wenn bei "Anmeldung aus dem LAN ohne Kennwort" das Einrichten so eines SIP-Clients versehentlich ebenfalls ohne die Angabe eines Benutzers möglich wäre, solange der Client sich nur im LAN/WLAN befindet (was zumindest beim WLAN ja schon mal die Kenntnis des WLAN-PSK voraussetzt). Daß das sicherlich kein geplantes Verhalten wäre (bzw. dann hätte der Architekt an dieser Stelle wenig bis gar nicht mitgedacht), ist anzunehmen ... ob diese Sonderbehandlungen immer richtig erfolgen, darf trotzdem bezweifelt werden.
Aber da so ein Softphone ja dann trotzdem für die Benutzung des WLANs noch eine "Angriffsbasis" in Form eines Gerätes braucht, auf dem es ausgeführt werden kann, macht die oben zitierte Empfehlung eben keinen Sinn ... ist es tatsächlich ein unbekanntes Gerät, sollte es bereits von der korrekten WLAN-Verschlüsselung effektiv (und viel effektiver als bei Verwendung des MAC-Filters) aus dem WLAN herausgehalten werden. Benutzt es hingegen ein bereits mit dem WLAN verbundenes Gerät als Relay (oder ist sogar als App direkt dort installiert, wobei eben ein Relay wesentlich vielseitiger wäre), dann bringt diese Einstellung gar nichts, denn das Gerät wäre ja bekannt.
