Boese Falle beim Update der FRITZ!Box auf FRITZ!OS 6.80

[PeterPawn]

Bei Einführung dieser Funktion im standardmäßig abgeschalteten Zustand hätte man sich vermutlich diese ganze Arbeit damit dann auch gleich verkneifen können. Wie sich zeigt, reichen die Zeilen in der "info.txt" ja nicht aus, um jemanden auf die Veränderung aufmerksam zu machen. Wieviele FRITZ!Box-Besitzer würden jetzt hingehen und ihrerseits nach einer neuen und bisher unbekannten Funktion im GUI suchen (deren Sinn sie anhand der Beschreibung auch dann nicht verstehen, wenn diese als Standard "nicht aktiv" ist), nur um diese Funktion jetzt aktivieren zu können und damit die Sicherheit auch gegen Angriffe aus dem LAN zu erhöhen?

Ist die Vermutung, daß die Zahl der FRITZ!Boxen, bei denen das (manuelle) Update bzw. die ersten Schritte/Zugriffe nach einem automatischen Update von jemandem erfolgen, der lokalen Zugriff auf die FRITZ!Box hat, diejenige der Boxen, bei denen das aus der Ferne erfolgt, bei weitem übersteigen dürfte, wirklich so abwegig? Oder kürzer: Es gibt sicherlich mehr FRITZ!Boxen mit lokalen Admins als welche mit "remote access", damit ist auch das anzunehmende "Verhalten" lokaler Admins relevanter für einen Standardwert bei einer neuen Funktion.

Eine Einführung einer "optionalen" Zwei-Faktor-Authentifizierung hätte diese Funktion mit einiger Sicherheit bei > 80% aller Boxen (nur - nicht repräsentative - Zahlen aus meiner Umgebung und die sind zum Teil vergleichsweise fit im Umgang mit FRITZ!Boxen) brachliegen lassen und wer Boxen aus der Ferne (manuell) aktualisiert, sollte sich vermutlich vorher in der "info.txt" informieren (sonst fehlt ihm am Ende der "nmbd" in der Firmware ;-)) und auch hier in den diversen Laber-Threads Labor-Threads war das ja mehrmals Thema.

Ich denke für meinen Teil schon, daß AVM hier bei der Einführung der Funktion eine richtige (und nachvollziehbare) Entscheidung getroffen hat (vom Faxversand mal abgesehen und von einigen, bisher vergessenen Stellen, wo man das hoffentlich mit der nächsten Version noch weiter ausbaut) - bei der "Datenübermittlung" (auch wenn die bei einer Release-Version wohl etwas anders läuft und die Boxen damit weniger "geschwätzig" sind) sehe ich (naturgemäß) aber tatsächlich auch eine "Zustimmungspflicht" des Benutzers und finde ein "opt-out" wie bei der Zwei-Faktor-Authentifizierung nicht ausreichend.

 

[sneaker2]

Ist das nicht eine Sicherheitslücke, wenn man diese Einstellung über den Import einer Sicherung überschreiben kann, ohne daß die 2FA aktiv wird? Zumindest bei manchen Anbietern gibt es doch eine Art automatische Einrichtung/anonymen SIP-Zugang?

 

[PeterPawn]

Der Import ist ja eigentlich über die 2FA abgesichert und hier wird - wenn ich das richtig verstanden habe - ja bereits in der Vorgängerversion der Firmware die 2FA abgeschaltet (als Einstellung, umgesetzt war sie dort ja noch nicht). Ohne diese "vorauseilende Maßnahme" würde natürlich beim Import die 2FA greifen und einen Angreifer behindern.

EDIT: Ne, da habe ich wohl etwas falsch verstanden ... wie das nach dem Einschalten der 2FA funktionieren soll, eine Sicherungsdatei ohne 2FA zu importieren, ist tatsächlich unklar.

 

[PeterPawn]

Oder einfach einen sicheren Zugang per SSH oder ShellInABox hinzufügen und dann per Kommandozeile die 2FA ein- und ausschalten? Ich finde es ja vorbildlich, daß Du die dann auch wirklich wieder einschaltest, wenn sie gerade nicht "stört" - Hut ab, ich kenne genug Leute (von denen einige auch "professionelle Admins" sind), die das gar nicht erst in Erwägung ziehen würden, wenn sie damit zusätzlichen Aufwand haben.

Man kann das (je nachdem, wie weit man es treiben will) ja auch über einen Port mit "stunnel" und Client-Authentifizierung per Zertifikat absichern ... ich habe es selbst gerade nicht getestet, aber nach der Änderung der "ar7.cfg" sollte das auch sofort wirksam werden, wenn man den "ctlmgr" neu startet. Macht man also so eine Änderung in der Reihenfolge "ctlmgr -s; <(automatisches) Editieren der ar7.cfg>; ctlmgr", sollte das eigentlich schon wieder reichen - braucht halt einen anderen Kanal als das HTTP-Interface, weil das ja vom "ctlmgr" bereitgestellt wird und der sich somit selbst die Beine weghauen würde.

 

[andilao]

"Einfach" den sicheren Zugang ... dürfte wohl den direkten Zugang erfordern und ich müsst auf meine alten Tage doch noch mit Freetz anfangen.

Ach nein, da habe ich schon die ultimative Lösung gefunden: den "Wireless Robotic Button Pusher"!
[video=youtube_share;AhRfzVUdApc]https://youtu.be/AhRfzVUdApc[/video]


Alternativ würde ich dann doch einen Taster neu verdrahten, damit ich ihn remote schalten kann.

 

[PeterPawn]

Autsch ... bei (i.d.R.) zwei Buttons, wo das Betätigen abseits von der 2FA gleich noch eine ganz andere Bedeutung hat?

Hat eigentlich mal jemand probiert, ob das Ein-/Ausschalten der Tastensperre auch 2FA-gesichert ist (ich komme mit dem (internen) Schreiben im Moment nicht hinterher bei eigenen Tests)? Die hat ja auch ihren Sinn abseits vom Schutz vor dem Staubwedel - der WPS-Start oder die DECT-Anmeldung (angesichts der umfangreichen Rechte für FRITZ!Fons auch nicht so ganz unkritisch) sollen damit ja auch (bei Bedarf) abschaltbar sein.

Bei alten NOR-Boxen brauchst Du wohl wirklich Freetz, bei neueren NAND-Modellen nur jemanden, der Dir die passenden Binaries (dropbear oder ShellInABox) bereitstellt - wer es auf die Spitze treiben will, kann sogar die Versionen aus den INTERN-Firmwares von AVM verwenden; einfach die Binaries herauskopieren, ShellInABox ist GPLv2-lizensiert: https://code.google.com/archive/p/shellinabox/ (die abgeleiteten Projekte dann logischerweise auch, es gibt ein paar Klone, keine Ahnung, worauf die AVM-Version basiert) und kann damit auch beliebig aus einem AVM-Image kopiert werden, selbst wenn AVM da ein paar Änderungen vorgenommen hat, damit "ar7login" und der TLS-Key der Box verwendet wird.

 

[andilao]

Prinzipiell bevorzuge ich minimal-invasive Lösungen mit Bordmitteln und investiere dafür auch mal gern mehr Zeit als ich je dadurch zurückbekommen werde.
Derzeit favorisiere ich eine Lösung per Loop-Kabel zwischen den überall komplett brachliegenden analogen Anschlüssen Amt und Fon1 oder Fon2.

 

[MartinDanK]

Hallo.

Bin über Google auf diesen Fred gestoßen.
Ich bin gerade unterwegs aber über VPN in mein Heimnetz verbunden. Ich wollte auch diese "Funktion" Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen deaktivieren.
Den Haken kann ich auch entfernen aber wenn ich dann auf übernehmen klicke, erscheint der Haken wieder als wäre nichts gewesen. Es erscheint auch kein Hinweis dass ich irgendwas am Router drücken sollte. Die Box tut einfach so als würde alles glatt laufen - macht es aber nicht, denn der Haken ist nicht wegzukriegen.

Weiß jemand was ich falsch mache? Vielen Dank vorab.

---

AH JETZT! Scheinbar darf man diese Änderung nicht vornehmen, wenn man über VPN angemeldet ist. Wenn ich ohne VPN in die Box gehe, ganz normal über meinen Fernzugang, dann möchte er eine Taste gedrückt haben zur Übernahme der gewünschten Einstellung. Etwas dämlich gelöst... aber Hauptsache es läuft jetzt.

 

[kadajawi]

Na tolles Feature... da ist man nun im Urlaub und möchte sich ein VPN einrichten, und dann blockiert dieses Feature alles. Gut, bin ich sicherlich selber schuld, aber um das VPN vorher einzurichten war vorher leider keine Zeit. Ärgerlich das alles. Gibt es einen Umweg, um das zu umgehen? Sonst muss ich extra jemanden vorbei schicken, was schwierig sein wird, das vom Timing abpassen (bei ner ganz anderen Zeitzone...). Vielleicht sollte AVM einfach nach dem Update fragen, ob man dieses Feature aktivieren will?

 

[JesuffVomLazarett]

Na tolles Feature...

Klar, ein deutlicher Hinweis beim Update wäre sinnvoll gewesen. Aber irgendwie ist das Thema doch eigentlich seit 2 Jahren gegessen...

Ich wüsste jetzt keinen Weg, wie man das ganze umgehen kann, denn dazu dient diese 2FA ja im Endeffekt. Und eigentlich auch ein ziemlich sinnvolles Feature von AVM, auch wenn einige das hier anders sehen

Einzig wenn du vielleicht ein Telefon oder Fax Zuhause hast, bei dem du ferngesteuert wählen kannst, dann könnte man es vielleicht umgehen. Aber ohne VPN vermutlich auch schwer...