Eierlegende Wollmilchsau – Sicherheitsrisiko ?

Sidebar Sidebar
  • Unsere Website ist morgen von 07:00 bis 12:00 UTC aufgrund von Wartungsarbeiten nicht verfügbar. Wir entschuldigen uns für etwaige Unannehmlichkeiten.
Upgrade 3CX to v18 and get it hosted free!
D

darkmaster

Neuer User
Mitglied seit
20 Mrz 2006
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

da ihr hier oft sowohl hardware- als auch softwareseitige Aspekte der Fritzbox besprecht, hoffe ich dass ich hier richtig bin. Mich würde nämlich einmal der Sicherheitsaspekt bei der stetigen Weiterentwicklung der ds-mods und Fritzboxsoftware interessieren. Bitte versteht mich jetzt nicht falsch, ich möchte kein einziges dieser Projekte kritisieren, da ich oft genug mehr als dankbar für deren Features war.

Es geht mir einerseits um die Verbindung DSL-Gateway – Telefonanlage, besteht denn das Worst Case Szenario, dass jemand sich in meine Fritzbox hacken kann und dann in meinem Namen Gespräche führen kann (gehen wir mal von den Standarteinstellungen aus, ohne besondere ip-route und oder vpn- Konfiguration) ? Und wenn ja wie wahrscheinlich ist ein derartiges Szenario

Wenn ich meine Fritzbox wirklich als eierlegende Wollmilchsau benutze, sprich USB- Sticks als NFS- Laufwerke, LCR, Firewall, Samba, Faxempfang …. verwende, besteht dann nicht die Gefahr, dass die Fritzbox immer weiter sowohl von innen als auch außen angreifbarer wird.

Vielen Dank schon mal im Voraus
 
Ich sehe das größte Risiko in Telnet, SSH oder FTP nach außen. Zum Beispiel könnte jemand deine VOIP-Accounts aus der voip.cfg klauen. => Telnet abschalten und SSH mit pulibc-keys (keine Passwort-Logins) benutzen. Ich denke, dass das ziemlich sicher ist.

MfG Oliver
 
darkmaster schrieb:
Wenn ich meine Fritzbox wirklich als eierlegende Wollmilchsau benutze, sprich USB- Sticks als NFS- Laufwerke, LCR, Firewall, Samba, Faxempfang …. verwende, besteht dann nicht die Gefahr, dass die Fritzbox immer weiter sowohl von innen als auch außen angreifbarer wird.
Zum Vergrößern anklicken....
Doch, da hast du Recht. Je mehr Dienste du auf der Box startest, desto mehr Angriffsfläche gibt es. Man sollte also nur die Dienste installieren und ständig aktuell halten, die man wirklich benötigt.
 
Hab' da mal eine Frage bzgl. der (Un-)Sicherheit von telnet:

Sehe ich das richtig, dass Telnet kein Problem darstellt, solange ich es im internen Netzwerk nutze , bzw. wenn ich von außen zugreife, der Zugriff über openVPN erfolgt? (Auf das interne Netzwerk haben natürlich auch nur vertrauenswürdige Personen Zugriff)

Mit anderen Worten: Ist die immer wieder beschriebene Unsicherheit von Telnet einzig in der nicht verschlüsselten Übertragung begründet oder gibt's noch andere Sicherheitslücken?
 
Ing schrieb:
Mit anderen Worten: Ist die immer wieder beschriebene Unsicherheit von Telnet einzig in der nicht verschlüsselten Übertragung begründet oder gibt's noch andere Sicherheitslücken?
Zum Vergrößern anklicken....

Ich kenn momentan keinen Telnet-Exploit.
Verschlüsselung bringt eingentlich nur etwas mehr Sicherheit. Zudem steht beim Telnet-Login immer "Fritz!Box", was dem Angreifer schon wieder Hinweise liefern kann.

Es kann immer vorkommen, dass die Programme Fehler beinhalten, an die keiner gedacht hat. Damit muss man leben :D . Egal ob SSH/Telnet/FTP,...

Je mehr Dienste, desto höher die Wahrscheinlichkeit, dass sich irgendwo Fehler einschleichen. Manchmal passiert das auch schon bei der Konfiguration.

Telnet ist bei mir immer an (lokal/nicht nach Aussen) und das einer MAC Spoofing in meinem LAN betreibt, schließe ich mal aus. Also, kein Grund zur Paranoia ;)


gruß
bodega
 
Zuletzt bearbeitet:
Vielen Dank für eure schnellen Antworten.

@olistudent: Warum siehst du das größte Risiko im Stehlen der VoIP Zugangsdaten, wenn man die Fritzbox „missbrauchen“ würde um unautorisierte Gespräche übers Festnetz zu führen ergibt sich doch der selbe Effekt, oder ?

@bodega: Da Telnet keine Verschlüsselung kennt, weder für den Aufbau von Sessions als auch für deren Betrieb ist es an sich schon empfehlenswerter stets ssh anstatt telnet zu benutzen.

@alle: Ich denke wir sind uns alle darin einig, dass je mehr Dienste die Fritzbox ausführt werden, desto mehr Abstriche man in Effizienz als auch Ausfallsicherheit machen muss. Aber mich interessiert vor allem ob es vielleicht durch mögliche Hardwaremechanismen ausgeschlossen ist, dass ein Hacker über das pppoe Interface die vollständige Kontrolle über die Fritzbox erlangen kann.
 
Die größte Gefahr sehe ich in schlechter bis gar keiner Verschlüsselung des WLAN. Wenn dann noch eine schlechte Passwortwahl für das Web-Interface der Box hinzu kommt (noch besser: gar keine Passwortabfrage), dann ist die Gefahr nicht von der Hand zu vorhanden, dass z.B. die Callthrough-Funktion für fremde Zwecke missbraucht werden kann. (0900 kann ganz schnell ganz schön teuer werden.
 
darkmaster schrieb:
@bodega: Da Telnet keine Verschlüsselung kennt, weder für den Aufbau von Sessions als auch für deren Betrieb ist es an sich schon empfehlenswerter stets ssh anstatt telnet zu benutzen.
Zum Vergrößern anklicken....

Wenn ich den Port nach Außen hin freigebe oder Dateien übertragen möchte, dann würde ich auch ssh empfehlen. Aber für's lokale Netz reicht mir telnet allemal.
Falls jemand wirklich Energie und Zeit verschwendet, den WPA-Schlüssel zu knacken, dann wird er auch vor ssh nicht halt machen. Aber ich hoff ja mal, dass meine Nachbarn gute Menschen sind ;)

gruß
bodega
 
Zuletzt bearbeitet:
bodega schrieb:
Aber ich hoff ja mal, dass meine Nachbarn gute Menschen sind ;)
Zum Vergrößern anklicken....
Von welchem Radius gehst Du da aus, 3-5m oder leichtsinnigerweise etwa mehr? :mrgreen:
 
Die größte Gefahr sehe ich durch die Modifikation der Firmware selbst. Modifizierte Firmware wird nur unzureichend getestet. Wer eine veränderte Firmware einsetzt und zusätzliche Dienste startet muß immer mit einer erhöhten Gefahr rechnen.

Daher mein Tipp: Die originale Firmware von AVM läßt für den normalen Benutzer keine Wünsche offen. Daher laßt das Original drauf und macht euch das Leben nicht unnötig komplizierter.
 
sagichnicht04 schrieb:
Die originale Firmware von AVM läßt für den normalen Benutzer keine Wünsche offen.
Zum Vergrößern anklicken....
Für wie simpel hältst Du denn die Wünsche des "normalen Benutzers"? :rolleyes:
 
Das Problem ist wohl eher mehr zu installieren als man wirklich braucht. Ich kämpfe seit Wochen dagegen an den ds-mod zu installieren. Mein Verstand sagt das brauch ich alles nicht, das Spielkind in mir sagt das gibt ne Menge Spass zum austesten. Am besten wirklich nur das installieren, was wirklich gebraucht wird.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 799 (Mitglieder: 29, Gäste: 770)

Neueste Beiträge

Statistik des Forums

Themen
246,817
Beiträge
2,257,883
Mitglieder
374,904
Neuestes Mitglied
hansolo84
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück