FB 7390 06.36-Beta - Zwangsweise Passwortabfrage aus LOKALEM Fremdnetz. ?Deaktivieren

voipd

IPPF-Promi
Mitglied seit
5 Mai 2005
Beiträge
3,187
Punkte für Reaktionen
4
Punkte
38
Hallo zusammen,

meine FB7390 laeuft als IP-Client im 192.168.1.x Netz. Es ist KEINE Passwortabfrage eingerichtet. Nun will ich aus dem 192.168.2.x Netz auf die Box zugreifen. (Routing passt und laeuft problemlos)

Der eigentliche Zugriff (ping, http) geht auch, aber ich soll Benutzername und Passwort eingeben. :mad: Ich habe nie so etwas vergeben. Aus dem Netz 192.168.1.x kann ich eben problemlos darauf zugreifen.

Wie kann ich diese Passwortabfrage abschalten? Natuerlich ist die Abfrage in der Oberflaeche angeschaltet, sonst wuerde es aus dem .1er Netz nicht gehen.


Viele Gruesse

voipd.
 
Das wird ein Sicherheitsfeature sein, da Du nicht aus dem Heimnetz darauf zugreifst.
 
Jaja. ;-)

Ist mir schon klar, aber die Frage ist: Wie werde ich es los? - Nein, ich will und kann kein Passwort setzen.


Nur als Ergaenzung: Es handelt sich nicht um den Zugriff aus dem Internet, sondern aus einem anderen lokalem Netz, da die Box als IP-Client in einem lokalem Netz laeuft.

Edit: Noch ein Nachtrag: Es reicht NICHT aus eine einfache Passwortabfrage zu aktivieren: "Anmeldung mit dem FRITZ!Box-Kennwort"

Um Zugriff auf die Box zu bekommen:
- muss ein FB-User aktiviert, bzw. erstellt werden,
- dieser muss "Zugang auch aus dem Internet erlauben" angehakt haben und
- es muss "Anmeldung mit dem FRITZ!Box-Benutzernamen und Kennwort" aktiviert sein.

Nur so ist es moeglich aus einem anderen LOKALEN Netz auf die Fritzboxoeberflaeche zuzugreifen. Was ein Schwachfug!! :mad:


BTW: Dieser SCHWACHSINN!!!!!! ist auch bei anderen Produkten verbreitet. Bei den aktuellen WD-NAS MyCloud Dingern kann man auch auf die Weboberflaeche nur aus dem eigenen lokalem Netz zugreifen. Wenn man per Fernwartung/Remoteaccess mit einer IP aus einem anderen Netz kommt, blockt der Webserver. Dies kann man aber zum Glueck per ssh wegkonfigurieren. Der Zugriff auf die Shares kann aber von allen Netzen erfolgen. Nur eben nicht der Zugriff auf die Web-GUI. Man, man, man. :x

voipd.
 
Zuletzt bearbeitet:
"Wegkonfiguriert" wirst Du das nicht kriegen ... es hat schon seinen Sinn (bei Dir dann vielleicht nicht, aber es ist trotzdem plausibel). Mit "stock firmware" wird das auch nichts werden - wenn Du zur Änderung an der Firmware bereit bist, hilft z.B. ein lokaler Tunnel mit zwei (per Pipe verbundenen) "nc"-Instanzen (nicht mehr in der Firmware enthalten), der dem ctlmgr die "Gegenstelle" unter einer lokalen Adresse "schmackhaft" macht.

Ansonsten hat man mit jeder Windows-Installation und der dort enthaltenen Firewall ja genau dasselbe Problem, daß ein Zugriff von außerhalb des konfigurierten LAN als "nicht lokal" angesehen wird.

PS: Es gibt (vermutlich, bei dieser Beta noch nicht getestet bzw. schon eine Weile nicht mehr, die Zeichenketten sind aber noch drin bei der 06.30) noch einen Weg, der in meinen Augen eigentlich eine Sicherheitslücke darstellt. Es handelt sich um denselben Mechanismus, mit dem bei einem FRITZ!WLAN Repeater 300E (andere habe ich nicht geprüft) dafür gesorgt wird, daß auch beim Betrieb als "Brücke" zwischen zwei Interfaces von "beiden Seiten" des Gerätes ein Zugriff immer als lokal angesehen wird. Das klingt jetzt etwas unbestimmt (und ich will auch nicht deutlicher werden), aber ich habe vor langer Zeit schon mal etwas dazu geschrieben, wie man beim FRITZ!OS die Grenze zwischen "internen" und "externen Zugriffen" verwischen kann (als Angriffsszenario). Wie weit diese Version davon noch betroffen ist und welcher der beiden Wege noch funktioniert (es gibt zwei, einer läßt sich ggf. über das GUI konfigurieren, der andere braucht Zugriff auf /var), müßtest Du selbst testen.
 
Fremdes Subnet ist für die Geräte halt Internet, ob es dir passt oder auch nicht.

Dieses Problem wirst auch mit Computern ect. die würden in Firewall auch CIFS/SMB blocken wenn nicht ausdrücklich fremde Subnet erlaubst.

Kannst dem Gerät wo Problem hast ja ne IP geben aus dem FB Netz, für manche Dinge sollte es klappen.
 
Dieses Problem wirst auch mit Computern ect. die würden in Firewall auch CIFS/SMB blocken wenn nicht ausdrücklich fremde Subnet erlaubst.

Und genau diese Möglichkeit fehlt einfach bei der Fritzbox. Ich kämpfe ja seit den neuen Fritzos Versionen mit ganz ähnlichen Problemen.
Sie haben, verständlicherweise, die Anmelde-Credentials aus Sicherheitsgründen verschärft. Leider hat AVM nicht an thirdparty VPN und DMZ-Netze gedacht oder denken wollen.
Jedenfalls wäre die Möglichkeit, eine Whitelist für "Gute Netze" zu Pflegen, wünschenswert.
Aber da stößt man bei AVM auf taube Ohren, vielleicht auch, weil wir zu leise schreien :D
 
Welche Zugriffe auf Clients im LAN über ein VPN werden denn von der FRITZ!Box blockiert? Was hat denn die FRITZ!Box damit zu tun, wenn andere Firewalls auf irgendwelchen Geräten die Zugriffe aus fremden Netzen blockieren?

Meines Wissens (Korrekturen werden gerne genommen) lauten die Antworten "keine" bzw. "nichts" ... "kritische Dienste" (und dazu gehört das gesamte GUI und eigentlich auch jedes andere Interface, über das man Daten an die Box senden kann bzw. auf dem man Daten aus der Box abrufen kann) auf der FRITZ!Box - selbst aus dem lokalen Netz - ohne Credentials verwenden zu wollen, ist dermaßen "old school", daß man davon nur auf das Dringendste abraten kann.

Hier wird dann die Sicherheit der Bequemlichkeit geopfert - niemand kann heute noch davon ausgehen (nicht einmal mit einem "normalen Browser" auf einem PC), daß sein LAN ein "safe harbor" ist und jeder Zugriff von dort automatisch erlaubt sein sollte.

Was würde denn mit einer "whitelist" für "gute Netze" funktionieren, was mit einer ordentlichen Anmeldung mit Benutzernamen und Kennwort nicht auch funktioniert?

Dein Problem mit der FRITZ!App Fon ist ja nicht (so habe ich es am Ende jedenfalls verstanden), daß die FRITZ!Box das gar nicht mehr zuläßt ... die App meldet einfach selbst ein Telefon über TR-064 an (das macht sie m.W. schon sehr lange so) und für dieses wird entweder die Eigenschaft "X_AVM-DE_ExternalRegistration" nicht gesetzt (dafür bräuchte es ohnehin "SetClient3") oder diese wird wohl auf "false" gesetzt. Das ist aber - wenn überhaupt - ein Problem der App und nicht der Box in meinen Augen. Was könnte das FRITZ!OS dafür?

Ich hoffe sogar immer noch stark, daß AVM die Möglichkeit des Zugriffs vollkommen ohne Kennwort irgendwann mal komplett abschafft ... offenbar lassen sich viele auch von der expliziten Warnung bei der Aktivierung dieser Option nicht davon abschrecken, sie trotzdem "regelmäßig" zu verwenden.

Immerhin ist die oben angedeutete Möglichkeit (über /var/assume_all_access_from_homenetwork) inzwischen bei den Versionen größer als 06.30 (ob das auch für 06.32 gilt, weiß ich nicht) nicht mehr vorhanden. Auch die andere Möglichkeit, mit eienr statischen Route zu einem bestimmten DNS-Root-Server über irgendeine Adresse im LAN diese Erkennung zu verwirren, ist nicht mehr vorhanden.

Dafür dient jetzt genau das im anderen Thread mal angesprochene "tcppeerlocation" ... damit ermitteln die Komponenten, ob der Zugriff als "homenet" oder "internet" anzusehen ist. Nur wenn das Binary nicht vorhanden ist, erfolgt wohl ein "fallback" auf die alte Schiene und man kann mit einer Route zu "207.46.19.190" bzw. "2001:0503:ba3e::2:30" auch externe Zugriffe als "homenet" ausgeben (zumindest beim FTP-Server) - dann mit der Konsequenz, daß bei freigegebenem FTP-Port und fehlender Anmeldung aus dem LAN auch der komplette FTP-Server von außen ohne Anmeldung zugänglich wäre.

Der Benutzer "@CompatMode" wird bei "Anmeldung mit Kennwort" automatisch angelegt, aber (inzwischen nur noch?) mit lokalen Rechten - alle Benutzerkonten mit "@" am Beginn des Namens werden im GUI nicht angezeigt.

Ohne einen Benutzer mit dem Recht zur Anmeldung aus dem Internet (das ist unabhängig davon, wie der Anmeldemodus der Box eingestellt ist) kann man sich eben aus einem externen Netzwerk nicht anmelden. Was ist denn daran jetzt so außergewöhnlich?

Wenn AVM wirklich ernsthaft diese Unterscheidung nicht mehr machen soll, wäre die einfachste Konsequenz ja sogar wieder, diesen "CompatMode" ebenfalls komplett abzuschaffen ... irgendwie erinnert der mich an das berüchtigte A20-Gate. Wofür braucht man denn im lokalen Netz eine Anmeldung nur mit Kennwort? Weil man sich keine Benutzernamen merken kann?

Schon die Feststellung, daß AVM beim "tcppeerlocation" die aktivierten VPN-Netze (nicht nur die verbundenen) als "local" ansieht, kann man meines Erachtens sehr kontrovers sehen ... das ist eine reine Definitionsfrage bzw. Ansichtssache. Der eine will aus einem (fremden) Netz per VPN genauso wie aus dem LAN auf seine FRITZ!Box zugreifen können und der andere will auf gar keinen, daß das aus dem anderen Netz einfach so funktioniert, obwohl er aus seinem LAN auf seine "Bequemlichkeit" auch nicht verzichten will. Nicht umsonst gibt es ja in so ziemlich jedem Netz die Möglichkeit, auch einzelne Dienste gezielt mit Credentials zu schützen. Nicht jeder mögliche Netzwerkverkehr heißt ja auch automatisch, daß jeder mit Zugriff auf das Netz auch Zugriff auf alle Dienste hat/haben soll.

Bei allem Verständnis für solche Standpunkte muß man dann eben auch die anderen sehen und verstehen - sich stets nur an den eigenen Bedürfnissen mit seinen Wünschen zu orientieren, ist auf Dauer auch etwas kurzsichtig ... wenn man dann plötzlich andere Bedürfnisse entwickelt, ist man schnell der Angeschmierte. Wenn man z.B. die Verbindung der FRITZ!Box mit dem Firmennetzwerk einrichten will/muß, weil man auf einmal im Home-Office arbeiten will/soll und dann hat jeder im Firmennetzwerk automatisch Zugriff auf die FRITZ!Box bei einem daheim, wäre das Geschrei sicherlich auch groß - insofern verstehe ich auch AVM an dieser Stelle irgendwie nicht. Mit der eindeutigen Entscheidung, daß alle VPN-Verbindungen eben kein "homenet" sind, wäre man auf der sicheren Seite ... zumindest eine Einstellung "als Heimnetz behandeln" würde ich aber erwarten, damit auch wirklich jedem klar wird, daß es einen Unterschied geben kann/sollte.

So wie es jetzt ist (auch ein entferntes Netzwerk bei "Diese FRITZ!Box mit einem Firmen-VPN verbinden" ist nach Ansicht von "tcppeerlocation" noch "homenet"), ist es jedenfalls in meinen Augen ein ziemlich unhaltbarer Zustand ... da hilft es auch absolut nichts, wenn AVM vor der Verwendung von "Keine Anmeldung" explizit warnt ("nicht empfohlen"). Ich würde Wetten darauf abschließen wollen, daß nur die wenigsten in einer solchen Konstellation erwarten würden, daß diese Art der Anmeldung dann eben auch aus dem entfernten Firmennetz gelten könnte (in der Erläuterung zur Anmeldeeinstellung steht ja etwas von "Heimnetz"); zumindest bei den Diensten, die "tcppeerlocation" zur Entscheidungsfindung nutzen (das ist wohl "nur" der ftpd, aber die Frage ist für mich eher, ob nicht derselbe Algorithmus auch an anderen Stellen verwendet wird und "tcppeerlocation" am Ende nicht nur ein weiteres Programm ist, daß diesen Algorithmus "von außen" zugänglich macht) ... ob das beim GUI (also im ctlmgr) auch so ist, müßte man erst testen und dafür reicht dann eben keine einfache Definition einer solchen Verbindung (wie beim Test mit "tcppeerlocation"), da braucht man dann auch die passende Gegenstelle und das ist ein etwas höherer Aufwand.
 
Ich hoffe sogar immer noch stark, daß AVM die Möglichkeit des Zugriffs vollkommen ohne Kennwort irgendwann mal komplett abschafft ...

Ich auch, es gibt noch so viele die meinem im Heimnetz keine Passwortabfrage nutzen zu müssen (der TE ist hier nur ein Beispiel), dass das m.E. sogar dringend notwendig wäre, die Frage ist nur wie.
Bei der ersten Konfiguration nach dem Laden der Werkeinstellungen (bzw. einen Firmwareupdate mit dieser neuen Funktion) verlangen ein Passwort einzurichten oder erst mit neuen Modellen wo dann auf der Rückseite der FritzBox ein individuelles Standard-Konfigurationspasswort steht (so wie z.B. bei den Speedports, das geht dann aber leider erst mit neuen FritzBoxen).
Bei der SSID hat man das bei AVM nun auch eingesehen, dass eine etwas individuellere SSID doch besser ist da viele die Standard-SSID eben nicht ändern.

Wie dem auch sei, AVM wird irgendwann m.E. nicht darum herumkommen das zu implementieren (ähnlich wie bei der SSID), je eher desto besser.
 
Zuletzt bearbeitet:
Die Moralapostel fliegen mal wieder tief :D

Spaß beiseite, im Grundsatz geb ich Euch ja Recht. Ich habe auch sämtliche Geräte (Ich hoffe es zumindest) in meinem LAN passwortgeschützt. Ist ja auch gut so.
Wobei ich den ein oder anderen Zugriff (intern) über IP Adress Authentication (z.B nfs) realisiert habe. Ich selbst kann aber damit gut leben.
Denn wenn mein LAN mal kompromittiert sein sollte, ist diese NFS Verbindung oder meine Fritzbox die prinzipiell ausser für Updates keinen Internetzugriff hat, mein geringstes Problem.
Eine generelle Bevormundung (in Form von Passwortzwang oder ähnlichem) halte ich für die schlechtere Lösung. Dann lieber ein per Standard gesetztes Passwort.
Und wenn man das Passwort weglassen will (Was nur im Erweiterten Modus gehen darf), soll man von mir aus 3 Warnhinweise bekommen.
Genauso ist es mit der Entscheidung was ein gutes und was ein schlechtes Netz ist. Ich will die Wahl haben dies zu entscheiden.
Ja der Standard User ist damit überfordert und ja die FB ist für den Standard User konzepiert (das ist der Grund warum ich nie eine FB bei mir Zuhause als Router bekomme), kann ich alles verstehen.
Aber es gibt den Erweiterten Modus und der wurde meiner Meinung nach für den Advanced User eingbaut um den Standard User nicht zu überfordern.

voipd hat bestimmt seine Gründe warum er keine Passwordabfrage haben möchte. Ich gehe mal davon aus, dass er es nicht aus Bequemlichkeit machen will.

Zurück zum Thema.
@voipd
Ich weiß jetzt nicht welchen Router du benutzt, aber vielleicht hast du die Möglichkeit die Verbindung von dem 2. Netz zur FB mit einem NAT zu versehen.
Dh. Wenn du eine Http Verbindung zu der FB aufbaust, bekommst du mit einer IP aus dem 1. Netz. Das sollte das Problem auch lösen.

2. Möglichkeit wäre noch ein OpenVPN-Tunnel im Bridged-Mode, aber das wäre wohl zu oversized. :mrgreen:

Gruß
Rubinho
 
Auch wenn dein erster Satz nicht ganz ernst gemeint sein soll, so muss ich gerade deswegen dennoch nachhaken denn mit "Moralapostel" hat das m.E. wenig bis nichts zu tun.

AVM wird m.E. irgendwann einfach keine Wahl haben ein "Zwangspasswort" umzusetzen, egal mit welcher Methode. Man merkt in letzter Zeit auch, das AVM relativ "aktiv" geworden ist das grundlegende Konzept zur Sicherheit der FritzBoxen zu überdenken, wohl aufgeweckt durch den "webcm-Gau" um u.a. auch weitere Unfälle dieser Art (keiner kann ausschließen, dass weitere Lücken vorhanden sind oder in zukünftigen Versionen aufgerissen werden) etwas "abzumildern" damit nicht gleich alles "offen" steht.

Auch denke ich dabei an das Konzept vom BSI bzgl. "sicherer Router" (https://www.bsi.bund.de/SharedDocs/...rheit/Themen/Testkonzept-Breitbandrouter.html). Wenn das wirklich irgendwann einmal Spruchreif werden sollte kann sich AVM m.E. mit seinen FritzBoxen dem nicht enthalten, dann wird man nicht um ein Zwangspasswort drumherum kommen und da ist nix mit "in erweiterter Ansicht + 3 Warnmeldungen kann das deaktiviert werden". S.h. dazu Pkt. 3.4.1 auf Seite 22 beim oben verlinkten Entwurf des BSI, dort geht man sogar von einem vordefinierten Standardpasswort aus.

Denn wenn mein LAN mal kompromittiert sein sollte,
Wenn man der Meinung ist das eigene Heimnetz ist derzeit nicht kompromittiert oder kompromittierbar begeht imo bereits einen grundsätzlichen Fehler bzw. sind alle Netze als "schlecht" anzusehen, auch das Heimnetz sollte prinzipiell bereits als "kompromittiert" angesehen werden. Warum soll dann also ein Gerät was z.B. die "grundlegenden Kriterien des BSI" umsetzt auf einmal in der erweiterten Konfiguration solch grundlegenden Fehleinstellungen unterstützen die diesen Kriterien widersprechen?


edit
Zum Konzept des BSI habe ich auch ein Thema von Peter entdeckt:
[thread]281975[/thread]
 
Zuletzt bearbeitet:
Also sein eigenes LAN als kompromittiert anzusehen halte ich als paranoid.
Wenn mein LAN wissentlich kompromittiert sein sollte, schaltet ich es ab !
Das kein LAN vor Angriffen sicher ist, Stimme ich dir zu. Es gibt keine 100%ige Sicherheit.

Und dir ist schon bewusst, das sich dieses Sicherheitskonzept auf Router bezieht und weder voipd noch ich die FB als Router betreiben.

Aber wenn du einen bezahlbaren Router haben möchtest, der diese Kriterien erfüllt, dann besorge dir eine Pfsense. Kann ich jedenfalls wärmstens empfehlen ;)
 
Also sein eigenes LAN als kompromittiert anzusehen halte ich als paranoid.
Wenn du das so siehst kannst du auch einfach weiter unbesorgt ältere FritzOS-Versionen weiterverwenden, z.B. FritzOS 6.20, das kann man auch ohne Passwortschutz verwenden. Irgendwann wirst du dann vielleicht aktuelle FritzOS-Versionen nicht mehr verwenden können/wollen. :rolleyes:

Und dir ist schon bewusst, das sich dieses Sicherheitskonzept auf Router bezieht und weder voipd noch ich die FB als Router betreiben.
Das ist mir egal, denn die FritzBoxen sind oder können auch als Router eingesetzt werden. Zudem gibt es keinen pauschalen Grund weshalb IP-Clients auf einmal "ungeschützt" sein können.

Aber wenn du einen bezahlbaren Router haben möchtest, der diese Kriterien erfüllt, dann besorge dir eine Pfsense.
Es geht nicht um mich, mir könnte das eigentlich völlig egal sein, nicht das wir und hier missverstehen. Es geht um AVM und ich bin schlicht und ergreifend der Ansicht, ob es euch nun gefällt oder nicht, das AVM irgendwann keine Wahl haben wird das so zu realisieren, u.a. wenn z.B. auch die Vorschläge des BSI mal interessant werden sollten wird man das seitens AVM auch für das Marketing verwenden wollen, wenn bestimmte Pkt. dann nicht sogar Voraussetzung werden aufgrund der versch. Vertriebswege für FritzBoxen (wobei das dann vielleicht nicht für alle FritzBox-Modelle zutreffen muss). Wenn sich jeder eine pfSense besorgen und einrichten könnte, wozu dann überhaupt noch FritzBoxen mit integriertem Modem und Routerfunktionalität?

Aber auch ohne den o.g. Entwurf des BSI lassen mich viele in letzter Zeit unternommene Schritte seitens AVM vermuten, dass man irgendwann auch diesen Schritt unternehmen wird. Und persönlich hoffe ich auch, dass das passieren wird, die meisten FritzBoxen werden schließlich von einem Klientel eingesetzt welches sich mit der Thematik nicht sonderlich gut auskennt. Wobei gerade "IT-Experten" nicht selten ebenfalls grobe Fehler begehen.

Kann ich jedenfalls wärmstens empfehlen ;)
Ich nicht, denn auch viele pfSense-Systeme erfüllen die Kriterien ebenfalls nicht komplett.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.